De início, necessário explicar o que é a Lei Geral de Proteção de Dados (LGPD). Trata-se da Lei 13.709/2018, que é a equivalente brasileira ao Regulamento Geral sobre Proteção de Dados da União Europeia (Regulamento 2016/679).
A LGPD tem como objetivo principal regular a atividade do tratamento de dados com a proteção da privacidade dos indivíduos. Na definição do inciso I do art. 5º da Lei, dado pessoal é “informação relacionada a pessoa natural identificada ou identificável”. Ou seja, toda e qualquer informação que permite, isoladamente ou em conjunto com outras informações, se identificar uma pessoa natural.
Evidentemente, ao falarmos dessa forma, nos vêm à cabeça que dados que identificam uma pessoa são nome, endereço, telefone, documentos, estado civil, e-mail, etc.. Sim, esses são alguns dados pessoais, mas há muito outros e de várias formas, sendo que todos eles devem ser protegidos.
Todos os dados pessoais das pessoas naturais, e aqui se incluem dos dados dos empregados e demais prestadores de serviços de uma empresa, como adiante será mais bem abordado, devem ser protegidos
Importante destacar que, ao contrário do que alguns pensam, não se trata apenas de proteção de dados fornecidos de forma digital, mas sim da proteção de todo e qualquer dado pessoal, em qualquer meio, inclusive físico.
Esta posição fica clara no art. 1º da Lei, que estabelece que a LGPD “…dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” (grifamos). Portanto, ao citar “inclusive nos meios digitais”, à toda evidência, deixa claro que não só os dados obtidos por esse meio devem ser protegidos, desde sua coleta, quanto no armazenamento até seu descarte.
O artigo 52, inciso II da LGPD dispõe acerca de sanções administrativas em caso de descumprimento de quaisquer suas disposições. As sanções são muitas, mas destacamos a multa de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Todo cuidado, pois, é pouco para proteger todo e qualquer dado tratado pela empresa.
A LGPD não traz um capítulo específico, acerca da proteção de dados obtidos em decorrência das relações trabalhistas, de modo que a regra geral se aplica a esses dados pessoais obtidos em virtude da relação de emprego e, da mesma forma, devem ser preservados e protegidos, com as regras e estipulações da LGPD. Portanto, as empresas devem se preocupar com a proteção de dados, tanto dos atuais empregados, quanto de seus ex-empregados e ainda daqueles com quem mantém alguma relação de prestação de serviços, ainda que não sob o regime da Consolidação das Leis do Trabalho (CLT), como por exemplo, com aqueles que têm Contrato de Prestação de Serviços e ainda com os terceirizados que lhe prestem serviços.
Todos esses trabalhadores (sejam empregados, terceirizados ou prestadores de serviços), conforme inciso V do art. 5º da LGPD são titulares dos dados.
Ao celebrar um contrato de trabalho, o empregado fornece diversos dados (alguns, inclusive, considerados pela LGPD como “dados sensíveis” – art. 5º, inciso II – que demandam especial cuidado, conforme art. 11 e seguintes, da LGPD) ao empregador que, por sua vez é o controlador destes dados e tem o dever de tratar e proteger esses dados. Daí porque, sem dúvida, entendemos que a LGPD se aplica às relações de trabalho.
Há dados do empregado anteriores à contratação, há dados do período de vigência do Contrato de Trabalho e há dados decorrentes da rescisão deste contrato. Todos devem ser protegidos, mas após sua utilização, nem todos precisam ser guardados e podem ou devem ser destruídos.
Claramente o empregador, na definição da LGPD é o Controlador dos dados do empregado, sendo que também pode ser o Operador, se fizer o tratamento dentro da empesa, ou pode ter um Operador externo, se o tratamento for feito por terceiros, como por exemplo, de uma empresa de contabilidade que faça o processamento da folha de pagamento. Porém, em qualquer caso, o empregador, como Operador, é responsável pela proteção dos dados e, no caso de Operador externo, esse também será solidariamente responsável pelos danos causados.
Portanto, o empregador, além de ele mesmo ter que zelar pela proteção de dados pessoais dos seus empregados e ex-empregados, deve exigir que seus prestadores de serviços que tenham acesso a esses dados também o façam, sob pena de, em caso de dano ao titular, se ver sujeito a aplicação de pesadas multas, além, é claro, da própria ação do empregado prejudicado, visando reparação desses danos.
E a necessidade de proteção dos dados se afigura mais importante ainda porque, por determinação legal, o empregador se vê compelido a compartilhar esse dado com terceiros.
De fato, o empregador tem que compartilhar os dados com os órgãos públicos, pois é obrigado a prestar informações, por exemplo, (i) à Caixa Econômica Federal acerca do FGTS do trabalhador; (ii) ao INSS acerca das contribuições previdenciárias desse empregado; (iii) à Secretaria de Trabalho relativamente ao CAGED; (iv) tem que prestar informações ao e-social. Para tais obrigações, o compartilhamento de dados decorre da Lei e, portanto, pode ser feito.
O empregador deve, ainda, compartilhar dados com outras empresas para dar cumprimento a suas obrigações, tais como fornecedores de vale refeição, empresa de plano de saúde, dentre outras, e para isto deverá ser transparente com seus empregados informando, de forma clara, com quem os dados são compartilhados.
Haverá tratamento de dados pessoais ainda, em relação aos dados dos empregados das empresas terceirizadas que forem transmitidas à empresa contratante.
Portanto, o tratamento, o armazenamento (ou possibilidade de destruição) e o compartilhamento desses dados podem ser realizados tendo como suporte todas as bases legais dispostas nos incisos do artigo 7º da LGPD, mas ainda assim deve ser realizado de forma adequada, com toda a proteção possível e o compartilhamento deve se dar, apenas dos dados efetivamente necessários ao tratamento .
Dessa forma, por exemplo, não há porque, para aquisição de vale transporte, informar à empresa que fornece esse benefício, a origem racial do empregado.
Ante o exposto, tem-se que o empregador pode tratar e compartilhar os dados de seus empregados e prestadores de serviços, nos limites exigidos e autorizados pela Lei, sempre tendo todo o cuidado nesse armazenamento e compartilhamento, que deverá ser feito, apenas com quem efetivamente necessite receber os dados do empregado.
Mas além desse tema de tratamento, armazenamento e compartilhamento, outra questão se afigura relevante: a partir de quando inicia a responsabilidade da empresa sobre os dados?
Reputamos que tal responsabilidade se inicia na seleção dos currículos, quando a empresa recebe dados do candidato. A partir desse momento, recebe dados e, portanto, deve trata-los da forma preconizada pela LGPD. Entendemos não ser necessário efetivamente haver relação de emprego, para que haja obrigação de proteção a esses dados, até porque, já é pacífico o entendimento da existência de responsabilidade pré-contratual.
Dessa forma, recebido o currículo de um candidato, a partir daí já se afigura necessária a observância das regras da LGPD. Portanto, o candidato deve ser informando da finalidade de seus dados e ter a oportunidade de pedir a destruição dos mesmos, caso não seja aprovado no processo seletivo. Ou seja, ele deve consentir expressamente com o uso de seus dados. Caso não aceite, deve ser excluído do processo seletivo e seus dados imediatamente eliminados. Tudo isso para garantir os princípios da transparência, segurança e finalidade exigidos pela LGPD.
Evidentemente que uma vez contratado, o empregado deverá ter conhecimento de forma expressa da política de proteção de dados (política interna da empresa) pois alguns de seus dados deverão, por força de lei, por execução de contrato, entre outras bases legais, ser tratados, armazenados e compartilhados, não podendo haver oposição do trabalhador quanto a isso. Por exemplo, ele não pode dizer que não quer a transmissão de suas informações à Caixa Econômica Federal, por ocasião da transmissão e recolhimento do FGTS.
Além do mais, a Lei determina prazos para guarda de documentos dos empregados, assim, mesmo após a rescisão, esses documentos e, portanto, os dados deverão ser guardados, não podendo o titular pedir sua destruição.
Por exemplo, as guias do FGTS devem ser guardadas por 30 anos (há discussão se seriam 5 ou 30, mas como há casos em que a prescrição ainda é trintenária, o armazenamento pode se dar por 30 anos). Assim, ainda que o empregado se desligue da empresa, não pode pedir a destruição desses dados, pois o armazenamento decorre de lei. O mesmo se diga, ainda como exemplo, com relação às guias de recolhimento da Previdência Social.
Outro exemplo, como o trabalhador tem 2 anos após a rescisão para promover eventual reclamação trabalhista em face de seu empregador, entendemos que antes desse prazo prescricional, não pode haver pedido de eliminação dos dados.
E mesmo após esses 2 anos, há documentos e, portanto, dados que não podem ser eliminados. Por exemplo, a ficha de registro do empregado. Esse documento não pode ser jamais eliminado, pois poderá ser necessário a qualquer tempo, até mesmo em favor do empregado, para comprovação de tempo de serviço para aposentadoria. Assim, esse documento e, novamente, por consequência, os dados que contém, não pode ser eliminado, nem mesmo a pedido do trabalhador.
Outro ponto, relevante é a análise do banco de dados de empregados e ex-empregados existente na empresa para sua adequação às normas da LGPD. A Autoridade Nacional de Proteção de Dados (ANPD) – que até o momento somente temos aprovada sua estrutura regimental – ainda estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data da entrada em vigor da LGPD.
Estes bancos de dados, denominados de “legado”, já podem ser analisados pelas empresas para identificação das bases legais e definição de estratégias para saneamento, mas, conforme falamos, a ANPD ainda estabelecerá normas sobre o tema.
Não pretendemos (e nem conseguiríamos), nesse artigo, esgotar o tema, por isso destacamos sua importância, para que as empresas entendam a necessidade de se adequar à LGPD, inclusive em relação a suas implicações e adequações aos Contratos de Trabalho de seus empregados.
Por fim, ressaltamos que é de extrema relevância que as empresas treinem e capacitem seus empregados e, se for o caso, seus prestadores de serviços que lidam com dados de seus empregados, para que entendam a relevância da legislação e possam cumprir a LGPD.
Em outro texto, falaremos sobre as políticas de proteção de dados que deverão ser adotadas pelas empresas para dar cumprimento à LGPD, especialmente em atendimento aos princípios da transparência, segurança e finalidade.
- Sérgio Schwartsman, Bacharel em Direito pela Pontifícia Universidade Católica de São Paulo. Sócio Coordenador da área trabalhista de Lopes da Silva & Associados – Sociedade de Advogados – LEXNET São Paulo, pós-graduando em Direito do Trabalho e Direito Processual do Trabalho
Guilherme Jorge de Oliveira, Bacharel pela Faculdade de Direito de São Bernardo do Campo. Sócio da área trabalhista de Lopes da Silva & Associados – Sociedade de Advogados – LEXNET São Paulo, pós-graduado em Direito do Trabalho e Direito Processual do Trabalho ↑
Fonte: https://lexnet.jusbrasil.com.br/artigos/944742002/a-lgpd-suas-implicacoes-e-adequacoes-nos-contratos-de-trabalho?utm_campaign=newsletter- daily_20201014_10660&utm_medium=email&utm_source=newsletter