A Lei Geral de Proteção de Dados (LGPD) é um novo marco legislativo que produz relevantes impactos nas instituições públicas e privadas. Por se aplicar indistintamente às operações de tratamento de dados pessoais, inevitavelmente também afeta as relações de trabalho e emprego, suscitando questões fundamentais sobre as medidas a serem adotadas pelos empregadores com o objetivo de proteger os direitos de seus empregados.
PREFÁCIO
Desde a sua entrada em vigor, a Lei Geral de Proteção de Dados (Lei nº 13.709/18) vem ocupando, cada vez mais, espaços de grandes debates e discussões técnicas nos mais diversos ambientes profissionais de das organizações, sejam eles ligados à área do Direito, da Tecnologia, da Segurança da Informação ou da própria Administração. Não importa, já que todas elas estão não só relacionadas ao novo diploma legal, mas também constituem atores sem os quais não se enxerga a possibilidade de uma efetiva implementação, educação, avaliação e contínuo monitoramento de todos os quesitos e determinações que passaram a ser exigidos desde o dia 18 de setembro de 2020.
Como não poderia deixar de ser, a Gestão da Saúde e da Segurança do Trabalho em conjunto com os setores de Departamento de Pessoal e de Recursos Humanos das empresas são as áreas mais impactadas pela LGPD. Não importa se a empresa tem 6 ou 6 mil trabalhadores: o tratamento de dados pessoais e de dados sensíveis é sempre muito maior do que nas outras áreas e, justamente por isso, pensou-se em abordar alguns aspectos-chaves nesse contexto.
Por outro lado, A LGPD não foi pensada para as peculiaridades das relações de trabalho, é uma lei de caráter genérico e amplo, mais voltada para questões consumeristas, como expresso em seu art. 2º atua para defender a privacidade, a autodeterminação informativa, a liberdade de expressão, de informação e de opinião.
Entretanto, sua aplicação deve ser efetuada a “qualquer operação de tratamento” (art. 3º), sem ressalva ao contrato de trabalho, sendo certo que o art. 4º, ao tratar das hipóteses em que ela própria não se aplica, não fez menção às relações de trabalho como excludente.
Portanto, a Lei Geral de Proteção de Dados deve ser observada em cada um dos momentos em que uma relação de trabalho se desenvolve, isto é, antes de começar, na celebração do contrato, durante o seu desenvolvimento e ao final da sua conclusão ou na dissolução.
Existem também outros tipos de situações que podem surgir no desenvolvimento e execução da relação de trabalho, em que podem existir dados e informações a que o empregador tem acesso e que devem ser tratadas com discrição e cuidado observando a Lei.
Significa dizer que as organizações, de diferentes portes e ramos de atuação, deverão redobrar os cuidados com a coleta, armazenagem e tratamento de dados e informações.
Pretendemos neste artigo, abordar a aplicação da Lei nos os processos que envolvem o Direito Laboral, em especifico na gestão de Segurança e Medicina do Trabalho.
DA LEI Nº 13.709, DE 14 DE AGOSTO DE 2018
Primeiro precisamos entender sobre a lei 13.709/2018, também conhecida como Lei Geral de Proteção de Dados, ou LGPD que dispõe sobre a proteção dos dados pessoais de todas as pessoas naturais em território brasileiro.
Conforme o Projeto de Lei de Conversão nº34/2020, resultado da MP nº 959/2020 e convertido na Lei 14.058, em 17 de setembro de 2.020 a “LGPD” passou a valer a partir de 18/09/2020.
Por força da Lei 14.010/20, as sanções entraram em vigor no dia 1º de agosto de 2021. As punições podem chegar até 2% do faturamento até o limite de 50 milhões de reais.
APLICAÇÃO
Conforme Lei 13.709/2018 – Todas as empresas estão sujeitas às implicações da lei, no Art. 3º defini que a Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I – a operação de tratamento seja realizada no território nacional;
II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
III – os dados pessoais objeto do tratamento tenha sido coletados no território nacional.
DEFINIÇÕES
Para compreender melhor a aplicabilidade da LGPD para as áreas abordadas, será necessário conhecer algumas definições disponível na Lei em seu – Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
DOS PRINCÍPIOS
No Brasil, a disciplina jurídica aplicada aos dados pessoais estava esparsa na Constituição Federal (artigo 5. ° Incisos, X, XI e XII)27 e em leis, tais como Código Civil (Arts. 20 e 21), Código de Processo Penal (Art. 201 § 6°) e Marco Civil da Internet. Entretanto, com a aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, o Brasil inaugurou o que se pode chamar de sistema normativo protetivo de dados pessoais.
Neste aspecto, a lei deve ser entendida como um sistema, pois estabelece princípios que devem nortear direitos básicos dos titulares de dados pessoais, fundamentos, obrigações impostas aos controladores e responsáveis pelo tratamento de dados pessoais. Assim, fala-se que a espinha dorsal da proteção de dados pessoais, é, basicamente, formada por vários princípios basilares, a saber:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
LGPD APLICADA NA GESTÃO DE SEGURANÇA E MEDICINA DO TRABALHO
Muitas empresas já aplicam e são adeptas aos princípios e métodos da Governança Corporativa, já possuem uma cultura de privacidade, ou, estão em fase de implantação dos programas de adequação à LGPD, estas organizações já entenderam que, tão importante quanto proteger e saber como gerir os dados de clientes e fornecedores é manter em segurança as informações de seus próprios trabalhadores e cobrar de seus parceiros de negócios o cumprimento da Lei.
Neste aspecto, as relações trabalhistas estão sendo repensadas, principalmente em função da coleta, do armazenamento e do uso de dados pessoais e sensíveis dos recursos humanos das empresas, sejam eles regidos pela CLT ou não. Todos os procedimentos, inclusive os anteriores à contratação, fase pré-contratual, e após o término do contrato devem ser readequados às normas da LGPD e às novas regras trabalhistas.
O tratamento de dados e a adequação à Lei Geral de Proteção de Dados nas relações de trabalho iniciam-se no anúncio da vaga de emprego, nos exames admissionais e na aferição e validação dos treinamentos e capacidades do candidato, nesta fase iniciam-se os tratamentos e fluxos de dados que irão permear todo o contrato de trabalho, inclusive na fase da rescisão contratual.
Muitos dados ainda poderão continuar sendo tratados após a extinção da relação empregatícia e pelo período da prescrição bienal, já que a Lei Geral de Proteção de Dados autoriza este tratamento. É importante destacar que a LGPD exige conformidade não apenas no tratamento de dados de empregados ou trabalhadores com vínculo, mas também de trabalhadores autônomos e até trabalhadores eventuais, quando houver tratamento de dados de pessoas naturais.
Este processo, aplicado no âmbito trabalhista, revela o objetivo de assegurar ao trabalhador, titular de dados pessoais, o controle sobre o destino das suas informações pessoais, a partir de uma relação transparente com quem controla esses dados.
Dessa forma, cabe o tratamento de dados por estes processos e toda operação realizada com dados pessoais, que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração será necessário estabelecer procedimentos e práticas para atender a LGPD nestas áreas.
ASPECTOS PRÁTICOS
A área da Segurança e Medicina do trabalho, no contexto empresarial, demanda do operador, a análise acurada dos ambientes, setores, processos, máquinas e equipamentos, além de documentos individualizados, tais como, programas, laudos, exames, perícias, atestados, dentre as práticas que demandam estudo, tratamento e armazenamento de dados destacam-se:
Avaliação probatória e lista de Presença de treina..entos contendo dados pessoais;
Atas eleição, nomeação e de reunião da CIPA;
Fotos dos setores e ambientes contendo pessoas identificáveis;
Fotos, filmagens e imagens de treinamentos;
Planos de treinamentos com dados pessoais;
Dados pessoais em documentos de segurança, tais como: Plano de Gerenciamento de Riscos, Planos de emergências, listagens de equipes de emergências e evacuação, ordens de serviços por função, Brigada de incêndio, dados sensíveis contidos no Perfil Profissiográfico Previdenciário, além de documentos de terceiros e prestadores de serviço de forma geral;
Monitoramento por Câmeras nos ambientes de trabalho;
Contratos, requisições, notas fiscais, e outros documentos de fornecedores e clientes.
Tudo isso, somado a gestão da Medicina Ocupacional, onde são armazenados os dados sensíveis e individualizados dos trabalhadores, tais como: Anamnese, Resultado de exames, Histórico e Ficha Clinica, (ASO) Atestado de Saúde Ocupacional, cópia da (CAT) Comunicação de Acidente de Trabalho, Exames individuais e complementares, entre outros procedimentos.
Resumindo, estes e outros dados relatados devem ser tratados corretamente, com base na LGPD.
HIPÓTESES DE TRATAMENTO DE DADOS
Uma das grandes preocupações da nova legislação foi a de elencar os requisitos e hipóteses necessárias para que os dados pessoais possam ser devidamente utilizados pelos controladores,neste sentido, aplicando as hipóteses do art. 7º da LGPD às relações de emprego, podemos sustentar que os dados pessoais poderão ser exigidos dos empregados, especialmente para:
1) Cumprimento de obrigação legal (art. 7º, II): por determinação legal, a empresa necessita de diversos dados pessoais de seus empregados, como informações para constar no registro de empregados (qualificação civil do trabalhador, dados sobre a relação de emprego, férias, doenças, acidentes de trabalho etc.), dados sobre exames de saúde ocupacional.
2) Dados necessários para a execução do contrato a pedido do empregado (art. 7º, V): por essa hipótese, a empresa poderá usar os dados do empregado quando for por ele autorizado para a execução do contrato de trabalho.
3) Interesses legítimos do controlador (art. 7º, IX): nesse caso, o empregador poderá obter dados pessoais sem o consentimento quando houver um interesse legítimo do controlador no uso desses dados, desde que não haja violação de direitos e liberdades fundamentais do titular que exijam a proteção dos dados. Há discussão quanto ao alcance da expressão “interesses legítimos” por se tratar de conceito vago e abstrato.
DA IMPLEMENTAÇÃO
Para o controle de dados nestes processos recomendamos as empresas implementem uma gestão completa e adequada da LGPD, contemplando as seguintes etapas:
1- Inventario de dados: Tipo de dados armazenados? Local? Quem utiliza estes dados? Qual a finalidade? Necessita de consentimento? Quem é o responsável destes dados nos processos?
2- Obtenção do consentimento: É uma etapa mais demorada, deve ser iniciada após inventário de dados, quando tenho todos os dados identificados e inventariados. Deve-se acionar todos os titulares dos dados, informar a finalidade do uso daqueles dados, obter e armazenar as autorizações.
3- Limpar os dados que não são necessários: Descartar o desnecessário e o que não pode ser justificado, porque quanto mais dados na empresa, maior o risco e maior o esforço para protegê-los e para buscar consentimento.
4– Proteção dos dados: Avaliar a segurança dos dados que restaram após a limpeza e implementar ações para garantir sua proteção e monitoramento, com segurança física, lógica, controles de acesso, rastreabilidade, etc.
5- Gestão dos dados: Fazer o gerenciamento, governança e funções para responder demandas de usuários, clientes, fornecedores, e órgãos de controle.
POR QUE A LGPD IMPACTA A SAÚDE E A SEGURANÇA DO TRABALHO?
Em resumo, a Gestão de Segurança e Medicina do Trabalho engloba demandas ocupacionais e principalmente históricos de profissionais que trabalharam ou ainda trabalham nas organizações.
Em algumas circunstâncias, também é possível processar informações de saúde, incluindo condições de saúde física e mental, deficiências, registros de ausência por doença e notas de relatório de acidentes para proteger a vida ou a segurança física do titular dos dados ou de terceiros.
Seguindo estes princípios, com a lei LGPD, a saúde ocupacional está totalmente ligada com as informações de saúde dos trabalhadores, visto que armazena dados de funcionários e ex-funcionários ao longo do tempo.
TERMO DE CONSENTIMENTO
Além de todos os pontos já levantados até aqui, é importante destacar que a LGPD se aplica a qualquer pessoa física ou jurídica que processe os dados pessoais de brasileiros. Em suma, qualquer empresa que colete, use, transfira, armazene e processe os dados pessoais de um cliente ou funcionário brasileiro está sujeita à Lei Geral de Proteção de Dados.
Todavia, é preciso sempre ler e autorizar termos de consentimento nos trabalhos e contratação de serviços. Deste modo, para contratar um serviço, os usuários precisam aceitar estes termos e passam a ter cautela ao fornecer seus dados e contratar serviços de determinadas empresas.
COMO UM ADVOGADO PODE TE AJUDAR NO PROCESSO?
Como vimos, de acordo com a nova Lei, foram atribuídas responsabilidades para quem processa os dados de qualquer pessoa física. E, com isso, adotando esse conceito nas relações de trabalho, fica evidente que os empregadores – ou mesmo os tomadores de serviços – terão que proceder com a devida coleta, armazenamento e tratamento dos dados de quem presta serviços em seu nome.
A utilização de um Advogado Especializada para lhe ajudar com essas demandas de coleta dos dados dos empregados pelas empresas é uma prática comum, por exemplo, para o estabelecimento de políticas internas e para a análise dos benefícios a serem concedidos pelas empresas aos seus empregados.
Assim, desde o processo de seleção (quando o indivíduo fornece à empresa um grande número de dados), passando pela contratação (quando vários documentos serão fornecidos e deve ser exigido o consentimento prévio do tratamento de dados, ou seja, através de cláusula expressa no contrato de trabalho), até o momento da rescisão.
Em conclusão, a ajuda de consultores para que sua empresa não se desvie das obrigações e sofra com multas torna-se uma ótima estratégia. Além disso tudo, também é fundamental que os departamentos Jurídico, Segurança e Medicina do Trabalho, Departamento de Pessoal e de Recursos Humanos estejam alinhados, treinados e capacitados para realizar o tratamento de dados pessoais de acordo com os parâmetros legais estabelecidos pela LGPD.
CONSIDERAÇÕES FINAIS
Pela leitura do artigo, percebe-se que a LGPD só fará sentido, e trará resultados concretos se for inserida e aplicada dentro dos princípios da governança corporativa e do compliance laboral, devendo estar alinhada a outros processos internos da organização.
Desse modo, torna-se imprescindível a escolha correta do operador, do encarregado (DPO) além da formação dos comitês internos para estudo, aplicação e revisão da LGDP.
Muitas empresas terceirizam os processos de gestão segurança e medicina do trabalho, logo, é indispensável que sejam feitos aditivos aos contratos de prestação de serviço, delimitando as responsabilidades, finalidade e abrangência dos dados coletados junto ao controlador (empresa tomadora dos serviços).
Ressalto por fim, que o presente artigo não engloba todas as obrigações e dispositivos contidos na lei 13.709/2018 (LGPD), mas somente uma breve demonstração sobre os impactos da LGPD no Direito Laboral, em específico na Gestão de Segurança e Medicina do Trabalho das empresas.
REFERÊNCIAS:
CALEGARI, Luiz Fernando. A influência da LGPD nas Relações de Trabalho: a necessidade de as empresas se adequarem à nova legislação. Síntese. 2020.
ALVES, Amauri Cesar; ESTRELA, Catarina Galvão. Consentimento do trabalhador para o tratamento de seus dados pelo empregador: análise da subordinação jurídica, da higidez da manifestação de vontade e da vulnerabilidade do trabalhador no contexto da LGPD. Síntese. 2020.
ALVES, Amauri Cesar; ESTRELA, Catarina Galvão. Consentimento do trabalhador para o tratamento de seus dados pelo empregador: análise da subordinação jurídica, da higidez da manifestação de vontade e da vulnerabilidade do trabalhador no contexto da LGPD. Síntese. 2020.
VASCONCELLOS JUNIOR, Carlos Augusto Pinto de; FERREIRA, Victor Silva. Impactos da Lei Geral de Proteção de Dados Pessoais nas relações de trabalho: a necessidade de implantação do programa de compliance. Síntese. 2020.
PESSOA, André, MOLLICONE, Bianca, MIZIARA, Raphael, Reflexos da LGPD no Direito e no Processo do Trabalho, São Paulo, Revista dos Tribunais.
ALMEIDA, Tânia. Caixa de Ferramentas em Mediação, Aportes práticos e teóricos. São Paulo: dasheditora, 2014.
SILVA, Lima e Silva; e Pinheiro, Iuri. Manual do Compliance Trabalhista – Teoria e Prática. Salvador: Editora Jus PODIVM, 2020.
CARVALHO, Zenaide. Compliance Trabalhista, prática, riscos e atualidades. Goiânia:BSSPeditora, 2019.
