Prezados clientes,

A Lei nº 13.709/2018, denominada Lei Geral de Proteção de Dados (LGPD), dispõe sobre a proteção de dados pessoais, inspirada no modelo europeu (General Data Protection Regulation - GDPR). O tratamento de dados previsto no artigo 5º, X, da Lei, que envolve todo e qualquer ato praticado no curso de uma relação estabelecida entre o "controlador" (aquele que coleta dados com determinado objetivo) e o "titular" (pessoa natural que cede os dados) atinge todas as esferas de Direito, inclusive as relações de trabalho. Por isso, com o intuito de mantê-los sempre atualizados, informados e alinhados com a legislação, analisaremos alguns pontos em que o novel diploma impactará nas relações trabalhistas.

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.      (Incluído pela Lei nº 13.853, de 2019)    

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Percebam que a lei elenca os fundamentos que a embasam, privilegiando, no inciso VII, os direitos humanos, livre desenvolvimento da personalidade, dignidade e o exercício da cidadania pelas PESSOAS NATURAIS.

Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:

I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

Com a redação deste artigo, entendemos que a LGPD não se aplicaria às relações domésticas.

II - realizado para fins exclusivamente:

a) jornalístico e artísticos; ou

b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;

III - realizado para fins exclusivos de:

a) segurança pública;

b) defesa nacional;

c) segurança do Estado; ou

d) atividades de investigação e repressão de infrações penais; ou

Art. 5º Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

Esse dado pessoal está presente em toda a relação trabalhista. Antes mesmo da celebração do contrato de trabalho como por exemplo as informações sobre o candidato ao emprego, seu currículo, histórico, dentre outras no processo seletivo, até depois de findo esse contrato pois tem o acesso a esses dados e se torna responsável pelo armazenamento e guarda de dados pessoais dos trabalhadores. Ainda assim na celebração do contrato propriamente dita pode-se verificar tais dados pessoais nos dados cadastrais, filiação a sindicado, endereço, nomes dos genitores, escolaridade, situação familiar, nomes dos filhos, dentre outras. Bem como, na sua execução como no que tange a jornada de trabalho, o salário que o empregado recebe, seus descontos, as faltas, doenças, acidentes dentre outras informações.

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Com a redação deste artigo, percebemos que a leis traz um rol apenas exemplificativo do que constituiria um dado sensível. Desta forma, o empregador quando tiver conhecimento acerca da filiação ao sindicato de sua categoria pelo empregado, por exemplo, deverá proteger esta informação, não poderá torná-la pública ou repassar a terceiros sem o consentimento prévio e com explicação de sua utilização.

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

Com a redação deste artigo, vislumbramos o empregado como sendo o titular dos dados tanto pessoal como pessoal sensível elencados nos incisos acima.

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Nesta senda vislumbramos como controlador o empregador, a quem cabe tomar decisões necessárias.

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Com a redação deste artigo, entendemos que o operador pode ser caracterizado pelo próprio empregador, ou um setor deste empregador, ou um terceiro contratado pelo controlador.

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);    (Redação dada pela Lei nº 13.853, de 2019)     Vigência

IX - agentes de tratamento: o controlador e o operador;

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Com a redação deste artigo, entendemos que o conceito de tratamento é a forma que será utilizada esses dados pessoais pelo empregador.

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

Este princípio deve ser observado com bastante atenção pelo empregador quando da efetivação de medidas que envolvam a coleta de dados, como por exemplo: instalação de câmeras, o empregador informa que a finalidade é resguardar a segurança dos empregados, mas, depois, utiliza as imagens para aplicar justa causa. A finalidade explicitada foi subvertida.

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

Cuidado com a solicitação/coleta de dados impertinentes em relação às suas finalidades.

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

Esse princípio também deve ser observado com bastante cautela visto que assegura aos titulares dos dados o acesso a informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados, como por exemplo, no ato da dispensa. O motivo deve ser revelado com transparência. Candidatos a empregos muitas vezes não são selecionados porque o sistema automatizado não aprova seus currículos, programados a partir de dados pré-existentes, que potencializam o risco de reprodução ou até mesmo de discriminação, por reproduzir padrões. Então, muito cuidado ao utilizar sistemas informatizados. Inclusive, o art. 20 desta lei dispõe que:

Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.      (Redação dada pela Lei nº 13.853, de 2019)      Vigência

§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.

• A LGPD consagrou o princípio da transparência, que garante aos titulares o acesso a informações claras, precisas e facilmente acessíveis sobre o tratamento dos dados, observados os segredos comercial e industrial. Porém esses segredos não são direitos absolutos e devem ceder diante do direito à explicação, dando ao titular inclusive o direito de solicitar a revisão nos termos do art. 20 supracitado.

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Adoção de medidas de proteção, como por exemplo a restrição de uso e acesso.

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

Impossibilidade de utilização de forma discriminatória.

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Em resumo, quando tratamos de dados, principalmente aqueles considerados pela lei como “dados sensíveis”, todo empregador e/ou contratante deve avaliar por que deve colher tais dados, qual a finalidade, se há fundamento legal para essa coleta, quais os limites dessa exigência, se é necessário o consentimento do titular, se é possível compartilhá-los, qual o momento de descartar, etc.

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

Utilização de dados em eventual reclamação trabalhista, por exemplo.

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;      (Redação dada pela Lei nº 13.853, de 2019)      Vigência

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Entendemos que para o tratamento de dados o empregador não necessita da autorização do inciso I, valendo-se dos incisos II e V do mesmo artigo. No entanto, caso a empresa opte por se resguardar e decida obter o consentimento do empregado, deverá seguir a orientação abaixo:

Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

Convém observar que o consentimento do empregado seja fornecido por escrito no contrato de trabalho, de forma específica e em cláusula destacada das demais normais contratuais.

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou (Redação dada pela Lei nº 13.853, de 2019)     

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.

§ 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei.

§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.

No que concerne ao tratamento de dados sensíveis, entendemos que o empregador se encaixa nas alíneas “a” e “d” do art. 11. E o que são dados sensíveis? A Lei traz um rol, no entanto, entendemos que este é meramente exemplificativo. Muito cuidado ao solicitar qualquer informação que se enquadre em dado sensível. Vejamos:

Art. 5º Para os fins desta Lei, considera-se:

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

Por exemplo, após a contratação, entrevista, ou até mesmo no ato da dispensa, quando os dados deixarem de ser necessários, devem ser imediatamente eliminados. A conservação dos dados, no entanto, será autorizada nas seguintes hipóteses:

Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

I - cumprimento de obrigação legal ou regulatória pelo controlador;

• Nesse caso, entendemos que o empregador se encaixa na exceção contida no inciso I, do art. 16, visto que em caso de ação judicial, pode se fazer necessária a produção de provas, ocasião em que se torna razoável que o empregador contenha as informações NECESSÁRIAS até o fim do prazo prescricional.

II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

II - fim do período de tratamento;

III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou

IV - determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.

Art. 21. Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.

Ao analisar essa disposição percebemos que as empresas devem ter cuidado com a utilização no processo de seleção de informações referentes ao passado/histórico do candidato, como, por exemplo, a existência de ações trabalhistas. Em virtude de que os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Desse artigo extrai-se que se o controlador ou operador em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, poderá ser obrigado a repará-lo.

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:    (Vigência)

Entendemos que a empresa coletora dos dados responde por eventuais danos que der causa em decorrência da violação da devida proteção, por deixar de adotar medidas de segurança com o fim de proteger os dados pessoais.

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

Vislumbramos sanções que iriam onerar em demasia a empresa, podendo impactar de forma negativa na atividade empresarial. 

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - eliminação dos dados pessoais a que se refere a infração;

X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  (Incluído pela Lei nº 13.853, de 2019)    

XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  (Incluído pela Lei nº 13.853, de 2019)   

XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  (Incluído pela Lei nº 13.853, de 2019)

As sanções elencadas serão aplicadas após procedimento administrativo observando os ditames da ampla defesa.

Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

Dessa forma, para o controlador e operador não serem responsabilizados pelos danos causados aos titulares deverão provar uma dessas situações elencadas no presente artigo.

I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

CONCLUSÃO

Conforme exposto, concluímos que, diante dessa nova realidade, os empregadores devem buscar se adaptar, desenvolvendo novas rotinas e padrões de conduta, para os procedimentos que envolvam tratamento de dados pessoais dos empregados, de forma a prevenir risco de judicialização futura.  

A omissão de uma regulação específica da LGPD nas relações de trabalhos, tem a potencialidade de gerar uma infinidade de conflitos, que deverão ser resolvidos casuisticamente, a partir das regras gerais da legislação em análise. Por isso, é extremamente importante estar atento ao que preceituam os artigos comentados acima.

Ademais, frisamos que até o presente momento, a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) ainda não ocorreu. Continua-se aguardando a votação na Câmara do Deputados da Medida Provisória 959/2020, a qual adiaria a vigência do diploma normativo para 2021.

Vale ressaltar que a LGPD entrou em vigor em 18/09/2020, no entanto, a aplicação das punições pelo descumprimento ficou para agosto de 2021.

À disposição para demais esclarecimentos,

Equipe Trabalhista – GAGC ADVOGADOS ASSOCIADOS.