Resumo: O presente artigo aborda os impactos trabalhistas decorrentes do regramento trazido pela Lei 13.709/2018, que versa sobre a proteção de dados pessoais. Preliminarmente examina-se a tecnologia como força-motriz de mudança nas relações mercantis, sendo automação das atividades laborais, o uso da Internet e de novas ferramentas tecnológicas determinantes nesse contexto de proteção digital a luz da lei. Diante dessa realidade, surge a necessidade de estabelecer regras, leis e normas para regular o tratamento de dados e proteger o direito do titular também na esfera virtual. Posteriormente, apresenta-se breve contexto legal da LGPD demonstrando que embora o tema seja tratado em outros ordenamentos jurídicos, esta foi criada especificamente para regular e proteger os direitos fundamentais de liberdade e de privacidade do titular do dado. Em seguida abordam-se conceitos, requisitos, fundamentos, sanções e hipóteses de tratamentos a serem observados na relação empregatícia. Por fim, discorre-se sobre as boas práticas da LGPD nas relações de emprego concluindo com recomendações para o atendimento às exigências impostas pela lei.
Palavras-chave: Proteção de Dados. Adequação. Impacto trabalhista à luz da LGPD. Compliance. Boas práticas.
1. INTRODUÇÃO
A Lei Geral de Proteção de Dados brasileira foi inspirada na General Data Protection Regulation, regulamento Europeu idealizado em 2012 e aprovado em 2016, que versa sobre o direito à proteção de dados pessoais dos cidadãos dos países blocos da União Europeia (UE). Dessa forma, as instituições devem atender as minuciosas regras na coleta, processo, compartilhamento e proteção dos dados pessoais.
Com a finalidade de manter relações de comércio internacional o Brasil se viu obrigado a se posicionar na adoção de medidas e na criação de lei específica sobre a proteção de dados pessoais, de forma a garantir maior segurança jurídica no âmbito nacional e internacional, sob pena de ser excluído dos negócios com a União Europeia e demais países que adotaram tal prática.
Outro fator gerador da necessidade de uma lei específica de proteção de dados foi a evolução tecnológica aliada ao uso de ferramentas que viabilizam o compartilhamento de dados e informações de forma massificada. Nesse cenário, os dados pessoais ganham valor comercial e são alvos de uso indiscriminado, sendo a Lei 13.709/2018 criada para impor limites e regramentos de compartilhamento dos dados de maneira responsável e lícita.
Considerando as determinações, os princípios, a finalidade e os requisitos da LGPD, bem como, as sanções impostas, percebe-se que tais fatores interferem também na atuação das empresas nos seus processos e atividades, incluídas as relações de trabalho e emprego. Dessa forma, as empresas buscam também adequar a gestão para um modelo de governança e boas práticas, conforme preceitua a Seção II da LGPD.
Nesse cenário, o fator crítico de sucesso de adequação, é conhecer boas práticas, reavaliar se o modelo de gestão está aderente às prerrogativas da lei, identificar riscos e adotar medidas preventivas para não incidir na sua infração, podendo acarretar em última instância no fechamento das operações da empresa e na exposição do titular do dado, considerando neste contexto, que um dos requisitos da relação de emprego é a subordinação que confere poder diretivo ao empresário.
A pesquisa apresenta uma abordagem qualitativa, de natureza aplicada, utilizando a pesquisa bibliográfica e documental, a qual, por meio de interpretações e compreensões dos fenômenos teóricos, permite compreender o contexto da concepção da LGPD, examinar os impactos e riscos no direito do trabalho e apresentar boas práticas de adequação à lei na relação trabalhista.
2. TECNOLOGIA COMO PROPULSORA DE MUDANÇA
A sociedade contemporânea vem se transformando ao longo do tempo. Com o advento da globalização na segunda metade do Séc. XX as barreiras econômicas entre países foram transpostas e abriu caminho para uma integração mundial. Segundo Herbert Marshall McLuhan (1964), vive-se em uma aldeia global.
Os avanços tecnológicos contribuíram para tais mudanças, a criação de meios de comunicação, o uso de Internet e novas tecnologias, tais como analytics e Big Data ferramentas capazes de analisar dados dispostos em ambiente virtual com o objetivo de influenciar os usuários. Nesta linha, a título de exemplificação do impacto do uso da tecnologia lembramos o caso da empresa Cambridge Analytica que causou grande repercussão mundial:
Entre os anos de 2014 a 2018, a empresa Cambridge Analytica obteve dados de perfis de usuários da rede social Facebook nos Estados Unidos e no Reino Unido, com o objetivo de influenciar eleitores em campanhas políticas. As informações obtidas foram coletadas por meio de testes de personalidade na própria página da rede social, sendo possível traçar o perfil das pessoas por meio de páginas curtidas e postagens realizadas. Mediante análise do comportamento do usuário na rede social, seria possível direcionar propagandas eleitorais de acordo com o perfil da pessoa (PIURCOSKY et al, 2019, p.10).
Dessa forma, é evidente o poder que a tecnologia detém em interferir na mudança de padrões de interação nas relações humanas na esfera cultural, econômica, social e política.
Para Magrani, Freitas e Hurel (2016), as aceleradas modificações trazidas pela tecnologia podem gerar muitos benefícios aos consumidores a exemplo da impressora 3D, que possibilita a impressão de produtos e dispensam o serviço de transportadoras. Citam ainda, o uso da IA (inteligência artificial) nas diversas atividades para compreender perfis, identificar erros e prestar suporte na tomada de decisões.
Observa-se que a cada dia termos tecnológicos são inseridos em nosso cotidiano, como por exemplo a Internet das Coisas, Inteligência Artificial (IA), Drones, Computação Quântica, Impressoras 3D, Big Data, Cidades Inteligentes, expressões que fazem parte da chamada Quarta Revolução Industrial, que consiste na junção entre o ambiente físico, digital e biológico, tal como o crescimento de cadaum perante as variáveis de velocidade, escala e impacto sistêmico (MAGRANI; FREITAS; HUREL, 2016).
Ao avaliar o cenário digital de hiperconectividade entre os dispositivos, percebe-se que não há uma consciência exata dos estragos ocasionados e tampouco, tem-se regramento jurídico capaz de evitar os prejuízos que podem advir do armazenamento, tratamento e compartilhamento dos dados pessoais em um contexto de Internet das Coisas (MAGRANI; FREITAS; HUREL, 2016).
Para Magrani (2018, p.15-16) a Internet das coisas é:
A progressiva automatização de setores inteiros da economia e da vida social com base na comunicação máquina-máquina: logística, agricultura, transporte de pessoas, saúde, produção industrial e muitos outros. Para isso, é necessário um ambiente favorável ao acesso de um número cada vez maior de dispositivos.
Nesse sentido, a evolução tecnológica, afetou significativamente as organizações que precisam acompanhar as inovações para manterem-se competitivas no mercado. Deste modo, é primordial haja uma governança corporativa na empresa, pois esses fatores implicam nas questões jurídicas, infraestrutura e nas relações de trabalho.
Diante da necessidade de uma atuação mais estratégica por parte das empresas, em 1995 foi criado o Instituto Brasileiro de Governança Corporativa (IBGC), organismo responsável por elaborar o Código de Melhores Práticas de Governança Corporativa. O IBGC elucida que:
Governança corporativa é o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas. As boas práticas de governança corporativa convertem princípios básicos em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem comum (IBGC, 2021).
O cenário de pandemia causado pelo COVID-19 demonstrou a importância da governança corporativa, pois intensificou o uso da tecnologia, provocou mudanças significativas na sociedade global, modificando também as formas de trabalho em diversas empresas, sendo a modalidade presencial substituída pelo teletrabalho. O fechamento do comércio incrementou o e-commerce e a superexposição de dados e informações no ambiente virtual, que ampliou a ocorrência de ataques cibernéticos (MIZIARA; MALLICONE, 2020).
Diante do exposto, entende-se que o grande desafio é mitigar os riscos decorrentes da nova realidade, onde a informação assume o papel protagonista da produtividade e do desenvolvimento econômico.
2.1 BREVE CONTEXTO LEGAL DA LGPD
Nesse ambiente volátil, incerto e inseguro, aumenta-se o apelo por leis mais específicas e efetivas no que tange à proteção de dados pessoais. O mercado internacional pressiona cada vez mais o Brasil na adoção de medidas para garantir legalmente a proteção de dados afim de haver maior confiabilidade no seu compartilhamento.
O ordenamento jurídico brasileiro aborda questões relacionadas a proteção de dados na Constituição Federal (CF) em seu art. 5º por meio de um rol de direitos fundamentais que versam sobre privacidade, intimidade, proteção ao sigilo de dados e da correspondência. Ademais, as normas infraconstitucionais como Código Civil (CC), Código de Processo Penal (CPP), Código de Defesa do Consumidor (CDC), Lei do Cadastro Positivo, Marco Civil da Internet (MCI), Habeas Datas (HD) e a Lei de acesso à Informação (LIA) ajudam a regular a matéria em alguns aspectos (ROCHA, 2020; DELGADO, 2017).
Havendo a exigência do mercado por uma norma específica sobre o tema, após muitos debates foi publicada a Lei nº 13.709/2018 conhecida por Lei Geral de Proteção de Dados – LGPD, que entrou parcialmente em vigor em 16 de setembro de 2020. Isso porque as sanções disciplinares e administrativas entrarão em vigor em 1º de agosto de 2021 (CARLOTO, 2020).
Entretanto, embora as sanções estejam em período de vacância, os princípios e deveres estão brindados de conformidade e ensejam responsabilidade civil em caso de descumprimento.
Em geral a Lei 13.709/2018 dispõe do regramento de coleta, tratamento, armazenamento e compartilhamento de dados pessoais pelas instituições, de forma a garantir aos titulares o direito sobre suas informações, responsabilizando quem processa os dados, estruturas e formas apontando para eventuais sanções disciplinares se constatado abuso (CARLOTO, 2020).
A lei é aplicada a todas as pessoas físicas e jurídicas que utilizam dados pessoais, seja por meio físico ou virtual com objetivo de obtenção de lucro.
2.2 CONCEITOS E FUNDAMENTOS DA LEI
Para melhor compreensão acerca da LGPD, importa destacar conceitos básicos aludidos em seu art. 5º. Neste sentido, dado pessoal é toda informação que permite identificar um indivíduo. De outro modo os dados sensíveis, são os suscetíveis a maior incidência de discriminação, tais como: dados de crianças e adolescentes, informações referentes a cor, raça, sindicato, saúde, convicção religiosa, opinião política e opção sexual que exigem maior rigor de proteção.
O tratamento de dados é qualquer operação realizada com os dados pessoais, que estejam no meio físico ou digital. Para fins da LGPD, no art. 5º, considera-se:
X - Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. (BRASIL, 2018)
Portanto, conforme afirma Carloto (2020), o tratamento de dados pessoais deve respeitar o regramento da lei, que objetiva assegurar a transparência nas ações realizadas com o dado de pessoa natural, desde a coleta até a eliminação.
O titular é o dono do dado pessoal e os agentes de tratamento são: o controlador, responsável pelas decisões inerentes ao tratamento do dado pessoal; o operador, pessoa física ou jurídica que trata o dado; e o encarregado, pessoa responsável por atuar como canal de comunicação entre titular, controlador e a Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador e fiscalizador LGPD.
Vale mencionar e esclarecer que de acordo com Guia Orientativo da ANPD não são considerados operadores:
[...] empregados, administradores, sócios, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos expressam a atuação desta não devem ser considerados operadores, tendo em vista que o operador será sempre uma pessoa distinta do controlador, isto é, que não atua como profissional subordinado a este ou como membro de seus órgãos. (ANPD, 2021)
Resta claro de que a orientação veio para alinhar o entendimento de que os empregados subordinados não devem ser considerados operadores, pois atuam a partir do poder diretivo do empregador. Sendo assim, não há que se falar em equiparação de responsabilidade de empregado e empregador.
Após a compreensão dos conceitos trazidos pela lei serão abordados os princípios basilares e as hipóteses que regem a forma adequada de tratamento de dados pessoais.
2.2.1 Princípios basilares e responsabilidade civil
A Lei brasileira de proteção de dados está fundamentada em princípios que tutelam a liberdade, a privacidade e a autodeterminação informativa, também previstos expressamente na Constituição Federal de 1988, que assegura como direitos fundamentais do cidadão, a inviolabilidade de sua privacidade, a intimidade, a vida privada, a honra e a imagem, garantindo o direito à indenização pelo dano moral ou material em função de sua violação.
Tanto o Código de Defesa do Consumidor, em seu art. 14, caput, quanto a LGPD, em seus artigos 42, determinam a responsabilidade objetiva da empresa em reparar o dano, não sendo necessária a demonstração de dolo ou culpa, sendo suficiente comprovar o nexo causal entre a conduta e o dano. Ademais, disciplinam que a responsabilidade também é solidária, alcançando todos os integrantes da cadeia produtiva:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente,salvo nos casos de exclusão previstos no art. 43 desta Lei (BRASIL, 2018).
Neste sentido, as excludentes de responsabilidade previstas na LGPD indicam a incidência de responsabilidade objetiva, vez que descrevem situações em que não há a incidência do nexo de causalidade entre a conduta do agente e o dano ao titular do dado, tampouco qualquer menção à culpa ou intenção do agente.
Dispõe a LGPD, em seu artigo 43:
Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído; II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros (BRASIL, 2018).
O artigo 6º da Lei versa sobre o trato apropriado do dado, que deve estar pautado nos princípios da boa-fé, finalidade, adequação e necessidade, que respectivamente atendem ao propósito da coleta de forma legítima, específica, adequada e compatível com o informado ao titular do dado.
Também estão disciplinados no mesmo artigo, os princípios de livre acesso, qualidade dos dados, transparência, segurança, prevenção e não discriminação que garantem o direito a consulta gratuita e acessível sobre uso do dado, bem como, a clareza, precisão e atualização da informação (BRASIL, 2018).
Dessa forma, o titular do dado pode requerer ao agente de tratamento informações completas de quais dados estão em tratamento, o motivo, o ajuste, além de pedir o bloqueio e a exclusão, salvo se houver garantia legal. A partir dessa premissa, resta claro que não é mais admitida a utilização indiscriminada de dados pessoais.
Por fim, a LGPD disciplinou os princípios da responsabilização e da prestação de contas para estimular o emprego de providências técnicas e administrativas preventivas à não incidência de danos e discriminação do titular, além de inibir condutas ilícitas (SOUZA, 2019).
Importante destacar que a não observância dos princípios pode acarretar na aplicação de sanções civis, penais e administrativas. Sendo as últimas analisadas na próxima sessão.
2.2.2 Sanções e penalidades
A legislação brasileira, da mesma forma que a europeia, adotou uma abordagem responsiva para regular a proteção de dados como estratégia de impor maior responsabilidade às organizações, restando ao Estado a aplicação de normas regulatórias escaláveis. Essa metodologia de governança regulatória é caracterizada pela necessidade de que regulados exerçam maior grau de colaboração e assumam o compromisso dos seus atos.
Nesse sentido, ao comparar a legislação europeia e a brasileira, verifica-se a opção de ambas pelos aspectos da regulação responsiva, em detrimento dos de comando-e-controle, para aplicação das normas. Em particular, nota- se claramente a adoção pelos legisladores de estratégias regulatórias escaláveis, que partem desde mecanismos de autorregulação regulada até regulação por sanções. (ARANHA, 2019)
Portanto, ao adotar a teoria da abordagem responsiva por meio da autorregulação regulada, entende-se que as organizações possuem mais capacidade de controlar suas atividades do que o governo. Essa autorregulação é provocada pela intervenção estatal em menor grau.
Importante esclarecer que as sanções previstas na LGPD são apresentadas de forma escalonável e podem ser representadas na pirâmide de constrangimentode Braithwaite e Ayres.
A lei, em seu artigo 52, dispõe sobre as sanções administrativas a serem aplicadas pela ANPD, tais como: advertência e estabelecimento de prazo para correção, multa de até 2% do faturamento total da empresa ou conglomerados,
limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, multa diária, publicização da infração, bloqueio de dados pessoais até regularizar e eliminação dos dados inerentes a infração, como disposto na Figura 1.
Figura 1: Pirâmide de Constrangimento da LGPD do Brasil
Fonte: Iramina (2020, p. 112)
Da mesma forma que o regulamento europeu, a LGPD, se valeu de mecanismos de persuasão com a prática voluntária de boa governança pelos entes regulados, para os de sanção, com ação mais punitiva e aplicação de multas que podem chegar até 50 milhões de reais.
De acordo com a afirmativa do autor Aranha (2019), os melhores resultados de conformidade projetados pela atuação responsiva vão acontecer quanto mais distante for o topo da pirâmide da base. O que demonstra que a quantidade de sanções disponíveis ao regulador deve ser o mais eficaz possível, para que o regulado perceba que a agência reguladora é um órgão eficiente.
Dispõe o artigo 55-A da lei, sobre a criação da ANPD, que é órgão da administração pública federal indireta, submetida a regime autárquico especial, vinculada à Presidência da República, responsável por fiscalizar e aplicar as sanções administrativas, observando os princípios da ampla defesa e contraditório.
Destarte, independente da aplicação das sanções administrativas, preceitua o § 2º, do artigo 52, da Lei, que não substituem a aplicação de sanções civis ou penais, definidas no CDC (lei 8.078/90) e demais leis específicas relacionadas ao tema.
Como visto é primordial a precaução e o rigor no tratamento de dados pessoais, pois as sanções são severas e possibilitam processos judiciais em diversas esferas, tais como: cível, consumerista, penal e trabalhista. Na próxima seção, serão aprofundados os temas relativos à importância da LGPD na relação de emprego.
