Coluna do Stocche Forbes

Dados pessoais

LGPD e relações de trabalho

Empresas terão que rever e instituir políticas internas

Crédito: Pixabay

A Lei Federal n° 13.709/2018, sancionada em 14 de agosto de 2018, dispõe especificamente sobre a proteção de dados pessoais e altera dispositivos da Lei Federal n° 12.695/2014 (Marco Civil da Internet).

Essa nova lei, também conhecida como Lei Geral de Proteção de Dados (“LGPD”), segue, em muitos pontos, princípios consagrados pelo Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation – “GDPR”), norma europeia que passou a vigorar em maio desse ano na União Europeia. A LGPD é, portanto, um marco legal para proteção de dados pessoais e privacidade no Brasil, na medida em que, até então, não havia regras específicas que dispusessem sobre o assunto.

Com relação especificamente à GDPR, as regras lá constantes possuem eficácia e aplicação extraterritorial, o que inclui sua aplicação em território brasileiro. Nesse sentido, empresas nacionais que tenham filiais ou subsidiárias em algum dos países pertencentes a esse bloco ou que venham a oferecer serviços às pessoas de algum desses países, tiveram que se adaptar às normas de proteção de dados estabelecidas pela GDPR. Destaca-se, ainda, que a GDPR cria uma série de obstáculos para a transferência internacional de dados pessoais para países que não são considerados seguros o suficiente no que tange à proteção de informações pessoais. Com a LGPD, o Brasil torna-se parte integrante do rol de países para os quais, segundo a GDPR, dados pessoais podem ser transferidos.

A LGPD, nos termos sancionados, entrará em vigor em território brasileiro apenas em fevereiro de 2020. Embora pareça que ainda há muito tempo para que as empresas se adequem às novas regras, esse lapso temporal pode não ser suficiente, especialmente considerando a vasta utilização de dados pessoais de pessoas físicas, especialmente de seus empregados, prestadores de serviços, trabalhadores autônomos, clientes, fornecedores, dentre outros. Vale lembrar que as empresas deverão mapear a coleta atual de dados, identificar quais dados já foram coletados e estão armazenados, analisar se esses dados deverão ser eliminados ou mantidos, verificar a segurança e proteção desses dados (especialmente digital) e o planejar como, no futuro, se dará a manutenção do cumprimento dessa nova norma.

Importante frisar que a LGPD define como dados pessoais toda e qualquer informação que esteja relacionada a pessoa natural identificada ou identificável, e como dados sensíveis referentes à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, informações referentes à saúde ou à vida sexual da pessoa natural, dados genéticos e biométricos.

Considerando a definição trazida pela própria lei, verifica-se que seus termos impactarão, e muito, questões atinentes às relações de trabalho. Assim, ainda que uma empresa não colete dados de clientes ou fornecedores, sempre coletará dados de seus empregados e demais trabalhadores, sendo de extrema importância a sua adequação à lei, especialmente considerando a imposição de sanções voluptuosas pelo não cumprimento, que podem chegar a 2% sobre o faturamento da empresa, limitada a R$50 milhões.

Vale lembrar que todos os dados pessoais que forem coletados/tratados pela empresa, estarão protegidos pela nova legislação, inclusive de candidatos a vagas de emprego, o que implica em dizer que existem 3 (três) momentos em que se deve avaliar a aplicação da lei em relação aos colaboradores de uma empresa: (i) durante o período pré-contratual; (ii) durante a vigência do contrato; e (iii) após o término da relação contratual.

Em processos seletivos (fase pré-contratual), departamentos de recursos humanos ou empresas especializadas em recrutamento (“Recrutadores”) deverão atentar-se para dados normalmente solicitados aos candidatos, analisando profundamente qual informação é realmente necessária para a condução do processo seletivo e quais dados requerem consentimento do próprio candidato. Não o bastante, Recrutadores devem reavaliar o armazenamento de currículos em bancos de dados – principalmente quanto à necessidade de consentimento do profissional quanto ao armazenamento desse tipo de documento e a segurança das informações pessoais lá constantes.

Com relação aos contratos atuais, deve-se verificar se há utilização de dados para outros fins que não a execução do próprio contrato de trabalho – se houver desvirtuamento da utilização dessas informações, deve-se avaliar a necessidade de consentimento específico.

Outro aspecto importante refere-se a eventuais compartilhamentos de dados pessoais de colaboradores com empresas terceiras, estranhas à relação de trabalho, como, por exemplo, empresas operadoras de plano de saúde e gestão de folha de pagamento. A depender do caso, especialmente quando relacionado a dados sensíveis ou de crianças e adolescentes, pelos termos da LGPD, seria a necessário o consentimento expresso do colaborador, com vistas a garantir o cumprimento integral das condições dispostas em seus contratos de trabalho.

Da mesma forma, empresas deverão revisitar contratos firmados com empresas prestadoras de serviços, para determinar a forma como os dados pessoais dos trabalhadores terceirizados são tratados, bem como prever responsabilidades em caso de vazamento dessas informações.

Em que pese os termos da LGPD, a transmissão de dados pessoais via CAGED, RAIS, GFIP, Declaração do Imposto sobre a Renda Retido na Fonte (DIRF), por se tratarem de obrigação legal, não exige o prévio consentimento dos empregados. Nesse sentido, inclusive, dados transmitidos via e-Social também não requerem prévia autorização dos empregados.

No que tange, todavia, ao compartilhamento de informações pessoais com entidades sindicais, os empregadores deverão, primeiramente, checar se o compartilhamento é tido como obrigação legal (quer por lei, quer por disposição específica prevista em norma coletiva de trabalho); caso não seja, será necessária a autorização prévia dos profissionais envolvidos.

Outro ponto que merece destaque refere-se à necessidade de proteção de informação relativa à saúde do colaborador, por se tratar de dado sensível. Diante desse cenário, dados constantes de atestados médicos, certificados de exames admissionais, periódicos, de retorno ao trabalho, demissionais, dentre outros, deverão ser tratados como dados protegidos pela LGPD.

Ainda, por mais que a LGPD requeira o prévio consentimento dos empregados para compartilhamento e utilização de informações e dados de caráter pessoal, importante frisar que o profissional poderá, a qualquer tempo, revogar o consentimento em questão, por ser ele proprietário desses dados – claro que haveria o limite do cumprimento de obrigação legal pela empresa ou até mesmo exercício de um direito (como manutenção de dados para fins de defesa em eventual processo administrativo ou judicial).

Diante do exposto, fica evidente que, em razão da LGPD, as empresas terão que rever e instituir políticas internas para estabelecer parâmetros e limites para utilização de dados pessoais– e têm pouco mais de um ano para tanto.

Como bem se observa, a LGPD trouxe a necessidade de se atentar aos dados pessoais e como eles são tratados pelas empresas, até então negligenciados. A LGPD reforça o valor que a informação possui atualmente e devolve a titularidade dos dados pessoais às pessoas naturais, visando a sua proteção.


Você leu 1 de 3 matérias a que tem direito no mês.

Login

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito