Valor econômico, v.19, n.4605, 08/10/2018. Legislação & Tributos, p. E2
Proteção de dados nas relações de trabalho
Cristina Buchignani
Josiane Leonel Mariano
08/10/2018
A Lei Geral de Proteção de Dados do Brasil (LGPD), Lei 13.709/2018, foi sancionada em 14 de agosto de 2018 e entrará em vigor em fevereiro de 2020. Estabelece, referida lei, regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão mais elevado de proteção da reputação da pessoa humana e penalidades significativas em caso de descumprimento.
A LGPD brasileira é muito similar à nova regulamentação de proteção de dados dos países da União Europeia - GDPR (General Data Protection Regulation) - que entrou em vigor em maio com eficácia e aplicação extraterritorial. Dessa forma, o Brasil passa a compor o rol de países com os quais a União Europeia poderá compartilhar dados, o que pode fomentar diversos setores da economia.
Sinteticamente, nos termos da LGPD, entende-se por dados pessoais toda informação que qualifica ou permite que a pessoa natural seja identificada e/ou identificável. Por dados sensíveis entende-se aquela informação com maior potencial discriminatório, dentre elas as que se referem à raça, etnia, religião, convicção política ou filosófica, saúde, orientação sexual, dados biométricos etc. Por tratamento de dados entende-se toda operação realizada com informações pessoais, tais como a coleta, utilização, acesso, reprodução, armazenamento e eliminação de dados.
A lei prevê as hipóteses que autorizam o tratamento de dados. Nesse sentido se destaca a necessidade de obtenção de consentimento do empregado, o cumprimento das obrigações legais ou regulatórias, execução de políticas públicas e o legítimo interesse do controlador.
Nas relações de trabalho, os impactos da LGPD começam antes mesmo da formalização do contrato, ou seja, necessária a observância da legislação desde a abertura do processo seletivo, de forma que as empresas deverão ser cautelosas ao anunciar a vaga, sem discriminar candidatos com base em dados sensíveis (idade, cor, sexo, estado civil, religião, aparência física), limitando-se às informações específicas e necessárias para o exercício das atividades a que se destina o processo seletivo.
Nos contratos de trabalho, sugere-se que o empregador inclua cláusulas demonstrando o expresso consentimento do empregado para o tratamento de seus dados, especificando para quem e para qual finalidade os mesmos serão utilizados - operadoras de convênio médico e seguro de vida, empresas de gestão folha de pagamento e benefícios -, pautando-se na objetividade e boa-fé.
As empresas deverão se preocupar com seus prestadores de serviços e parceiros de negócios e benefícios, verificando periodicamente se eles estão compromissados com a proteção dos dados, sendo recomendável, inclusive, a inserção de cláusula contratual compromissória. Pois, nos termos da lei, o empregador deverá garantir a correta utilização dos dados de seus empregados, sob pena de sofrer sanções que variam de advertência a multas. A penalização poderá corresponder a 2% sobre o faturamento da empresa, com limite de R$ 50 milhões.
Os dados biométricos, normalmente utilizados pelos empregadores para controle de acesso e jornada de trabalho, são considerados dados sensíveis pela LGPD e somente poderão ser utilizados mediante consentimento expresso do empregado, para finalidades específicas e no estrito cumprimento da determinação legal, como é o caso do sistema REP (ponto biométrico).
De qualquer maneira, é importante ressaltar que os dados devem ser tratados de forma adequada, relevante e estritamente limitada às finalidades a que se destinam.
A LGPD dispõe sobre o direito de revogação da autorização e consulta aos dados armazenados e transações feitas com os dados pessoais; direito de revisão ou atualização dos dados, de modo que os empregadores deverão garantir aos seus empregados o acesso a tais informações, de forma clara e simplificada.
As empresas deverão adotar boas práticas de guarda e rastreabilidade dos dados pessoais de seus empregados, tendo registro de toda atividade de tratamento de dados pessoais, notificando os titulares em caso de incidentes.
A lei depende de regulamentação no que se refere à especificação dos padrões técnicos mínimos para proteção de dados, contudo, recomenda-se que os departamentos de recursos humanos estejam sempre alinhados com os gestores da tecnologia da informação, observando a natureza dos dados tratados, as características específicas do tratamento, local de armazenamento, criação de senhas, criptografia, de acordo com o estado de modernidade tecnológica.
A legislação não estabelece prazo para armazenamento de dados. Não obstante, é recomendável que a manutenção dessas informações se dê apenas pelo tempo necessário ao atendimento de eventuais demandas na Justiça do Trabalho e apresentação aos órgãos fiscalizadores.
É importante que as empresas, de um modo geral, estejam conectadas às exigências globais de proteção de dados, seja para observar a legislação e sanções dela decorrentes, seja para proteger seu próprio valor patrimonial, pois sua reputação será prejudicada em caso de vazamento de informações.
As empresas terão o período de 18 meses, até a efetiva vigência da lei, para a adoção das medidas necessárias para adequação à LGPD.
Recomenda-se que os empregadores adotem, desde já, políticas de boas práticas que visem à proteção dos dados pessoais de seus empregados e prestadores de serviços, exigindo que os seus parceiros tenham o mesmo compromisso.