LGPD e as Relações de Trabalho: Por que devemos nos preocupar com os dados dos Empregados?

Após a revolução industrial que trouxe a inclusão das máquinas nas operações e relações de trabalho, modificando as formas de prestação de serviços, temos hoje a revolução tecnológica, que já não mais discute a implementação de sistemas integrados e computadores no desenvolvimento das atividades, e sim, a inteligência artificial e o uso de dados para otimização de sistemas de produção, substituindo em muitos casos os o fator humano na execução do trabalho.

O mundo gira em torno de dados. Os dados pessoais se tornaram hoje um ativo de grande valor dentro das empresas, principalmente as empresas que nasceram do boom da internet, impulsionado pelo uso massivo de smartphones e dispositivos vestíveis.

Grandes empresas, e boa parte dos unicórnios(1) mundiais nasceram e multiplicaram o seu valuation com dados, colhido da base de seus usuários ativos. Dados possuem valores inestimáveis, visto que com eles é possível obter conhecimento de uma região específica, um público determinado, e direcionar de forma eficaz um produto ou serviços para aquisição.

Com o desenvolvimento da internet, os meios de navegação e as redes de relacionamento, os dados estão cada vez mais presentes e disponíveis. Anteriormente, não havia qualquer tipo de controle sobre a forma de coleta, armazenamento, uso e transferência dessas informações, fazendo com que a mina de ouro dos dados pessoais fosse explorada de forma indiscriminada.

Tal situação gerou um debate mundial sobre o uso de dados e as consequências das atividades direcionadas de quem os detém. O caso clássico da Cambridge Analytics(3), que deflagrou mineração de dados pessoais na campanha presidencial dos Estados Unidos de 2016.

A transição do mundo analógico para o mundo digital trouxe reflexões antes não existentes, o que motivou na Europa a criação da GPDR (General Data Protection Regulation).

A GPDR foi criada na Europa, como um esforço para melhorar a segurança, gerenciamento de dados e privacidade dos usuários que trafegam na rede. Além de reforçar a segurança das informações pessoais dos usuários, um dos principais objetivos da GDPR é o de garantir que as empresas tenham uma maior responsabilidade ao tratar dos dados de seus clientes.

No Brasil foi promulgada a Lei Geral de Proteção de Dados Pessoais (LGPD) que possui objetivos similares ao GPDR da Europa, contudo, com algumas diferenças práticas em sua aplicação.

O objetivo da LGPD visa regular a forma como são obtidos, armazenados, manipulados, disponibilizados e transferidos, os dados pessoais, além de regulamentar o relacionamento entre os responsáveis na relação existente entre o fornecimento/obtenção dos dados, e o controlador desses dados.

Ocorre que é um equívoco imaginar que a LGPD existe apenas para regular questões existentes entre a privacidade de dados entre empresas fornecedoras de serviços ou produtos e o seu consumidor. Por mais que o direcionamento tenha maior aplicação e aderência as empresas de e-commerce, é um erro compreender que as relações de dados pessoais fiquem restritas apenas a esse tipo de situação.

A Lei 13.709/2018 não delimita que sua atuação seja relacionada apenas aos dados obtidos pelo e-commerce. Qualquer manuseio de informações pessoais obtidas ou manuseadas, seja para fins comerciais ou não, estão abrangidas pela lei, e isso incluem os dados trafegados entre empregador e empregado.

Outra distinção que não existe na LGPD é sobre a forma de constituição da empresa e o seu faturamento. Seja uma empresa que fatura milhões, seja uma empresa com faturamento modesto, ambas estão adstritas aos que dispõe a lei geral de proteção de dados. Dessa forma grandes, médias e pequenas empresas deverão observar o que dispõe a lei, e estarão passíveis de sofrerem as cominações legais de multa de até 2% sobre o faturamento por descumprimento ou não conformidade.

Toda relação jurídica estabelecida com base em dados pessoais está regida pela Lei 13.709/2018.

Da mesma forma, toda a relação de trabalho, seja ela com vínculo de emprego direto ou de prestação de serviços envolve um número considerável de dados e informações, muitas vezes sensíveis, que são transmitidas entre empregado e empregador.

O que conhecemos como dados pessoais para cadastro do empregado, hoje deverá ser compreendido como dados pessoais, sendo necessário que se observe o que dispõe a legislação sobre o consentimento, armazenamento, eliminação e transferência desses dados.

As informações internas do empregado, sejam elas de dados pessoais, informações de endereço, área de atuação, formação, cursos, análises, avaliações ou documentos, são considerados dados, na concepção da Lei.

A Lei 13.709/2018 define nos artigos 11 a 13 os dados sensíveis como sendo aqueles:

1. Origem racial ou étnica;

2. Convicção religiosa;

3. Opinião política;

4. Filiação a sindicato ou a organização de caráter religioso;

5. Filosófico ou político;

6. Dado referente à saúde ou à vida sexual;

7. Dado genético ou biométrico, quando vinculado a uma pessoa natural.

Muitos dados sensíveis, quando analisados sobre a ótica do direito do trabalho, são até mesmo indevidos de se obter do empregado, sob o risco de incorrer em práticas abusivas e discriminatórias em termos de privacidade.

Entretanto, se inerentes ao contrato de trabalho, como necessários ao desenvolvimento das atividades, com a implementação dos dispositivos apresentados pela Lei, se torna essencial uma mudança de comportamento e leitura dessas informações pelos departamentos internos da Empresa.

Hoje se o setor de Recursos Humanos utiliza os dados de seus empregados de forma irrestrita, seja para compartilhamento com pessoas jurídicas diversas, seja para as próprias situações reais de desenvolvimento da atividade, é necessário que essas informações passem por um controle rígido conforme dispõe a legislação.

A situação se torna mais clara quando trazemos os exemplos para o campo prático, onde é possível identificar as necessidades de mudança de postura das empresas com o tratamento de dados de seus empregados ou prestadores de serviço:

• Situações onde ocorrem o pré-cadastro de informações para bancos de dados de seleções ou análise inicial de fichas de candidaturas;

• Informações pessoais colhidas para compartilhamento com terceiros (órgãos públicos governamentais, bancos, seguradoras, empresas fornecedoras de cartões de alimentação e transporte)

• Informações pessoais necessárias para obtenção de benefícios (quantidade de filhos, companheiros, dependentes legais, regime de casamento ou união estável;

• Informações obtidas para fins de seguro saúde ou convenio médico, onde exames e pré-existência de moléstias são informadas e compartilhadas com empresas terceiras;

• Informações referentes aos prestadores de serviço, e a necessidade de orientação e busca de informações sobre as regras de tratamento de dados da empresa prestadora, evitando responsabilidades subsidiárias ou solidárias em virtude de violações legais da LGPD;

• Formas de tratamento de dados inclusive ao que dispõe a lei sobre eliminação de informações armazenadas (quando solicitadas pelo detentor dos dados) e portabilidade (quando ocorrer a mudança de emprego);

• Avaliação conforme os objetivos da empresa quanto a contratação do Operador e Controlador de dados, que pode ser realizada por meio de contratação de prestação de serviços, ou de outra modalidade não vinculada diretamente dentro de um contrato de trabalho;

• Formas de contratação do Operador e do Controlador de dados, em caso de ser empregado, este deverá ter os seus limites de atuação e responsabilidades delimitados, com o objetivo de assegurar questões de responsabilidade solidária sobre eventuais vícios na aplicação da LGPD;

Essas são algumas possibilidades e formas que a LGPD terá influência direta nas relações entre empregados e empregadores, e por óbvio não são conclusivas, haja vista que os procedimentos e formas se alteram conforme a natureza do Empregador, e suas necessidades para o desenvolvimento das funções.

É necessário que exista uma alteração substancial nos procedimentos de recursos humanos, e cada vez mais uma interface ligada aos setores de tecnologia da Informação e Jurídico.

Enquanto um será o responsável pela análise dos fluxos internos e o atendimento específico da lei conforme a natureza dos trabalhos e objetivos da empresa, o outro, será responsável pela avaliação técnica e da infraestrutura necessária para viabilidade dos processos internos criados para os fins de cumprimento da legislação.

É certo afirmar que a LGPD provocará uma mudança considerável nos procedimentos internos das Empresas, mesmo que somente sob o olhar das relações entre empregador e empregado. Isso se dá, pois as responsabilidades inerentes ao cumprimento das obrigações legais se dá com a sinergia entre diversos setores da Empresa.

É necessário que se realize uma leitura geral de todos os processos internos de obtenção de dados, termos de aceite, orientação correta sobre dados sensíveis ou não, análise criteriosa sobre a necessidade ou não de se obter determinada informação, formas de garantir o armazenamento e os procedimentos de portabilidade e eliminação de dados. As questões ultrapassam o simples cumprimento da letra fria da lei, haja vista que, em alguns casos, será necessária uma adaptação total das normas de compliance e trâmites que envolvam o próprio setor de tecnologia da Informação.

Isso porque as normas internas criadas pelas empresas, antes admitidas para o uso e compartilhamento de dados pessoais, agora não poderão se sobrepor ou contrariar o que dispõe a LGPD, sob pena de incorrer em autuações de valores consideráveis.

Toda essa adaptação e criação de boas práticas de tratamento de dados são importantes não só para o cumprimento efetivo da legislação, mas também para redução de eventuais condenações que possam ocorrer com base na LGPD, haja vista que o artigo 52, §1º, VII, IX elenca esse fundamento como uma atenuante da punição imposta:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

(...)

VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;

IX - a adoção de política de boas práticas e governança;

(...)

Todo o exercício criado para adaptação da lei vai ao encontro das boas práticas de tratamento de dados e garantia da privacidade dos usuários, nesse caso, os empregados, que além das garantias decorrentes da Consolidação das Leis do Trabalho e da Constituição Federal, também serão regidos pelo que dispõe a LGPD.

O prazo de adaptação ao LGPD por mais que pareça distante, é bem curto para que se realizem as mudanças estruturais necessárias ao atendimento da legislação, que envolverá de forma sistêmica deversos setores de uma organização.

---------------------------------------------------------------------------------------------------------------------------------------

(1) Unicórnio é a denominação dada a empresa que atinge um valor de Mercado de mais de 1 Bilhão.

(2) Cambridge Analytica (UK), Ltd. (CA) foi uma empresa privada que combinava mineração e análise de dados com comunicação estratégica para o processo eleitoral. Foi criada em 2013, como um desdobramento de sua controladora britânica, a SCL Group para participar da política estadunidense. Em 2014, a CA participou de 44 campanhas políticas. A empresa é, em parte, de propriedade da família de Robert Mercer, um estadunidense que gerencia fundos de cobertura e que apoia muitas causas politicamente conservadoras. A empresa mantinha escritórios em Nova York, Washington, DC e Londres.

Antonio Bratefixe é Sócio da Área Trabalhista de Có Crivelli Advogados e Especialista em Processo Civil, Direito e Processo do Trabalho pela Pontifícia Universidade Católica de São Paulo e Administração de Empresas pela Fundação Getúlio Vargas.