Opinião & Análise

Lei nº 13.709/2018

Algumas considerações sobre o background check de redes sociais

Análise no contexto brasileiro e da LGPD

Crédito: Pixabay

No dia 27 de janeiro de 2020[1], o usuário “@kmlefranc” divulgou em seu twitter que teve que proceder com uma empresa americana para um relatório de verificação de condutas anteriores (aqui referenciado como background check) para entregar em seu trabalho. Ele foi surpreendido com um calhamaço de mais de 300 páginas com cada um dos tweets que ele já tinha curtido na rede e que continham a palavra “fuck”, em conjunto com uma série de outros tweets indicados pela empresa de background check, que os classificou e reportou ao empregador de @kmlefranc.

Em uma série de relatos que obteve mais de 80 mil curtidas até a data que este autor aqui escreve, o usuário detalhou alguns desses tweets e sua surpresa em ver o resultado do algoritmo utilizado. Ainda, alega o usuário que ele não deu “a eles minha permissão, estou assumindo que eles encontraram isso por meio do meu (antigo) nome”, sendo que “a parte especialmente assustadora é que isso não revelou nada relevante ou incriminador! Eu mantenho informações pessoais em minhas contas não públicas. Mas o algoritmo deles significa que minha ‘reputação’ e ‘personagem’ são sinalizados como questionáveis e enviados ao meu chefe”, nas palavras do usuário.

A empresa em questão define em seu website oferecer um sistema de ser “a maneira mais inteligente para rastrear o comportamento tóxico no local de trabalho”, sem maiores detalhes acercas dos métodos e procedimentos. Ainda, apresenta a empresa em seu website um breve memorando subscrito por uma advogada local acerca da legalidade de seus serviços, consistentes na triagem de redes sociais. Discussões à parte acerca dos detalhes dessa história, este autor que aqui vos escreve trouxe ao contexto brasileiro o caso e se perguntou: diante da vigência da Lei nº 13.709/2018, é possível a realização de serviços de triagem de redes sociais, ou background check, de terceiros potenciais candidatos a uma posição profissional?

Inicialmente, para um melhor delineamento, esclarecemos que a presente análise se refere ao caso de background check realizado por empresa especializada, com a consulta de informações disponibilizadas em redes sociais pelos sujeitos objeto da análise. Estamos, portanto, diante da hipótese de tratamento de dados pessoais por terceiros especializados, sendo tais dados pessoais disponibilizados voluntariamente por usuários.

Também, necessário contextualizar algumas normas da Lei nº 13.709/2018. Ela estabelece um marco normativo no que diz respeito a todo e qualquer tratamento de dados pessoais no Brasil. Ao se proceder com qualquer tratamento, é essencial dever-se ter por pressupostos (i) a finalidade do tratamento, (ii) os princípios orientadores, notadamente o artigo 6º da Lei nº 13.709/2018, e (iii) o(s) fundamento(s) legal(is) justificadores do tratamento.

Ao se realizar qualquer tratamento de dados, os princípios da finalidade, da adequação e da necessidade devem ser observados pelo agente. Ou seja, (i) o tratamento deve se dar para propósitos legítimos, específicos, explícitos e informados ao titular, (ii) compatível com as finalidades informadas ao titular, e (iii) limitados ao mínimo necessário para a realização de suas finalidades.

Destaca-se também que, nos termos do artigo 7º, parágrafo 3º da Lei nº 13.709/2018, o tratamento de dados pessoais cujo acesso é público – como são os dados de redes sociais cuja configuração esteja pública – deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização. Ou seja, deve o agente se pautar essencialmente pela razão de se proceder com aquela coleta, e se de alguma forma tal uso contrariaria o originalmente pretendido a que tal dado tenha sido disponibilizado. Por exemplo, a indicação por um usuário de sua idade para finalidade de se cadastrar em uma rede social determinada não deveria, em tese, ser reproduzida por terceiros que não tenham qualquer relação com aquele usuário ou com aquela plataforma de rede social para outras finalidades, como a conferência de dados em listas cadastrais, ou cópia da informação para integrar banco de dados diverso.

Não se discute aqui que segurança da informação, risco e conformidade com a lei são os princípios basilares – e também questões a serem enfrentadas – por uma diversidade de empresas. Nesse contexto, os colaboradores são o eixo principal da segurança organizacional de uma empresa, por desempenharem suas funções e darem existência à própria entidade no seu dia a dia. Assim, é natural se concluir pelo interesse do empregador acerca dos hábitos de seus funcionários e potenciais candidatos a uma vaga, o que poderia demonstrar até mesmo um interesse legítimo da empresa empregadora, contanto que não haja tratamento de dados sensíveis. Salutar ressaltar, porém, que o interesse legítimo da empresa deve ao menos em tese estar relacionado apenas aos hábitos laborais e relacionados à atividade daquele colaborador, não se cogitando, por exemplo, de um interesse irrestrito.

Como indicado, a Lei nº 13.709/2018 é essencialmente uma norma principiológica, não dispondo de restrições específicas sobre esse assunto, cabendo à Autoridade Nacional de Proteção de Dados a elaboração de diretrizes específicas para a aplicabilidade da Lei nº 13.709/2018.

Devido à influência do Regulamento Geral de Proteção de Dados da União Europeia no contexto de elaboração e promulgação da Lei nº 13.709/2018, é provável que a ANPD se utilize, ainda que em um primeiro momento, dos referenciais europeus para aplicação dos temas – ainda em especial os mais controversos como o presente – no Brasil.

Nesse sentido, o Parecer 2/2017[2] emitido pelo Grupo de Trabalho[3], sobre processamento de dados no contexto de relações de trabalho, é relativamente claro ao destacar as limitações do uso de dados cujo acesso seja público, incluindo dados de redes sociais, considerando comportamentos esperados e que sejam do interesse dos potenciais empregadores. O parecer referido destaca que não é recomendável que os empregadores assumam que, simplesmente pelo fato o perfil de rede social de um indivíduo estar disponível ao público, ser possível tratar esses dados para qualquer finalidade. É necessário um fundamento legal para esse tratamento, como o interesse legítimo (se devidamente justificado).[4]

Desta forma, é com os princípios da Lei nº 13.709/2018 e as orientações atualmente existentes que, ao se analisar a questão, recomendam-se posturas a serem observadas.

A necessidade e a adequação implicam, preliminarmente, que é importante se estabelecerem técnicas, métodos e tipos de informações e dados pessoais que serão utilizados e em que medida tal utilização representará um benefício para a empresa empregadora.

Ainda, diante da transparência e da responsabilização, é recomendável que a empresa empregadora minimize na extensão possível a coleta de dados por meio de terceiros.  Também, deve a empresa empregadora avaliar sua relação com a empresa especializada em background check enquanto agente de tratamento, se ambas seriam controladoras ou se a relação em questão seria de uma controladora para processadora de dados. A importância da distinção se dá, sobretudo, para fins de determinação das (i) atividades a serem executadas, (ii) responsabilidades associadas e (iii) definição dos fundamentos legais aplicáveis para tratamento dos dados pessoais.

A indicação do fluxo de dados específico deve também constar do relatório de processamento de dados da empresa controladora. Destaque-se que na hipótese de utilização do interesse legítimo como fundamento legal para o tratamento de dados pessoais, é recomendável a prévia elaboração deste relatório, conforme prevê o artigo 10, parágrafo 3º da Lei nº 13.709/2018.

Assim, a partir dos princípios da Lei nº 13.709/2018 e o delineamento de uma justificativa sólida para suas necessidades de coleta dos dados pessoais advindos de redes sociais, como a relação de tal dado com o propósito da empresa e a função desempenhada pelo colaborador, pode-se pensar em eventual possibilidade de se ter serviços de triagem de redes sociais, ou background check, de potenciais candidatos a uma posição profissional. Ressalte-se, sobretudo, que é essencial a observância de todas as normas da Lei nº 13.709/2018, sendo certo que numa sociedade com desenvolvimento acelerado como a contemporânea, as orientações da ANPD, ao exemplo do que ocorreu na União Europeia, auxiliarão a todos a compreensão e aplicabilidade da Lei nº 13.709/2018, equilibrando inovação com a proteção da pessoa natural no que tange aos seus dados pessoais. Desta maneira, a confiança nas relações e o alinhamento dos negócios serão possíveis.

—————————————————–

[1] Disponível em: https://twitter.com/kmlefranc/status/1221869659139366912. Acessado em 2 de fevereiro de 2020.

[2] Disponível em https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169. Acessado em 2 de fevereiro de 2020.

[3] Foi estabelecido na União Europeia, ainda à época da Diretiva 95/46/CE, de 24 de outubro de 1995, que tratava sobre proteção de dados até 24 de maio de 2018 e precedeu o GDPR, um Grupo de Trabalho independente, com caráter consultivo, composto pelas autoridades de proteção de dados dos Estados-Membros, por um representante das autoridades criadas para os organismos comunitários e por um representante da Comissão Europeia para analisar as questões relativas à aplicação da Diretiva 95/46/CE, e proteção de dados, por meio da emissão de diversos pareceres. Após a vigência do GDPR, este Grupo de Trabalho foi substituído pelo European Data Protection Board, porém seus pareceres elaborados ainda servem de referência no que tange à matéria de proteção de dados.

[4] Disponível em https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169. Acessado em 2 de fevereiro de 2020. Conforme Parecer: “No entanto, os empregadores não devem pressupor que o simples facto do perfil de um utilizador estar publicamente disponível num meio social lhes permita proceder ao tratamento desses dados para os seus próprios fins. É necessário um fundamento jurídico para este tratamento, tal como um interesse legítimo. Neste contexto, o empregador deve, antes da inspeção do perfil no meio social, ter em conta se o perfil no meio social do candidato diz respeito a fins profissionais ou privados, uma vez que isto pode ser uma indicação importante para a admissibilidade jurídica da inspeção dos dados. Além disso, os empregadores apenas estão autorizados à recolha e ao tratamento de dados pessoais respeitantes aos candidatos a emprego, na medida em que a recolha desses dados é necessária e pertinente para o desempenho da função à qual estão a candidatar-se.”


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito