Impactos da Lei Geral de Proteção de Dados nas rotinas trabalhistas

O presente artigo tem por escopo pontuar as principais rotinas trabalhistas impactadas diretamente com a Lei Geral de Proteção de Dados Pessoais. É de relevância pontuar que as empresas que não se adequarem as normas ali esculpidas poderão sofrer severas autuações, o que em muitos casos, pode até levar ao declínio o negócio.

Sob viés trabalhista importante delimitar a responsabilidade de setores que lidam diretamente com a coleta de dados dos empregados, redefinindo rotinas até então enraizadas no seio da organização. Nesse sentido, apresentar-se-á o panorama antes e depois da ventilada legislação com o proposito de redefinir os padrões e permitir que as organizações se estruturem e estejam em conformidade com a lei.

Palavras chaves: LGPD; rotinas trabalhistas, empresas; empregados.

INTROÍTO NECESSÁRIO

A Lei nº 13.709 de 04 de agosto de 2019, denominada como a Lei Geral de Proteção de Dados Pessoais (LGPD) é a legislação brasileira que disciplina o tratamento de dados pessoais.

No mundo inteiro, muitos países passaram a regulamentar o tratamento dos dados pessoais, como por exemplo o Regulamento Geral sobre a Proteção de Dados (GDPR) na União Europeia, obrigatório desde 25 de maio de 2018[1]. Bem como o California Consumer Privacy Act of 2018 [2](CCPA), nos Estados Unidos da América, aprovado no dia 28 de junho de 2018.

A presente legislação[3] tem por escopo a proteção e o tratamento adequado de dados pessoais físicos ou digitais manuseados por pessoa jurídica no território nacional.

E cuida de promover a proteção aos direitos fundamentais, consubstanciados no respeito à privacidade; na autodeterminação informativa; na liberdade de expressão, de informação, de comunicação e de opinião; na inviolabilidade da intimidade, da honra e da imagem; no desenvolvimento econômico e tecnológico e a inovação; na livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Para tanto definiu figuras jurídicas que precisam ser conhecidas e observadas pelos atores do manuseio dos dados.

Segundo a legislação o dado pessoal é todo e qualquer dado relacionado a pessoa natural que o torna identificável. Já os dados sensíveis são as informações atinentes a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (Art. 5º, II), cujo fornecimento deve ser expresso e inequívoco, salvo as hipóteses em que se admite sua dispensabilidade.

Há também os institutos definidos como “dado anonimizado” que é aquele segundo o qual o titular não pode ser identificado e o banco de dados segundo a lei é o local (físico ou digital) onde serão armazenados os dados pessoais. Além da “pseudonimização” que foi conceituada como “o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. (§4º, Art. 13).

No manuseio de dados pessoais temos a indicação de 4 (quatro) agentes responsáveis, a saber: o primeiro deles é o titular dos dados; o segundo é o controlador, agente de tratamento e como o próprio nome sugere ser aquele que controla os dados e por conseguinte detêm o poder de decisão sobre os dados armazenados. O terceiro agente é o operador que é aquele que promove o tratamento dos dados. O quarto agente é o denominado encarregado que é a ponte entre os dois últimos agentes com a Autoridade de Proteção de Dados (ANPD) cuja identidade e a informações de contato devem ser públicas e de fácil acesso e dentre as suas atribuições deverá orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

A palavra de ordem na esfera de manuseio com dados pessoais está consubstanciada no consentimento, que é conceituado pela lei como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (Art. 5º, XII).

É importante que se registre o consentimento, seja por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Esse consentimento deve ser expresso e se dentro do contrato deve estar disciplinado de modo destacado para facilitar a sua compreensão pelo titular se fazendo necessária a explicação da específica finalidade a que se faz necessário o fornecimento dos dados, a forma e a duração do tratamento, bem como a identificação do controlador, as informações acerca do uso compartilhado dos dados, a responsabilidade dos agentes e os direitos do titular, sob pena de nulidade.

Ao que tange aos direitos dos titulares deve-se permitir ao titular o acesso aos dados e sua correção na hipótese de dados incompletos, inexatos ou desatualizados. A anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; a portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; a eliminação dos dados pessoais tratados com o consentimento do titular, a informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados. A informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e a revogação do consentimento (Art. 18, I a IX).

Nesse diapasão, insta ainda salientar que é ônus do controlador, isto é, da empresa que detêm os dados a prova do consentimento livre e espontâneo.

O consentimento também poderá ser revogado, mediante manifestação expressa do seu titular.

Desse modo, somente poderá haver o tratamento de dados pessoais mediante o fornecimento permitido ou consentido por seu titular, especialmente quando necessário para a execução de contrato do qual seja parte o titular.

Na ocorrência de dano de quaisquer espécies, seja moral, patrimonial, individual ou coletivo resultado do tratamento de dados, haverá a responsabilização civil do controlador e/ou operador para repará-los. A responsabilidade será solidaria, caso o operador desrespeite as instruções lícitas do controlador e estes últimos também serão solidariamente responsáveis caso tenham se envolvido diretamente com os danos.

Haverá contudo, a exclusão da responsabilidade em 04 (quatro) situações: (i) se demonstrarem que não realizaram o tratamento de dados que lhes foram imputados (ii) se realizaram o tratamento dos dados sem a violação da LGPD, ou (iii) se ocorreu culpa exclusiva do titular dos dados; ou (iv) se provada culpa de terceiro.

O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares com a elucidação dos dados afetados, as informações, os riscos e as medidas adotadas para minimizar ou reverter possíveis prejuízos.

Os agentes de tratamento de dados estão sujeitos as sanções administrativas, como advertência; a multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica, limitado a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; a multa diária; a publicização; o bloqueio de dados pessoais; eliminação dos dados pessoais; a suspensão parcial ou total da atividade de tratamento de dados por 6 (seis) meses e a proibição total ou parcial da pratica de atividades de tratamento de dados.

IMPACTOS TRABALHISTAS

À primeira vista o que se tem a mencionar é que, todos os contratos de trabalho deverão ser ajustados. Quando o fornecimento dos dados não decorrer de obrigação legal, será necessário aposição de cláusula aditiva que comprove o consentimento expresso dos empregados no fornecimento dos seus dados à organização.

No contexto laboral temos os seguintes agentes o “empregado-titular” e o “empregador-controlador”.

Antes mesmo da contratação se efetivar é possível verificar a disposição de dados, como as informações pessoais dispostas no currículo do candidato a vaga de emprego. Uma vez realizada a contratação a empresa necessita conhecer os dados do seu empregado, como filiação, documentação (RG, título de eleitor, CTPS, PIS e CPF), filiação, qualificação, estado civil, endereço, informações de contato, idade própria e dos filhos, dentre outras. A maioria dessas informações são colocadas na ficha de registro dos empregados.

No curso do contrato outros dados acabam sendo inseridos, como os rendimentos, folha de pagamento, as faltas justificadas e injustificadas, atestados médicos, destacamentos de pensão alimentícia, empréstimos consignados, inclusão de dependentes em plano de saúde, etc.

E com o fim do contrato de trabalho, ainda há dados pessoais relacionados ao motivo da demissão, o valor pago a título das verbas rescisórias, entre outros.

Ainda há o tratamento dos dados pessoais do empregador-controlador que repassa as informações dos seus empregados ao sistema do e-Social, por exemplo. Bem como, quando terceiriza esses dados, no caso de envio de informações para inclusão no convênio médico da empresa, para a percepção do vale transporte e vale refeição e alimentação.

Por tudo isso é imprescindível que as empresas elaborem ou revisem suas políticas internas, especialmente o que tange aos colaboradores que poderão ter acesso a dados pessoais de candidatos, empregados e de terceiros, e ainda assim a forma de utilização de tais informações.

ROTINAS QUE DEVEM SER ABANDONADAS

As empresas deverão ter cuidado no manuseio dos dados pessoais de candidatos, empregados e de terceiros. Isso não se restringe a obtenção dos dados, mas também acerca da exclusão desses dados de modo a evitar vazamento de informações e prejuízos aos titulares.

Era muito comum o descarte indistinto de currículos cujo candidatos não foram aprovados na seleção e recrutamento, quando não eram usados na embalagem de produtos. Com essa nova legislação, deverá haver o descarte ou arquivamento adequado.

Muitas empresas já estão habituadas com o armazenamento e guarda de documentos trabalhistas, dada obrigatoriedade legal, nada obstante, com relação a essa prática é necessário que se verifique se o banco de dados é confiável, para evitar o vazamento de informações.

Essas são algumas das implicações diretas nas rotinas empresariais que devem ser revistas pelas empresas.

ROTINAS QUE DEVEM SER IMPLEMENTADAS

No que tange ao contrato de trabalho várias rotinas devem ser cumpridas pelas empresas. O que deverá sofrer modificação à primeira vista está relacionado com a segurança na guarda das informações pessoais dos empregados armazenadas em seus bancos de dados, bem como, aquelas transmitidas a terceiros.

Nesse sentido, imperioso que a organização tenha uma comissão para a implementação das medidas disciplinadas na Lei Geral de Proteção de Dados, composta por profissionais de tecnologia de informação, agentes de recursos humanos, os gestores da instituição e o jurídico, que deverão mapear os dados armazenados e disciplinar corretamente o tratamento, armazenamento, descarte, etc.

É cediço que alguns dados são de fornecimento obrigatório do empregado recém contratado para que o seu novo empregador cumpra as obrigações legais de registro, abertura de conta do Fundo de Garantia de Tempo de Serviço, entre outros. Nesse ponto, impõe-se ao empregador que cientifique, por intermédio de cláusula específica, acerca da finalidade para qual estão sendo coletados seus dados e o seu possível compartilhamento dentro da instituição e a terceiros (e-social, por exemplo).

No que tange aos dados sensíveis, especialmente em empresas que praticam ações afirmativas, contratando pessoas de determinada etnia, opção sexual ou raça, por exemplo, imperioso de que se tome por escrito o consentimento e forma específica e destacada. Do mesmo modo aquelas organizações que estão obrigadas a contratar pessoas portadoras de deficiência, zelando sempre pela privacidade dos seus colaboradores, sempre colhendo a assinatura dos candidatos e empregados.

A mesma postura deverá ser adotada no âmbito dos trabalhadores indiretos, terceiros, prestadores de serviços ou autônomos. Toda coleta de dados pessoais de natureza não obrigatória deverá seguir de prévio consentimento.

A empresa deverá adotar um procedimento específico, delimitando quais os empregados poderão ou deverão ter acesso aos dados no curso do contrato de trabalho.

A empresa deve cuidar e zelar no manuseio e arquivamento de dados e documentos pessoais e contratuais do empregado, tais como a ficha de registro; o comprovante e aviso de férias; pagamentos de depósitos fundiários e de contribuições previdenciárias; Comunicado de Acidente de Trabalho (CAT), os cartões de ponto; atestados médicos; os exames médicos admissional, periódico, de retorno ao trabalho, de mudança de função e demissional; as faltas justificadas; recolhimento do imposto retido na fonte (IRF); recibos salariais; etc. Já que deve providenciar a guarda de documentos trabalhistas.

Portanto necessário que as empresas implementem as regras da presente legislação com fito de evitar problemas e prejuízos futuros.

CONCLUSÕES FINAIS

Em decorrência da disseminação da internet e da quantidade de dados pessoais que entram na base de dados de milhares de organizações e a inexistência de um regramento específico acerca dessa matéria, adveio essa legislação com fito de regulamentar e disciplinar as condutas que devem ser praticadas pelas empresas que manuseiam dados pessoais.

A Novel legislação traz uma série de disposições sobre a obtenção, guarda, tratamento e descarte de dados pessoais.

No que concerne ao âmbito trabalhista, as empresas deverão ajustar suas posturas para se adequar aos termos da lei, seja pela composição de uma comissão composta de profissionais como especialistas em tecnologia, recursos humanos, gestores e jurídico para que possam identificar todos os dados coletados pela organização e promover o correto tratamento e armazenamento, seja pela instituição de regramentos internos que disciplinem com clareza as diretrizes e os mandamentos que devem ser observados por todos os envolvidos.

Referências:

Regulamento Geral sobre a Proteção de Dados (GDPR) na União Europeia. Disponível em: https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_pt. Acesso em 29/08/2020 as 17h28.

California Consumer Privacy Act of 2018 [4](CCPA). Disponível em: https://privacylaw.proskauer.com/2018/07/articles/data-privacy-laws/the-california-consumer-privacy-act-of-2018/. Acesso em 29/08/2020 as 17h29.

Brasil. Lei nº 13.709 de 04 de agosto de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em 28/08/2020, as 15h30.

[1] Disponível em: https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_pt. Acesso em 29/08/2020 as 17h28. [2] Disponível em: https://privacylaw.proskauer.com/2018/07/articles/data-privacy-laws/the-california-consumer-privacy-act-of-2018/. Acesso em 29/08/2020 as 17h29. [3] Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em 28/08/2020, as 15h30. [4] Disponível em: https://privacylaw.proskauer.com/2018/07/articles/data-privacy-laws/the-california-consumer-privacy-act-of-2018/. Acesso em 29/08/2020 as 17h29.