Entenda quais são os impactos da LGPD nos contratos de trabalho e como o empregador poderá mitigar os riscos de sofrer penalidades.
A Lei Geral de Proteção de Dados (LGPD) – Lei 13.709/18 – que atualmente aguarda a sanção presidencial para a sua entrada em vigor, surgiu da necessidade de, numa era da informação digital, garantir a segurança e privacidade no armazenamento de dados pessoais. Isso se dará por meio da regulamentação das atividades de tratamento e coleta de dados, bem como da fiscalização e aplicabilidade de sanções severas em hipóteses de descumprimentos.
Nesse sentido, a LGPD oferece à sociedade uma nova arquitetura jurídica para a gestão e proteção das informações pessoais, combatendo fraudes e crimes virtuais, representando um marco no ordenamento jurídico brasileiro, impulsionado pelo Regulamento Geral sobre a Proteção de Dados 2016/679 da Comunidade Europeia.
Além disso, ressalta-se que o referido preceito legal encontra amparo no artigo 5º, inciso XII da Constituição da República Federativa do Brasil, que determina o disposto abaixo:
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:
XII – é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal. [grifos nossos]
Depreende-se do artigo 1º da Lei 13.709/2018 que seu objetivo é “proteger os direitos fundamentais de liberdade e de privacidade e o desenvolvimento da personalidade da pessoa natural”, enquanto que o artigo 2º, por sua vez, esclarece que a disciplina da proteção de dados pessoais possui como fundamentos:
O respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, a honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidade pelas pessoas naturais.
É certo que, em uma geração que usufrui do rápido acesso à informação, onde esta circula descomedidamente por meio de um simples compartilhamento utilizando-se de seu smartphone, podendo facilmente, assim, expor a pessoa a quem pertencem os dados aos riscos de ter sua imagem denegrida ou sofrer com a utilização destes para finalidades indesejadas e prejudiciais, tem-se que a LGPD se destina à toda e qualquer relação jurídica, inclusive às de emprego.
Ao contrário do RGPD, que dispensou as empresas que possuem menos de 250 trabalhadores de se adequarem às novas exigências quanto ao tratamento de dados, a Lei 13.709/18 não especificou questões relacionadas a empregadores e empregados, o que significa dizer que esta é aplicável tanto para os mercados de bairro quanto às multinacionais, dos pequenos aos grandes negócios, mobilizando empresas de diversos setores da economia.
Estão incluídos no tratamento de dados aqueles pertencentes a clientes, fornecedores, empregados, candidatos à vaga de emprego, dentre outros, o que irá exigir das empresas a compreensão exata da lei, a fim de afastar eventuais possibilidades de descumprimentos e, consequentemente, aplicabilidade das sanções cabíveis ao caso concreto.
Nos contratos de trabalho há o manuseio de uma quantidade intensa de dados pessoais, desde à fase que antecede a contratação à sua efetiva celebração, perdurando durante toda a vigência da relação empregatícia. Dentre as informações manipuladas estão: currículo; Registro Geral (RG); Cadastro de Pessoa Física (CPF); número da Carteira de Trabalho e Previdência Social (CTPS); idade; nome dos genitores; escolaridade; nome dos filhos; tipo sanguíneo; jornada de trabalho; salário; descontos; entre outros.
Assim, no momento em que o empregador realiza o repasse destas informações a um terceiro – sindicatos, convênios médicos, E-Social, por exemplo – que porventura viabilize a identificação pessoal do empregado, está sendo efetivada a transmissão de dados pessoais, devendo ser adotadas medidas de segurança aptas a protege-las e, ainda, preencher os requisitos dispostos na lei em comento para o seu manejo, tal como o consentimento expresso do titular.
Destaca-se que as situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito serão passíveis de aplicação das penalidades elencadas no artigo 52 da LGPD, sem prejuízo das sanções civis ou penais:
I – Advertência, com indicação de prazo para adoção de medidas corretivas;
II – Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – Multa diária, observado o limite total a que se refere o inciso II;
IV – Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – Eliminação dos dados pessoais a que se refere a infração;
VII – Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
VIII – Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
IX – Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Dentre as medidas preventivas que as empresas poderão eleger como forma de enquadrar a sua rotina, cultura e técnicas de compliance aos preceitos da LGPD, estão:
- Mapear todos os dados que são manuseados, reconhecendo a sua natureza (dados pessoais ou dados pessoais sensíveis), a fim detectar quais os requisitos legais aplicáveis ao tratamento destes;
- Identificar o meio pelo qual estes dados estão sendo armazenados (HD’s externos; nuvem; no escritório do Contador, etc) e analisar qual a opção mais viável, segura e eficaz para mantê-los preservados;
- Verificar a existência de dados que exigem o consentimento para o seu manejo e elaborar o Termo Individual de Consentimento, conforme caso concreto;
- Apurar quem são os colaboradores que possuem acesso a estes dados, ponderando sobre a necessidade de instituir limites e nomear pessoas específicas para tanto;
- Treinar os colaboradores, alertando-os sobre a transformação digital vivenciada pela sociedade e seus impactos na cultura da empresa;
- Contratar pessoal qualificado, a quem deve competir as decisões referentes ao tratamento de dados pessoais (controlador), bem como realizar-se pelo tratamento de dados pessoais em nome do controlador (operador);
- Ajustar o regimento interno da empresa.
Vale ressaltar que se tratam de diligências iniciais, não possuindo o poder de eximir totalmente as empresas dos riscos, considerando que estas devem ser aplicadas de forma contínua e organizada, com o amparo do departamento jurídico e de informática, visando a implantação da nova política por meios atuais e tecnológicos, sendo necessária a elaboração de procedimentos internos específicos para cada tratamento.
Desta forma, conclui-se pela indispensabilidade de atualização quanto à Lei 13.709/2018 que entrará em vigor, a devida adequação das empresas às exigências impostas por esta e, por fim, a adoção emergencial de medidas preventivas, como forma de mitigar eventuais riscos de sofrer as penalidades aplicáveis.
