Está valendo!
No dia 18/09/2020, a Lei nº 13.709/2018, conhecida como LGPD – Lei Geral de Proteção de Dados, passou a vigorar em todo território nacional, restando pendente apenas os artigos relacionados às sanções administrativas para aqueles que desrespeitarem as normas de tratamento de dados pessoais.
Você que acompanha nosso blog, já deve ter visto que já faz um tempo que tratamos sobre o assunto, desde o tempo que o Marco Civil da Internet era “A novidade” novidade do momento. O que? Não conhecia ainda o blog CHC? É novo por aqui? Seja muito bem-vindo, e aproveite para se atualizar sobre o tema.
Pensando nisso, que tal maratonar nossos artigos sobre LGPD? Para conhecer os termos mais gerais, indico a leitura desse artigo aqui: Você sabe como a Lei de Proteção de Dados vai afetar sua empresa? e se quiser conferir a questão da LGPD com uma pitada de entretenimento recomendo fortemente esse nosso vídeo:
Ah… mais uma coisa. Antes de partir com tudo para este post que preparamos para você, não esqueça de ativar as notificações do nosso blog, pois toda semana disponibilizamos conteúdos para te manter sempre atualizado. E como o tema é LGPD, o ideal é não perder nenhum capítulo, pois novidade é que não falta nesta área.
Então, neste artigo, vamos conversar sobre os aspectos da LGPD nas relações trabalhistas e as aplicações práticas realizadas em outros países que já possuem legislação sobre tratamento de dados em vigor há mais tempo. E para quem conferir esse post até o final, vai receber uma dica bônus!
Qual o objetivo da LGPD nas relações trabalhistas?
A LGPD como um todo visa assegurar respeito à privacidade em todos os setores da economia, fato que inevitavelmente atinge as relações de trabalho. É claro identificar que ao longo do contrato de trabalho existem inúmeros dados pessoais que são coletados do empregado, e que não podem ser disponibilizados a terceiros, sob pena de causar alguns tipo de importunação, prejuízo ou até discriminação.
Contudo, não é somente na vigência do contrato de trabalho, ou mesmo nas relação de emprego, que os dados pessoais precisam de tratamento adequado. Pensando nisso, o legislador definiu uma série de fundamentos para que haja uma efetiva proteção a esses dados pessoais.
Um dos fundamentos da LGPD é a autodeterminação informativa, que aplicada no âmbito trabalhista, revela o objetivo de assegurar ao trabalhador, titular de dados pessoais, o controle sobre o destino das suas informações pessoais, a partir de uma relação transparente com quem controla esses dados.
A redação da LGPD fala expressamente em proteger e defender o consumidor, sem mencionar a pessoa do trabalhador. Contudo, pode-se extrair que existe o objetivo de conferir inviolabilidade da intimidade, honra e imagem do trabalhador, já que a lei visa garantir o exercício da cidadania de qualquer pessoa natural.
Todos os empregadores estão submetidos à LGPD?
Considerando que a LGPD se aplica a todo tipo de tratamento de dados pessoais, seja realizado por pessoa natural ou por pessoa jurídica, muito embora o foco da LGPD não seja exatamente as relações de trabalho, a regulamentação irá envolver a operação de tratamento dos dados dos trabalhadores. Isso é fato!
De acordo com as normas gerais contidas na referida lei, o tratamento de dados irá envolver operações dos empregadores, pessoas físicas ou pessoas jurídicas, seja do âmbito do direito público ou do direito privado. Até mesmo a União, Estados e Municípios se submetem às exigências da LGPD. Ou seja, ninguém fica de fora!
A lei se aplica aos empregadores de pequeno, médio ou grande porte, independente da quantidade de funcionários, faturamento ou área de atuação. Até mesmo empresas estrangeiras que venham a contratar pessoas no território nacional precisam se adequar ao novo regulamento.
No atual cenário, existe uma divergência acerca da aplicabilidade da LGPD aos empregadores domésticos, pois a lei expressamente exclui o tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos.
Para a corrente que defende a aplicabilidade da lei, aponta que empregado doméstico, a depender das atividades desempenhadas na sua função, pode sim realizar tarefas com fins econômicos, e que por isso não entraria na regra de exclusão. Além disso, pelo fato de se obter dados do empregado doméstico a fim de informar aos órgãos previdenciários e fiscais, por exemplo, entende-se que seria preciso cumprir as exigências previstas na LGPD, pois os dados pessoais do empregado não seriam utilizados para fins exclusivamente particulares.
Bem, por ainda contarmos com poucos meses de vigência da referida lei, ainda não há entendimento firmado nos Tribunais Trabalhistas sobre essa aplicabilidade da LGPD (ou não) aos empregadores domésticos. Aguarde! Em breve, haverá decisões a respeito. Mas isso já são cenas para os próximos capítulos da série que ainda está bem no comecinho.
Quais dados dos trabalhadores precisam de tratamentos de acordo com a LGPD?
Para compreendermos a aplicabilidade da LGPD nas relações trabalhistas, é preciso primeiro saber o que significa “tratamento de dados”.
Bem, essa resposta é fácil de ser encontrada na lei, o tratamento de dados é toda forma de operação que utiliza dados pessoais, ou seja, desde sua coleta, produção, classificação, acesso, reprodução, distribuição, comunicação, transferência, arquivamento, eliminação, dentre outros.
Imagine quantos dados pessoais por dia são coletados em um setor pessoal, a quantidade de informações de trabalhadores são reproduzidas por cópias, transferidas a outras empresas, arquivadas ao longo dos anos. Muitos não é mesmo?
Então, todas as etapas que são realizadas em uma relação de trabalho, empregatícia ou não, precisam de tratamento de dados pessoais, e isso deve ocorrer desde o momento do anúncio de uma vaga, até mesmo após a conclusão de uma prestação de serviço ou mesmo a rescisão contratual de um trabalhador.
Em toda relação de trabalho existem dados disponibilizados pelo indivíduo, a depender do tipo de dado do trabalhador, a LGPD traz determinadas exigências para seu tratamento.
Os dados pessoais seriam todas as informações que estão relacionadas à pessoa natural, no caso que estamos observando, a pessoa do trabalhador. Como exemplo são: o nome, o sobrenome, a data de nascimento, o número do CPF, a numeração do RG, o endereço de domicílio, o contato telefônico, e-mail pessoal ou corporativo, IP do computador etc. Ou seja, são informações que identificam ou possam identificar a pessoa.
Para a LGPD, o dado pessoal de um trabalhador, por exemplo, será considerado sensível se tratar sobre sua origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. Ufa! É dado que não acaba mais. Por isso toda atenção é pouca quando o assunto é tratamento de dados.
Como atender aos princípios da LGPD nas relações de trabalho?
A legislação apresenta uma extensa lista com a relação dos princípios, além da boa-fé, que precisam ser observados no tratamento de dados pessoais. Para que possamos analisar de forma mais objetiva a aplicabilidade da LGPD nas relações de trabalho, separamos os cinco princípios mais relevantes para a nossa análise.
Como se observa acima, destacamos FANTA (nome utilizado apenas para facilitar memorização dos princípios), quais sejam: Finalidade, Adequação, Necessidade, Transparência e livre Acesso.
A partir desses princípios, o empregador poderá traçar o caminho a ser adotado no tratamento de dados pessoais dos trabalhadores, com objetivo de identificar se a forma escolhida atende (ou não) as exigências da LGPD.
Para cada dado coletado, existe uma finalidade para isso. Logo, esse princípio está relacionado com o propósito para a realização do tratamento de dados. Ou seja, o fim a que se destina o dado precisa ser legítimo, específico, explícito e devidamente informado ao titular. Dessa forma, não é cabível a utilização posterior de um dado para finalidade diversa daquela informada ao trabalhador, por exemplo.
No que se diz respeito ao princípio da adequação, é exigida a compatibilidade entre o tratamento do dado pessoal e a finalidade informada ao trabalhador. A empresa não está livre para armazenar e/ou transferir todos os dados pessoais de seus colaboradores de acordo com seus interesses, mas deverá utilizar tão somente aqueles que sejam compatíveis com a finalidade declarada na coleta.
E tudo isso deve ser observado pela empresa na hora de solicitar ou aceitar dados pessoais de seus colaboradores, uma vez que de acordo com o princípio da necessidade precisa haver um limite do tratamento ao mínimo necessário para alcançar a sua finalidade.
Então, nada de reter dados pessoais em excesso ou desproporcionais de seus funcionários, ou mesmo de quem possa estar apenas prestando serviço pontualmente. A regra é: na dúvida de quais dados são realmente necessários, peça o mínimo!
Após realizar a coleta de dados com base nesses três princípios básicos (finalidade, adequação e necessidade), o empresário (controlador) deve permanecer vigilante no tratamento desses dados, uma vez que a transparência deve ser garantida a todos os seus titulares, com informações claras, precisas e com facilidade de acesso.
É preciso dar destaque também para o princípio do livre acesso, pois aos trabalhadores deve ser assegurada a consulta integral e gratuita sobre a forma e o tempo de duração do tratamento do dado.
Vamos aqui dividir as etapas inerentes a uma prestação de serviço comum de um trabalhador para avaliar as formas de tratamento dos dados pessoais de acordo com o nível de relação existente entre o titular dos dados e o controlador.
Etapa pré-contratual
Tudo começa com a necessidade de contratar uma mão-de-obra, e a empresa divulga oportunidade para determinada função. Mas antes de sair por aí anunciando a vaga, pense exatamente quais seriam as habilidades que são necessárias para ocupar o cargo.
Isso é fundamental para que não sejam exigidos dados pessoais além dos estritamente necessários para que se faça a seleção do candidato. Os dados do candidato serão coletados por diversas formas: ficha de inscrição, cadastro no site, recebimento de currículo físico, ou envio de email com os documentos, cujos dados poderão ficar armazenados tanto em meios físicos ou digitais.
Logo, se a oportunidade de emprego, por exemplo, é destinada ao setor comercial, e você precisa de um(a) vendedor(a), deve ter o cuidado nessa fase de recrutamento ao exigir informações além das imprescindíveis à ocupação da vaga. Um dado fundamental seria saber se a pessoa já trabalhou na área (lembre-se que não pode exigir mais de 6 meses de experiência na mesma função), disponibilidade de horário, a existência de formação técnica, escolaridade, e demais habilidades que a empresa julgue necessárias.
Solicitar dados pessoais do candidato tais como: religião, estado civil, orientação sexual, filiação ao sindicato da categoria “A” ou “B”, número de filhos, tudo isso é considerado um dado pessoal sensível, como vimos acima.
Ora, a decisão de contratar ou não certo candidato é do empregador, contudo ao exigir uma série de dados pessoais pode estar atraindo riscos jurídicos para que seja eventualmente discutida, por exemplo, a discriminação do candidato que informou ser da religião adventista, e por manter o sábado como sagrado se abstem de trabalhar, o que não foi bem visto pela pessoa que fez a triagem dos currículos.
Ou ainda, uma candidata que apontou ter filhos, fato que foi levado em consideração pelo responsável do setor pessoal, haja vista que por se tratar de vaga de vendedor, poderia precisar realizar viagens para visita a clientes. Ora, a disponibilidade para viagem pode ser considerada como critério para contratação do candidato, contudo o fato de se ter filhos não pode ter presunção de inviabilidade de atender chamados de viagens.
É claro que tais informações podem ter sido solicitadas e o fato de não chamar o(a) candidato(a) não estar diretamente relacionado aos dados pessoais fornecidos. Deve haver o devido cuidado ainda na fase de entrevista, eis que a conversa pode ser realizada por videoconferência, e o armazenamento do vídeo gravado pode conter inúmeros dados pessoais sensíveis.
Contudo, por serem enquadrados como dados pessoais sensíveis, capazes de conferir tratamento discriminatório e ofender imagem ou honra do candidato, orienta-se pelo atendimento ao Princípio da Minimização da Coleta de Dados, ou seja, solicitar a menor quantidade possível de dados como forma de reduzir eventuais condenações tanto no âmbito judicial, como no administrativo.
Ao finalizar o processo seletivo, é preciso que a empresa observe qual seria a necessidade de manter em seus arquivos os currículos e documentos relacionados aos candidatos que não foram contratados.
A lei exige que haja uma definição quanto ao descarte dos dados pessoais, até porque eles apenas devem ser mantidos se existir um propósito legítimo, específico, explícito e devidamente informado ao titular, no caso o candidato. Isso sem falar nos riscos envolvidos na manutenção de um banco de dados repletos de informações pessoais (até mesmo sensíveis), diante das chances de vazamento, situação nada incomum de ocorrer nos dias de hoje.
Etapa contratual
Vaga devidamente preenchida, é hora de preparar o contrato de trabalho. Nesse momento são solicitados inúmeros dados pessoais da parte contratada. E se a relação for de emprego então, nem se fala.
Só para poder destacar a questão da observância dos princípios da finalidade, adequação e necessidade, no início da contratação, o empregador poderá exigir a informação sobre os filhos do trabalhador, tais como quantidade e idade de cada um, eis que é obrigado a entregar esses dados aos órgãos competentes para fins de que o empregado faça jus ao recebimento do auxílio família, por exemplo.
Outra situação consiste na exigência de avaliação médica para fins de atestar a integridade física do trabalhador a ser contratado em determinada função. Esse laudo médico não poderá ser utilizado para outro propósito, além do atestado da integridade.
Ou seja, se o laudo médico for entregue a uma determinada indústria farmacêutica para fins de envio de amostra grátis de medicamentos relacionados a dores na coluna, por exemplo, estaríamos diante de um caso de violação do princípio da finalidade expressamente trazido pela LGPD.
Não se pode negar que a modalidade de trabalho à distância foi difundida ainda mais no período da pandemia do COVID-19. De acordo com uma pesquisa elaborada pela Fundação Instituto de Administração em julho de 2020, 46% das empresas no Brasil adotaram o home office.
A partir desse dado, os contratos de home office aumentaram substancialmente, fazendo com que muitas reuniões entre os colaboradores fossem gravadas em videoconferência, aumentando assim a quantidade de dados pessoais sensíveis armazenados nos arquivos da empresa.
Além disso, com a possibilidade de acessos remotos para um maior número de pessoas, ampliam-se os riscos de vazamento dos dados, de forma a deixar o ambiente de trabalho com todos os seus dados mais suscetíveis ao ataque de hackers. Esta situação ocorreu no sistema do Superior Tribunal de Justiça, que foi invadido por hackers, no dia 04 de novembro de 2020, segundo informações divulgadas no próprio sítio eletrônico do órgão.
Assim, é preciso identificar quais cuidados tomar ao contratar um funcionário para home office, pois além das observâncias rotineiras da legislação trabalhista, tais como infraestrutura para o trabalho, horários, salário e benefício, com a vigência da LGPD os cuidados precisam ser redobrados nos dados pessoais tratados durante a prestação do serviço.
Para cumprir a legislação trabalhista, as empresas que possuem mais de 20 empregados devem realizar o controle da jornada de trabalho. Cada vez mais usual a adoção do registro por meio de ponto eletrônico, com a finalidade de evitar os temidos “registros britânicos” que são inválidos para fins de prova do controle da jornada.
As empresas podem optar pela forma de inclusão do registro do horário, muitos inclusive decidem exigir o controle pela impressão digital do trabalhador. Entretanto, pode ser que essa escolha seja a solução de um problema, para criação de um outro, uma vez que a LGPD considera a biometria um dado pessoal sensível.
Assim, a depender do entendimento a ser adotado pelos Tribunais Trabalhistas no Brasil, o uso de dados biométricos dos trabalhadores pode ser considerado excessivo, haja vista que em um estabelecimento com poucos colaboradores, por exemplo, haveria meios menos invasivos para a realização de controle de jornada de trabalho. Mais à frente, iremos apresentar caso concreto de empresa multada por utilizar biometria de seus funcionários. Confira nosso artigo até o final!
Etapa pós-contratual
Como visto, os dados pessoais dos trabalhadores podem ser coletados para tratamento de diversas formas e irão variar à medida em que houver uma finalidade a ser atendida.
Entretanto, é necessário haver um plano de gerenciamento do ciclo de vida dos dados dos trabalhadores, sendo essa uma das missões mais difíceis de serem cumpridas pelos empregadores, considerando os riscos envolvidos na relação de trabalho.
Na maioria dos casos, as reclamações trabalhistas apenas são ajuizadas após o encerramento da relação de trabalho existente entre as partes. Então, como saber o momento certo de eliminar os dados de uma pessoa que prestou determinado serviço ou mesmo de um empregado?
Ora, se houve prestação de serviço por um autônomo, e ele quiser discutir judicialmente o pedido de reconhecimento de um vínculo, por exemplo, como empresário eu preciso me resguardar para eventuais provas documentais a respeito da atividade exercida.
Tratando-se de empregado, será comum que alguns documentos relacionados ao contrato de trabalho, tais como termo de opção de vale-transporte, contato telefônico, endereço eletrônico pessoal, informações sobre dados bancários, possam ser eliminados após o decurso do prazo de dois anos após a extinção do contrato de trabalho, por ter sido operada a prescrição para ajuizamento de ação.
Contudo, dados pessoais relacionados ao cadastro do empregado, RAIS ou perfil profissiográfico previdenciário com histórico dos registros ambientais do trabalhador, podem ser necessários para fins de concessão de futuro benefício da Previdência Social ao trabalhador, sem data específica para serem eliminados.
A empresa, controladora dos dados, pode ser compelida a apresentar a referida documentação por meio de ação declaratória perante a Justiça, já que se trata de ação que afasta a incidência de prescrição.
E a pergunta que vale um milhão (ou até 50 milhões de reais): “Por quanto tempo posso armazenar os dados pessoais de um trabalhador?”. Essa resposta a lei não traz expressamente, mas é possível extrair meio de se apurar o tempo razoável para cada caso.
A regra básica consiste em indagar qual seria a necessidade de manter determinado dado. Se não houver finalidade específica, é melhor eliminá-lo.
A lei prevê quatro hipóteses de término do tratamento dos dados pessoais: verificação de que a finalidade foi alcançada ou que os dados deixaram de ser necessários à finalidade específica, fim do período de tratamento, comunicação do titular (direito de revogação do consentimento) e determinação de autoridade nacional.
Via de regra, quando ocorrer uma das hipóteses de término do tratamento dos dados pessoais, estes devem ser eliminados. Por outro lado, a lei também assegura a possibilidade de conservação dos dados, mesmo após o término do tratamento.
No âmbito trabalhista, vale a pena destacar a hipótese de conservação dos dados pessoais dos trabalhadores com a finalidade de cumprir uma obrigação legal ou regulatória pela empresa ou para seu uso exclusivo, neste último caso desde que os dados sejam anonimizados.
E como eu faço para anonimizar um dado? Calma, apesar do nome pouco usual, anonimizar um dado pessoal nada mais é do que tratar uma informação para que ela não possa ser mais vinculada ao seu titular, feita por meio de softwares ou serviços relacionados à segurança de dados. De acordo com a lei, anonimizar um dado corresponde à perda da possibilidade de associação (direta ou indireta) a um indivíduo.
Quais penalidades posso sofrer em caso de descumprimento da LGPD nas relações trabalhistas?
São elas: advertência, multa simples no importe de 2% sobre faturamento, multa diária, publicização da infração, bloqueio, eliminação ou suspensão total ou parcial do funcionamento do banco de dados.
É verdade que os dispositivos da LGPD que prevêem a aplicação de sanções administrativas apenas entrarão em vigor a partir de 1º de agosto de 2021, mas conhecer quais são as penalidades possíveis é essencial para se preparar para a implantação da LGPD.
Ademais, embora não haja, antes da referida data, viabilidade de imposição de penalidades por meio da Autoridade Nacional de Proteção de Dados (ANPD), qualquer trabalhador que se sentir ofendido ou prejudicado em relação a quaisquer dados pessoais poderá ajuizar ação com pedido de condenação à reparação dos danos eventualmente sofridos, já que toda a LGPD já encontra-se em vigor, com exceção apenas das sanções administrativas.
Direito Comparado e LGPD: casos reais da lei de proteção de dados nas relações trabalhistas
Como a LGPD brasileira teve grande inspiração no Regulamento Geral sobre a Proteção de Dados 2016/679, conhecido como GDPR, norma que regula a questão da privacidade e proteção de dados na União Europeia desde 2018, cumpre destacar algumas sanções aplicadas a empresas que descumpriram de alguma forma a proteção de dados dos seus empregados. Vejamos:
Alemanha: Condenação da empresa de moda H&M ao pagamento de multa de € 35.258.707,95 (out/2020) pela Autoridade de Proteção de Dados de Hamburgo por usar de forma excessiva os dados de seus funcionários. Foi a multa mais elevada por violar a GDPR com uso de dados dos trabalhadores até o momento. Em resumo, houve coleta de dados da vida privada: férias, doenças, diagnósticos, questões familiares e religião. Tais informações ficaram disponíveis para mais de 50 gerentes.
Grécia: Autoridade Supervisora de Proteção de Dados aplicou multa de € 15.000,00 pelo fato de a empresa Allseas Marine S.A. não ter informado suficientemente seus funcionários sobre introdução de sistema de videovigilância.
Países Baixos: A empresa UWV, provedor da Holanda de serviços de seguro, não usava meios com a devida segurança de acesso ao portal do empregador. A multa aplicada foi de € 900.000,00. Empregadores e serviços de saúde e segurança puderam coletar e exibir os dados de saúde dos colaboradores.
Dinamarca: O Município de Hørsholm foi multado no valor de € 7.000,00 pois um funcionário do governo teve seu computador corporativo roubado, que registrava dados pessoais de aproximadamente 1.600 funcionários, inclusive com informações confidenciais e informações sobre previdência social.
Fonte: GDPR Enforcement Tracker 2020.
Dica bônus
Promessa é dívida! Conforme combinamos, em agradecimento por você ter lido o conteúdo do artigo até o fim, separamos não apenas uma, mas sim quatro dicas de como garantir o cumprimento da LGPD na sua empresa:
Dica 1
Integração dos colaboradores
De nada adiantaria contratar os melhores profissionais do mercado para exercer a função de encarregado (DPO) e operador, ambos exigidos pela LGPD, se não houver uma imersão de todo o quadro de pessoal na segurança dos dados de seus empregados. Para isso, é preciso orientar, difundir conhecimento e treinar os setores da empresa a respeito das regras da LGPD, um regulamento interno bem estruturado certamente vai te ajudar a alcançar essa missão.
Dica 2
Elabore uma Política de Privacidade
A finalidade de elaborar uma Política de Privacidade consiste em assegurar mais transparência na coleta e uso dos dados pessoais dos usuários. Saiba como adequar sua política de privacidade de acordo com a LGPD consultando esse nosso artigo.
Dica 3
Implantação de Sistema de Gerenciamento de Segurança da Informação (SGSI)
A adoção de práticas de gestão previstas na norma internacional ISO 27001, seja a empresa certificada ou não, já auxilia na organização em relação à segurança da informação e na conformidade com as regulamentações de proteção de dados, especialmente com a LGPD. Aliás, se você busca receber investimentos estrangeiros, obter certificação é um importante passo.
Dica 4
Acesso ao eBook com dicas essenciais para adequação das diretrizes da LGPD
Basta clicar abaixo, realizar o cadastro e ter acesso a todo o conteúdo do eBook.
Se você ficou com alguma dúvida sobre o assunto, a CHC Advocacia pode te ajudar nesse e em vários outros temas de seu interesse! Inscreva-se no nosso canal do Youtube, entre agora para nossa comunidade no Telegram, lá você receberá na palma da sua mão nossos materiais, dicas práticas e ainda terá acesso aos conteúdos exclusivos para os inscritos no canal.
A CHC Advocacia é formada por uma equipe multidisciplinar e está pronta para atender eventuais demandas da área trabalhista. Caso você precise de algum esclarecimento adicional em relação ao tema que tratamos nesse artigo, preencha o formulário abaixo que entraremos em contato para sanar suas dúvidas.