JAN/FEV 2021 - Edição 233 Ano 34 - VER EDIÇÃO COMPLETA

Os impactos trabalhistas e ajustes necessários na LGPD

15 de fevereiro de 2021 | por Osmar Paixão Côrtes, Carlos José Elias Júnior, Renata Pinheiro, Marcus Kaufmann e Fernando Hugo Miranda | Fotos: Divulgação

I – Considerações preliminares

Osmar Paixão Cortês fala sobre a Lei Geral de Proteção de Dados e os impactos trabalhistas - Revista Shopping Centers
Osmar Paixão Cortês

A Lei Geral de Proteção de Dados (LGPD), Lei Federal nº 13.709/2018, em vigor desde o ano passado é um importante marco legislativo, cujos escopos, expressamente previstos no texto legal, são: o respeito à privacidade; a autodeterminação informativa;  a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. 

A LGPD caracteriza o tratamento de dados como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Assim, os termos da legislação abrangem quaisquer dados, como nome, endereço, e-mail, idade, estado civil e situação patrimonial, obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, dentre outros).

Como os impactos são muitos, notadamente nas relações trabalhistas, a seguir, de forma pontual, tratamos dos que nos parecem principais.

II – Contexto da lei nº 13.709/18

  • Regula a proteção de dados pessoais e estabelece regras claras sobre as operações de coleta, tratamento e armazenamento de dados pessoais.
  • Aplica-se no âmbito público e no privado.
  • Muito principiológica. Segue exemplo internacional (Regulamento Geral sobre a Proteção de Dados), mas avança em muitos pontos.
  • Baseia-se no respeito à privacidade, empoderamento do cidadão/empregado, desenvolvimento econômico e tecnológico, segurança jurídica e portabilidade.
  • Cria alta responsabilidade para o controlador de dados.

III – Diretrizes básicas

  • Afeta qualquer atividade que envolva a utilização de dados pessoais, incluindo o tratamento da internet, de consumidores e empregados.
  • O consentimento é um fator fundamental que legitima o tratamento de dados, mas não o único (o interesse do controlador, por exemplo, pode levar a novos usos).
  • Há a necessidade de registro das atividades de tratamento de dados em relatórios.
  • Deve haver a avaliação de impacto à proteção de dados.
  • Há amplos direitos dos titulares dos dados (informação, acesso, retificação, cancelamento, oposição, portabilidade).
  • Há regras específicas para dados sensíveis, transferências internacionais, dados de crianças e adolescentes.
  • Aplica-se a empresas estrangeiras (ainda que não possuam estabelecimento no Brasil, bastando oferecer serviços no país).
  • As sanções são elevadas – como multas em percentual sobre o faturamento.

IV – Princípios

  • Transparência.
  • Responsabilização.
  • Adequação (compatibilização do uso dos dados com as finalidades).
  • Proteção do usuário.
  • Finalidade (deve haver a informação sobre a finalidade do uso).
  • Necessidade (limitação do uso dos dados ao mínimo necessário).

V – Definições importantes

  • Dado pessoal: qualquer informação que identifique diretamente ou torne identificável uma pessoa natural.
  • Dado pessoal sensível: registros sobre raça, opinião política, crenças, dados de saúde, características genéticas e biométricas.
  • Tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, transferência, modificação, difusão, avaliação.
  • Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais.
  • Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.
  • Agentes de tratamento: controlador e operador.
  • Encarregado: faz a interface entre controlador, titulares e autoridade estatal.
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade específica.
  • Uso compartilhado de dados: comunicação, difusão, transferência, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados.
  • Relatório de impacto: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

VI – Impactos nas relações trabalhistas

  • Fase pré-contratual – durante processo seletivo, não deve haver a discriminação com base nos dados pessoais. Devem ser solicitados apenas os dados necessários. Não pode haver a utilização posterior dos dados pessoais. Se houver o armazenamento de curriculum, deve haver o consentimento e a informação ao titular dos dados.
  • Contrato de trabalho – atenção especial quanto a cláusulas sensíveis (como as relativas a planos de saúde, seguros, dados biométricos) e quanto à gestão de folha. Também deve haver muito cuidado na tramitação de dados (aos sindicatos, órgãos públicos e relativos à saúde). Além do sigilo na tramitação, deve haver a certificação de que quem recebe está ajustado à Lei Geral de Proteção de Dados.
  • Contrato de trabalho – dados relativos a prestadores de serviços. Além do cuidado no trânsito dos dados, deve haver a certificação de que quem recebe está ajustado à LGPD.
  • O cuidado e o sigilo no armazenamento dos dados são essenciais, assim como o consentimento do empregado ou prestador de serviço.

VII – O que deve ser feito

  • CONSCIENTIZAÇÃO – todos no âmbito da empresa devem ser conscientizados da importância da proteção de dados, bem como das consequências para a empresa e para os responsáveis diretos pelo tratamento de dados (há, inclusive, risco de responsabilização solidária).
  • CONSENTIMENTO DO EMPREGADO – quanto ao tratamento de dados na seleção e nos contratos de trabalho.
  • TRANSPARÊNCIA – deve ser especificada a forma de utilização dos dados. 
  • PREVISÃO DE RESPONSÁVEIS E SANÇÕES NOS CONTRATOS – deve haver a designação no âmbito interno da empresa
  • EVITAR VAZAMENTO DE DADOS – os sistemas de informática devem ser aprimorados e deve haver a certificação de que os dados estão seguros. Também os colaboradores/empregados que lidam com os dados devem estar instruídos e treinados para lidar com os dados.
  • REVISÃO DOS CONTRATOS – deve haver a revisão e apenas os dados apenas necessários devem constar dos contratos. Deve haver, ainda, a especificação da utilização dos dados dos empregados e o consentimento para qualquer armazenamento.
  • CONTROLE DOS FORNECEDORES/PRESTADORES QUE RECEBEM DADOS – deve haver a certificação de que parceiros da empresa também estão adequados à Lei Geral de Proteção de Dados.
  • NÃO ARMAZENAMENTO DESNECESSÁRIO DE DOCUMENTOS/CONSENTIMENTO PARA ARMAZENAMENTO – deve haver o armazenamento apenas de dados essenciais, assim como o consentimento do empregado/colaborador para que haja o armazenamento.
  • SAÚDE DO TRABALHADOR – deve haver cuidado extra com documentos como laudos, atestados, compra de medicamentos por convênios e planos de saúde. O sigilo é fundamental, assim como a comprovação de que estão armazenados com o consentimento e em segurança.
  • TERCEIRIZAÇÃO – no trato com as empresas terceirizadas, cuidado na solicitação de documentos comprobatórios de recolhimentos. A transferência de dados deve ser segura, sigilosa e mediante consentimento do titular dos dados.

VIII – Como o consentimento é ponto importante, alguns cuidados quanto ao termo de consentimento

  • Deve ser feito em cláusula separada e não inserido em outra cláusula do contrato.
  • Não deve ser viciado.
  • Deve ser por escrito, de preferência (para demonstrar manifestação de vontade inequívoca).
  • Deve ser especificada a finalidade do tratamento dos dados, no termo.

Osmar Paixão Cortês é Mestre em Direito e Estado pela UnB; Doutor em Direito das Relações Sociais – Processo Civil – pela PUC/SP e Pós-doutor em Direito Processual Civil pela UERJ. Também é Secretário-geral adjunto do Instituto Brasileiro de Direito Processual (IBDP). 

*A opinião dos autores deste artigo não reflete, necessariamente, a opinião da Abrasce 

  • GOSTOU? COMPARTILHE: