Resumo: A aplicabilidade da LGPD às relações trabalhistas traz importantes questões sobre a gestão de dados sensíveis no ambiente de trabalho, como a proteção contra o uso inadequado de informações pessoais, o direito à privacidade dos funcionários e o controle sobre o acesso e o tratamento de dados pessoais no ambiente de trabalho. Além disso, a lei também traz implicações importantes para o relacionamento entre empregadores e empregados, incluindo a transparência na coleta, armazenamento e uso de informações pessoais. O Presente artigo tem por intento investigar sobre a a aplicabilidade dessa lei às relações trabalhistas, uma vez que tem sido objeto de debates na sociedade e na academia.
Palavras-chave: Relações Trabalhistas, Segurança de dados, Aplicabilidade da Lei Geral de Proteção de Dados, Direito do Trabalho, LGPD.
Sumário: Introdução, 1.Lei Geral da Proteção de Dados, 1.1-Aspectos gerais, 1.2–Conceitos estabelecidos pela LGPD, 1.2.2-Tratamento de dados, 1.2.3 - Agentes de tratamento de dados, 1.3 – As 10 Bases Legais da LGPD, 2- Aplicabilidade da LGPD nas relações Trabalhistas, 2.1– Princípios da LGPD aplicáveis às relações de Trabalho, a) princípio da publicidade, b) princípio da exatidão, c) princípio da finalidade, d) princípio do livre acesso, e) princípio da segurança física e lógica, f) Princípio da Prevenção, 2.2 - Aplicação da Lei Geral de Proteção de dados nas relações de Trabalho, 2.3 – Repercussões da LGPD nas relações de Trabalho. 3 – Considerações Finais.
Introdução
Passando a viger em setembro de 2020, a Lei Geral de Proteção de Dados – LGPD, provém da carência de regulamentação dos dados pessoais em prol do Direito de Privacidade. Sendo assim, a lei disciplina a guarda e o tratamento dos dados pessoais cedidos a Pessoas Jurídicas, tanto de direito público quanto de privado.
Veremos no início do artigo uma breve digressão sobre as razões históricas que de como a LGPD consequecia de um movimento inicado na União Européia se consagrou a uma importante ferramenta de proteção de dados. Veremos que desde o Brasil imperial havia normalização visando a proteção de dados. Diga-se de passagem.
A grande novidade vem regular o Artigo 5º da Constituição Federal de 1988 no qual prevê, I) a inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas, assegurado o direito à indenização; II) a inviolabilidade do domicílio; e III) a inviolabilidade do sigilo de dados.
Veremos também que a LGPD traça o papel de cada ator em torno do processo de tratamento de dados, desde a coleta até a eliminação deles e e as respectivas bases legais que envolvem a gestão de dados determinadas pela Lei Geral de Proteção de Dados. Por fim, veremos como a LGPD se relaciona com as relações trabalhistas e o impacto dela no campo do Direito do Trabalho.
Lei Geral da Proteção de Dados
Com a aprovação, em 1970, da prospecção legislativa sobre dados pessoais, o parlamento Alemão desencadeou na Europa uma tendência de regulamentações sobre a matéria de proteção de dados pessoais. Assim foram influenciados pela vanguarda alemã países como Suécia, Noruega, Dinamarca e França, que na mesma década editaram regulações no mesmo sentido.
Inspirado as leis que diversos países europeus editaram com finalidade de estabelecer providências acerca da proteção de dados, a União Europeia consolidou a diretiva 95/46/CE.
A ascensão da sociedade informacional foi marcada por escândalos de espionagem que impulsionaram a regulação da proteção de dados. Conforme Carvalho et al (2019), após o episódio envolvendo a Cambridge Analytica e Facebook em divulgar dados de clientes, acarretou na regulamentação do General Data Protection Regulation (GPFR) materializada pela normativa 2016/679, o que influenciou de modo direto o Brasil a editar Lei Geral de Proteção de Dados em 2018.
Em 14 de agosto de 2018 foi criada a Lei nº 13.709 a Lei Geral de Proteção dos Dados Pessoais (BRASIL, 2018), a partir dela, fora inaugurado o “Sistema Protetivo de Dados Pessoais”, que tem por finalidade estabelecer princípios e determinar medidas de compliance que orbitam o tratamento de dados pessoais com o intento de tutelar a privacidade e a intimidade do usuário.
Com vigor a partir de 2020, a LGPD impõe às empresas, independentemente de seu porte, adaptarem em suas práticas a conformidade ética, desde o treinamento de colaboradores até a adaptação dos sistemas tecnológicos, pautado na transparência e na segurança dos dados.
- Aspectos gerais
Instituída pela lei pela Lei nº 13.709 de 14 de agosto de 2018, tendo entrado em vigor em 2020, a Lei Geral de Proteção de Dados, LGPD, tem por objetivo promover segurança jurídica a partir de padronização da padronização de protocolos e cuidados com dados, seja de pessoas físicas, jurídicas, de direito público ou de direito privado.
Dessa forma, a proteção de dados tem por base uma série de fundamentos postulados pela própria LGPD, nos quais se destacam no Artigo 2º, conforme se vê:
A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
II- a autodeterminação informativa;
III- a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem;
IV- o desenvolvimento econômico e tecnológico e a inovação;
V- a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VI- os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Também, a LGPD carrega em seu bojo normas para a coleta, armazenamento e tratamento e compartilhamento de dados pessoais, visando elevar a proteção e aplicar penalidades caso haja descumprimento.
Em outras palavras, a LGPD visa elevar o direito à privacidade ao status de Direito Fundamental, partindo do princípio de que novas condutas ilícitas surgem em par e passo com novos adventos tecnológicos.
Todavia, a preocupação do legislador com a privacidade e intimidade não é de todo um assunto in voga na atualidade. É o que aponta Maciel (2019, p. 7):
Em 1824, a Constituição do Império reconhecia um certo direito à privacidade, ao proteger o “segredo da carta” e a “inviolabilidade da casa”. No entanto, naquele momento, a privacidade estava submetida a um conceito mais lastreado na propriedade, ou seja, a carta magna protegia o meio físico e não o conteúdo em si. Por isso, vê-se apenas referência ao sigilo da correspondência e à inviolabilidade do domicílio. Perceba-se que não há uma proteção da privacidade por si só, pelo seu conteúdo ou por um aspecto mais subjetivo. O que se protegia ali era a invasão, o ato de romper barreiras físicas.
No ordenamento jurídico pátrio, o Marco Civil da Internet serviu como primeiro passo para a garantia da proteção de dados no Brasil. Nesse sentido, Maciel (2019, p. 39) leciona:
Foi com o Marco Civil da Internet que o Brasil passou a constar em seu sistema jurídico a palavra “privacidade”. Embora curioso, esse fato nada inova, já que “vida privada”, no frigir dos ovos, possui o mesmo sentido. Com o MCI entrando em vigor em 2014, a internet no Brasil passou a ser mais bem disciplinada, prevendo como princípios a proteção da privacidade e dos dados pessoais (art. 3º), bem como garantindo aos usuários, dentre outros, os seguintes direitos (art. 7º):
- não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
- informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
justifiquem sua coleta;
não sejam vedadas pela legislação;
estejam especificadas nos contratos de prestação de serviços ou em ermos de uso de aplicações de internet.
De certo, o acneio para a proteção de dados não se limitam ao Estado brasileiro. Ao contrário. No continente Europeu, já há muito, em vários países vigoram legislações que visam proteger com integridade os dados dos dos indivíduos. Tais legislações acabam por compor o sistema europeu de regulamento de dados, que inspirou a edição da LGPD.
Em 1970, no Estado Alemão de Hesse, surge a primeira lei mundial de proteção aos dados pessoais, em uma década em que começam a surgir inúmeras legislações de proteção, com o reconhecimento de que os “dados pessoais constituem uma projeçãoda personalidade do indivíduo e que, portanto, merecem uma tutela forte” (SCHERTEL, 2011).
Vale essaltar que a LGP não se limita a regular as práticas no universo cibernético, uma vez que os dados podem ser coletados e tratados em meio físico ou em qualquer outro suporte. Todavia, com o advento das novas tecnologias, o meio virtual acaba sendo alvo das políticas de proteção de dados.
Na lição de Frazão e Oliva (2019), informações que para a maioria pode ser irrelevantes para a maioria, podem ostentar valor econômico para grandes empresas, tais como “curtidas” em redes sociais, temo de tela, músicas ouvidas, locais visitados e lojas frequentadas. Segundo os autores, tais dados pode converter em conhecimento sobre dentre outros padrões, o perfil de consumidor.
Nessa perspectiva, a LGPD prevê o tratamento de dados por parte de entidade da administração pública, visando atender sua finalidade, na persecução do interesse público e na execução das atribuições legais. Em síntese, os dados pessoais podem ser tratados, uma vez que observando as condições de verificação de dados dispostas no artigo 7º da LGPD.
– Conceitos estabelecidos pela LGPD
A LGPD disciplina a proteção de dados pessoais como base ao direito à privacidade, à liberdade, à livre iniciativa e ao desenvolvimento tecnológico e econômico, bem como base para os direitos e garantias individuais. Nessa toada, a LGPD estipula alguns conceitos que serão explorados a segur:
Dados Pessoais e Dados Pessoais Sensíveis
Dado pessoal, de acordo com a prórpria LGPD, dado pessoal é toda e qualquer informação que identifica a pessoa natural. Sendo assim, o Serviço Federal de Processamento de Dados – Serpro (2020) disseca o conceito:
Se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet) e cookies, entre outros.
Como se vê, o conceito destrinchado pelo Serpro possui total harmonia com o artigo 5º da Lei Geral de Proteção de Dados (2018) que diz:
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Portanto, diz-se dado pesoal sensível apenas e tão somente aquele que se encontra em rol da LGPD, independente de qualquer juízo alheio a legislação.
- Tratamento de dados
A LGPD aplica uma série de situações cotidianas nas quais ocorrem acesso a informaões pessoais. Esses atos demandam diversos protocolos exigidos pela lei. Nessa perspetiva, consoante a lição de Correia e Boldrin (2020), os dados passam pelo processo de tratamento tão somente com a escrita autorização do usuário. No caso das relações trabalhistas, o consentimento é expresso pelo trabalhador, conforme se vê:
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Portanto, observa-se que a LGPD passou a determinar de forma compulsória a elaboração do Relatório de Impacto à proteção de Dados Pessoais, o RIPD. Tal relatório é aplicável a empresas, as quais deverão apresentar para fins de adequação à Legislação.
- Agentes de tratamento de dados
Em relação aos atores envolvidos no processo de tratamento de dados, a LGPD dispõe e PALLOTA; MORAES, 2020 explica que há o Titular, o detentor dos dados; o Controlador, quem verifica os dados a serem tratados, sendo ele pessoa física ou jurídica e o Operador, quem desenvolve em nome do Controlador o tratamento de dados.
Ademais, é possível existir um outro ator na relação de tratamento de dados: o encarregado. Ele, por sua vez, é nomeado pelo controlador e fica responsável por ser o elo entre o comunicador e a Autoridade Nacional de Proteção de Dados.
Ao controlador e ao operador cabem as atribuições de realizar a documentação das operações efetuadas no deslinde do processo de tratamento de dados pessoais, com a finalidade de concretizar as ações de tratamento de dados de forma segura e transparente.
A nomeação do encarregado visa conferir segurança às informações, de modo que elas fiquem centralizadas, recebendo a certificação do controlador nas na apçocação das normas de validação previstas na LGPD.
– As 10 Bases Legais da LGPD
A LGPD elenca no seu artigo 7º bases legais que servem de requisitos de tratametos de dados, conforme se vê:
I - mediante o fornecimento de consentimento pelo titular;
É essencial que o titular manifeste de forma inequívoca a aquiescência inequívoca de que está por ceder seus dados e que eles serão tratados desde que para uma finalidade determinada e que esta esteja expressa na declaração.
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
A utilização é viável, desde que as circunstancias imponham o tratamento, como adequação ou modificação de dados pessoais ou mesmo o fornecimento dele, seja pela conjuntura fática, pela imposição legal ou pela opção da empresa.
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
É aplicado especialmete à Administração Pública, não sendo aplicado aos agentes ou empresas privadas. Cumpre observar a compliance no tratamento de dados em geral vinculada à política pública, conforme as normativas do Capítulo IV da LGPD.
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
Aqui, observa-se que o anonimato é garantido sempre que possível e que os dados sejam disassociados entre si, com o intuito de evitar dano ao titular dos dados. Tal dispositivo também abre a possibilidade para criptografia ou outra tecnologia que visam o anonimato.
IV - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
Há duas interpretações possíveis para este dispositivo. A priori, seria esta exigência fosse destinada restritivamente aos ‘’procedimentos preliminares relacionados a contrato do qual seja parte o titular’’. Isso importa que a base legal em análise poderia ser aplicada ao tratamento de dados, independentemente da titularidade dos dados. Por outro lado, outra interpretação se dá de forma sistemática vinculada ao Regulamento Geral de Proteção de Dados europeu concretizado pelo European Data Protection Board no qual indica que o titular é parte ativa no contrato ou nos atos que o orbitam.
V- para o exercício regular de direitos em processo judicial,administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
No compasso do Artigo 11, II, d) da LGPD no qual possibilita que dados sensíveis passem por tratamento independente do consentimento do titular, um vez que a base seja nos moldes e com finalidade para alcançar os fins da Lei de Arbitragem.
Os atores envolvidos no Tribunal Arbitral, sejam quaisquer pessoas físicas ou jurídicas, até mesmo peritos e assistente técnico, encontram-se habilitados para fazer o tratamento dos dados pessoais enquanto houver interesse legítimo durante a administração ou na verificação dos dados vinculados a disputa arbitral.
VI - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
Essa proteção se relaciona ao estado do titular. Comumente, exeplifica o caso ao acesso de documentos e telefone do indivúduo, que após um acidente, se encontra na necessidade de manter com contato com familiares e acionar lidar com a burocracia de acionar o resgate de emergência.
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019)
Aqui se vê aplicação restrita às hipóteses expressas no preceito legal. Em outras palavras, as atividade desenvolvida pelo profissional de saúde ou pela autoridade sanitária e não se estende para farmácias, hospitais, seguros nem pçanos de saúde.
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
Mais uma vez, o legislador surpreende autorizando, a partir dessa base legal, o controlador a realizar o tratameto de dados visando diversos fins, dispensando o o consentimento do titular para cada uma delas.
Todavia, para legitimar tal hipótese, deve-se de antemão refletir sobre a proporcionalidade e a finalidade da Pessoa Jurídica para tratr os dados sem ir de encontro aos direitos e liberdades fundamentais do Titular. Dessa forma, esta base legal possibilida lacunas, uma vez que dispõe a partir de conceitos abertos, o que representa riscos ao Controlador e aos Titulares dos dados uma vez que estes atores fiacam a mercê dessa avaliação de proporcionalidade.
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Aqui se vê a permissão aos conhecidos órgãos de proteção de crédito incluir daodos de consumidores em banco sem a necessária o consentimento do titular. Essa base visa prestigiar a coletividade, uma vez que previne a inadimplência no comércio em geral. Havendo a transferência ou compartilhamento desses dados, os agentes deverão observar os postulados de legitimidade sem comprometer a exclusiva finalidade de proteção do crédito.
Destaca-se que em quaisquer hoipóteses legais descritas desse artigo sobrepõe aos demais, devendo ser aplicada a base legal mais apropriada às atividades do controlador.
Assim, para ter conformidade a lei, é necessário que as Pessoas Jurídicas pratiquem adequadamente o tratamento de dados, observando suas respectivas políticas internas a fim de estabelecer operações dentro da regularidade das normas.
- Aplicabilidade da LGPD nas relações Trabalhistas
Veremos os princípios relacionados da LGPD visa minimizar inseguranças em torno da tutela de dados e informações, como eles se relacionam às relações trabalhistas, impactos e desafios para a implementação da Lei. Antecipadamente, destaca-se a carência de procedimentos internos visando essa proteção perseguida.
2.1 Princípios da LGPD aplicáveis às relações de Trabalho
Com o intento de definir critérios e protocolos que favorecem a proteção de dados, a LGPD acaba por postular uma série de princípios que orientam a aplicação da lei. Dentre eles, destacam-se:
princípio da publicidade: Prevê que o público deve ter conhecimento da existência de quaisquer eventuais bancos de dados.
princípio da exatidão: Determina exatidão e fidelidade à realidade dos dados, admitindo a possibilidade de atualização periódica.
princípio da finalidade: Indica que os dados coletados devem exercer alguma finalidade para a empresa, E, que deve haver a comunicação sobre que finalidade é esta.
O inciso I do artigo 6º da Lei Geral de Proteção de dados traz em sua literalidade que a “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”, isso significa que o dado deve necessária possuir indicação clara e correta no momento da coleta.
Na lição de Vainzof (2021), o papel primordial do princípio da finalidade é que, em termos práticos, ele impõe os limites legais ao tratamento de dados a partir de informação prévia. Dessa feita, os dados são coletados e tratados de modo que persigam uma finalidade.
princípio do livre acesso: revela que o interessado tem direito ao acesso e controle dos dados, especialmente para fazer contemplar o princípio da exatidão.
Conforme o inciso IV do artigo 6º da LGPD o titular dos dados pode consular livremente seus dados e verificar a situação de integridade, de forma desburocratizada e não onerosa, conforme normativa internacional de segurança da informação ISO/IEC 27000:2018.
Ademais, o princípio em tela é reafirmado no artigo 9º da mesma lei, no qual determina que a consulta deve ser desburocratizada e sem ônus, deixando claro a duração e a forma do tratamento.
princípio da segurança física e lógica: postula que os dados devem estar armazenados em local seguro, o que impossibilita dano, extravio e vazamentos.
Deve-se traçar estratégias denominadas “medidas técnicas” para proteger dados de alteração, destruição, perda, acessos sem autorização e vazamentos ilícitos ou acidentais.
Nesse sentido, Vainzof (2021), a segurança dos dados pessoais é tratada de forma categórica na LGPD. Medidas administrativas e técnicas devem ser adotadas por sistemas informacionais, visando a integridade dos dados evitando eventuais violações não apenas dolosos, bem como ocorrências acidentais. Para tanto, os sistemas precisam dotar de estruturas com o intuito de alcançar os critérios governança e de segurança previstos no artigo 49 da Lei em comento.
Princípio da Prevenção: Se traduz em um importantíssimo postulado à segurança de dados. Tal princípio refere-se a previsão antecipada de transtornos e a aplicação de medidas para preveni-las.
Conforme Vainzof (2021), a Lei Geral de Proteção de Dados tem por finalidade destacada a transformação da cultura de tratamento de dado, buscando evitar o maior número de situações previsíveis de violação de dados.
Em termos práticos, a Lei Geral de Proteção de daos visa assegurar que os dados e os respectivo tratamento ocorram de maneira segura e cautelosa a fim de que prejuízos sejam reduzidos ou eliminados em casos de anomalia.
Ressalta-se que epecificamente, os princípios de proteção de dados possui a relevância de buscar garantir o direito à privacidade, desejado desde a primeira concepção e regulação de proteção de dados.
Nota-se que a LGPD contempla uma série de Direitos Humanos desde o Direito, em especial o Direito à privacidade, apesar de ser um ramo apartado do Direito Constitucional de modo que tem as próprias relações jurídicas impulsionada pelo advento das novas tecnologias.
2.2 - Aplicação da Lei Geral de Proteção de dados nas relações de Trabalho
A aplicação da LGPD na área trabalhista é cabível, no sentido de proteger os dados pessoais dos trabalhadores, até mesmo para aqueles que não possuem vínculos empregatícios com o empregador, seja pessoa física ou jurídica.
Sendo assim, alguns cuidados relativos a guarda e o tratamento de dados e documentos devem ser tomados por parte do empregador, a fim de proteger as informações sensíveis não apenas dos empregados, mas também de candidatos.
O modo de como a Lei Geral de Proteção de dados é aplicad de modo que o empregado, na condição de titular fornece ao empregador que assume o papel de controlador ou operador no qual é quem tomas as decisões que envolvem o processo de tratamento de dados.
Conforme já abordado, o conscentimento em relação ao tratamento de dados não é uma condição imposta pela lei. Ademais, a lei determina que em contextos específicos nos quais há a dispensa do consentimento, quando se tem o regular exercio o processo judicial indicado pelo artigo 7º, VI, e artigo 11, inciso II, alínea “d” e, visando a proteção da integridade física do titular, conforme se vêno artigo 7º, VII, e artigo 11, inciso II, alínea “e”.
Além do mais, a LGPD traz em seu artigo 15 outros contextos nos quais observa a finalização do processo de tratamento de dados. Lemos:
-
- verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
- fim do período de tratamento;
- comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou
- determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
De toda sorte, por mai que haja base legal que vise o tratamento do dado, o processo deve ser desempenhado com segurança, tendo em vista que a inobservância dos ditames legais em relação ao tratamento de dados gera sanções.
Quanto ao armazenamento e guardad de dados e documentos de empregados e candidatos vagas, o inciso V, artigo 7 da Lei Geral de Proteção de Dados, o consentimento para detenção desses dados pode ser abdicado, salientando que ao fim do processo de seleção, os dados sensíveis não podem ficar retidos.
Todavia, havendo a empresa o interesse de manter os dados do candidato na criação de banco de currículos ou oportunizando futura contratação, ela deve produzir termo de consentimento autorizando a retenção e coleta dos dados por tempo determinado.
Até mesmo a CLT já prevê que o a empresa retenha a Carteira de Trabalho e Previdência Social, no prazo de cinco dias úteis, para fins de lançamentos de informações sobre o contrato de trabalho. Portanto, sugere-se que a empresa guarde as cópias dos documentos inerentes ao contrato de trabalho.
O exame de admissão, etapa úlltima da seleção, deve cumprir a única finalidade sobre a aptidão do candidato ao trabalho, não podendo explicitar nem mesmo o Código Internaional de doenças (CID) ou servir como critério discriminatório.
A Lei Geral de Proteção de Dados deve ser aplicada às relações de trabalho em outras circunctâcias. Nesse sentido, é interessante a praxis laboral a adoção, por parte do empregador, um programa de compliance trabalhista, assim lecionado por Silva e Pinheiro (2020, p. 42):
como o princípio de governança corporativa que tem por objetivo promover a cultural organizacional de ética, transparência e eficiência de gestão, para que todas as ações dos integrantes da empresa estejam em conformidade com a legislação, controles internos e externos, valores e princípios, além das demais regulamentações de seu regimento.
Com a adoção do programa de compliance, a pessoa jurídica empregadora terá plenas condições de realizar o monitoramento os processos relativos ao direito coletivo de trabalho, normativas de saúde, higiene e segurança do trabalho, dentro da formalidade e da legalidade.
Destarte, não se pode olvidar que o empregador tem o dever de compatibilizar os processos internos com a realidade imposta pela LGPD, sem comprometer o funcionamento, como a transmissão de dados sensíveis para terceiros em caso de, por exemplo, convênios ou terceirização.
Foi nesse diapasão que a 9ª Turma do Tribunal Regional do Trabalho da 3ª Região, julgou pela aplicação da Lei Geral de proteção de dados como se vê no processo de número 0010337-16.2020.5.03.0074, no qual foi reportado a seguinte notícia:
A inserção do número de telefone da empregada no site da empresa, sem prova inequívoca de autorização, implica divulgação de dado pessoal, que afronta sua vida privada. Com esse entendimento, os julgadores da Nona Turma do TRT de Minas mantiveram a condenação de uma loja de chocolates a pagar indenização por danos morais à ex-empregada que teve seu telefone pessoal divulgado na página virtual da empresa como se fosse da loja. O colegiado, no entanto, reduziu a indenização determinada em primeiro grau para R$ 5 mil.
Ao examinar o recurso interposto pela empresa contra decisão do juízo da Vara do Trabalho de Ponte Nova, o juiz convocado Ricardo Marcelo Silva, atuando como relator, ponderou que, apesar de não ser possível identificar a trabalhadora apenas pelo número informado, seria possível identificá-la assim que o cliente entrasse em contato com ela, invadindo sua privacidade. Em conformidade com a sentença, ele considerou que a divulgação do dado pessoal desrespeitou a Lei nº 13.709/2018 - Lei Geral de Proteção de Dados Pessoais – LGPD, que entrou em vigor em 18/9/2020.
Nesse aspecto, o julgador realçou que a fundamentação do ato ilícito com base na LGPD não implicaria julgamento extra et ultra petita, ou seja, diverso ou além do que foi pedido na ação. É que, conforme explicou, ao fundamentar a decisão, o magistrado não fica atrelado aos argumentos dos litigantes, cabendo-lhe aplicar o direito independentemente dos argumentos das partes (iura novit curia - os juízes conhecem o direito, e da mihi factum, dabo tibi jus - dê-me os fatos e eu lhe darei o direito).
De todo modo, o julgador ressaltou que o artigo 5º, inciso X, da Constituição da República dispõe que "são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação".
Com base nas provas, o relator verificou que a inserção do número de telefone da autora no site de vendas da empresa ocorreu desde 28/3/2020 até outubro de 2020. Logo, o ato foi praticado pela ex-empregadora na vigência da LGPD.
Contribuiu para a conclusão de invasão de privacidade o fato relatado em uma das conversas, via WhatsApp, da autora com o coordenador, trazidas com a inicial. A mulher comentou que tinha "muito cliente sem noção", que um deles teria ligado para o telefone dela às 4h da manhã, "Pq o louco viu q não respondeu e ainda ligou".
No caso, a trabalhadora havia assinado termo autorizativo, a título gratuito, do uso de sua imagem na web. No entanto, o relator não considerou o ato capaz de legitimar a divulgação de seus dados pessoais. Para ele, os elementos essenciais ao dever de indenizar (ato ilícito, dano e nexo de causalidade) em relação ao direito à privacidade ficaram plenamente caracterizados, o que impõe a condenação da empregadora.
Por outro lado, os julgadores reduziram a indenização fixada pelo juízo de primeiro grau para R$ 5 mil. Para tanto, o relator observou que, ao fixar o valor da indenização, o juiz deve levar em conta a extensão do dano e a natureza pedagógica que deve ter a reparação correlata, bem como as circunstâncias de que a indenização seja proporcional à dor suportada pela vítima, à gravidade da conduta do ofensor, ao seu grau de culpa e à situação econômica, asseverando ainda que não pode ser meio de enriquecimento do ofendido.
Na visão do colegiado, a indenização de R$ 5 mil alcança o fim almejado, levando-se em conta o contexto fático e probatório do processo, o princípio da razoabilidade e o valor do último salário da autora, que corresponde a R$ 2.053,48. A decisão foi unânime.
Pela atualidade da matéria, e, é um tanto inviável conhecer o posicionamento dos Tribunais do Trabalho uma vez que não há considerável volume de julgados em torno da Lei Geral de Proteção de Dados. De toda fora, a LGPD deixa claro que os empregadores possuem a responsabilidade de compatibilizar a pessoa jurídica às imposições trazidas pela lei, em todas as etapas do contrato de trabalho, inclusive as tratativas que antecedem a contratação.
2.3 – Repercussões da LGPD nas relações de Trabalho
A Lei Geral de Proteção de Dados está diretamente atrelada à proteção, guarda e tratamento dos dados pessoais de Pessoa Natural pela Pessoa Jurídica, empregadora. Sendo assim, as informações que envolvem as relações empregatícias são objeto de proteção, uma vez que o empregado fornece uma série de informações ao longo da prestação de serviço.
Nota-se que a LGPD é aplicável tanto nas relações de tabalho como de emprego, compreendendo todas as fases do contrato de trabalho, desde a coleta de histórico profissional até exames pós admissionais. Nesse sentido, convém entender qais o impactos dessa legislação envolvem a relação laboral, conforme se vê na lição de Pallotta e Moraes (2021):
Os dados pessoais dos empregados-titulares passam por diversos fluxos de tratamento ao longo da jornada dos trabalhadores na companhia, sendo que podemos dividir em 4 momentos bem definidos: Fases anteriores à celebração do contrato de trabalho; no ato de celebração do contrato de trabalho; durante a execução do contrato de trabalho; no término do contrato de trabalho.
Por conseguinte, há uma gama de dados e informações pessoais que envolvem a relação empregatícia, não apenas em processos internos, mas também alheios ao âmbito empresarial, como situações de fiscalização, convênios ou procedimentos meramente administrativos, como exemplos, temos convênios com empresas de serviço vale-refeição, empresas plano de saúde suplementar, serviço social da Indústria ou comércio, consultorias no E-social, FGTS, INSS, entreoutros.
A priori a empresa contratante deve mapear o processo de tratamento de dados, levando em consideraçao alguma das bases legais da LGPD arroladas nos artigos 7º e 11º e tomar os dados coletados desde que haja adequação para a respectiva finalidade, conforme o artigo 6º, incisos I, II e III da lei.
As bases legais geralmente enquadradas ao contrato laboral são geralmente a execução de contrato de trabalho ou mesmo o cumprimento de obrigação legal.
É vital que a Pessoa Jurídica empregadora tenha ciência de sua posição em relação ao tratamento de dados inserida na relação laboral.
A Lei Geral de Proteção de Dados determina no artigo 5º, inciso IX, que como agente de tratamento de dados, tanto o controlador quanto operadodor possuem funções no processo de tratamento e guarda de dados, de modo que ao controlador cabe a finção de tomar decisões relativas ao processo de tratamento de dados, enquanto ao operador cabe a incumbência de proceder as operações envolvendo o traramento de dados.
Via de regra, as pessoas jurídicas tomam pra si o status de controladora dentro do proceso de tratamento em relação aos dados de seus colaboradores. A operadora acaba sendo uma equipe de gestão de dados ou mesmo uma empresa tercerizada a fim de realizar as operações de segurança de dados.
É importante a identificação de cada um dos atores no processo de tratamento de dados, pois facilita a eventual responsabilização e o reajuste de cláusula contatual entre empresas e seus empregados, sem falar na ciência de quaisquer riscos e ter prédeterminado estratégias a fim de mitigar o dano.
Sendo assim, destaca-se como impacto relevante da lei a missão da empresa assumir o lugar de controlador e informar aos empregados o modo de tratamento de seus respectivos dados.
Além disso, a Pessoa Jurídica, a condição de controladora, tem por obrigação legal de dispor sobre medidas técnicas visando a prevenção de incidentes sobre os dados pessoais.
Outra obrigação do empregador é prover o treinamento a fim de enraizar a proteção de dados à cultur organizacional, estabelecendo e fazendo que seus colaboradores coloquem em prática políticas de privacidade dentro de suas incumbências laborais.
Cabe ainda a empresa empregadora cobrar das empresas que ela compartilha dados o mesmo cuidado e adequação à LGPD em relação aos dados compartilhado.
Além do mais, a Lei Geral de Proteção de Dados influencia na contratação de estagiários e aprendizes, em especial no seu artigo 14, uma vez que traz formas específicas para o tratamento de dados quando o titular é criança ou adolescente, no senido de que a pessoa jurídica deve colher os daodos com prévia autorização de pais ou responsáveis.
Outro detalhe que a Lei Geral de Proteção de dados impõe é o prazo sobre a guarda dos dados pessoais colhidos. A própria Lei determina no artigo 16 que os daodso sejam eliminados definitivamente após o processo de tratamento. O impacto desse dispositivo nas relações trabalhistas reside nos reflexos após o fim do contrato de trabalho, uma vez que pode ser neessário para ajuizamento da de eventuais reclamações trabalhistas ou esclarecimentos previdenciários para a aposentadoria do empregado.
Dentro do universo do Direito do Trabalho, há uma volumosa quantidade de documentos sobre os quais a empresa empregadora deve, destacando o artigo é fundamentado, desenvolver política específica de gestão de dados visando estabelecer prazos para o período do armazenamento.
Pelo exposto se vê que a adequação da pessoa jurídica a LGPD é desafiador, uma vez que o processo de adequação irá depender do modo de cada empresa.
3. Considerações finais
Tentamos com este estudo desmistificar que a LGPD seria restrito a grandes incorporações de informação, de serviços online ou software. Vimos com este artigo que todas as pessoas jurídicas, independente do porte, devem se adequar aos ditames da Lei Geral de Proteção de Dados.
Além disso, vimos que as empresas devem adaptar a gestão de dados aos moldes da LGPD não apenas aos processos externos, mas também aos processos internos, especialmente contrataos de trabalho e seleção de pessoas, seja para contrato de trabalho, seja para contrato de emprego.
Neste artigo tivemos conhecimento dos principios e das bases legais que orbitam a gestão de dados. Dentre eles, podemos destacar o princípio da finalidade, que se traduz na necessidade de verificar e atribuir um fim para a retenção e o tratamento de dado para legitimar o processo.
Superando essa contextualização, iniciamos a estudar a aplicação e de como a Lei Geral de Proteção de dados se relaciona ao universo do Direito Trabalhista. Percebemos como ainda é deafiador traçar um entendimento de como os tribunais se relacionam com a LGPD, visto ainda é uma novidade e como tal, ainda é há pouco volume de julgados relativos a legislação de proteção de dados.
Por fim, encerramos o estudo, buscamos levantar os principais impactos da LGPD para as relações trabalhistas. Nesse ponto, podemos destacar que é de suma importância identificar cada ator, a fim de responsabilizar e atribuir competência a cada um deles, principalmente havendo ocorrências de violação à privacidade por meio de acesso irregular aos dados guardados pela pessoa jurídica empregadora.
