Por Isabella de Santi Mendes, especialista em Privacidade e Proteção de Dados do Era&Nagoshi
1. Breve resumo
Em 1995, na União Europeia foi criado através da Diretiva nº 29 de 1974, o Regulamento Geral de Proteção de Dados, mais conhecido como GDPR, o qual entrou em vigor em 25 de maio de 2008.
Depois de lançada a GDPR, o Brasil carecia de uma medida efetiva e disciplinadora sobre o tratamento de dados pessoais e após muitos debates e obstáculos de processo legislativo, em 14 de agosto de 2018 é publicada a Lei Geral de Proteção de Dados com o principal objetivo de proteger os direitos fundamentais de liberdade, privacidade e livre desenvolvimento, e desde sua criação vem gerando vários debates no meio jurídico especialmente para determinar qual o alcance desta nova legislação nas matérias do direito brasileiro.
É muito debatida a aplicação da LGPD nos âmbitos jurídicos, especialmente na esfera trabalhista já que a lei não deixa claro sobre sua aplicação no direito do trabalho e também gera dúvidas sobre o fim do tratamento de dados ou se as empresas já estão sujeitas as penalidades presentes na lei, então neste contexto o presente texto vem observar os impactos que esta nova legislação trouxe para as relações trabalhistas.
2. Aspectos da Lei Geral de Proteção de Dados – LGPD
A Lei Geral de Proteção de Dados foi um marco histórico sobre a regulamentação dos tratamentos de dados pessoais no Brasil, tanto nos meios físicos quanto nas plataformas digitais, como Facebook, Instagram etc. Além de instituir sobre o tratamento de dados realizado por instituições privadas e públicas, como a coleta, armazenamento e disponibilização das informações.
Sua aplicação é sobre qualquer operação de tratamento de dados realizada por pessoa natural ou pessoa jurídica de direito público ou privado, do país de sua sede ou do país em que os dados estejam localizados, desde que tal operação seja realizada no Brasil; que tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil; ou dados pessoais em que o objeto do tratamento tenha sido coletado no país.
No entanto, a Lei não se aplica em alguns casos de tratamento de dados, a exemplo àqueles realizados para fins exclusivamente particulares e não econômicos, para fins jornalísticos ou artísticos, acadêmicos ou para fins exclusivos de segurança pública, de defesa nacional, segurança do estado ou em investigações e repressão de infrações penais.
2.1. Definições Legais
Para maiores esclarecimentos e compreensão é importante falarmos sobre as definições legais sobre dados elencadas no artigo 5º da Lei nº 13.709/18:
a) Dados Pessoais: é a informação relacionada a uma pessoa natural ou identificável, ou seja, qualquer informação que identifique ou possa identificar uma pessoa, como RG, CPF, telefone, e-mail;
b) Dados Pessoais Sensíveis: dados relacionados à origem racial ou étnica, opinião política, filiação a sindicato ou a organização religiosa, dados referentes à saúde, dados genéticos, relativos às características genéticas, hereditárias ou adquiridas e dados biométricos, como imagens faciais ou impressão digital;
c) Dado Anonimizado: aqueles que não podem ser identificados, em razão da utilização de meios técnicos razoáveis e disponíveis no momento do tratamento;
d) Dados pseudoanonimizados: o tratamento do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional;
e) Banco de dados: conjunto de dados pessoais, podendo ser estabelecido em um ou vários locais, tanto no meio físico quanto eletrônico.
2.2. O fim do tratamento de dados
O tratamento de dados possui início, meio e fim e o seu término está previsto no art. 15 da lei geral de proteção de dados e se ocorre nos seguintes casos:
a) pela verificação de que a finalidade foi alcançada ou que os dados deixaram de ser necessários ao alcance da finalidade almejada;
b) pelo término do período de tratamento;
c) pela comunicação do titular;
d) pela determinação da ANPD, sendo está a Autoridade Nacional de Proteção de dados, quando houver violação ao disposto na LGPD.
Os dados também serão eliminados após o tratamento, porém é autorizada a preservação dos dados para: o cumprimento de obrigação legal ou regulatória pelo controlador (art. 5º, VI da LGPD); estudo por órgão de pesquisa; transferência à terceiro; ou uso exclusivo do controlador, vedando seu acesso por terceiro, desde que anonimizado, conforme disposto no art. 16º da Lei.
2.3. Direito dos titulares de dados pessoais
Primeiramente, o que são titulares? São apenas as pessoas naturais, todavia, aqueles que são representantes legais, ou seja, uma pessoa natural como um advogado, que representa uma pessoa jurídica também está sujeita aos direitos como titulares.
O exercício dos direitos é exercido perante os órgãos administrativos, como exemplo a ANPD (Autoridade Nacional de Proteção de Dados) ou o Poder Judiciário e, principalmente, os controladores que realizam o tratamento dos dados. Desta forma, o titular dos dados pessoais tem o direito de obter do controlador os dados por ele tratado, a qualquer momento e mediante requisição, conforme art. 18, caput da lei.
Como exemplos: confirmação da existência do tratamento, acesso aos dados, correção dos dados, anonimização/bloqueio/eliminação dos dados, eliminação, revogação do consentimento, entre outros.
Com isto, é imprescindível que as empresas e contratos de trabalho se adaptem às exigências da LGPD, já que ela garante a defesa dos interesses e dos direitos dos titulares por meio de juízo, individualmente ou coletivamente, na forma do disposto na legislação, acerca dos instrumentos de tutela individual ou coletiva. Assim, o descumprimento desta lei tem o potencial de gerar inúmeras demandas judiciais e sanções administrativas, presentes nos artigos 52 a 54 da LGPD e ainda, responsabilidades civis (art. 42º) e criminais (art. 133, 154-A, 313-A e 325 do CP).
3. Impacto da LGPD nas relações de trabalho
Ressaltamos que, a LGPD não foi pensada ou deixada expressa nos aspectos das relações trabalhistas, sendo uma lei de caráter genérico e amplo. Entretanto, sua execução deve ser realizada em “qualquer operação de tratamento por pessoa natural ou jurídica de direito privado ou público” (art. 3º), não mencionando o contrato de trabalho ou qualquer outra relação trabalhista, porém é certo que em seu art. 4º, ao tratar sobre sua não aplicação, não menciona em qualquer momento às relações de trabalho como uma excludente.
Desta forma a LGPD deve ser comtemplada em todos os momentos de uma relação de trabalho e em todas as fases contratuais, desde o seu desenvolvimento, celebração de contrato e na sua conclusão ou dissolução, não restando dúvidas de que inúmeras situações podem ser tocadas pela LGPD nas relações de trabalho, como exemplos as entrevistas de emprego, recebimento de currículo, realização de exames, compartilhamento de dados com seguradoras, entidades sindicais e muitas outras.
3.1. Fases Contratuais
Conforme mencionado acima, é importante ressaltar as fases contratuais existentes nas relações de trabalho, que se totalizam em três fases e a sua relação com a LGPD.
A primeira fase de uma relação trabalhista é a pré-contratual, ou seja, é todo o processo de seleção como abertura da vaga, envio e recebimento de currículos, entrevistas até sua devida efetivação. Ocorre que o empregador, que terá todas as informações em seu banco de dados, deverá realizar o devido processo de adequação, tantos dos efetivados como os dos não selecionados a vaga.
Nesta primeira fase é importante solicitar estritamente as informações necessárias, como também informar ao candidato o tratamento que será dado para aquelas informações e que a utilização destes dados será especificamente usada para a vaga em que se candidatou. Importante salientar que após a devida seleção, o empregador deverá dar a destinação para os candidatos não selecionados, como exemplo continuar no banco de currículos ou exclusão dos dados.
Em seguida, se inicia a fase contratual que se inicia com a admissão do empregado ou a formalização do contrato com o prestador de serviço. Neste processo os dados e documentos terão uma maior movimentação, por isto deverá ser tratado com maior cautela e cuidado, já que é nesta fase em que se terão todos os tipos de dados pessoais, como o salário, doenças, seu estado civil ou se possuí filhos e os dados mais sensíveis como a biometria.
Aqui as empresas deverão analisar quem possui acesso aos dados, se existe transmissão interna ou para terceiros, onde estarão armazenados e se estão protegidos e quais documentos e dados deverão ser tratados. Neste seguimento a empresa deve definir a hierarquia de acesso aos dados, verificando quem realmente necessita dos dados e de seu acesso.
Já na fase pós-contratual, sendo está a última fase, é determinada pelo desligamento do funcionário da empresa, aqui é necessário à finalização do uso de dados ao titular, por determinação legal ou solicitação. Porém na esfera trabalhista os dados podem ser tratados de maneiras diferentes, visto que é preciso manter alguns dados caso aconteça uma ação trabalhista ou alguma fiscalização por parte de algum Ministério.
Portanto, a empresa possui garantia legal para guardar os documentos até o fim do prazo prescricional para ingressar com uma ação trabalhista, que conforme o artigo 11 da CLT “a pretensão quanto a créditos resultantes das relações de trabalho prescreve em cinco anos (...), até o limite de dois anos após a extinção do contrato de trabalho”, mas claro ainda devendo ser observado todas as diretrizes da LGPD para deixar os dados em sigilo, onde após o término do prazo o descarte dos dados é obrigatório.
Porém é importante destacar que a prescrição trabalhista possuí controvérsias, existindo hipóteses que o prazo prescricional fica suspenso ou impedido, por exemplo vínculo de emprego, art. 11 da CLT ou existência de absolutamente incapazes ou menor de 18 anos, art. 440 da CLT, assim se torna possível a guarda mais prolongada ou indeterminada de certos documentos essenciais.
Por fim, os descartes destes dados, que não estejam em época de prescrição ou alguma hipótese que impossibilite seu descarte, devem ser feitos de modo que não seja possível a sua recuperação.
4. O consentimento nas relações trabalhistas
O consentimento é a maior hipótese de causa legitimadora contida LGPD, estando presente em vários artigos da lei, porém é importante ressaltar que não são todas as situações que é obrigatório o consentimento do titular. Consentimento, conforme descrito na própria lei em seu artigo 5º, inciso XII é “uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
A expressão livre mencionada no conceito de consentimento trará dúvidas no âmbito trabalhista, visto que uma relação trabalhista é marcada pelo desequilíbrio de poder e pela dependência econômica do trabalhador com a empresa, tal como não resta dúvidas das inúmeras vezes que o empregado não tem sua livre escolha.
Portanto, visando a mitigação de riscos, não é recomendado a utilização do consentimento como base legal de tratamento de dados no âmbito das relações de trabalho, em razão do desequilíbrio presente na relação entre empregado e empregador. No entanto, caso o empregador queira utilizar o consentimento como base legal, será preciso se atentar ao art. 8º, caput e §1º da LGPD, onde deixa claro que o consentimento deverá ser “fornecido por escrito ou por outro meio que demonstrar a manifestação de vontade do titular”, para maior visualização, um exemplo é aquele que o empregado expressamente consente para critérios de avaliação de sua produtividade, com tabelas comparativas aos outros trabalhadores ou coleta de imagens.
Um aspecto que é importante ressaltar é que mesmo que a empresa tenha o consentimento expresso do trabalhador, não é permitido o compartilhamento destes dados com outros controladores sem a obtenção do consentimento específico para tal, nos termos do art. 7º, §5º da LGPD, sendo este entendimento de grande importância na relação de trabalho, pois muitos dados são compartilhados pelo empregador com a previdência, empresas terceirizadas e planos de saúde.
Para finalizar, ao se utilizar do consentimento é imprescindível que a empresa se atente ao fato de que, conforme o §5º do art. 8º da LGPD, o empregado pode revogar a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ainda é importante ressaltar que o ônus da prova em relação ao consentimento é da empresa.
Considerações Finais
Diante da vigência da LGPD, se torna imprescindível à implantação e adequação a legislação nas empresas tanto de grande porte ou pequeno porte, de modo a ampliar a segurança de dados e respeitar a privacidade, especialmente no caso de trabalhadores, tendo em vista que existe a retenção de dados pessoais em toda etapa de uma relação trabalhista.
A adequação das empresas a LGPD é de extrema importância e urgência, visto que as coletas de armazenamento de dados, tanto pessoais e sensíveis, ocorrem com grande frequência no ambiente trabalhista, desde o início do contrato de trabalho até a dispensa do empregador.
Como também é importante ressaltar que as empresas já estão sujeitas às regulamentações previstas em lei, precisando ter uma atenção especialmente aos contratos de trabalho e ao tratamento de dados ocorrido dentro da empresa, para que estes possam ser adaptados e corrigidos o mais rápido possível.
Por fim, diante dos cenários apresentados no presente artigo à aplicação da LGPD nas empresas é um fator importante e de extrema urgência, dependendo de vários fatores, como a empresa passar por treinamentos, revisão das normas e a reformulação dos contratos e manuais de modo a minimizar ou eliminar os riscos da não observância previstos na LGPD.
Comments