A Lei Geral de Proteção de Dados Pessoais, arrisco dizer, é a legislação com maior interdisciplinaridade dos últimos tempos – aplica-se a todos os ramos do direito, afinal, onde houver o tratamento de dados pessoais, a LGPD estará presente, ressalvadas as exceções previstas no art. 4º da Lei.
O ramo do Direito do Trabalho, que cuida das relações de emprego, sofre especial impacto da LGPD e, por essa razão, situações que envolvem o tratamento dos dados pessoais dos empregados são frequentemente utilizadas como exemplos nas palestras, artigos, aulas e comentários feitos pelos especialistas em privacidade e proteção de dados pessoais.
Por que isso acontece?
No âmbito trabalhista a discussão é urgente, considerando que, independente da atividade econômica exercida pelo empregador, há o tratamento dos dados pessoais dos seus empregados.
Na relação de emprego há a coleta de inúmeros dados pessoais dos empregados, não apenas em decorrência da prestação dos serviços, mas também para o cumprimento de obrigações legais, como a inserção de determinados dados em programas de gestão, como o e-social, ou para viabilizar a concessão de benefícios previdenciários ou previstos em normas coletivas, entre outros.
O tratamento dos dados pessoais dos empregados nas organizações é feito nos meios físico e digital e, atualmente, as inovações tecnológicas propiciaram uma facilidade na coleta e uso dos dados pessoais, potencializando os efeitos que podem advir desse tratamento – a LGPD é uma legislação urgente.
Então, o que deve ser feito?
Diante desse novo panorama de proteção jurídica dos dados pessoais, as empresas devem implementar um programa de proteção de dados, para que estejam em conformidade com a lei, adotando uma cultura de privacidade e proteção de dados pessoais, inibindo e minimizando os efeitos de eventual vazamento de dados pessoais.
O respeito à LGPD não é proposto apenas para evitar as sanções que podem ser aplicadas caso a lei seja descumprida, mas principalmente para que a organização atue de forma ética e preserve a sua imagem na sociedade, considerando que os consumidores estão cada dia mais conscientes e exigentes no momento em que fazem as suas escolhas de consumo.
Ademais, a conformidade com a lei possibilita e, por vezes, condiciona, a celebração de negócios com empresas estrangeiras localizadas em países que possuem legislação de dados e, consequentemente, aumenta o valor de mercado das organizações.
Além de correr o risco de ser multada e ter o acesso aos dados pessoais bloqueados e até mesmo eliminados, a organização que violar a LGPD estará sujeita à “publicização da infração após devidamente apurada e confirmada a sua ocorrência;”, como determina o inciso IV do art. 52 da Lei. A depender da situação, a divulgação da violação pode gerar danos devastadores à imagem da empresa, cujos prejuízos econômicos podem até mesmo superar os valores das próprias multas eventualmente impostas.
Existem diretrizes gerais que orientam as organizações sobre as etapas que serão necessárias para a implementação do programa e essas diretrizes devem ser adequadas ao porte e à capacidade econômica das companhias, sob pena de inviabilização da observância da lei.
A adequação das organizações à LGPD envolve todos os setores que tratem dados pessoais, porém, o setor de Recursos Humanos merece atenção especial.
O destaque ao setor de RH não é feito para privilegiar o tratamento de dados nas relações de emprego e descartar a importância dos demais setores – há aqui uma realidade que não pode ser descartada: a inserção da cultura de privacidade e proteção de dados pessoais deve começar dentro de casa.
Ora, se a organização não respeita os dados pessoais dos seus colaboradores, como espera que o seu pessoal lide com os dados manuseados no decorrer da prestação dos serviços?
O risco mais comum em uma organização é o chamado “risco operacional”, que decorre da falha humana. Nos tempos atuais, em que muitas organizações estão adotando o home office, a exposição dos dados pessoais tratados pelos empregados aumentou consideravelmente.
Por isso, a conscientização e o treinamento constante dos colaboradores sobre a cultura de privacidade e os procedimentos adotados no tratamento dos dados pessoais são imprescindíveis para o sucesso do Programa de Privacidade e Proteção de Dados Pessoais.
Os treinamentos devem orientar as condutas que deverão ser adotadas pelos empregados no exercício das suas funções, que devem se pautar pelo respeito à privacidade e proteção de dados pessoais.
Uma excelente maneira de engajar os empregados no cumprimento da LGPD é demonstrar o respeito e cuidado que a companhia tem com os dados dos seus próprios empregados, implementado uma Política de Privacidade séria e efetiva no setor de Recurso Humanos.
Ademais, é necessário que a adequação à LGPD seja feita em conjunto com as normas trabalhistas, afinal estar “de acordo” com a LGPD não significa cumpri-la apenas, mas observar também outras normas setoriais, por exemplo: a Consolidação das Leis Trabalhistas, as Convenções da Organização Internacional do Trabalho, as Normas Regulamentadoras expedidas pelas autoridades competentes, as normas coletivas da categoria, entre outras.
O tratamento dos dados pessoais dos empregados normalmente se inicia nas fases que antecedem a contratação: entrevista de emprego e demais procedimentos de seleção, passando pela execução do contrato de trabalho e continua mesmo após a extinção da relação de emprego.Assim, o mapeamento dos dados pessoais dos empregados deve envolver as fases:pré-contratual, contratual e pós-contratual.
Portanto, devem ser incluídos no mapeamento os dados dos candidatos ao emprego, ainda que não tenham sido contratados, bem como os dados dos empregados cujos contratos de trabalho já foram encerrados – aqui, deve ser feita uma análise minuciosa não apenas dos prazos prescricionais do direito de ação, mas, também, da obrigação de guarda de determinadas informações pela organização.
A título de exemplo destaca-se a emissão do documento chamado PPP – Perfil Profissiográfico Profissional – que o ex-colaborador pode solicitar a qualquer momento, mesmo após os dois anos da extinção do contrato de trabalho, considerando que se trata de obrigação de fazer, que é imprescritível.
É importante que os procedimentos internos do setor de RH sejam organizados, considerando não apenas as obrigações trabalhistas, mas, a partir de agora, também a proteção aos dados pessoais.
Outro ponto de destaque é o enquadramento dos dados tratados nas bases legais e, para tanto, a fase de coleta é crucial, tendo em vista que é o momento em que o dado entra na empresa e passa a fazer parte do banco de dados.
Normalmente, a coleta dos dados dos empregados é feita para fins de execução do contrato e cumprimento de obrigação legal (incisos II e V do artigo 7º da Lei[1]) – devem ser coletados apenas os dados estritamente necessários para tais finalidades.
De toda forma, na hipótese de coleta de um dado pessoal fora das bases mencionadas, o empregador deverá encontrar o enquadramento em uma das bases legais previstas na lei (art. 7º e 11[2]) e fazê-lo de forma clara e transparente.
Há diversas nuances especiais no tratamento dos dados dos empregados, considerando que há uma disparidade de forças na relação de emprego: o empregado é hipossuficiente e há um arcabouço de princípios trabalhistas que o protege.
Então, por exemplo, a utilização do “consentimento” como base legal para o tratamento de determinados dados pessoais dos empregados já é objeto de discussão entre os profissionais da área, considerando que é necessário que o consentimento seja dado de forma livre, informada e inequívoca e qualquer vício no consentimento torna o tratamento ilícito. Ademais, o consentimento pode ser retirado e nessa hipótese o tratamento deve ser encerrado – ponto importante a ser levado em consideração no momento de enquadramento das bases legais dos dados.
Os documentos que envolvem os dados dos empregados também deverão ser revisados e, se necessário, substituídos. É necessário revisar os contratos de trabalho, regulamento de empresa, manual de conduta, controles de jornada e demais documentos sob a ótica da cultura da privacidade e proteção de dados pessoais.Inclusive, é importante que as normas coletivas também sejam celebradas em observância a esse novo parâmetro.
Na relação de emprego, os empregados são titulares dos dados pessoais e possuem os direitos previstos nos artigos 17[3] e seguintes da Lei – que devem ser observados pelo empregador.
Portanto, a organização deverá ser capaz de responder quais dados foram coletados para a admissão ou para a entrevista, por exemplo; quais são as finalidades e base legal de cada dado coletado: anotação da CTPS e elaboração do contrato de trabalho ou fornecimento de plano de saúde, por exemplo; qual foi a forma de coleta: o próprio empregado forneceu; onde esses dados estão armazenados: no banco de dados físico do RH; com quem esses dados são compartilhados: com o sindicato, contador, empresa que fornece o cartão de vale-refeição; por quanto tempo esses dados ficarão no banco de dados do controlador e/ou quando esses dados serão excluídos do banco de dados: durante o contrato de trabalho e até 2anos após a extinção do pacto a depender do dado pessoal, por exemplo.
A partir da breve análise feita, percebe-se que os desafios que surgem da incidência da LGPD nas relações de emprego são muitos e é crucial que os profissionais de privacidade e proteção de dados pessoais atuem em conjunto com os especialistas da área trabalhista, para que a adoção da nova cultura, práticas e procedimentos seja realizada da forma mais adequada possível.
Um exemplo interessante e que tem suscitado diversas discussões é a possibilidade de exigir certidão de antecedentes criminais para a contratação do empregado – há base legal para o tratamento desse dado pessoal, segundo a LGPD? Considerando esse dado como dado sensível, é possível justificar o seu tratamento em alguma das hipóteses previstas no art. 11 da Lei? Ainda que seja possível, as normas trabalhistas autorizam a exigência desse documento? No contexto da relação de emprego, essa exigência fere a dignidade da pessoa humana do trabalhador?
A respeito desse assunto, o TribunalSuperior do Trabalho firmou precedente no julgamento de Recursos de RevistaRepetitivos no sentido de que a exigência pode ser feita quando justificar-se em razão da previsão em lei, da natureza do ofício ou do grau especial de fidúcia exigido no exercício daquela função; fora dessas hipóteses, a exigência da certidão caracteriza lesão à moral do candidato ao emprego – seja ele contratado ou não[i].
Assim, cada caso concreto deverá ser analisado individualmente, de forma a encontrar a solução adequada através da compatibilização dos preceitos da LGPD com a normatização trabalhista existentes obre o tema.
A utilização de frameworks e guidelines existentes sobre o tema, principalmente aqueles expedidos pelo European Data Protection Board (antigo Article 29), na União Europeia, também são de grande valia para a orientação na criação de novos procedimentos de privacidade e proteção dos dados pessoais nas relações de emprego.
A interpretação da LGPD e das diretivas de privacidade e proteção de dados pessoais em conjunto com a jurisprudência e princípios trabalhistas parece trazer caminhos harmônicos er azoáveis para a solução de impasses que têm surgido e, acreditem, ainda surgirão, nesse novo e instigante tema: a LGPD nas relações de emprego.
REFERÊNCIAS BIBLIOGRÁFICAS
BRASIL.Lei n° 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais(LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
[1] BRASIL, 2018.
[2] BRASIL, 2018.
[3] BRASIL, 2018.
[i] disponível em:http://www.tst.jus.br/documents/10157/19550834/IRR+01.pdf/11dd3613-5672-aeed-5a40-7efb86c599c7?t=1596812467371).
_______________________________________________________________________________________________________________________________________
Inscreva-se agora no PROTEÇÃO DE DADOS FUNDAMENTALS (LGPD), um curso super acessível, completo e 100% avaliado com 5 estrelas.
