Artigo

Lei Geral de Proteção de Dados Pessoais e seus Reflexos nas Relações de Emprego

04/12/2019 - Fonte: ESA OAB SP

.

Introdução

O desenvolvimento da tecnologia foi essencial à otimização da comunicação, tornando possível e mais próximas as relações interpessoais. O mesmo em relação aos negócios jurídicos. A Quarta Revolução Industrial culminou no aperfeiçoamento e na aceleração dos processos de envio e armazenamento de informações, "evento" que, historicamente, altera substancialmente a forma como se organiza a atividade empresarial, e a relação estabelecida entre empresas e pessoas naturais, sejam elas clientes, fornecedores, efetivos colaboradores ou mesmo trabalhadores que lhe prestem serviço.

Não é raro, em contrapartida, que haja a difusão inapropriada de dados, em razão do amplo potencial de armazenamento e da alta velocidade com que estas informações circulam pela internet. Outro fator que propicia a divulgação indevida de dados é o baixo domínio, pelos utilizadores, dos meios eletrônicos e digitais pelos quais esses dados passaram a ser veiculados.

Este artigo se dedica à analise dos aspectos trabalhistas da recém promulgada Lei Geral de Proteção de Dados Pessoais, a LGPD, e as consequências de sua aplicação no ramo jurídico-laboral, na proteção dos dados pessoais de trabalhadores, empregados ou autônomos, haja vista se tratar o trabalhador de pessoa natural, capaz em direitos e obrigações, portador de dignidade da pessoa humana, sobre o qual incidem, sem margem a dúvidas, e de forma especial, os princípios e disposições da referida lei.

Lei Geral de Proteção de Dados Pessoais

Em agosto de 2020 entrará em pleno vigor no Brasil a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018), 24 (vinte e quatro) meses após sua publicação, em 14/08/2018.

O objetivo da Lei se encontra estrategicamente expresso em seu artigo 1º, segundo o qual a lei tem por fim regular “o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Na sua aplicação deverão ser observados os princípios da boa-fé, da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas, todos devidamente elencados e didaticamente descritos no artigo 6º da LGPD.

Embora a LGPD traga de forma didática disposições que visem materializar a proteção à privacidade da pessoa natural pela regulação do tratamento de seus dados, o direito a tal proteção não é novidade em nosso ordenamento jurídico. A Lei nº 13.709/2018compila todo um sistema de proteção legislativo vigente sobre o território nacional desde 1948, quando elaborada a Declaração Universal dos Direitos Humanos, do qual o Brasil se tornou signatário, Carta que já determinava, em seu artigo 12, que “ninguém sofreria intervenções arbitrárias em sua vida privada”. A proteção à privacidade também se encontra disciplinada em diversos dispositivos do Código Civil, do Código do Consumidor, e deu azo a produções legislativas tais como o Marco Civil da Internet e a Lei do Cadastro Positivo, além de normas de caráter administrativo, produzidas pelo CONAR, PROCON, etc..

Daí a sutil, mas necessária, diferenciação realizada pelo próprio artigo 1º da Lei, entre os dados pessoais em sentido lato, e aqueles veiculados em meios digitais. Isso porque, reitere-se, a proteção à privacidade da pessoa humana precede o boom digital ocorrido entre o fim do Século XX e mais fortemente no fim do Século XXI, e podem ser veiculados por outros meios

Não se olvida, contudo, a relevância de uma lei inspirada, em sua quase totalidade, num projeto de proteção à privacidade daspessoas, com vistas à segurança de seus dados, que já era objeto de especulações legislativas na Europa desde a década de 1980, e que foi materializado pela União Europeia em 2012, com aprovação definitiva no ano de 2016 da denominada General Data Protection Regulation[1] – GDPR.

No Brasil, a LGPD foi idealizada e aprovada num curto intervalo de tempo, e para além de contemplar quase que integralmente as diretrizes e normas do programa europeu, é ainda mais protetiva. A título exemplificativo, empresas europeias com menos de 250 funcionários não precisam cumprir a GDPR, enquanto no Brasil, a partir de 2020, todas as empresas, independente do porte ou número de funcionários, deverão se ajustar à Lei nº 13.709/2018.

Outro ponto de elevada importância, e que não será esgotado neste texto, dada sua complexidade e amplitude, é a interdisciplinaridade da LGPD, pois o denominado “tratamento de dados pessoais” pode envolver documentos relacionados às diversas searas, dentre as quais a trabalhista, tributária,cível,penal,família, etc., com a devida observânciadas particularidades legislativas de cada um desses âmbitos do direito, sobretudo quanto a seus prazos prescricionais e decadenciais, além da sensibilidade dos dados volvidos em cada um desses âmbitos.

Aspectos trabalhistas da LGPD

Embora a lei trate de pessoa natural em seu sentido lato, a fim de garantir uma proteção ampla à pessoa humana em todas as esferas nas quais celebre negócios jurídicos, o objeto deste breve ensaio, após necessárias digressões, é indicaras possíveis implicações da Lei nº 13.709/2018 no âmbito do Direito do Trabalho, dado se tratar o trabalhador de pessoa natural, dotado, portanto, de dignidade, capaz em direitos e obrigações, e sobre o qual incidem, sem margem a dúvidas, e de forma especial, os princípios e disposições da Lei Geral de Proteção de Dados Pessoais.

É importante salientar, desde já, que a LGPD é um regramento acessório, e que sua aplicação é perfeitamente possível no cotidiano laboral graças ao artigo 8º da Consolidação das Leis do Trabalho - CLT. Pontue-se, ainda, a competência da Justiça do Trabalho para julgar as controvérsias decorrentes da aplicação desta lei, quando o tratamento de dados pessoais se der em decorrência de relações de trabalho, a teor do disposto no inciso IX, do artigo 114, da Constituição Federal de 1988.

Sobre esta especial aplicação da LGPD à figura do trabalhador, importa lembrar que, segundo Adriana Calvo[2], “é necessário definir o novo conceito de “privacidade” no século XXI frente à introdução de novas tecnologias no trabalho de modo a assegurar a almejada dignidade da pessoa do trabalhador (art. 1º, inciso III, da CF).”

E para compreender a proteção à privacidadeno tratamento de dados pessoais de trabalhadores com vistas à proteção de sua dignidade, cumpre entender, em primeira ordem, do que se trata a expressão “tratamento”, disciplinada, dentre outros conceitos, pelo inciso X, do artigo 5º, da Lei 13.709/2018:

“X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;”

Do conceito de tratamento, fornecido pela própria lei, já se extrai a incidência da LGPD na proteção à privacidade do trabalhador desde a fase pré-contratual, quando do fornecimento de dados para uma possível contratação por curriculum vitae – impresso ou via e-mail(do qual comumente constam dados pessoais voluntariamente fornecidos pelo candidato, tais como nome, documentos pessoais, data de nascimento, escolaridade etc., e que devem ser objeto do devido tratamento.Incumbe à empresa, desde logo, tomar as providências cabíveis ao recolhimento de autorização, deste trabalhador, para a coleta dos dados que lhe são fornecidos, bem assim para regular distribuição interna e a devida avaliação, eventual arquivamento, ou mesmo eliminação desses dados, caso seja este trabalhador preterido por outro. Os mesmos cuidados devem ser realizados no tratamento dos dados pessoais do trabalhador contratado.

A responsabilidade pelo regular tratamento de dados pessoais se estende, ainda, por todo o contrato de trabalho e/ou emprego, principalmente quando se tratarem de dados sensíveis, quais sejam, dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dados referentes à saúde ou à vida sexual, genético ou biométrico. Nesse aspecto serão necessários cuidados redobrados por parte da empresa, a título exemplificativo, quando das necessárias revistas íntimas de seus empregados, quando do controle de informações veiculadas em seu e-mail corporativo, e de extremo cuidado com os dados pessoais sensíveis colhidos em exames toxicológicos de praxe.

O mesmo no tocante à fase pós-contratual, haja vista a detenção, pela empresa, de dados pessoais de colaboradores e empregados, especialmente de trabalhadores empregados, dos quais os contratos, ainda que extintos, atraem as regras da prescrição trabalhista, disciplinada pelo artigo 11 da CLT. Em razão do dever legal de juntada de documentos em eventuais demandas trabalhistas, deve manter a empresa sob sua posse dados sensíveis e não sensíveis de ex-funcionários, para os quais devem ser dispensados os mesmos cuidados no tratamento, sob pena de incorrer em infração às determinações da lei.

E as penalidades previstas para o caso de tratamento irregular de dados pessoais são severas. Conforme o artigo 52 da lei, além de advertência para a adoção de medidas corretivas, a empresa pode incorrer no dever de pagar multa de 2% (dois por cento) de seu faturamento por cada infração cometida, além de multa diária, limitada a nada menos que 50.000.000,00 (cinquenta milhões de reais). Tais penalidades serão aplicadas pela denominada Autoridade Nacional de Proteção de Dados, a ANPD, órgão do Poder Executivo de natureza não autárquica disciplinado pela Lei 13.709/2018, com efetiva criação em momento posterior, a saber, por meio da Medida Provisória 869/2018, assinada em 28/12/2018 também pelo então presidente, Michel Temer.

A lei também define, para todos os fins, quem são os agentes de tratamento a serem responsabilizados em caso de eventual descumprimento das normas de proteção à privacidade de colaboradores e empregados, enquanto pessoas naturais, e titulares dos dados pessoais objetos do tratamento do qual ora se trata. O inciso XI do artigo 5º da lei determina como agentes de tratamento “o controlador e o operador”. No mesmo dispositivo, em seus incisos VI e VII, constam as seguintes definições:

“VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;”

A responsabilidade desses agentes está disciplina, não obstante, no §1º, do artigo 42, que aduz:

“Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:

I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;

II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.”

Voltando ao processo de seleção empresarial, o agora empregado passa a informar outros dados que, por vezes, não constam no currículo, como filiação a sindicato, nome dos pais, tipo sanguíneo, e vários outros podem ser armazenados ao longo do período em que o indivíduo passa durante a empresa, tais como jornada de trabalho, valor de salário, descontos, faltas e seus motivos, doenças e acidentes. Quando dispensado, o valor a ser pago à título de verbas rescisórias e até mesmo o motivo da demissão podem estar nos arquivos da empresa.

Estas informações, se disseminadas, podem gerar sérios danos à pessoa prejudicada, e, tendo em vista que aqui se analisa os impactos relativos ao direito do trabalho, se a corporação for a responsável pelo vazamento destes dados, consequentemente a empresa responderá por isto, podendo ainda sofrer as penalidades impostas pela própria LGPD.

Interessante observar ainda que a responsabilidade solidária dos controladores está adstrita a sua participação direta no tratamento do qual decorrer dano ao titular dos dados. Assim, mencione-se que a responsabilidade entre o operador e o controlador, no exercício de atividade de tratamento de dados pessoais, em caso de dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é solidária.

Na prática, caso haja um vazamento de dados pessoais dos empregados de uma empresa, sendo o controlador o próprio empregador e o operador, por exemplo, um terceiro, escolhido pelo empregador, sendo empregado da empresa, ambos respondem solidariamente. Há risco, portanto, nesta opção do empregador. Esta função, ainda, poderia acarretar um adicional em razão do cargo de confiança exercido por este indivíduo.

O artigos 44 e 43 da lei complementam a disciplina da responsabilidade, na medida em que elencam as hipóteses em que o tratamento se dará de forma irregular, ou os casos em que essa responsabilidade será excluída, como quando o dano decorrente do tratamento seja de culpa exclusiva do titular ou de terceiros, sendo dos agentes de tratamento o ônus deproduzir provas de que não realizaram aquele tratamento, a não violação à legislação de dados ou a culpa exclusiva de outrem.

O trabalhador possui então, enquanto pessoa natural, e, em decorrência, na qualidade de titular de dados pessoais, a garantia de que, a partir da Lei Geral de Proteção de Dados Pessoais, que as informações veiculadas por e sobre este trabalhador, sejam tratados de forma escorreita por operadores, assim entendidos, os integrantes de setores tais como Recursos Humanos, setor Administrativo, controladorias de acesso em geral, e por controladores, pessoas naturais ou jurídicas, terceirizadas ou tomadoras de serviço, às quais incumbem as decisões sobre esses dados, assim entendidos ocupantes de cargos de alta gestão, proprietários e sócios de empresa.

Conclusão

A partir de agosto de 2020, todas as empresas, independente de seu porte, deverão possuir em seus quadros um Data Protection Officer – DPO, profissional com certificação específica para atuar como encarregado, nos termos do inciso VIII, do artigo 5º da LGPD, o qual servirá como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados– ANPD, e do qual deverão estar disponibilizadas, preferencialmente no sítio eletrônico do controlador, a identidade e as informações de contato, com vistas à publicidade do DPO responsável pelo tratamento de dados da empresa, corporação ou grupo  (§1º do artigo 41 da LGPD).

A teor do disposto no artigo 7º da LGPD, em especial a exigência constante de seu inciso I, segundo o qual o tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular, será necessária a revisão de todos os contratos de trabalho em vigência, com a adição de cláusula da qual conte autorização expressa por parte de colaboradores ou empregados, enquanto titulares dos dados pessoais que serão tratados, para que operadores e controladores possam tratar seus dados, inclusive aqueles sensíveis, na forma da lei, sob pena de estar caracterizada a ausência de consentimento expresso, o que se consubstancia, por si, em infração à LGPD.

Sobre a anuência acima informada, cumpre esclarecer que autorizações genéricas são nulas, nos termos do §4º, do artigo 8º, da LGPD, portanto a cláusula deve ser clara sobre as possíveis utilizações daqueles dados; o consentimento autorizado pela cláusula pode ser revogado, e o deve ser feito de forma simples e gratuita, conforme §5° do mesmo dispositivo; e a cláusula deve ser voluntariamente contratada pelas partes, sob pena de caracterizar vício de consentimento (§3º).

A LGPD prevê, ainda, a possibilidade de que a empresa estabeleça um Programa de Governança e Privacidade interno, a ser cumprido por colaboradores, empregados e, na mesma medida, pelos agentes de tratamento, pois, há que se relembrar,operadores e controladores respondem de forma solidária por qualquer dano causado por um de seus funcionários aos titulares de dados irregularmente tratados.

Por tal razão é que se torna necessária a realização de séria e pormenorizada avaliação dos possíveis riscos relacionados aos documentos e informações sob a posse da empresa, alem da utilização de técnicas de Compliance, além do estrito cumprimento da recomendação legal de que seja mantido Registro dos Tratamentos realizados (artigo 37), e que sejam garantidos por todos os meios em direito admitidos, a segurança das informações tratadas por métodos tais como Privacy by Design (artigo 46) .

Importante observar, ainda, que a partir de agosto de 2020 a ANDP poderá solicitar a elaboração de Relatório de Impacto à proteção de dados pessoais, quando o tratamento de dados tiver como fundamento seu interesse legítimo, observados, para tanto, observados os segredos comercial e industrial (§3º, do artigo 10, da LGPD).

Conforme já mencionado, embora os conceitos e obrigações estejam elencados de forma didática em seu texto, a Lei Geral de Proteção de Dados Pessoais traz, a despeito das legislações pré-existentes na proteção à privacidade e à vida íntima dos indivíduos, é demasiado complexa, na medida em que positiva, de forma técnica, a proteção aos dados pessoais das pessoas naturais, pela minuciosa disciplina de como deve se dar o tratamento de seus dados pessoais. Tal complexidade reside, basicamente, na necessidade de readaptação das empresas, no tratamento de dados, aos exatos termos da lei, questão de fácil resolução se realizado com a devida precedência o devido mapeamento dos riscos envolvidos nas práticas atuais da empresa no tocante ao tratamento de dados, à luz da LGPD.

A tarefa não é fácil, e o regular tratamento de dados prescinde de modificações na estrutura e alterações no funcionamento e práticas internas da empresa, medidas que, embora burocráticas, trazem efetiva proteção, não só a colaboradores e empregados, mas, como já mencionado, a todos os envolvidos em negócios jurídicos realizados com e para a empresa, razão pela qual deve tal titulo normativo ser lido com bons olhos, os olhos dos que acreditam que a proteção à dignidade da pessoa humana, pela reafirmação de estratégias de proteção aos dados pessoais das pessoas naturais, é o caminho a ser traçado para a efetiva construção de uma sociedade livre, justa e solidária.

Por Késley Karinne Souza de Oliveira, Advogada graduada em Direito pela Pontifícia Universidade Católica de São Paulo – PUC, e pós-graduanda em Direito do Trabalho pela Universidade de São Paulo – USP. Membra da Rede Feminista de Juristas – deFEMde e integrante do Grupo de Pesquisa Trabalho e Capital da Faculdade de Direito da Universidade de São Paulo – USP