Edição 255
Apontamentos da LGPD no Direito do Trabalho
24 de novembro de 2021
Elaine Cristina Beltran de Camargo Conselheira da AASP
Em linhas gerais, a Lei Geral de Proteção de Dados (LGPD/ Lei nº 13.709/2018) tem por finalidade salvaguardar os dados pessoais que são tratados pelos diversos agentes econômicos, sejam eles colhidos de forma digital ou analógica, por pessoa natural ou jurídica, seja ela de direito público ou privado. E tal salvaguarda tem como propósito proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural (art. 1º), especificamente, do empregado.
O termo tratamento de dados é utilizado para toda e qualquer operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (art. 5º, X). E após atingir a finalidade naquela operação, ou seja, quando em tese os dados deixarem de ser necessários, a lei determina como regra geral que os dados devem ser descartados (art.15). Porém, do ponto de vista das relações de trabalho, é praticamente impossível se prever quando a finalidade será atingida, como será discutido a seguir.
Alguns dados pessoais possuem mais valor que outros, de forma que a lei criou para eles duas categorias distintas: de um lado, a lei trata dos dados pessoais gerais, cuja natureza é a de identificar determinado indivíduo por meio de atributos comuns. De outro lado, existem dados que, em virtude de sua natureza potencialmente discriminatória, são considerados sensíveis.
Em outras palavras, conforme dispõe o art. 5º, I, dado pessoal é aquele relacionado à pessoa natural, seja ela identificada ou identificável. Por outro lado, dado pessoal sensível (art. 5º, II) é aquele que trata da origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Do ponto de vista trabalhista, é comum que o empregador – como controlador dos dados dos empregados – acabe tratando no dia a dia de ambos os tipos de dados, o que nem sempre é percebido por aquele. A lei determina amplitudes diferentes de utilização desses dados, sejam eles gerais ou sensíveis.
Outro conceito relevante na LGPD é que muitas atividades de tratamento de dados pessoais são estabelecidas com base no consentimento (art. 5º, XII).
Nas relações trabalhistas não há grande espaço para a disposição livre de dados. Ao invés, o tratamento de dados se dá, na maior parte das vezes, sem que o empregado tenha como obstaculizar o tratamento de seus dados por parte do empregador.
O desequilíbrio entre as partes na relação de emprego também ocorre no âmbito do tratamento de dados pessoais dos empregados, cabendo ao empregador todas as obrigações de cuidado previstas na LGPD, o que amplia as responsabilidades originalmente previstas na lei.
Alguns dados pessoais dos empregados são fornecidos ao empregador antes mesmo da própria celebração do contrato de trabalho, ou seja, na fase pré-contratual.
Quando o candidato à vaga apresenta seu curriculum vitae à empresa, seja diretamente, seja por um intermediário, há uma série de dados pessoais que são tratados por diversos agentes, de forma muitas vezes massificada. Basicamente, há inúmeros sites e plataforma de empregos nos quais, mediante o pagamento de uma assinatura, quaisquer dos usuários terá acesso a informações detalhadas da vida pessoal do candidato.
Nessa fase, o empregador deve ter critérios objetivos para tratar dos dados pessoais do candidato, principalmente dos sensíveis, visto poderem gerar critérios discriminatórios de seleção.
Embora seja em princípio direito do empregador dispor de tais informações, até pelo fato de serem disponibilizadas pelo próprio candidato ou empregado, a má utilização dos dados é que pode ser considerada um ilícito frente à LGPD.
Quando da contratação propriamente dita, outros dados pessoais serão solicitados, visando formalizar o contrato de trabalho. Embora seja evidente que o empregado consinta com a coleta e o tratamento de seus dados para fins de ser contratado, a base legal para o tratamento, neste caso, é o próprio cumprimento do contrato de trabalho por parte do empregador. Não é possível, portanto, que o empregado, em um determinado momento, decida por revogar seu consentimento, na medida em que o empregador detém um direito autônomo, baseado no cumprimento de sua prestação obrigacional trabalhista, de manter tais dados (art. 7º, V).
De qualquer forma, é sempre necessário analisar a real importância dos dados tratados, ou seja, se de fato são imprescindíveis para a finalidade específica do contrato de trabalho, sempre levando em consideração a hipossuficiência do empregado. Neste sentido, a caixa de e-mail profissional do funcionário contém informações muitas vezes pessoais de natureza privada, cuja utilização deve ser criteriosamente sopesada pelo empregador, tanto no tratamento propriamente dito, quanto na elaboração de políticas claras e didáticas que alertem o empregado quanto aos riscos de incidentes de vazamento.
Com efeito, há uma infinidade de dados pessoais sensíveis que devem ser tratados pelo empregador, não obstante sua natureza. Como no caso dos exames médicos periódicos que, evidentemente, dispõem de informações sigilosas e devem ser arquivados pelo RH da empresa. O mesmo ocorre com os atestados médicos, relatórios clínicos, informações de reembolso e sinistralidade apresentadas por planos de saúde e que justificam providências da área financeira. São dados sensíveis que não estão na esfera de interferência do funcionário, visto que a base legal do tratamento não é seu consentimento, mas o cumprimento de obrigação contratual por parte do empregador (art. 7º, V) ou mesmo a tutela da saúde (art. 7º, VIII).
Como corolário, dados pessoais podem circular para terceiros, desde que todos os controladores mantenham a governança no tratamento adequado, tendo o empregador o dever primário de zelar e acompanhar tais tratamentos derivados. Isso vale para empresas que terceiram a folha de salários; os convênios e seguros médicos; as empresas de treinamento; os recrutadores autônomos, etc.
O tratamento de dados pessoais compartilhados entre planos de saúde e o empregador, aliás, pode ter como fundamento o cumprimento de obrigação legal (art. 7º, V), na medida em que muitas convenções coletivas impõem às empresas o dever de fornecer convênio ou seguro médico aos seus contratados.
Além de que, mesmo após a rescisão contratual, o empregador pode permanecer com os dados pessoais dos empregados, sob diversos fundamentos, sendo o mais comum o do legítimo interesse. É de se esperar que o empregador detenha informações que demonstrem não só o cumprimento de suas obrigações legais junto ao próprio ex-colaborador, como também junto ao fisco, à Previdência Social, ao Ministério Público do Trabalho ou a outros agentes públicos. Logo, o prazo de permanência desses dados com o empregador ainda é indeterminado.
No que toca o cumprimento da LGPD, há competência concorrente entre os diversos agentes que fiscalizam a relação laboral e a recém-criada Agência Nacional de Proteção de Dados (ANPD).
Assim, além das penalidades decorrentes da relação do trabalho, que tratam ordinariamente de dano emergente (material e moral) e do lucro cessante em favor do empregado, o empregador pode sofrer todas as penalidades listadas nos artigos 52 a 54 da LGPD caso descumpra quaisquer dos seus ditames. Em outras palavras, na hipótese de vazamento de dados do empregado por imprudência ou negligência do empregador, este pode ser cumulativamente punido tanto pela Justiça do Trabalho, em reclamatória, quanto pela atuação administrativa da ANPD.
No que tange à responsabilidade e ressarcimento de danos a LGPD dispõe sobre a responsabilidade do controlador ou do operador e dos agentes nos artigos 42 a 45. O art. 42, bem como os incisos II e III do art. 43 expressamente isentam de responsabilidade aquele que não violou a lei. Dessa forma, tormentosa é a questão da responsabilidade trabalhista pelo eventual incidente com os dados pessoais do empregado: de uma forma geral, o empregador é que deve provar que agiu com o zelo necessário, como forma de se afastar sua responsabilização trabalhista por vazamentos ou mal uso dos dados pessoais dos empregados. A inversão do ônus da prova nas relações do trabalho faz com que a culpa presumida do empregador seja um elemento complicador a incentivar ainda mais os cuidados e a boa governança na gestão dos dados pessoais dos empregados.
A guisa de conclusão, podemos considerar que a LGPD, somada às regras de compliance e ESG, faz parte das boas práticas de governança implementadas no mundo corporativo nos últimos anos. Tais boas práticas, a vista do incremento das novas tecnologias e, principalmente, do advento do 5G, farão com que os dados pessoais sejam cada vez mais importantes na gestão da economia moderna. Não há espaço para se desconsiderar os efeitos da LGPD na rotina das empresas, sendo suas regras, ditames e princípios uma realidade irreversível.