Por Ricardo Calcini e Dino Araújo de Andrade
A LGPD (Lei 13.709/18)
A LGPD dispõe sobre o tratamento de dados pessoais por pessoa natural ou jurídica, de direito público ou privado, com o intuito de proteger os direitos fundamentais de liberdade e de privacidade dos cidadãos. O objetivo da nova legislação é trazer segurança jurídica aos atores envolvidos no mundo da coleta, armazenamento e uso de dados (digitais ou não) e, ainda, estabelecer regras de proteção de dados e critérios no tratamento desses dados pessoais.
A relevância da proteção de dados no ambiente de trabalho
Inegável que as regras advindas com a LGPD impõem ao empregador responsabilidade civil, uma vez que, desde a fase pré-contratual até após a rescisão do contrato de trabalho, o empregador é quem armazena, tem acesso e a guarda dos dados pessoais fornecidos pelos trabalhadores. Essa responsabilidade não se restringe à documentação pessoal de identificação dos trabalhadores, mas se estende ao monitoramento de correspondências eletrônicas, à captura de imagens dos trabalhadores no local de trabalho, às chamadas em sistemas de videoconferência, ao registro biométrico da jornada de trabalho, entre outros.
Proteção de dados na etapa pré-contratual
A fase pré-contratual é a etapa do primeiro contato do candidato com o potencial empregador e geralmente é realizada por terceiros (recrutador, departamento pessoal, empresas especializadas etc.). Nessa fase há disponibilização da vaga, análise do currículo, entrevistas e posterior escolha do candidato selecionado.
Naturalmente, os procedimentos preliminares a um contrato de trabalho legitimam o acesso aos dados pessoais do candidato logo a partir do anúncio de um emprego, devendo o empregador se ater ao estritamente necessário para o exercício da função a ser contratada. Em outras palavras, o empregador pode solicitar ao empregado o nome completo, a data de nascimento, estado civil, escolaridade, o número do CPF, filiação, a numeração do RG, o endereço de domicílio, o contato telefônico, e-mail pessoal ou corporativo, IP do computador etc.
Ainda na fase preliminar, é proibida a coleta de dados sensíveis que possam gerar qualquer critério discriminatório entre os candidatos. De modo que é de suma importância que o empregador avalie quais serão os dados requeridos ao candidato para que não haja descumprimento das normas legais.
Nesse contexto, a recomendação jurídica é a adoção do "princípio da minimização da coleta de dados", que consiste em solicitar a menor quantidade possível de dados como forma de reduzir eventuais riscos para o ajuizamento de ações judiciais e de procedimentos administrativos.
Outra recomendação importante é a elaboração de um documento em que o candidato anua seu consentimento expresso acerca da coleta e da utilização dos dados pela pretensa contratante. Necessário revisar procedimentos e formulários da coleta de dados, adequando-os aos requisitos e princípios norteadores da LGPD.
Não é raro que os empregadores armazenem uma pasta física do funcionário contendo o currículo com apontamentos escritos à mão e coletados no momento da entrevista pessoal pelo entrevistador. Esse tipo de armazenamento não é recomendável porque aumenta a responsabilidade do empregador quanto ao respeito aos ditames da LGPD. Assim, recomenda-se que eventuais anotações colhidas durante uma entrevista sejam devidamente descartadas logo depois de encerrado o processo de recrutamento e de seleção.
O empregador deve ter a cautela em pedir informações pretéritas do candidato, pois a não discriminação é um dos pilares da LGPD e tem sido objeto de proibição pela Justiça do Trabalho (artigo 5º, caput, 7º, XXX, CF c/c artigo 373-A, CLT). Apesar disso, essa regra comporta exceções, v.g., solicitar atestado de antecedentes criminais é obrigatório para quem trabalha na função de vigilante (artigos 12 e 16, VI, da Lei 7.102/1983 c/c artigo 4°, I, da Lei 10.826/2003).
No caso de entrevista ser realizada por videoconferência, recomenda-se a adoção de cuidados com o armazenamento do vídeo gravado em razão da possibilidade de conter inúmeros dados sensíveis.
Não menos importante é o procedimento a ser adotado no caso dos candidatos que forem dispensados da vaga. Deve haver uma organização com a estipulação de prazo de manutenção da documentação e para o descarte de currículos de seu banco de dados (artigo 5º, XIV, LGPD). A mesma regra vale para o compartilhamento de currículo com outras possíveis empregadoras, caso em que o titular dos dados pessoais precisa saber e anuir expressamente (artigo 5º, XVI, LGPD).
Logo, ao finalizar o processo seletivo, o recrutador informará claramente aos candidatos não selecionados a política de utilização dos dados que foram fornecidos para a entrevista e, principalmente, o que será feito com os dados pessoais e com os documentos por eles apresentados. A recomendação é o descarte. Contudo, caso haja necessidade de mantê-los armazenados por um propósito legítimo, é obrigatório que o recrutador informe ao titular dos dados a razão pela qual não os descartará de imediato.
Essas recomendações de caráter prático são de suma relevância para fins de minimizar os riscos envolvidos com a manutenção de um banco de dados com informações pessoais já consideradas desnecessárias.
Da proteção de dados na etapa contratual
Após a contratação do candidato à vaga de emprego, é necessária a coleta de dados e informações do novo empregado, tais como: dados da jornada, dados biométricos, valor do salário, descontos, motivos das faltas, doenças, acidentes, situações conjugais e familiares que podem ter reflexos em providências a serem adotadas pela empregadora, a exemplo do pagamento de pensão, inclusão de dependente no plano de saúde, dentre outros.
A primeira providência a ser adotada pelo empregador é a de informá-lo a respeito da política de tratamento de dados da empregadora. Assim, é importante que a empregadora elabore um termo de consentimento para que o empregado anua expressamente sua concordância com o conteúdo da política a ser adotada.
Em razão da natureza sensível dos dados coletados, destacam-se algumas hipóteses específicas em que o empregador (controlador/operador) deve ter atenção especial durante a vigência do contrato de trabalho. São elas:
— Fichas de registro de empregados: é comum que nela haja dados pessoais e dados sensíveis, a exemplo da filiação a sindicato. No particular, a LGPD prevê expressamente a necessidade de tratamento desses dados com a limitação de acesso à ficha de registro do funcionário.
— Formalização de contratos e de termos aditivos: adequação dos contratos de trabalho por meio de termos aditivos às regras da LGPD.
— Realização de exames periódicos: a realização de exames e avaliação clínica estão previstos na legislação em vigor. Contudo, não podem ser solicitados exames que possam expor a saúde do trabalhador a fim de causar-lhe discriminação, a exemplo dos exames de HIV, gravidez, câncer etc.
— Recebimento de atestados: embora não seja obrigatório o preenchimento da CID no atestado médico, caso haja identificação da doença e/ou o motivo do afastamento, a LGPD considera essas informações sensíveis e, portanto, precisarão de política de tratamento específica de guarda e acesso.
— Compartilhamento de dados com seguradoras, planos de saúde, entidades sindicais: de acordo com os ditames da LGPD, o compartilhamento desses dados precisará de autorização expressa do titular, principalmente quando se tratar de dados de familiares e de terceiros. A exceção ocorrerá quando essas informações decorrerem de pedido judicial, de texto de lei ou para fins de dados de estatística do governo.
A regra geral prevista na LGPD é de que os dados pessoais/sensíveis do empregado não podem ser disponibilizados a terceiros, sob pena de acarretar uma importunação, um prejuízo ou até discriminação a justificar uma indenização reparatória. Sem embargo, existem dados que constam nos modelos de livros e de ficha de registros de empregados, mas que podem perfeitamente ser dispensados, a exemplo da filiação, exceto se os pais forem dependentes do Imposto de Renda. Na mesma toada, a informação da qualificação dos filhos pode ser importante para fins de habilitação no salário-família perante o INSS. Em tais hipóteses, há uma obrigação legal que legitima a empregadora no fornecimento de informações a terceiros.
Rememora-se que é direito do empregado o acesso a todos os seus dados, podendo ele requerer a qualquer momento que a empresa informe a natureza e a destinação das informações, podendo solicitar também que a empregadora efetue o descarte deles quando da rescisão contratual, à exceção daqueles necessários para cumprimento de obrigações legais e regulatórias por parte dos empregadores.
Em relação ao trabalho em home office e/ou de teletrabalho, a pandemia do Covid-19 obrigou muitas empresas a adotarem essas novas modalidades de trabalho. Com a possibilidade de acessos remotos para um maior número de pessoas, ampliaram-se os riscos de vazamento dos dados de forma a deixar o ambiente de trabalho mais suscetível ao ataque de hackers. Dessa forma, as informações repassadas em trabalho domiciliar exige uma atenção redobrada considerando os ditames da LGPD. A incumbência de orientar os empregados a respeito do assunto, naturalmente, compete à empregadora.
No que diz respeito ao controle da jornada de trabalho, o artigo 74 da CLT estipula a necessidade de registro de ponto, admitindo que tal se dê por meio manual, mecânico ou eletrônico. A Portaria 1510/2009 do extinto Ministério do Trabalho autorizou o registro de ponto biométrico de empregados. Grande parte das empresas atualmente adota o controle de ponto pela impressão digital do trabalhador. Quanto a esse aspecto, importante destacar que a LGPD considera a biometria um dado pessoal sensível e, por tal razão, deve ter o tratamento previsto na lei.
Da proteção de dados na etapa pós-contratual
Quando do desligamento do empregado é necessária à observância aos preceitos da LGPD. Isso porque a nova lei expressamente prevê a necessidade da informação de finalização do uso de dados. Ademais, nas relações trabalhistas, há obrigação de guarda de documentos que decorrem de imposição legal.
Quanto ao tempo de armazenamento de informações pessoais, deve ser considerado que as reclamações trabalhistas, via de regra, são ajuizadas após o encerramento da relação de trabalho existente entre as partes. Recomenda-se o arquivamento de documentos relevantes da contratualidade por ao menos dois anos contados da data da rescisão contratual para fins de prescrição total do direito de ação, conforme previsão do artigo 7º, XXIX, CF c/c artigo 11, CLT.
O tratamento de dados pessoais e a negociação coletiva
Há um relevante campo de atuação sindical no que diz respeito a formas e procedimentos de tratamento de dados pessoais para tornar viável a concessão de benefícios instituídos por normas coletivas. Exemplo: a norma coletiva pode prever a adoção de um só encarregado para as empresas do grupo, sepultando a discussão a respeito do tema, ou dispor sobre direitos do operador.
Responsabilidade civil do empregador
A fim de impor compulsoriamente os ditames do regramento de segurança, a LGPD previu sanções às empregadoras que descumprirem as previsões legais.
Embora a eficácia do regramento sancionatório administrativo por parte da Autoridade Nacional de Proteção de Dados (ANPD) tenha vigência somente a partir de 1º de agosto de 2021, fato é que outras modalidades de demandas podem surgir até então. São elas as ações judiciais trabalhistas que visem ressarcir o empregado de eventuais danos sofridos pelo vazamento de dados sensíveis a terceiros.
Os artigos 42 até 45 da Lei 13.709/18 tratam da responsabilidade civil patrimonial e extrapatrimonial dos agentes de tratamento de dados (controlador e operador). É prevista legalmente a advertência, a multa simples no importe de 2% sobre faturamento da empresa, multa diária, o bloqueio, a eliminação ou a suspensão total ou parcial do funcionamento do banco de dados.
No que diz respeito à modalidade de responsabilidade civil a ser adotada, há uma tendência doutrinária em se seguir a responsabilidade subjetiva com culpa presumida por força da aplicação do artigo 42 e incisos II e III do artigo 43 da LGPD, que expressamente isentam de responsabilidade aquele que não violou a lei. Por outro lado, deve ser considerado que a responsabilidade civil objetiva é prevista no Código Civil e, assim como a LGPD, não trouxeram a culpa como elemento necessário para configuração de responsabilidade.
Assim considerado, para não ser penalizado, não basta o empregador cumprir os ditames da LGPD, pois deve ele ter em posse provas e evidências de todas as medidas adotadas para demonstrar a sua boa-fé no cumprimento da lei. Isto é, tem de se acautelar de todas as formas possíveis. Na prática, recomenda-se que o empregador defina uma trilha de tratamento dos dados de forma documentada e procedimental a fim de comprovar a utilização de protocolos e sistemas que garantam a segurança dos dados e o acesso facilitado do titular sempre que preciso.
Conclusão
É preciso orientar, difundir conhecimento e treinar os empregados de todos os setores da empresa a respeito das regras da LGPD. A publicização das novas regras pode ser realizada por meio de informativos, de palestras, de seminários e especialmente com a elaboração de uma política de privacidade específica à LGPD para assegurar mais transparência na coleta e uso dos dados pessoais dos usuários.
É de suma relevância, portanto, o investimento logístico na adequação e esclarecimento do novo regramento da LGPD para que a empresa não se surpreenda com um passivo judicial trabalhista e cível, sem prejuízo das sanções administrativas vindouras, decorrente de seu descumprimento.
Comentários