Os impactos trabalhistas e ajustes necessários na LGPD
I – Considerações preliminares
A Lei Geral de Proteção de Dados (LGPD), Lei Federal nº 13.709/2018, em vigor desde o ano passado é um importante marco legislativo, cujos escopos, expressamente previstos no texto legal, são: o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A LGPD caracteriza o tratamento de dados como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Assim, os termos da legislação abrangem quaisquer dados, como nome, endereço, e-mail, idade, estado civil e situação patrimonial, obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, dentre outros).
Como os impactos são muitos, notadamente nas relações trabalhistas, a seguir, de forma pontual, tratamos dos que nos parecem principais.
II – Contexto da lei nº 13.709/18
- Regula a proteção de dados pessoais e estabelece regras claras sobre as operações de coleta, tratamento e armazenamento de dados pessoais.
- Aplica-se no âmbito público e no privado.
- Muito principiológica. Segue exemplo internacional (Regulamento Geral sobre a Proteção de Dados), mas avança em muitos pontos.
- Baseia-se no respeito à privacidade, empoderamento do cidadão/empregado, desenvolvimento econômico e tecnológico, segurança jurídica e portabilidade.
- Cria alta responsabilidade para o controlador de dados.
III – Diretrizes básicas
- Afeta qualquer atividade que envolva a utilização de dados pessoais, incluindo o tratamento da internet, de consumidores e empregados.
- O consentimento é um fator fundamental que legitima o tratamento de dados, mas não o único (o interesse do controlador, por exemplo, pode levar a novos usos).
- Há a necessidade de registro das atividades de tratamento de dados em relatórios.
- Deve haver a avaliação de impacto à proteção de dados.
- Há amplos direitos dos titulares dos dados (informação, acesso, retificação, cancelamento, oposição, portabilidade).
- Há regras específicas para dados sensíveis, transferências internacionais, dados de crianças e adolescentes.
- Aplica-se a empresas estrangeiras (ainda que não possuam estabelecimento no Brasil, bastando oferecer serviços no país).
- As sanções são elevadas – como multas em percentual sobre o faturamento.
IV – Princípios
- Transparência.
- Responsabilização.
- Adequação (compatibilização do uso dos dados com as finalidades).
- Proteção do usuário.
- Finalidade (deve haver a informação sobre a finalidade do uso).
- Necessidade (limitação do uso dos dados ao mínimo necessário).
V – Definições importantes
- Dado pessoal: qualquer informação que identifique diretamente ou torne identificável uma pessoa natural.
- Dado pessoal sensível: registros sobre raça, opinião política, crenças, dados de saúde, características genéticas e biométricas.
- Tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, transferência, modificação, difusão, avaliação.
- Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais.
- Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.
- Agentes de tratamento: controlador e operador.
- Encarregado: faz a interface entre controlador, titulares e autoridade estatal.
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade específica.
- Uso compartilhado de dados: comunicação, difusão, transferência, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados.
- Relatório de impacto: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
VI – Impactos nas relações trabalhistas
- Fase pré-contratual – durante processo seletivo, não deve haver a discriminação com base nos dados pessoais. Devem ser solicitados apenas os dados necessários. Não pode haver a utilização posterior dos dados pessoais. Se houver o armazenamento de curriculum, deve haver o consentimento e a informação ao titular dos dados.
- Contrato de trabalho – atenção especial quanto a cláusulas sensíveis (como as relativas a planos de saúde, seguros, dados biométricos) e quanto à gestão de folha. Também deve haver muito cuidado na tramitação de dados (aos sindicatos, órgãos públicos e relativos à saúde). Além do sigilo na tramitação, deve haver a certificação de que quem recebe está ajustado à Lei Geral de Proteção de Dados.
- Contrato de trabalho – dados relativos a prestadores de serviços. Além do cuidado no trânsito dos dados, deve haver a certificação de que quem recebe está ajustado à LGPD.
- O cuidado e o sigilo no armazenamento dos dados são essenciais, assim como o consentimento do empregado ou prestador de serviço.
VII – O que deve ser feito
- CONSCIENTIZAÇÃO – todos no âmbito da empresa devem ser conscientizados da importância da proteção de dados, bem como das consequências para a empresa e para os responsáveis diretos pelo tratamento de dados (há, inclusive, risco de responsabilização solidária).
- CONSENTIMENTO DO EMPREGADO – quanto ao tratamento de dados na seleção e nos contratos de trabalho.
- TRANSPARÊNCIA – deve ser especificada a forma de utilização dos dados.
- PREVISÃO DE RESPONSÁVEIS E SANÇÕES NOS CONTRATOS – deve haver a designação no âmbito interno da empresa
- EVITAR VAZAMENTO DE DADOS – os sistemas de informática devem ser aprimorados e deve haver a certificação de que os dados estão seguros. Também os colaboradores/empregados que lidam com os dados devem estar instruídos e treinados para lidar com os dados.
- REVISÃO DOS CONTRATOS – deve haver a revisão e apenas os dados apenas necessários devem constar dos contratos. Deve haver, ainda, a especificação da utilização dos dados dos empregados e o consentimento para qualquer armazenamento.
- CONTROLE DOS FORNECEDORES/PRESTADORES QUE RECEBEM DADOS – deve haver a certificação de que parceiros da empresa também estão adequados à Lei Geral de Proteção de Dados.
- NÃO ARMAZENAMENTO DESNECESSÁRIO DE DOCUMENTOS/CONSENTIMENTO PARA ARMAZENAMENTO – deve haver o armazenamento apenas de dados essenciais, assim como o consentimento do empregado/colaborador para que haja o armazenamento.
- SAÚDE DO TRABALHADOR – deve haver cuidado extra com documentos como laudos, atestados, compra de medicamentos por convênios e planos de saúde. O sigilo é fundamental, assim como a comprovação de que estão armazenados com o consentimento e em segurança.
- TERCEIRIZAÇÃO – no trato com as empresas terceirizadas, cuidado na solicitação de documentos comprobatórios de recolhimentos. A transferência de dados deve ser segura, sigilosa e mediante consentimento do titular dos dados.
VIII – Como o consentimento é ponto importante, alguns cuidados quanto ao termo de consentimento
- Deve ser feito em cláusula separada e não inserido em outra cláusula do contrato.
- Não deve ser viciado.
- Deve ser por escrito, de preferência (para demonstrar manifestação de vontade inequívoca).
- Deve ser especificada a finalidade do tratamento dos dados, no termo.
Osmar Paixão Cortês é Mestre em Direito e Estado pela UnB; Doutor em Direito das Relações Sociais – Processo Civil – pela PUC/SP e Pós-doutor em Direito Processual Civil pela UERJ. Também é Secretário-geral adjunto do Instituto Brasileiro de Direito Processual (IBDP).
*A opinião dos autores deste artigo não reflete, necessariamente, a opinião da Abrasce