LGPD: IMPACTOS NAS ROTINAS TRABALHISTAS E NO CONTRATO DE TRABALHO: O TRABALHO DAS EMPRESAS ESTÁ SÓ COMEÇANDO
A Lei 13.709/2018, denominada Lei Geral de Proteção de Dados, LGPD, complementada e alterada em parte pela MP 869/2018, é a contrapartida brasileira ao Regulamento 2016/679 (RGPD), da Comunidade Europeia.
A LGPD reitera, no âmbito do Ordenamento Jurídico brasileiro os princípios, critérios, campos de aplicação e consequências que a RGPD prevê para os Estados Membros da Comunidade Europeia, trazendo toda uma nova arquitetura jurídica para a gestão e proteção das informações pessoais das pessoas físicas – embora a nossa LGPD o faça, a nosso ver, muitas vezes de forma pouco técnica, confusa e mal adaptada.
A LGPD não se destina, precipuamente, às relações de trabalho, mas sim às relações jurídicas em geral que envolvem qualquer manuseio de dados, ou informações, entre as pessoas naturais detentoras desses dados, e pessoas naturais ou jurídicas que de alguma forma têm ou obtêm acesso a esses dados. Seu campo de aplicação, por excelência, são as relações de consumo, ou comerciais, do universo virtual, desde aplicativos, redes sociais, a grandes Bancos comerciais. Seu objetivo principal é a proteção da privacidade dos indivíduos num mundo em que a informação circula em altíssima velocidade, muitas vezes sem controle e com consequências indesejadas para o titular das informações; um mundo em que, com um toque na tela do smartphone, toda a vida de uma pessoa pode ser exposta, denegrida, ou usada para finalidades que o titular daquelas informações ignora ou não deseja.
A lei não faz qualquer distinção entre pequenos ou grandes empreendimentos, ou entre o volume de dados que é manuseado. Ela vale tanto para a loja do bairro que vende bolos caseiros e que possui um pequeno cadastro de clientes, quanto para provedores de acesso à internet com seus milhões de informações circulando diariamente em seus bancos de dados.
Porém, as relações de trabalho, e outras relações vizinhas à relação de trabalho, como a prestação de serviços em geral, implicam, também, trânsito de informações entre uma pessoa natural, o empregado ou prestador de serviços, e uma outra pessoa, natural ou física: o empregador ou a empresa contratante.
A LGDP não se dedicou a regulamentar especificamente a questão envolvendo empregados e empregadores, ao contrário da RGDP que possui disposições específicas a respeito, por exemplo o art 30, §2, 5, que dispensa empresas com menos de 250 pessoas de possuir um registro de atividades de tratamento de dados, ou ainda o art 88 que autoriza a regulamentação por meio de convenções coletivas de trabalho – providência que aliás seria muito bem vinda no Brasil mas que infelizmente, nisso, não foi copiada.
Nesse sentido, portanto, é indispensável uma boa leitura e compreensão da LGPD para verificar sua aplicação ao contrato de trabalho, bem como os impactos dessa aplicação nas rotinas e no compliance das empresas, especialmente em razão das graves consequências que podem advir de um eventual descumprimento das suas determinações, especialmente a multa prevista no art 52, II, da LGPD, de até 2% do faturamento da empresa, do “grupo ou conglomerado”, no ano anterior àquele em que for verificada a ilegalidade.
O risco a ser considerado na aplicação da LGPD aos contratos de trabalho, é menos o risco de reclamações trabalhistas individuais que seriam analisadas pela Justiça do Trabalho, algo com que as empresas, em geral, estão de certa forma familiarizadas – para o bem e para o mal. O risco é a empresa ser autuada e ver-se porventura obrigada a pagar uma multa multi-milionária, por parte de um órgão de controle e fiscalização novo, cujos parâmetros e tendências são, por definição, ainda desconhecidos.
Relação de emprego na LGPD
A LGPD, define, previamente à regulamentação propriamente dita, alguns conceitos com base nos quais, após, definirá direitos e obrigações.
Dentre esses conceitos, os mais importantes, para efeito de verificar a aplicação dos seus dispositivos à relação de emprego, são os seguintes [1]:
Titular dos dados: pessoa natural a quem se referem os dados pessoais (art 5º, V)
Controlador: pessoa natural ou jurídica que decide quanto ao tratamento dos dados do titular (art 5º, VI)
Operador: pessoa natural ou jurídica que faz o tratamento dos dados (art 5º VII)
Dado pessoal: informação relacionada a pessoa natural identificável (art 5º I)
Tratamento: todo o manuseio dos dados, envolvendo desde a coleta, até o seu armazenamento, sua transmissão, etc. (art 5º X)
A partir desses conceitos, e à luz da relação de emprego nos termos dos arts 2º e 3º da CLT, não parece haver dúvidas de que o empregado é o Titular dos dados, que, por força do contrato de trabalho fornece informações suas ao empregador, que vem a ser por sua vez o Controlador desses dados, cabendo a ele tomar as decisões necessárias sobre o Tratamento a ser levado a cabo por um Operador – que pode ser o próprio empregador, ou um setor do empregador, ou um terceiro, externo à relação de emprego.
Há um intenso fluxo de “Dados Pessoais”, tal qual definido na LGPD, envolvendo o contrato de trabalho, diretamente entre o Empregado-Titular e o Empregador-Controlador/Operador, desde (a) as fases anteriores à sua celebração (informações sobre o candidato, currículo, histórico, etc.), passando (b) pela celebração do contrato de trabalho (dados cadastrais, filiação a sindicado, endereço, nomes dos genitores, escolaridade, situação familiar, nomes dos filhos, idade, tipo sanguíneo etc.), e ainda (c) durante a execução do contrato de trabalho (jornada de trabalho, valor do salário, descontos, faltas, motivos das faltas, doenças, acidentes, situações conjugais que podem ter reflexos em providências da empresa, como o pagamento de pensão, inclusão de um dependente no plano de saúde, etc.), e por fim (d) ao término do contrato de trabalho (motivo do desligamento, valor das verbas rescisórias, etc.).
Há, ainda, uma não menos intensa troca de informações entre o Empregador-Controlador e outros Controladores e os órgãos públicos. Com efeito toda vez que o empregador repassa qualquer informação de um empregado que possibilite a identificação desse empregado para um terceiro, seja quem for esse terceiro, haverá uma transmissão de dados pessoais nos termos da lei. Isso envolve, por exemplo, convênios médicos, planos de saúde, vales-refeição, vales-alimentação, E-Social, consultorias contratadas, SESMT na hipótese em que não são constituídos na própria empresa. Haverá tratamento de dados pessoais ainda, em relação aos dados dos empregados das empresas terceirizadas que forem transmitidas à empresa contratante.
É certo que, mesmo antes da LGPD, o empregador sempre deteve responsabilidade jurídica em relação a esses dados fornecidos a ele pelo empregado, e sempre foi obrigado a utilizá-los para finalidades compatíveis com as do contrato de trabalho, de boa-fé, sujeitando-se, porventura, a uma eventual reparação por dano moral ou material no caso de desvios ou abusos de sua parte (arts 113, 186 e 927 do Código Civil).
Porém, o advento da LGPD, a par das obrigações práticas e rotinas novas que impõe aos empregados, agora na condição de Controladores, ou porventura Controladores-Operadores, e a par das consequências administrativas do seu eventual descumprimento (multas, etc.), força a necessidade de um novo olhar sobre a natureza dessas informações e a forma com elas devem ser tratadas no âmbito interno da empresa.
O que era antes somente uma “Ficha de Registro” do Empregado, passa a ser, à luz da LGPD, um conjunto de “Dados Pessoais”, alguns deles, inclusive “Dados Pessoais Sensíveis”, cujo tratamento, nos termos da LGPD, não observa necessariamente a mesma rotina que aqueles “Dados Pessoais Não-Sensíveis”. Por exemplo, nos termos do art 5º, I e II da LGPD, a “filiação a sindicato” é um dado pessoal sensível do titular, e toda empresa precisa saber se o empregado é ou não associado a um sindicato pela razão simples de que, se o for, terá que efetuar os descontos.
Significa, portanto, que num mesmo documento, a “Ficha de Registro”, haverá dados de natureza distinta, o que pode levar a consequências diferentes no âmbito da rotina interna e dos fluxos de Recursos Humanos da empresa.
Sabendo do risco de uma multa que pode chegar a dois por cento do faturamento anual da empresa, os empregadores, diante dessa nova realidade, devem buscar se adequar da melhor maneira, o que envolve desenvolver rotinas novas, e compliance, para todos os aspectos que possam envolver dados pessoais de empregados, ou mesmo de não-empregados, como autônomos contratos, ou empregados de empresas contratadas, etc.
Há inúmeros pontos em aberto que devem ser objeto de estudo e reflexão. O principal deles, talvez, seja o de saber se os direitos agora previstos na LGPD em relação aos Empregados-Titulares têm natureza de direitos trabalhistas ou não. A resposta será afirmativa se se considerar que os dados do titular somente estão sendo objeto de aplicação da lei em razão da existência do contrato de trabalho, sendo, portanto, um direito que decorre do contrato de trabalho.
Mas a resposta pode ser negativa, aplicando-se por exemplo a mesma razão de decidir do STF no RE 586.453, que apreciou a questão da competência da Justiça do Trabalho para julgar pedidos de complementação de aposentadoria, entendendo que aquela relação jurídica com as entidades de complementação de aposentadoria se baseava nos regulamentos das entidades e não no contrato de trabalho. Assim, seria possível concluir que a relação Titular-Controlador, que se dá a partir da LGPD, embora ocorra no âmbito de um contrato de trabalho, não seria coincidente, em sua natureza, com a relação Empregado-Empregador, porque os direitos previstos na LGPD transcenderiam o contrato de trabalho.
Não se trata de uma discussão acadêmica. Da resposta a essa questão dependerá, por exemplo, a resposta quanto à competência da Justiça do Trabalho para apreciar ações questionando multas que venham a ser aplicadas a Controladores em relação a violações da LGPD de titulares de dados que sejam empregados seus. Da resposta a essa questão dependerá, ainda, saber se se aplicaria às normas internas de compliance do Empregador-Controlador o princípio da inalterabilidade in pejus das condições de trabalho, ou ainda se essas normas internas de compliance, a depender do seu teor, poderiam ser consideradas cláusulas do contrato de trabalho capazes de gerar direitos e obrigações, ou meras normas de organização interna da empresa.
Outros pontos que certamente haverão de ser objeto de reflexão, como por exemplo
– a possibilidade ou não de a empresa solicitar dados do candidato a emprego, na fase pré-contratual de seleção para o emprego, ou do empregado, ao longo do contrato de trabalho, considerando os termos do art 7º, V, da LGPD, que expressamente condiciona o tratamento desses dados a “pedido do titular dos dados” (e não “a pedido do Controlador”);
– a possibilidade ou não de aplicação do conceito de “legítimo interesse” do Controlador pelo empregador, para efeito da dispensa de consentimento, nos termos do art 7º,IX, e 10 da LGPD;
– a possibilidade ou não de aplicação do disposto no art 8º §2º da LGPD, que declara ser do controlador o ônus da prova da validade de consentimento ao processo do trabalho; e mais especificamente a aplicação ou não dessa regra no caso dos empregados chamados autossuficientes (art 444 parágrafo único da CLT);
– a possibilidade ou não de regulamentar de maneira coletiva a proteção de dados por meio de Acordo ou Convenção Coletiva, ou, individualmente, por termo aditivo no caso dos empregados autossuficientes, considerando os limites dos arts 611 A e 611 B da CLT;
– se as obrigações previstas em Acordo ou Convenção Coletiva autorizariam o tratamento de dados sem consentimento, nos termos do art 7º V, da LGPD, já que referida norma faz menção a “execução do contrato”, e sendo certo que Acordos e Convenções coletivas, que muitas vezes demandam o tratamento de dados pessoais não são, a rigor, “contratos”;
– a possibilidade ou não de conservação de dados pessoais dos empregados, que não impliquem cumprimento de obrigações legais, após o seu desligamento, e especialmente se o empregado solicitar a eliminação desse dado (art 15, III, e 16 da LGPD);
– a responsabilidade do Controlador e do Operador prevista nos arts 42, e 44 parágrafo único da LGPD, especialmente a responsabilidade solidária entre ambos, se aplicaria à pessoa do Operador no caso de ele ser empregado do Controlador?
Vigência da LGPD e recomendações iniciais
A LGPD, publicada em 15/08/2018, originalmente previa uma vacatio legis de 18 meses, no que foi objeto de alteração pela MP 869/2018 que passou a prever 24 meses de interregno entre a publicação da lei e a sua vigência.
Assim, se a MP 869/2018 for convertida em Lei, a LGPD passa a vigorar em 15/08/2020. Caso a MP 869/2018 não venha a ser convertida em Lei, a vigência se dará em 15/02/2020.
Como quer que seja, e ao contrário do que pode parecer, a vacatio legis não é longa. São muitas as mudanças e as providências que as empresas devem adotar, inclusive levando em conta o peso econômico das multas e as consequências do descumprimento das obrigações e cuidados impostos pela LGPD.
De todo modo, considerando esse período de tempo, o melhor que as empresas podem fazer, na condição de empregadoras, ou contratantes de pessoas físicas ou de empresas que repassam dados de pessoas físicas, e a partir de agora, é:
Mapeamento completo das informações-dados que transitam pela empresa, envolvendo todas as pessoas físicas (empregados, contratados, autônomos, empregados de contratadas, etc.);
Mapeamento da natureza e do tipo dessas informações-dados (dados pessoais ou dados pessoais sensíveis);
Mapeamento do tipo de tratamento que esses dados atualmente recebem (se servem somente para armazenamento, ou se porventura eles são geridos, alterados, transmitidos, etc.);
Identificação, em relação a cada tipo de tratamento, e em relação a cada tipo de informação-dado, daqueles que podem ser feitos sem o consentimento, e os que devem ser feitos com consentimento;
Verificação da necessidade da necessidade de manutenção da obtenção dos dados e dos tipos de tratamento atuais, e estudo de oportunidade para simplificação dessas rotinas;
São providências iniciais, que não esgotam as obrigações da empresa, e nem representam uma salvaguarda contra riscos. Somente um ponto de partida para organizar o trabalho que depois terá que ser feito.
Porque, uma vez mapeada a situação atual da empresa, será necessário, ainda, e após, elaborar todo o compliance e procedimentos internos, rever os procedimentos, elaborar os termos de consentimento específicos para as finalidades de cada tratamento, quando for o caso, ajustar os sinalizadores para as hipótese futuras em que sobrevier transmissão de dados para outra pessoa diversa daquela para quem foi autorizada pelo consentimento, ou alteração do próprio tratamento dos dados, e ainda, naturalmente, organizar treinamentos, cursos, e canais de aprendizado para todos os envolvidos, direta ou indiretamente, no tratamento de dados pessoais.
Tenha-se presente, a propósito, que a existência de boas práticas e normas internas de compliance podem reduzir o valor de uma eventual autuação (art 52, §1º, VIII, IX), o que é um ótimo estímulo para que os Controladores busquem reduzir, minimizar, ou eliminar todos os riscos.
Fonte: Site Jota, acesso em 08/07/2022