3. A IMPORTÂNCIA DA PROTEÇÃO DE DADOS NO CONTEXTO DA RELAÇÃO DE EMPREGO
Dentre as diversas áreas jurídicas que sofrem o reflexo direto da LGPD, está a relação de emprego, cujos princípios norteadores primam pela proteção do hipossuficiente que é o empregado, tanto na condição de empregado, quanto na condição de prestador de serviços, como pequeno empreiteiro, operário ou artífice.
Neste sentido, a Lei nº 13.467/2017 disciplina que:
Art. 652. Compete às Varas do Trabalho: (Redação dada pela Lei nº 13.467, de 2017)
a) conciliar e julgar:
[...]
III - os dissídios resultantes de contratos de empreitadas em que o empreiteiro seja operário ou artífice (BRASIL, 2017)
A proteção se torna ainda mais necessária quando se observa que um dos requisitos caracterizadores da relação de emprego é a subordinação jurídica que traz em seu contexto o poder de direção do empregador. No entanto, se constata a incidência de abusos em que os limites do respeito com a privacidade do empregado são totalmente ignorados.
Os artigos 2º e 3º da Consolidação das Leis do Trabalho-CLT, apresentam os requisitos caracterizadores da relação de emprego, sendo eles alteridade, subordinação, não eventualidade, onerosidade e pessoalidade.
Art. 2º - Considera-se empregador a empresa, individual ou coletiva, que, assumindo os riscos da atividade econômica, admite, assalaria e dirige a prestação pessoal de serviço.
§ 1º - Equiparam-se ao empregador, para os efeitos exclusivos da relação de emprego, os profissionais liberais, as instituições de beneficência, as associações recreativas ou outras instituições sem fins lucrativos, que admitirem trabalhadores como empregados.
§ 2º Sempre que uma ou mais empresas, tendo, embora, cada uma delas, personalidade jurídica própria, estiverem sob a direção, controle ou administração de outra, ou ainda quando, mesmo guardando cada uma sua autonomia, integrem grupo econômico, serão responsáveis solidariamente pelas obrigações decorrentes da relação de emprego. (Redação dada pela Lei nº 13.467, de 2017) (Vigência)
§ 3º Não caracteriza grupo econômico a mera identidade de sócios, sendo necessárias, para a configuração do grupo, a demonstração do interesse integrado, a efetiva comunhão de interesses e a atuação conjunta das empresas dele integrantes. (Incluído pela Lei nº 13.467, de 2017) (Vigência) Art. 3º - Considera-se empregada toda pessoa física que prestar serviços de natureza não eventual a empregador, sob a dependência deste e mediante salário.
Parágrafo único - Não haverá distinções relativas à espécie de emprego e à condição de trabalhador, nem entre o trabalho intelectual, técnico e manual.
Destacamos no presente artigo o requisito da subordinação que traça a linha tênue entre o poder de direção e os limites estabelecidos pela LGPD.
Por muito tempo a doutrina questionou a definição de subordinação para efeitos de caraterização do vínculo empregatício, se esta seria econômica, técnicaou jurídica. Assunto já pacificado, restou claro após estudos que a subordinação não poderia ser econômica, dentre outras, por considerar que alguns empregados não dependem economicamente de seu empregador. Não poderia ser técnica, pois alguns empregados detêm a técnica com mais especificidade do que os empregadores.
Então a subordinação para fins de relação de emprego é a subordinação jurídica (DELGADO, 2016, 326):
A subordinação jurídica é o polo reflexo e combinado do poder de direção empresarial, também de matriz jurídica. Ambos resultam da natureza da relação de emprego, da qualidade que lhe é ínsita e distintiva perante as demais formas de utilização do trabalho humano que já foram hegemônicas em períodos anteriores da história da humanidade: a escravidão e a servidão.
No mesmo sentido, esclarece (BOMFIM, 2014, 285-286)
A subordinação nada mais é que o dever de obediência ou o estado de dependência na conduta profissional, a sujeição às regras, orientações e normas estabelecidas pelo empregador inerentes ao contrato, à função, desde que legais e não abusivas. Na essência, é trabalhador subordinado desde o humilde e tradicional obreiro que se submete à intensa pletora de ordens do tomador ao longo de sua prestação de serviços (subordinação clássica ou tradicional), como também aquele que realiza, ainda que sem incessantes ordens diretas, no plano manual ou intelectual, os objetivos empresariais (subordinação objetiva), a par do prestador laborativo que, sem receber ordens diretas das chefias do tomador de serviços e até mesmo nem realizar os objetivos do empreendimento (atividades-meio, por exemplo), acopla-se, estruturalmente, à organização e dinâmica operacional da empresa tomadora, qualquer que seja sua função ou especialização, incorporando, necessariamente, a cultura cotidianaempresarial ao longo da prestação de serviços realizada (subordinação estrutural).( DELGADO, 2016, p. 326)
Assim o empregador tem sob sua responsabilidade o empregado, subordinado juridicamente, podendo assim, estabelecer as regras e assumindo o poder de gestão/direção do negócio e diante disto, assume, também a alteridade, atraindo para si os riscos do negócio.
O empregador é dotado do poder de direção por comandar, escolher e controlar os fatores de produção da empresa. O poder de direção se desdobra em poder diretivo, em poder disciplinar e em poder hierárquico ou de organização. O primeiro se constitui na capacidade do empregador em dar conteúdo concreto à atividade do trabalhador, visando os objetivos da empresa. O segundo traduz se no poder que tem o patrão de imporpunições aos empregados. O terceiro é a capacidade do empregador em determinar e organizar a estrutura econômica e técnica da empresa, aí compreendida a hierarquia dos cargos e funções, bem como de escolher as estratégias e rumos da empresa. (CASSAR, 2014, p. 286)
A LGPD, em seu artigo 17 apresenta o limite estabelecido do poder diretivo que o empregado está exposto, portanto, por suas determinações e especificidades, especialmente em face aos direitos individuais à intimidade e privacidade, que por sua garantia constitucional se sobrepõe à característica da subordinação jurídica.
Preleciona Maurício Godinho Delgado que:
No Direito do Trabalho, a figura do contrato desponta com toda sua faceta enigmática. É que, de um lado, está-se diante talvez do mais eloquente exemplo de contrato de adesão fornecido pelo mundo contemporâneo, onde o exercício da liberdade e vontade por uma das partes contratuais — o empregado — encontra-se em polo extremado de contingenciamento. (DELGADO, 2017, p. 574)
O regramento em comento se torna necessário para que haja limite entre o poder de direção e a própria subordinação jurídica do empregado.
[11] "PODER DE DIREÇÃO. USO DE APARELHOS AUDIOVISUAIS EM SANITÁRIOS. INVASÃO DA INTIMIDADE DO EMPREGADO. A instalação de câmera de vídeo ou de filmagem constitui uma medida ajustada ao princípio da proporcionalidade (GOÑI SEIN, José Luis. La videovigilancia empresarial y la protección de datos personales. Thompson/Civitas, 2007, p. 30, 31, 37, 50 e 54) considerando que a instalação em local onde o empregado executa suas atividades é medida justificada, equilibrada e imprescindível. Esse princípio não é o único limite que existe nas instalações de câmeras de vídeo. O poder de fiscalização do empregador é limitado ao uso dos banheiros como proteção à intimidade do empregado. Entretanto, poderá ser admissível, excepcionalmente, quando o empregado viola suas obrigações, passando no banheiro um tempo claramente desnecessário para fumar, ler ou realizar outras atividades. Alguns autores sustentam que o âmbito de espaços reservados ao uso privativo dos empregados (serviços higiênicos, vestuários e zonas de descanso) é preservado, permitindo-se a colocação de câmara de vídeo, excepcionalmente, até a porta dos lavabos, mas localizados em lugares públicos insuscetíveis de visualização dos setores privados reservados aos empregados. O empregador que deixa de observar tais critérios e instala câmera de vídeo em vestiário utilizado pelos empregados provoca dano moral resultante da afronta à intimidade desses empregados, direito assegurado por preceito constitucional (art. 5º, X) e conceituado como a faculdade concedida às pessoas de se verem protegidas" contra o sentido dos outros, principalmente dos olhos e dos ouvidos ". A vigilância eletrônica poderá ter um futuro promissor, desde que usada de forma humana, combatendo-se os abusos na sua utilização. Instalação de aparelho audiovisual no banheiro caracteriza o que a OIT denomina" química da intrusão ", comportamento repudiado pelo ordenamento jurídico nacional e internacional." BRASIL. TRIBUNAL REGIONAL DO TRABALHO DA 3ª REGIÃO. RO n.01024-2008-024-03-00-5. 7ª T. Rel. Alice Monteiro de Barros. Publicado em 23/06/2009. (BRASIL, 2009)
Desse modo, observa-se que pelo fato do empregado ser a parte frágil na relação de emprego, sujeita-se ao poder diretivo ao temer represália. A Lei Geral de Proteção de Dados dá subsídio ao empregado no que tange ao exercício regular do seu direito à intimidade, à liberdade e à privacidade.
3.1 HIPÓTESES DE TRATAMENTO DE DADOS PESSOAIS AO CONTEXTO DA RELAÇÃO DE EMPREGO
A Lei Geral de Proteção de Dados estabeleceu em seu art. 7º, dez hipóteses autorizativas de tratamento de dados pessoais, com o objetivo de orientar as empresas quanto a maneira eficiente acerca da prestação de informação aos titulares sobre o uso dos seus dados.
De acordo com Maia (2020), cabe destacar que as hipóteses são taxativas, ou seja, não se trata de rol exemplificativo que poderá se estender por norma heterônoma, como ocorre com uma Lei Federal, ou autônoma, como acontece com a Convenção Coletiva de Trabalho.
Considerando a primeira hipótese autorizativa, o controlador poderá tratar o dado, mediante o consentimento do titular ou para o cumprimento de uma obrigação legal ou regulatória.
Segundo Carloto (2020), o consentimento deve retratar a real escolha do titular, sem causar prejuízos àquele que não consentir no tratamento de seus dados.
No entanto, Maia (2020), pondera que nas relações de trabalho há um desequilíbrio nesse sentido, uma vez que o empregado é subordinado e economicamente dependente do empregador, podendo gerar consentimento baseado no medo de represália, o que não é válido.
Na existência de hipótese por determinação legal, seja lei federal, estadual, municipal ou demais dispositivos legais o controlador poderá tratar o dado fundamentado nessa base legal (MALDONADO; BLUM, 2019a).
No caso da Administração Pública, tem-se o respaldo da execução de políticas públicas legais, regulamentos, contratos, convênios ou instrumentos análogos.
Preceitua-se também a hipótese de tratamento de dado em função de execução de contrato ou ato preliminar do contrato e a pedido do titular, ou ainda, para o exercício regular de direitos em processos, proteção à vida ou integridade física do titular ou de terceiros (MALDONADO; BLUM, 2019b).
Nesse sentido, dispõe sobre a tutela da saúde, permitida exclusivamente por parte de profissionais da saúde e autoridade sanitária, de forma a resguardar a saúde do titular do dado.
Considerando às necessidades das Instituições sem, no entanto, sobrepor os direitos e liberdades fundamentais do titular, o tratamento deve atender ao legítimo interesse do controlador ou de terceiros. Entretanto, é imperioso que o uso do dado seja transparente e para cumprimento da finalidade pretendida.
Orienta-se o trato do dado para a proteção de crédito inclusive pautado em dispositivo legal pertinente (MALDONADO; BLUM, 2019a).
Ressalta-se a importância de a empresa aplicar o tratamento de dado pessoal, mantendo a aderência do princípio basilar com a hipótese sempre observando o caso concreto.
Dessa forma, no que tange ao procedimento de tratamento de dado pessoal o controlador deve identificar a base legal mais adequada e específica a sua realidade (MALDONADO; BLUM, 2019b).
Na esfera das relações de trabalho, as hipóteses mais recorrentes de legitimação de tratamento são o cumprimento da obrigação legal, execução de contrato ou de procedimentos preliminares referentes ao contrato e o exercício regular de direitos em processo judicial, administrativo ou arbitral.
3.2 IMPACTOS NA RELAÇÃO DE EMPREGO
Atualmente a Europa é referência mundial em matéria de proteção de dados e no art. 88 do Regulamento Geral de Proteção de Dados – GDPR da UE, define regras expressas de tratamento de dados no contexto laboral, tais como:
Os Estados-Membros podem estabelecer, no seu ordenamento jurídico ou em convenções coletivas, normas mais específicas para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos empregados no contexto laboral, nomeadamente para efeitos de recrutamento, execução do contrato de trabalho, incluindo o cumprimento das obrigações previstas no ordenamento jurídico ou em convenções coletivas, de gestão, planeamento e organização do trabalho, de igualdade e diversidade no local de trabalho, de saúde e segurança no trabalho, de proteção dos bens do empregador ou do cliente e para efeitos do exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados com o emprego, bem como para efeitos de cessação da relação de trabalho. 2. As normas referidas incluem medidas adequadas e específicas para salvaguardar a dignidade, os interesses legítimos e os direitos fundamentais do titular dos dados, com especial relevo para a transparência do tratamento de dados, a transferência de dados pessoais num grupo empresarial ou num grupo de empresas envolvidas numa atividade econômica conjunta e os sistemas de controlo no local de trabalho. 3. Os Estados-Membros notificam a Comissão das disposições de direito interno que adotarem nos termos do nº 1, até 25 de maio de 2018 e, sem demora, de qualquer alteração subsequente das mesmas. (UNIÃO EUROPÉIA, 2016)
No Brasil, optou-se por uma abordagem mais ampla e geral da lei sem diferenciar o tipo de relação jurídica no tratamento de dados pessoais, porém a aplicação na relação de emprego é incontestável, uma vez que há coleta, recepção, armazenamento, tratamento e a retenção de dados pessoais de empregados e candidatos ao emprego.
Tanto Aguiar (2018), quanto Coni Júnior e Pamplona Filho (2020) entendem que no âmbito trabalhista, os impactos dos direitos dos titulares dos dados pessoais são bastante relevantes, eis que englobam os mais diversos momentos da relação trabalhista empregatícia.
Coni Júnior e Pamplona Filho (2020, p.25-27) explicam as quatro fases contratuais:
(I) Fase pré-contratual: Durante todo o processo seletivo e suas fases anteriores à celebração do contrato de emprego, a empresa recebe diversas informações sobre o candidato, currículo, histórico funcional, dadospessoais, incluindo endereço, estado civil etc., o que, inclusive deve gerar a “revisão por parte dos recursos humanos quanto aos processos seletivos, para contratação laboral, especialmente quanto ao tipo de informações/dados requisitados aos candidatos, especialmente aqueles considerados sensíveis” 61, devendo ainda ter a cautela de requerer o consentimento deles para eventual armazenamento dos currículos em bancos de dados para futuros processos seletivos, para aqueles candidatos que não tenham sido selecionados;
(II) Fase de formalização do contrato: Na celebração do contrato de trabalho, são coletados dados cadastrais, como CPF, RG, CNH, título de eleitor, carteira de reservista, CTPS, PIS, filiação a sindicado, endereço, nomes dos genitores, escolaridade, situação familiar, nomes dos filhos, idade, tipo sanguíneo, propriedade de veículo, marca, cor, modelo, placa policial, para permitir acesso ao estabelecimento empresarial, etc.;
-
(III) Fase contratual: No decorrer da execução do contrato de trabalho são gerados outra enormidade de dados pessoais tais como os referentes a jornada de trabalho, inclusive aqueles mais sensíveis como os biométricos usualmente coletados pelos empregadores que se valem de registro eletrônico de ponto, o valor do salário/remuneração, descontos, faltas e seus respectivos motivos (justificáveis ou não), doenças, incluindo todo prontuário de saúde, com exames admissionais e periódicos (CLT, art 168) (atestados de saúde ocupacionais – ASO´s), acidentes de trabalho, utilização de informações para geolocalização dos funcionários, dados eventualmente solicitados pelo sindicato da categoria, situações conjugais que podem ter reflexos em providências da empresa, como o pagamento de pensão alimentícia, inclusão de um dependente no plano de saúde, escolha dos beneficiários de um seguro de vida ou de benefícios previdenciários, dados decorrentes da monitorização do empregado, através de sistemas que permitem aos empregadores controlar quem pode entrar nas suasinstalações e/ou certas áreas e departamentos, rastreando as atividades dos funcionários, etc.[...];
(IV) Fase pós-contratual: Dados relevantes também surgem ao término do contrato de trabalho, tais como informações sobre o motivo do desligamento, valor das verbas rescisórias, dados pessoais de empregado falecido, questões ligadas a possíveis pedidos de referência sobre o ex- empregado a pedido de futuros empregadores, dados necessários à elaboração do Perfil Profissiográfico Previdenciário-PPP, que acaba sendo por si só um documento que deve ser objeto de tratamento, justamente por conter todo histórico-laboral do empregado reunindo, dados das mais diversas matizes, durante todo o período em que este exerceu suas atividades na respectiva empresa, etc.;
(V) Relações interempresariais: Há ainda necessidade de tratamento de dados em relação a eventuais empregados das empresas terceirizadas que forem eventualmente compartilhados com a contratante, tais como prestadores de serviço de limpeza e segurança por exemplo.
Constata-se que a magnitude de circulação de dados pessoais na relação de emprego é armazenada tanto eletronicamente quanto fisicamente, meio capaz de registrar as informações pessoais, também, sujeitas à proteção prevista na lei (SOUZA, 2019).
De acordo com Coni Júnior e Pamplona Filho (2020) quando a relação empregatícia não for fonte direta de recebimento de informações, será em determinadas circunstâncias subsidiariamente responsável por motivar a circulação de dados pessoais.
Nessa perspectiva, os autores ressaltam ainda, que há casos em que os empregadores se enquadram como fornecedores de serviços de: contabilidade, plano de saúde, seguro de vida, previdência privada, banco, administradora de folha de pagamento, empresa de vale refeição, alimentação, vale transporte e consultorias.
Não obstante, também ocorre a transferência de informações das empresas (controladoras) com os órgãos públicos como por exemplo: eSocial, Cadastro Geral de Empregados e Desempregados (CAGED), Declaração de Imposto de Renda Retido na Fonte (DIRF), dentre outros.
Observa-se, portanto, que das atividades supracitadas em todas há tratamento de dados pessoais comuns e sensíveis. De acordo com Pinheiro, Silva e Bonfim (2021), deve-se ter cautela essencialmente com: os documentos de identificação dos empregados, o monitoramento de e-mails eletrônicos, mensagens compartilhadas em aplicativos de comunicação, a captura de imagens no local de trabalho, registro biométrico de ponto eletrônico, chamadas de teleconferência e registro de serviço de telemarketing.
Na jurisprudência já há decisão em favor de quem se sentiu lesado no âmbito trabalhista invocando a lei de proteção de dados pessoais, corroborando com a urgência de as empresas alinharem as suas práticas à lei. Logo, pode-se conferir o exemplo (BRASIL, 2020), nos termos da Lei 13.709/2018 (art., 1º e 5º, inc. I e VI).
O recurso alude sobre a inaplicabilidade da produção antecipada de provas na Justiça do Trabalho pela falta de interesse processual e ausência de obrigação legal de apresentar documentos. No entanto, na decisão, o TRT-3 entendeu orecurso incabível considerando a aplicabilidade do CPC artigos 381 a 383, do artigo 769 da CLT e o artigo 6º, inciso IV da LGPD, demonstrando que o direito do titular dos dados ao acesso de suas informações a qualquer tempo, se aplica no caso em tela.
Destarte que, embora a legislação brasileira ainda não tenha regimentado a aplicação da proteção de dados na esfera das relações de trabalho, cabe aprofundar as causas que legitimam o trato dos dados, sendo a operacionalização de forma aderente às necessidades e cenário dos negócios.
Logo, é primordial que os profissionais da seara trabalhista, se atenham na perspectiva da gestão de risco considerando as obrigações impostas pela lei de forma a adequar as rotinas trabalhistas às determinações de proteção de dados.
Após discorrer sobre alguns impactos nas relações empregatícias, finaliza-se com apontamentos de boas práticas no direito do trabalho para adequação à LGPD.
3.2 BOAS PRÁTICAS DA LGPD NA RELAÇÃO DE EMPREGO
Com a vigência da lei a partir de 2020 que define regras abrangentes com mecanismos de controle no que tange a proteção de dados pessoais, as empresas iniciam o processo de adequação que afeta todas as áreas da organização que lidam com dados.
No art. 50 da Lei versa sobre as boas práticas e governança:
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais (BRASIL, 2018).
Nesse contexto, a governança corporativa torna-se imperiosa em um cenário desafiador e de alto risco. Portanto, recomenda-se alinhar as práticas de gestão, Compliance e tecnologia na adoção de um modelo de autorregulação mantendo a sustentabilidade da empresa a longo prazo.
Segundo Pinheiro, Silva e Bonfim (2021), Compliance é um instrumento utilizado pelas empresas para minimizar riscos e alinhar condutas à legislação atinente a sua área de atuação.
Sendo assim, sugere-se a adoção de uma postura preventiva e a busca no mercado de melhores práticas de adequação à lei também nas relações de trabalho. A partir dessa perspectiva, para ordenar as ações no processo de adequação, é essencial a criação de um comitê de LGPD com representantes da área de tecnologia, Compliance, jurídico e recursos humanos, uma vez que o tratamento de dados inicia desde o anúncio de vaga até o desligamento do empregado e pagamento das verbas rescisórias impactando diretamente em todas as etapas.
Posteriormente deve-se mapear os dados pessoais e sensíveis e verificar os dados cadastrais para identificar de forma clara fatores críticos de tratamento e atender ao dispositivo legal. Para Carloto (2019, p. 202):
Os dados deverão sempre ser eliminados após o fim do tratamento. Em regra, os dados poderão ser guardados durante o prazo prescricional trabalhista, mas quando coletada a biometria digital, por exemplo, estes dados deverão ser eliminados assim que acabar o tratamento, ou seja, com a extinção do contrato de trabalho, já que os mesmos eram apenas utilizados para o Registro Eletrônico de Ponto.
No artigo 5º da lei determina a indicação de um encarregado de proteção de dados, podendo ser pessoa física ou jurídica. Dessa forma, caso o empregador opte por atribuir tal função a um empregado com cumulação de função, recomenda-se elaborar um aditivo contratual e analisar se há incidência ou não de conflito de interesse, como por exemplo: pessoas da área jurídica ou da tecnologia (BRASIL, 2018).
Importa destacar que ao tratar o dado deve-se optar inicialmente, por uma justificativa diversa do consentimento como por exemplo: base legal. Não sendo possível, necessita coletar o consentimento por meio de cláusulas, termos ou outras formas de coleta. No entanto, deve-se manter continuamente o registro dos consentimentos seja por meio físico ou digital.
Em que pese a complexidade do impacto da lei na seara trabalhista, é imperioso a realização de auditoria com terceiros com a finalidade de mitigar risco de uma violação indireta. Logo, deve-se exigir adequação das empresas prestadoras, revisar contratos, prever cláusulas relativas à responsabilidade em eventual ocorrência de vazamento devem ser inseridas de forma a proteger os dados e resguardar a empresa controladora.
Entende-se como ação importante para engajamento dos empregados a elaboração de código de ética e de conduta com regras atinentes a segurança desde a concepção e punições disciplinares em caso de descumprimento das regras.
Nesse sentido, compreende-se que a política de advertência é um mecanismo de poder do Compliance trabalhista que confere poder ao empregador observando- se graus e proporcionalidade nas sanções, uma vez que tem função educativa e corretiva. Carloto (2019, p. 204): fundamenta que:
A aplicação das penalidades pelo empregador aos seus empregados deve obedecer a regras como a imediatidade, proporcionalidade entre a falta e a punição e não pode haver a dupla penalidade pelo mesmo ato. As punições consistem em advertência, suspensão e justa causa. No nosso ordenamento estas não estão em um diploma. Não há uma lista de faltas que dão ensejo a advertência, suspensão ou justa causa, mas o empregador deve usar de proporcionalidade e não se utilizar de forma abusiva do seu poder empregatício disciplinar.
Além disso, para o sucesso de adequação há que se realizar ações de sensibilização do corpo funcional, como capacitações sobre a lei, regras institucionais, conceitos e princípios básicos.
Ademais, para ter uma visão sistêmica do processo de adequação é imprescindível elaborar relatório de impacto à proteção de dados com o detalhamento dos processos de risco, medidas e mecanismos de mitigação.
Entende-se que finalizado o processo de adequação, torna-se um procedimento institucional com acompanhamento e alinhamento contínuo de forma a assegurar o respeito aos direitos fundamentais de liberdade e privacidade dos titulares dos dados pessoais, sejam eles empregados ou empregadores.