A LGPD – Lei 13.709/18
A Lei Geral de Proteção de Dados dispõe sobre o tratamento de dados pessoais por pessoa natural ou pessoa jurídica de direito público ou privado com o intuito de proteger os direitos fundamentais de liberdade e de privacidade dos cidadãos. O objetivo da nova legislação é trazer segurança jurídica aos atores envolvidos no mundo da coleta, armazenamento e uso de dados (digitais ou não) e ainda para estabelecer regras de proteção de dados e critérios no tratamento desses dados pessoais.
A aplicação da LGPD se dá em todos os setores da economia e do direito, sendo aplicável sempre que houver algum tipo de coleta de dados pessoais de terceiros, como ocorre, por exemplo, nas relações consumeristas.
A Relevância da proteção de dados no ambiente de trabalho
Ainda que a novel legislação brasileira não tenha regulamentado a aplicação específica da proteção de dados no âmbito das relações de trabalho, é essencial investigar suas causas legitimadoras e sua forma de operacionalizá-las a fim de adequar a rotina trabalhista as exigências de proteção de dados.
Inegável que as regras advindas com a LGPD impõem ao empregador responsabilidade civil, uma vez que desde a fase pré-contratual até após a rescisão do contrato de trabalho, o empregador é quem armazena, tem acesso e a guarda os dados pessoais fornecidos pelos trabalhadores. Esta responsabilidade não se restringe à documentação pessoal de identificação dos trabalhadores, mas se estende ao monitoramento de correspondências eletrônicas, a captura de imagens dos trabalhadores no local de trabalho, as chamadas em sistemas de videoconferência, o registro biométrico da jornada de trabalho, dentre outros.
Proteção de dados na etapa pré-contratual
A fase pré-contratual é a etapa do primeiro contato do candidato com o potencial empregador e geralmente é realizada por terceiros (recrutador, departamento pessoal, empresas especializadas e etc). Nessa fase há a disponibilização da vaga, análise do currículo, entrevistas e posterior escolha do candidato selecionado.
Naturalmente, os procedimentos preliminares a um contrato de trabalho legitimam o acesso aos dados pessoais do candidato logo a partir do anúncio de um emprego, devendo o empregador se ater ao estritamente necessário para o exercício da função a ser contratada. Em outras palavras, o empregador pode solicitar ao empregado o nome completo, a data de nascimento, estado civil, escolaridade, o número do CPF, filiação, a numeração do RG, o endereço de domicílio, o contato telefônico, e-mail pessoal ou corporativo, IP do computador e etc.
Ainda na fase preliminar, é proibida a coleta de dados sensíveis que possam gerar qualquer critério discriminatório entre os candidatos. De modo que é de suma importância que o empregador avalie quais serão os dados requeridos ao candidato para que não haja descumprimento das normas legais.
Neste contexto, a recomendação jurídica é a adoção do “princípio da minimização da coleta de dados” que consiste em solicitar a menor quantidade possível de dados como forma de reduzir eventuais riscos de ajuizamento de ações judiciais e de procedimentos administrativos.
Outra recomendação importante é a elaboração de um documento em que o candidato anua seu consentimento expresso acerca da coleta e da utilização dos dados pela pretensa contratante. Necessário ainda revisar os procedimentos e os formulários da coleta de dados, adequando-os aos requisitos e princípios norteadores da LGPD.
Não é raro que os empregadores armazenem uma pasta física do funcionário contendo o currículo com apontamentos escritos à mão e coletados no momento da entrevista pessoal pelo entrevistador. Este tipo de armazenamento não é recomendável porque aumenta a responsabilidade do empregador quanto ao respeito aos ditames da LGPD. Assim, recomenda-se que eventuais anotações colhidas durante uma entrevista sejam devidamente descartadas logo depois de encerrado do processo de recrutamento e de seleção.
O empregador deve ter a cautela em pedir informações pretéritas do candidato, pois a não discriminação é um dos pilares da LGPD e tem sido objeto de proibição pela Justiça do Trabalho (art. 5º, caput, 7º, XXX, CF c/c art. 373-A, CLT). Apesar disso, esta regra comporta exceções. Exemplo prático: solicitar atestado de antecedentes criminais é obrigatório para quem trabalha na função de vigilante (artigos 12 e 16, VI, da Lei n. 7.102/1983 c/c art. 4°, I da Lei n. 10.826/2003). Nesse sentido, a jurisprudência do TST em acórdão publicado em 22/09/2017, no julgamento do Recurso Repetitivo (RR) 243000-58.2013.5.13.0023, com a fixação da tese jurídica prevalecente que a exigência de certidões de antecedentes criminais somente se justifica em casos excepcionais, em virtude da existência de lei, natureza do ofício ou elevada fidúcia.
No caso de entrevista ser realizada por videoconferência recomenda-se a adoção de cuidados com o armazenamento do vídeo gravado em razão da possibilidade de conter inúmeros dados sensíveis.
Não menos importante é o procedimento a ser adotado no caso dos candidatos que forem dispensados da vaga. Deve haver uma organização com a estipulação de prazo de manutenção da documentação e para o descarte de currículos de seu banco de dados (art. 5º, XIV, LGPD). A mesma regra vale para o compartilhamento de currículo com outras possíveis empregadoras, caso em que o titular dos dados pessoais precisa saber e anuir expressamente (art. 5º, XVI, LGPD).
De modo que ao finalizar o processo seletivo, o recrutador precisará informar claramente aos candidatos não selecionados a política de utilização dos dados que foram fornecidos para a entrevista e, principalmente, o que será feito com os dados pessoais e com os documentos por eles apresentados. A recomendação é o descarte. Contudo, caso haja necessidade de mantê-los armazenados por um propósito legítimo, é obrigatório que o recrutador informe ao titular dos dados a razão pela qual não os descartará de imediato.
Estas recomendações de caráter prático são de suma relevância para fins de minimizar os riscos envolvidos com a manutenção de um banco de dados com informações pessoais já consideradas desnecessárias.
Da proteção de dados na etapa contratual
Após a contratação do candidato à vaga de emprego, é necessária a coleta de dados e informações do novo empregado, tais como: dados da jornada, dados biométricos, valor do salário, descontos, motivos das faltas, doenças, acidentes, situações conjugais e familiares que podem ter reflexos em providências a serem adotadas pela empregadora, a exemplo do pagamento de pensão, inclusão de dependente no plano de saúde, dentre outros.
A primeira providência a ser adotada pelo empregador é a de informá-lo a respeito da política de tratamento de dados da empregadora. Nesse sentido, como já recomendado, é importante que a empregadora elabore um Termo de Consentimento para que o empregado anua expressamente sua concordância com o conteúdo da política a ser adotada.
Em razão da natureza sensível dos dados coletados após a contratação, destacam-se algumas hipóteses específicas em que o empregador (controlador/operador) deve ter atenção especial durante a vigência do contrato de trabalho. São elas:
- Fichas de registro de empregados: é comum que nela contenha dados pessoais e dados sensíveis, a exemplo da filiação a sindicato. No particular a LGPD prevê expressamente a necessidade de tratamento desses dados com a limitação de acesso à ficha de registro do funcionário.
- Formalização de contratos de trabalho e de termos aditivos: adequação dos contratos de trabalho por meio de termos aditivos as regras da LGPD.
- Realização de exames periódicos: a realização de exames periódicos e avaliação clínica estão previstos na legislação em vigor. Contudo, não podem ser solicitados exames que possam expor a saúde do trabalhador a fim de causar-lhe discriminação, a exemplo dos exames de HIV, gravidez, câncer etc.
- Fichas de registro de empregados: é comum que nela contenha dados pessoais e dados sensíveis, a exemplo da filiação a sindicato. No particular a LGPD prevê expressamente a necessidade de tratamento desses dados com a limitação de acesso à ficha de registro do funcionário.
- Recebimento de atestados: embora não seja obrigatório o preenchimento da CID no atestado médico, caso haja identificação da doença e/ou o motivo do afastamento, a LGPD considera estas informações sensíveis e, portanto, precisarão de política de tratamento específica de guarda e acesso.
- Compartilhamento de dados com seguradoras, planos de saúde, entidades sindicais: De acordo com os ditames da LGPD, o compartilhamento desses dados precisará de autorização expressa do titular, principalmente quando se tratar de dados de familiares e de terceiros. A exceção ocorrerá quando essas informações decorrerem de pedido judicial, de texto de lei ou para fins de dados de estatística do governo.
A regra geral prevista na LGPD é de que os dados pessoais/sensíveis do empregado não podem ser disponibilizados a terceiros, sob pena de acarretar uma importunação, um prejuízo ou até discriminação a justificar uma indenização reparatória. Sem embargo, existem dados que constam nos modelos de livros e de ficha de registros de empregados, mas que podem perfeitamente ser dispensados, a exemplo da filiação, exceto se os pais forem dependentes do imposto de renda. Na mesma toada, a informação da qualificação dos filhos pode ser importante para fins de habilitação no salário-família perante o INSS. Em tais hipóteses, há uma obrigação legal que legitima a empregadora no fornecimento de informações a terceiros.
Rememora-se que é direito do empregado o acesso a todos os seus dados, podendo ele requerer a qualquer momento que a empresa informe a natureza e a destinação das informações repassadas, podendo solicitar também que a empregadora efetue o descarte dos mesmos quando da rescisão contratual, à exceção daqueles necessários para cumprimento de obrigações legais e regulatórias por parte dos empregadores.
Em relação ao trabalho em “home office” e/ou de teletrabalho, a pandemia do COVID 19 obrigou muitas empresas a adotarem estas novas modalidades de trabalho. Com a possibilidade de acessos remotos para um maior número de pessoas, ampliaram-se os riscos de vazamento dos dados de forma a deixar o ambiente de trabalho mais suscetível ao ataque de “hackers”. Dessa forma, as informações repassadas em trabalho domiciliar exige uma atenção redobrada considerando os ditames da LGPD. A incumbência de orientar os empregados a respeito do assunto, naturalmente, compete à empregadora.
No que diz respeito ao controle da jornada de trabalho, o art. 74 da CLT estipula a necessidade de registro de ponto, admitindo que tal se dê por meio manual, mecânico ou eletrônico. A Portaria 1510/2009, do extinto Ministério do Trabalho, autorizou o registro de ponto biométrico de empregados. Grande parte das empresas atualmente adota o controle de ponto pela impressão digital do trabalhador. Quanto a este aspecto, importante destacar que a LGPD considera a biometria um dado pessoal sensível e, por tal razão, deve ter o tratamento previsto na lei.
Da proteção de dados na etapa pós-contratual
Quando do desligamento do empregado também é necessária à observância aos preceitos da LGPD. Isso porque a nova lei expressamente prevê a necessidade da informação de finalização do uso de dados. Ademais, nas relações trabalhistas, há obrigação de guarda de documentos que decorrem de imposição legal.
Quanto ao tempo de armazenamento de informações pessoais, deve ser considerado que as reclamações trabalhistas, via de regra, são ajuizadas após o encerramento da relação de trabalho existente entre as partes. Partindo dessa premissa, recomenda-se o arquivamento de documentos relevantes da contratualidade por ao menos 2 (dois) anos contados da data da rescisão contratual para fins de prescrição total do direito de ação, conforme previsão do art. 7º, XXIX, CF c/c art. 11, CLT.
Nesse ponto, recomendamos a elaboração de uma política de retenção de dados que conste claramente quais os dados serão tratados mesmo após o encerramento do contrato de trabalho, de que forma e por quanto tempo.
O tratamento de dados pessoais e a negociação coletiva
É oportuno rememorar que a Lei 13.467/2017, denominada Reforma Trabalhista, consagrou a prevalência do negociado sobre o legislado. Assim, ao menos em tese, a nova lei tem o poder de validar cláusulas de normas coletivas que visem flexibilizar critérios e requisitos para o tratamento de dados. Contudo, a matéria ainda será objeto de deliberação pela Justiça do Trabalho que provavelmente concluirá pela impossibilidade de flexibilização do direto à privacidade e à intimidade, cláusulas pétreas da nossa Constituição da República.
Apesar disso, há um relevante campo de atuação sindical no que diz respeito a formas e procedimentos de tratamento de dados pessoais para tornar viável a concessão de benefícios instituídos por normas coletivas. Exemplo: A norma coletiva pode prever a adoção de um só encarregado para as empresas do grupo, sepultando a discussão doutrinária a respeito do tema, ou, dispor sobre direitos do operador.
Responsabilidade civil do empregador
A fim de impor compulsoriamente os ditames do novo regramento de segurança, a LGPD previu sanções às empregadoras que descumprirem as previsões legais.
Embora a eficácia do regramento sancionatório administrativo por parte da Autoridade Nacional de Proteção de Dados (ANPD) tenha vigência somente a partir de 1º de agosto de 2021, fato é que outras modalidades de demandas podem surgir até então. São elas as ações judiciais trabalhistas que visem ressarcir o empregado de eventuais danos sofridos pelo vazamento de dados sensíveis a terceiros.
Os artigos 42 a 45 da Lei 13.709/18 tratam da responsabilidade civil patrimonial e extrapatrimonial dos agentes de tratamento de dados (controlador e operador). É prevista legalmente a advertência, a multa simples no importe de 2% sobre faturamento da empresa, multa diária, o bloqueio, a eliminação ou a suspensão total ou parcial do funcionamento do banco de dados.
No que diz respeito à modalidade de responsabilidade civil a ser adotada, há uma tendência doutrinária em se adotar a responsabilidade subjetiva com culpa presumida por força da aplicação do artigo 42 e incisos II e III do artigo 43 da LGPD, que expressamente isenta de responsabilidade aquele que não violou a lei. Por outro lado, deve ser considerado que a responsabilidade civil objetiva é prevista no Código Civil e assim como a LGPD não trouxeram a culpa como elemento necessário para configuração de responsabilidade. Em razão do caráter protetivo da Justiça do Trabalho, é provável que a jurisprudência a respeito da modalidade de responsabilidade civil aplicável na LGPD admita a aplicação da responsabilidade civil objetiva do empregador.
Assim considerado, para não ser penalizado, não basta o empregador cumprir os ditames da LGPD, deve ele ter em posse provas e evidências de todas as medidas adotadas para demonstrar a sua boa-fé no cumprimento da lei. Isto é, tem de se acautelar de todas as formas possíveis. Na prática, recomenda-se que o empregador defina uma trilha de tratamento dos dados de forma documentada e procedimental a fim de comprovar a utilização de protocolos e sistemas que garantam a segurança dos dados e o acesso facilitado do titular sempre que preciso.
A prova de treinamentos ministrados aos empregados e a contratação de consultoria especializada em LGPD reforçam a comprovação de respeito à nova lei.
Conclusão
É preciso orientar, difundir conhecimento e treinar os empregados de todos os setores da empresa a respeito das regras da LGPD. A publicização das novas regras pode ser realizada por meio de informativos, de palestras, de seminários e, especialmente, com a elaboração de uma Política de Privacidade específica à LGPD, que consista em assegurar mais transparência na coleta e uso dos dados pessoais dos usuários.
É de suma relevância, portanto, o investimento logístico na adequação e esclarecimento do novo regramento da LGPD para que a empresa não se surpreenda com um passivo judicial trabalhista e cível, sem prejuízo das sanções administrativas vindouras decorrentes de seu descumprimento.
Dino Araújo de Andrade – Sócio do escritório Dino Andrade Advogados
Permitida a reprodução desde que citada a fonte e o nome do autor.
