O que é a LGPD?
A LGPD foi criada para prever e regulamentar questões relacionadas ao tratamento de dados pessoais nos meios digitais, inclusive por pessoas físicas ou jurídicas, privadas ou públicas. A sua aplicação se dá em todos os setores da economia e do Direito, sendo aplicável sempre que houver algum tipo de coleta de dados de terceiros, como ocorre, por exemplo, nas relações trabalhistas e consumeristas.
Qual a finalidade de criação da LGPD?
A LGPD surge com a finalidade de proteger as liberdades e direitos fundamentais, trazer segurança jurídica aos atores envolvidos no mundo da coleta, armazenamento e uso de dados (digitais ou não), e para estabelecer regras de proteção de dados e critérios no tratamento desses dados pessoais.
Quais os fundamentos da LGPD?
I — O respeito à privacidade;
II — A autodeterminação informativa; (que nada mais é do que a ideia de que o indivíduo titular de dados pessoais deve ter controle, ou ao menos plena transparência, sobre a destinação dada às suas informações pessoais, bem como das metodologias utilizadas para tanto.)
III — A liberdade de expressão, de informação, de comunicação e de opinião;
IV -— A inviolabilidade da intimidade, da honra e da imagem;
V — O desenvolvimento econômico e tecnológico e a inovação;
VI — A livre iniciativa, a livre concorrência e a defesa do consumidor;
VII — Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Quais os princípios da LGPD?
O artigo 6º da lei aduz que, além da boa-fé, são princípios da LGPD:
I — Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II — Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III — Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV — Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V — Qualidade de dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI — Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII — Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII — Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX — Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X — Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
A quem se aplica a LGPD?
A LGPD se aplica a toda pessoa natural ou jurídica, de direito público ou privado, visando garantir a proteção dos direitos fundamentais de privacidade, liberdade e livre desenvolvimento da personalidade da pessoa natural, e necessariamente precisa ser observada pela União, Estados, Distrito Federal e municípios, em relação às normas gerais.
A LGPD não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos; realizado para fins — exclusivamente — jornalísticos, artísticos ou acadêmicos.
A LGPD ainda não se aplica para fins exclusivos de: Segurança Pública; Defesa Nacional e segurança do Estado ou atividades de investigação e repressão de infrações penais; ou provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto.
LGPD — Operador, controlador e encarregado
O controlador é “toda pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” (artigo 5º, VI).
O operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (artigo 5º VII).
Já o encarregado é “pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados“. Equipara-se à figura do DPO (Data Protection Officer — Oficial de Proteção de Dados, em português), e tem como responsabilidade legal estabelecer comunicação com os titulares e autoridade nacional, esclarecimentos, providências, orientações internas.
O controlador e o operador de dados são agentes responsáveis pelo tratamento das informações. O controlador está no topo da cadeia de tratamento de dados e a diferença entre eles está justamente no poder de decisão.
O operador pode realizar o tratamento de dados, mas isso ocorre a partir das ordens de um controlador. Essa responsabilidade do controlador pode ser percebida da análise do texto da LGPD. Na lei, a palavra “controlador” aparece 62 vezes, enquanto a palavra “operador” aparece 11 vezes, e isso está diretamente relacionado à diferença de responsabilidades de ambos — e até mesmo de um sobre o outro.
O que é o tratamento de dados previsto na LGPD?
O tratamento de dados na LGPD é previsto por 20 verbos de ação. Diz a lei que o “tratamento de dados é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração“.
Esse rol não é taxativo, até mesmo porque precisamos considerar que a evolução tecnológica está em franca expansão e novas ações (verbos) podem surgir para definir posturas ou comportamentos ligados à finalidade a que se destina a LGPD.
O que são dados pessoais sensíveis?
Os dados “sensíveis” são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa, e que têm alto poder de causar discriminação.
Devido ao seu teor e às consequências negativas que seu vazamento pode causar ao titular, inclusive gerando direito a reparação moral tanto na esfera trabalhista quanto cível, a lei tratou de defini-los como “sensíveis” e prever tratamento especial.
LGPD nas relações de trabalho
Fase pré-contratual — a fase pré-contratual é a fase do primeiro contato do empregado com o empregador e geralmente é realizada por terceiros (recrutador, departamento pessoal, empresas especializadas etc.).
Nessa fase há a disponibilização da vaga, análise do currículo, entrevistas, dinâmicas e posterior escolha do candidato selecionado.
Nessa fase é proibida a coleta de dados que possam gerar qualquer critério discriminatório entre os candidatos, como, por exemplo, solicitação de exames de gravidez, toxicológico, exames de sangue, atestado de antecedentes criminais e análise de crédito (débito).
Essa é a regra. Contudo, há exceções previstas em lei, como é o caso do exame toxicológico para o motorista profissional (artigo 168, § 6°, da CLT) e do atestado de antecedentes criminais que é obrigatório para quem trabalha como vigilante (artigos 12 e 16, VI, da Lei n. 7.102/1983 c/c art. 4°, I da Lei n. 10.826/2003).
Por outro lado, o exame de gravidez e a análise de crédito (débito) — mesmo para trabalho em instituições financeiras — são proibidos (artigo 1° da Lei n. 9.029/1995), sendo o segundo, inclusive, com base nos termos do Acórdão do TST prolatado nos autos do Processo n. 1109-68.2012.5.10.0020.
A empresa precisará informar claramente aos candidatos não selecionados a política de utilização dos dados que foram fornecidos e, principalmente, o que será feito com os dados e documentos daqueles que não foram selecionados.
Fase contratual — é na fase contratual que o empregado terá conhecimento da política de tratamento de dados da empresa e dará o seu consentimento (ou não) expresso quanto ao seu teor.
Fase pós-contratual — quando da ocorrência de eventual desligamento do funcionário da empresa, seja por qual motivo for, também é necessária a observância dos preceitos da LGPD.
Isso se dá pelo fato de que a LGPD, expressamente, aduz que é necessária a informação de finalização do uso de dados, seja por determinação legal, seja por solicitação do titular do direito.
Ocorre que, quando falamos de relações trabalhistas, há obrigações de guarda de documentos que decorrem de imposição legal, e isso afasta a solicitação particular do titular do direito.
São situações que precisarão de análise caso a caso, como, por exemplo, o dever de guarda para fins de documentação probatória para ações trabalhistas. Como sabido, o prazo decadencial para propositura de ação trabalhista é de dois anos contados da data do desligamento (considerando a projeção do aviso prévio). Portanto, a empresa possui garantia legal para guardar documentos comprobatórios dentro do prazo prescricional do direito de ação do titular do direito.
LGPD na fase contratual
Como visto, o consentimento do funcionário deve ser expresso e as cláusulas que versarem sobre a política de tratamento de dados da empresa devem vir destacadas no documento, de forma a garantir a observância dos princípios da finalidade, transparência e segurança.
Há casos específicos em que a LGPD se aplicará na fase contratual, vejamos:
- Ficha de registro: na ficha de registro é comum que contenha dados pessoais e dados sensíveis, a exemplo da filiação a sindicato. Nesse aspecto a LGPD prevê expressamente a necessidade de tratamento desses dados com a limitação de acesso à ficha de registro do funcionário.
- Formalização de contratos e aditivos: destacam-se os contratos e aditivos, principalmente para quem já possuía o vínculo de emprego antes da entrada em vigor da LGPD. Para esses casos, será necessária a adequação do contrato de trabalho à LGPD.
- Realização de exames: a realização de exames periódicos encontra respaldo na legislação vigente. Assim, todos os funcionários celetistas são obrigados a realizar o exame médico periódico. Tais exames abrangem a avaliação clínica e envolvem anamnese ocupacional e exames físico e mental, sendo possível haver exames complementares de acordo com os termos específicos da NR-7. Contudo, não podem ser solicitados exames que possam expor a saúde do trabalhador a fim de causar-lhe discriminação, a exemplo dos exames de HIV, gravidez, câncer etc.
- Recebimento de atestados: embora não seja obrigatório o preenchimento da CID (Classificação Internacional de Doenças e Problemas Relacionados à Saúde) no atestado médico, caso haja identificação da doença e/ou o motivo do afastamento, pela LGPD, tais dados passam a ser dados sensíveis e, portanto, precisarão de política específica de guarda e acesso.
- Compartilhamento de dados com seguradoras, planos de saúde, entidades sindicais: pela LGPD o compartilhamento desses dados precisará de autorização expressa do titular, principalmente quando se tratar de dados de familiares e de terceiros. A exceção virá quando essas informações decorrerem de pedido judicial, de texto de lei ou para fins de dados de estatística do governo.
Algumas questões práticas do ambiente de trabalho
- Dados biométricos: a LGPD classifica os dados biométricos como dados pessoais sensíveis. Os dados biométricos e genéticos são tratados pela LGPD como dados pessoais sensíveis pois podem ser utilizados para classificar grupos de indivíduos ou reconhecê-los individualmente. O reconhecimento biométrico facial é capaz de permitir a classificação do indivíduo em gênero ou etnia.
- Menor aprendiz: a formalização da contratação do menor aprendiz passará por mudança significativa. Isso acontecerá porque o §1º do artigo 14 diz que o “tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico, em que destaque, dado por pelo menos um dos pais ou responsável legal“. Essa mudança se dá pois a lei só previa a assistência do menor no momento da rescisão e, com a LGPD, a assistência deverá ser outorgada também na contratação.
- Vigilância de empregados (e-mails, redes sociais, dispositivos funcionais, dispositivos pessoais, geolocalização): a LGPD não proíbe o acesso a e-mails ou dispositivos funcionais. Contudo, a informação deverá ser clara, dispondo do propósito e finalidade da coleta, assim como deverá ter a ciência do funcionário quanto aos limites do acesso da empresa aos seus dados pessoais e o tratamento que será dado a esses dados.
- Monitoramento interno e externo do ambiente da empresa: a LGPD não proíbe o monitoramento interno e externo do funcionário, mas tal monitoramento deverá ser justificado e com o consentimento do funcionário, zelando pela transparência, finalidade e necessidade.
- Compartilhamento de dados pessoais de empregados entre grupo econômico e terceiros: caso o controlador precise comunicar ou compartilhar dados pessoais com terceiros, deve obter consentimento expresso do titular para esse fim, exceto em situações já previstas em lei que dispensam tal autorização. Tal previsão legal está no §5º do artigo 7º da LGPD e revela a necessidade de que as empresas sejam mais cautelosas ao compartilhar e receber dados de clientes como decorrência de serviços prestados a outras empresas, uma vez que sempre deverá haver uma expressa e específica autorização do titular dos dados para que haja o compartilhamento dessas informações.
- Teletrabalho e proteção de dados: sem dúvidas a finalidade precípua da LGPD é a proteção de dados do titular face àqueles que coletam esses dados. Quando tratamos de “teletrabalho”, o principal elemento para traçar as diretrizes da atuação da empresa no ambiente de trabalho do seu funcionário (residencial ou não) se dará pelo contrato de trabalho e as previsões acerca da aquisição, manutenção e fornecimento de equipamentos tecnológicos e da infraestrutura necessária para a prestação do trabalho. Tais medidas equiparam-se ao caso do uso de computador ou e-mail institucional no qual é permitido o acesso pelo empregador com o conhecimento do funcionário. Já em caso de uso de equipamentos pessoais, tal acesso não atende à finalidade da LGDP, em atenção aos princípios nela previstos, além do próprio artigo 5º da CF/88, que garante a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade.
Término do tratamento de dados
O artigo 15 da LGPD prevê que o término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I – Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; (controlador)
II – Fim do período de tratamento; (controlador ou lei, regimento)
III – Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do artigo 8º desta lei, resguardado o interesse público; (titular)
IV – determinação da autoridade nacional, quando houver violação ao disposto nesta lei.
Sanções e penalidades previstas na LGPD
A autoridade responsável pela fiscalização da LGPD será a ANPD – Autoridade Nacional de Proteção de Dados. Contudo, a fiscalização não está adstrita à ANPD e poderá ser exercida por outras entidades fiscalizadoras, como os órgãos de proteção ao trabalhador (MPT, MPF, Auditor Fiscal etc.).
Estão entre as sanções administrativas para a prática de infrações à LGPD a aplicação de advertências, de multas simples ou diárias que podem chegar à quantia expressiva de R$ 50 milhões, e ainda publicização da infração e bloqueio e eliminação dos dados pessoais.
Considerações finais
Como elencado nos próprios fundamentos da LGPD, esta tem como escopo a garantia das liberdades e direitos fundamentais da pessoa humana (já previstos no artigo 5º da CF/88), bem como o uso de dados pessoais (sensíveis ou não) com o propósito de trazer segurança jurídica tanto para quem fornece os dados (titular) quanto para aqueles que captam esses dados (controlador/operador).
A adequação à LGPD é de extrema urgência, posto que as relações de coleta e armazenamento de dados são praticamente diárias e estão, a partir de então, sujeitas às regulamentações previstas na LGPD.
Dentro do cenário das relações trabalhistas, como vimos, as mudanças também adquirem contornos específicos, principalmente durante a vigência do contrato de trabalho, com atenção especial aos contratos já vigentes antes da promulgação da LGPD.
A adequação à LGPD passará pela existência de boas práticas, treinamentos, normas internas e revisão de contratos e manuais a fim de garantir que os controladores busquem se adequar à lei visando minimizar ou mesmo eliminar os riscos de não observância aos preceitos da Lei Geral de Proteção de Dados.
Fonte: Conjur
Revista Consultor Jurídico, 17 de setembro de 2020, 8h00