Lei Geral de Proteção de Dados pessoais e o impacto nas relações de emprego

LGPD

Com o advento da GDPR - General Data Protection Regulation da EU, levantou-se o debate mundial do tema "Privacidade do Indivíduo", afetando significativamente os negócios no Brasil com a necessidade de aplicação de diversas medidas relacionadas a proteção de dados.

Nesse cenário mundial, foi promulgada a lei 13.709/18, no Brasil, aplicável a todas as áreas de negócio,  neste trabalho será destacado os impactos na relação de emprego.

Com a Pandemia do COVID-19, o Poder Executivo editou a MP 959/20 que tratava dos benefícios emergenciais para manter a economia do país e auxiliar no sustento da população brasileira com alto índice de desemprego. Criou-se, também, nova data de vigência para a LGPD, postergando-a para 2021, com exceção para as sanções administrativas (arts.52 a 54) já confirmadas na lei 14.010/20 para 01/08/21.

Porém, em 26/08/2020 houve a votação da MP 959/2020 nas Mesas da Câmara e Senado e rejeitaram a previsão de adiamento da LGPD, logo, a lei entrará em vigor no ato da sansão ou veto presidencial da Medida Provisória em comento, que acontecerá nos próximos 15 dias.

Informa-se, também, a regulação da Estrutura da ANPD ocorrida na data de 27/08/2020 pelo Decreto n. 10.474/2020.

Diante disso, é inquestionável que o tema da preservação da privacidade no campo dos dados pessoais e da responsabilidade dos agentes detentores dessas informações tornou-se foco de debate mundial.

No País, pode-se indicar que o Direito à Vida Privada e a Intimidade já estavam ancorados como direitos fundamentais na Carta Magna, art. 5º X¹. Além deste paradigma, pode-se mencionar os microssistemas infraconstitucionais, como o Código de Defesa do Consumidor nos art. 43, 44 e 46, que garante ao  Consumidor acesso aos dados armazenados em bancos de dados por prestadores de serviço e fornecedores e o Marco Civil da Internet (Lei 12.965/2014) que trouxe de forma mais clara direitos e deveres para o uso da rede.

Nesse mesmo sentido, os regulamentos setoriais, como os emitidos pelo BACEN às instituições financeiras, a lei de Acesso à Informação, dos Crimes Cibernéticos, da Desburocratização, da Liberdade Econômica, Decreto Nacional de Segurança Cibernética e outros.

A preocupação do legislador foi assegurar a continuidade da economia do país, pois a ausência de uma lei de proteção de dados significaria assumir posição de isolamento, fragilizando novos negócios.

A LGPD não se restringe às relações de consumo, mas a todas as relações estabelecidas entre "Controlador", que detém informações de pessoas naturais identificadas ou identificáveis e o "titular de dados", real proprietário que fornece os dados. (art. 5, I, X, VI).

O campo de incidência da Lei é amplo, porém, o foco desse artigo será o impacto da LGPD nas relações de emprego.

A importância da governança de dados e boas práticas nas relações de emprego

A lei abarca indistintamente pequenas, médias e grandes empresas, na seara pública ou privada, quando há tratamento de dados de pessoas naturais identificadas ou identificáveis, como as que se referem especificadamente no seu art.5º, X.

E atinge dados não só advindos dos meios digitais, mas também os armazenados em meios físicos, como dispõe o art. 1º² da lei.

Nesta visão, qual empresa não possui ao menos 1 empregado? Considerando que para o empregador, há a impossibilidade de anonimizar dados de empregados, frente a obrigação legal de identificá-los para fins judiciais e fiscalizatórios.

De acordo com o art. 5º³ da LGPD o empregado figura como o titular dos dados e o empregador como o controlador dos dados, possuindo o encargo de decidir os tratamentos que serão realizados e definir quem será o "Operador", este, responsável por executar o tratamento dos dados, em atendimento às decisões do "Controlador". Esta "pessoa" poderá ser uma empresa externa terceirizada ou até mesmo um departamento da própria empresa, como o RH.

A segurança e boas práticas disciplinadas nos art. 46 e 50 da Lei, trazem a necessidade de adotar medidas de segurança, técnicas e administrativas assegurando a confidencialidade e integridade dos dados pessoais. Além disso, e como foco principal, tem-se a busca pela cultura da privacidade no ambiente de trabalho, conscientizando toda a cadeia de interessados - numa estrutura Top-down.

No contrário, a má gestão pode abrir brecha à violação da privacidade do empregado ocasionando danos à imagem da empresa acarretando indenização moral, tendo como fundamento a inobservância do art. 17 e, também, do art. 18⁴ da LGPD, quando houver óbice ao exercício dos direitos aos titulares dos dados.

Destacam-se também prejuízos de ordem material que podem ser imputados ao empregador, decorrentes de Reclamação Trabalhista, fiscalização pelo MPT ou auditores fiscais do trabalho (MTE), além da própria ANPD (Autoridade Nacional de Proteção de Dados) que poderá impor sanções disciplinares previstas no art. 52 e incisos da LGPD quando constituída.

Ante a estas informações, cabe já uma reflexão: Qual seria a competência para a aplicabilidade de sanções quando houver irregularidade de proteção de dados na relação de emprego? Poderia o fiscal do trabalho ou Ministério Público aplicar as sanções previstas na LGPD? Haveria competência concorrente ou exclusiva entre os órgãos?

Outra reflexão sobre o disposto: haveria a possibilidade dos Sindicatos via Convenção Coletiva de Trabalho ou Acordo Coletivo de Trabalho regular o tema proteção de dados em detrimento o consentimento individual do empregado? Pondere-se que a GDPR no art. 88 prevê essa alternativa. Contudo, a LGPD não traz tal referência. Porém, a CF/88 (art. 8º) e CLT (art. 661-A) trazem garantias à atuação Sindical no Brasil.

A ausência de segurança aos dados pessoais e de boa prática de governança acarretará, certamente, sérios danos à imagem e esfera operacional da empresa, tais como:

•  advertências, bloqueio dos dados pessoais até regularização da infração, proibição parcial ou total do exercício das atividades relacionadas ao tratamento de dados; eliminação dos dados pessoais; publicização da infração.

Situações, estas, que dificultarão a atratividade e desenvolvimento de novos negócios, criando desvantagem concorrencial ou até mesmo exposição pública negativa da marca empresarial.

Uma governança de compliance trabalhista sólida e eficiente que garanta maior segurança jurídica desde o primeiro contato com o trabalhador até o fim do contrato, apresentar-se-á como um pacto transparente entre as partes no vínculo de emprego estabelecendo direitos e obrigações, contemplando além das disposições da CLT também as regras da Lei 13.709/2018, em especial atenção aos 10 (dez) princípios para o tratamento dos dados pessoais: finalidade, transparência, adequação, prevenção, necessidade, segurança, livre acesso, não discriminação, qualidade dos dados e responsabilidade na prestação de contas.

Na relação de emprego os dados são coletados desde a fase pré-contratual, com o currículo do candidato sendo diretamente armazenamento desses já neste bloco de dados.  Após, com a assinatura do contrato de trabalho, na elaboração da "Ficha de Registro", novas informações são acessadas pelo empregador tais como: nome, telefone, idade, endereço, CPF, RG, PIS/PASEP, CTPS, alistamento militar, e-mail, naturalidade, filiação sindical, dados de familiares e tantos outros.

A rotina trabalhista traz ainda acesso a outros: jornada, valor de salário, pensão de filho, faltas justificadas, plano de saúde, exames médicos, atestados médicos com CID, decisões do INSS, doenças, enfim, uma gama detalhada da vida do trabalhador. No término contratual há avaliação da saúde do trabalhador com o exame demissional, valores pagos no desligamento e data do último dia trabalhado.

Destaque-se o poder diretivo do empregador e sua obrigação legal de coletar e transmitir diversas destas informações adquiridas à terceiros, como, por exemplo, o E-Social, Previdência, além dos fornecedores de benefícios, como: Plano de Saúde, Vale Transporte, Vale Alimentação e outros.

Novamente, nos cabe uma reflexão: a coleta destes dados é necessária para o exercício das funções para qual o trabalhador foi contratado? Há observância do Princípio da Minimização, ditado no art. 6º, III⁵ da LGPD, que expõe que os dados pessoais somente devem ser tratados se estritamente necessários ao fiel desempenho e segurança ao exercício das funções para qual o empregado foi contratado?

Ainda, a lei traz critérios rigorosos para legitimar o uso de dados sensíveis, especificados no art. 5°, II, quais sejam: dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, dado genético ou biométrico".

Deve-se observar o Princípio da Necessidade e, se for o caso, do Consentimento do Titular do dado (de forma específica e destacada), adequando às exigências do art. 11⁶ da LGPD.

Não devem ser coletados dados que extrapolem a finalidade do contrato específico, como antecedentes criminais, testes psicotécnicos, análises médicas, a menos que se justifiquem pelo cargo ocupado, gravação de entrevistas de seleção (que sempre devem ser expressamente consentidas), histórico comercial (exceto no caso de trabalhadores com poderes gerais de administração para representar o empregador sempre adequados, necessários e proporcionais.

De modo geral, a empresa deve adotar medidas para assegurar a conformidade com a lei, exemplo:

• Revisar/elaborar contratos, Políticas de Segurança e Privacidade, também de fornecedores e prestadores de serviços, considerando os três pilares de segurança: confidencialidade, integridade e disponibilidade, em conformidade com a ISO 27001, 27002 e a extensão ISO 27701;
• Adotar um Código de Ética e Conduta para gerenciar dados dos candidatos às vagas da empresa e dos Contratos de empregados ativos;
• Revisar o banco de dados frente ao Princípio da Minimização (adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados);
• Nomear um Encarregado de dados, conhecido como Data Protection Officer (DPO) perante a GDPR na EU, peça chave para adequação e conformidade com atribuições nos termos da Lei. Art.41,§ 2º, que dita:
• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providencias.
• Receber comunicação da autoridade nacional (ANPD) e adotar providencias.
• Orientar funcionários e os contratados da entidade a respeito das práticas a serem adotadas em relação à proteção de dados, elaboração de vídeos institucionais e informativos.
• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Quanto ao descarte dos dados pessoais na rescisão contratual, diga-se que em detrimento do pedido do empregado para eliminar seus dados do ambiente do empregador, este, como controlador, deverá mantê-los para o cumprimento de determinações legais, como exemplo, durante o prazo de 2 anos após extinção do contrato de trabalho, prazo prescricional para a proposição de Reclamação Trabalhista na Justiça do Trabalho  previsto no art. 7º, XXIX, da CF/88 ou prazo decadencial de ação rescisória após trânsito em julgado da Ação Judicial (artigo 975, do atual CPC e Art. 836 da CLT). Sem adentrar a outros prazos maiores para guarda de documentos disciplinados em lei.

Novamente, refletimos: Qual o prazo limite para armazenar dados? Diante de tantas leis setoriais que indicam prazos diferenciados?

Outros debates surgirão na Justiça do Trabalho envolvendo questões de privacidade, como pedido de obrigações de fazer ou não fazer ou de indenização moral coletiva ou individual por práticas discriminatórias na obtenção ou no uso da informação relativa ao empregado ou na rescisão indireta quanto a vazamento de dados.

Nota-se que o foco das demandas trabalhistas está dirigido ao exercício dos poderes do empregador e aos direitos da personalidade do empregado, que indica o uso indevido, práticas discriminatórias e abusivas dos dados do trabalhador.

Considerações finais

Não obstante a tudo que foi exposto, é primordial alertar as empresas que aguardar a vigência da Lei ou a atuação da ANPD para iniciar a implementação da Lei é assumir os riscos para o negócio, pois os processos de conformidade e adequação são longos e contínuos.

Todos os esforços devem representar uma verdadeira mudança de paradigma, adaptando a "Cultural" da empresa à nova realidade ditada pela sociedade dos dados, geração 4.0, havendo real mudança de hábitos e costumes de todos os envolvidos no processo.

__________

1- "Art. 5. (...) X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;"