A Lei n° 13.709/2018, mais conhecida como LGPD (Lei Geral de Proteção de dados Pessoais), dispõe sobre o tratamento de dados pessoais realizados no território nacional, com o objetivo de proteger os direitos fundamentais da liberdade e de privacidade.
Nos termos do artigo 5º, da LGPD, dado pessoal é toda informação relacionada a pessoa natural e os dados sensíveis são aqueles de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, referente à saúde ou à vida sexual, dado genético ou biométrico (geralmente colhidos nos registros de ponto ou em recibos de pessoas não alfabetizadas), entre outros. Ademais, também podemos considerar como dados pessoais o monitoramento das correspondências eletrônicas, capturas das imagens no local de trabalho, registros de chamadas por videoconferência e dados dos familiares.
Todo esse acesso, armazenamento e possibilidade de tratamento desses dados impactam de forma significativa as relações de trabalho, já que imputam responsabilidade civil pelo empregador desde a fase de seleção até após o fim do contrato (seja ele de trabalho ou de prestação de serviços autônomos), uma vez que o Departamento Pessoal coleta diversas informações pessoais, condições do contrato, escolaridade, contatos, exames e atestados médicos, estado civil, existência de dependentes, dados bancários, planos de saúde, previdência privada e diversos outros comuns nas relações de trabalho.
Diante disso, as empresas devem se atentar às novas determinações da LGPD, em especial sobre as seguintes determinações:
• o tratamento dos dados pessoais somente poderá ser realizado mediante consentimento do titular e, caso a empresa possua esse consentimento e necessite comunicar ou compartilhar os dados com outros colaboradores, também deverá obter consentimento específico, nos termos do artigo 7º, inciso I;
• o consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação do titular, sendo que, na hipótese de consentimento por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais. Além disso, o consentimento deverá se referir a finalidades determinadas, uma vez que autorizações genéricas serão consideradas nulas e, caso haja qualquer alteração na informação objeto do consentimento anterior, a empresa deverá informar o empregado/prestador de forma específica qual foi a alteração no uso dos dados, oportunidade da qual o empregado/prestador poderá concordar ou revogar o consentimento, vide artigo 8º;
• as empresas que contratam menores aprendizes/estagiários menores de idade também devem tratar dos dados apenas com consentimento específico fornecido por pelo menos um dos pais ou pelo responsável legal, o qual contenha todas as informações sobre o tratamento dos dados (inclusive a finalidade), nos termos do artigo 14º, da LGPD;
• quando do término do tratamento dos dados (encerramento do contrato de trabalho, do contrato de prestação de serviços ou de outro específico), esses dados coletados/armazenados devem ser eliminados, sendo autorizado o armazenamento com a finalidade de cumprimento de obrigação legal ou regulatória, ou seja, pelos prazos prescricionais legais. Os dados da seleção da fase pré-contratual, salvo consentimento específico do candidato, caso ele não seja contratado, devem ser eliminados, conforme artigos 15 e 16;
• indicação de quem é o encarregado pelo tratamento de dados pessoais, cuja identidade e informações de contato devem ser divulgadas publicamente, nos termos do artigo 41; e,
• adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito dos dados dos empregados/prestadores.
Seguindo essas determinações e com a finalidade de reduzir eventuais riscos de demandas judiciais e administrativas, é recomendável que as empresas adotem algumas cautelas, tais como:
Fase pré-contratual:
• colete o mínimo de dados possível, apenas aqueles suficientes para o cadastro e exercício da função contratada;
• não colete dados sensíveis que gerem qualquer critério discriminatório entre os candidatos;
• obtenha consentimento específico do candidato sobre a política da coleta e a utilização dos dados, inclusive com cláusula de autorização de armazenamento caso não tenha sido selecionado ou eliminação dos dados, bem como sobre eventual compartilhamento do currículo com outras possíveis empregadoras;
• apenas solicite antecedentes criminais se for obrigatório para o exercício da função; e,
• caso a entrevista seja por videoconferência, são necessários cuidados no armazenamento (e do acesso por outros colaboradores), em especial por conter dados sensíveis, sendo sugerido que – após a seleção – vídeo seja eliminado.
Fase contratual:
• antes de coletar/armazenar os dados para o contrato, obtenha o termo de consentimento acerca da política adotada;
• com relação aos dados sensíveis, elabore um termo específico;
• para os empregados/prestadores que já estão com contratos vigentes, formalize termos de consentimento de acordo com a política que se adeque às regras da LGPD;
• caso receba atestados médicos que contenha CID e motivo do afastamento, obtenha termo específico de consentimento do tratamento de guarda e acesso por colaboradores autorizados;
• caso forneça seguros, planos de saúde, haja filiação com sindicatos ou os dados do colaborador precise ser compartilhado, obtenha autorização expressa e detalhada do compartilhamento, inclusive quando conter dados de familiares e/ou de terceiros;
• não forneça, sem o consentimento do empregado/prestador o número de telefone e/ou qualquer outro meio de contato pessoal, tampouco os publique em redes sociais ou sites; e,
• caso haja labor em home office, oriente os empregados e prestadores sobre a atenção redobrada por riscos de vazamentos de dados e se certifique que todos foram devidamente orientados e não possuem dúvidas.
Fase de rescisão:
• Mantenha o armazenamento dos dados e documentos essenciais e apenas durante o período dos prazos prescricionais legais.
Deste modo, as empresas devem orientar todos os departamentos da empresa sobre as regras da LGPD, bem como publicar as políticas adotadas quanto a privacidade dos dados, haja vista que o tema está sendo objeto de discussões na justiça do trabalho, senão vejamos:
NÚMERO DE TELEFONE PARTICULAR DA EMPREGADA. DIVULGAÇÃO NO SITE DE VENDAS DO EMPREGADOR. INDENIZAÇÃO. DANO MORAL. CABIMENTO. A caracterização do dano moral pressupõe violação à dignidade pessoal – art. 1º, III da Constituição Federal -, mediante vulneração da integridade psíquica ou física da pessoa, bem como aos direitos fundamentais previstos na Constituição da República. E o art. 5º, X, da CR/88 prevê que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”. A inserção do número de telefone do empregado, no site da empresa, sem prova inequívoca de autorização, implica divulgação de dado pessoal, que afronta sua vida privada. Configurados os elementos essenciais ao dever de indenizar (ato ilícito, dano e nexo de causalidade) em relação ao direito à privacidade, correta a condenação da empregadora. (TRT-3 – RO: 00103371620205030074 MG 0010337-16.2020.5.03.0074, Relator: Ricardo Marcelo Silva, Data de Julgamento: 09/06/2021, Nona Turma, Data de Publicação: 10/06/2021.)
O Sindicato ingressa com ação em nome dos substituídos alegando descumprimento sistemático relativo à proteção de dados por parte da empresa reclamada. Afirma que além da posse de dados, a empresa os compartilha com diversos outros controladores e operadores, sem as cautelas necessárias. Refere não haver indicação do encarregado pelos dados pessoais. Argumenta também que o tratamento de dados é compartilhado por intermédio da internet, em desatenção ao Marco Civil da Lei 12.965/14, arts. 10 e 11, pois não se observa o respeito à intimidade, privacidade e imagem. Entende haver presunção de dano moral. Em tutela de urgência, postula: sejam informados os dados do encarregado; confirmação de quais dados pessoais estão sendo tratados, com as respectivas bases legais, modalidades e ciclos de vida (2 e 10); indique para quais países e em que circunstâncias os dados foram transferidos; forneça a lista de todos os terceiros com quem tenha havido compartilhamento, além da finalidade; indique quais destes podem compartilhar, armazenar ou acessar os dados, bem como a base legal e salvaguarda adotada para tanto; receba prestação de contas sobre o uso específico dos dados; diga o tempo que pretende manter armazenados os dados pessoais; Indique decisões automatizadas que estejam sendo tomadas com base nos dados; se houve algum incidente de segurança e suas consequências (12 a 15); se acaso ocorreu algum acesso inadequado de dados e disso resultou penalidade a algum investigado (19); quais medidas de mitigação, tecnologia e proteção de dados foram adotadas, assim como políticas e padrões de informações (16, 17, 18); sobre medidas de treinamento e conscientização. Por fim, requer o reconhecimento da ausência de conformidade e atendimento dos itens supra; seja determinada sua abstenção de repasse, vazamento, venda, entrega, doação ou aluguel de dados, sem autorização; indenização por danos morais, aplicação do art. 52 da LGPD, bem como comunicação à Autoridade Nacional e divulgação pública da sentença. Pois bem. Em linhas gerais, a Lei 13.709/2018 passou a ter vigência escalonada a partir de 28/12/2018, trazendo previsões sobre o tratamento de dados no intuito de proteção dos direitos fundamentais de liberdade e privacidade (art. 1º). Diante da omissão legislativa até então existente, buscou-se assegurar que os titulares dos direitos envolvidos estejam resguardados em sua dignidade/privacidade e protegidos também em face da automação, na forma do art. 7º, XXVII, da Constituição Federal. A este exemplo, o art. 20 da LGPD assegura o direito à reversão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais. Também está assentada a função social da propriedade, art. 170, III, da CRFB. É consabido que atualmente os dados pessoais constituem um novo insumo da economia globalizada e tecnológica; e tal proteção revela importância pela necessidade em se erigir ao mercado igualdade de concorrência e função antidumping. Dando efetividade a isso, dentre as bases principiológicas previstas no art. 6º da LGPD, destaco a finalidade, o livre acesso, transparência, segurança, prevenção, não discriminação e prestação de contas. No caso, a reclamada não trouxe aos autos qualquer documentação relacionada aos funcionários ou mesmo demonstrou por nenhum meio a implementação de um único dispositivo da LGPD. (…) Além do mais, a reclamada está subsumida à legislação vigente, por se tratar de pessoa jurídica de direito privado que opera tratamento de dados para fornecimento de serviços (art. 3º, II). (…) Com efeito, acolho parcialmente o pedido 1 para determinar que a empresa indique e nomine encarregado, na forma do art. 41 da LGPD. (…) Sobre os dados de tratamento, contudo, sensíveis ou não (arts. 7º e 11), prescinde de consentimento dos empregados se está relacionado à execução do contrato de emprego ou cumprimento de obrigação legal. Portanto, a base legal para o tratamento de dados está assentada nessa finalidade e observando o tempo necessário e previsto em lei para a devida documentação e guarda. (…) Tocante às questões de segurança e treinamento, por outro lado, conforme indicado supra, o art. 46 e ss. da LGPD determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados. No caso, a empresa não comprovou qualquer precaução adotada, limitando-se a negar a existência de obrigação legal. Ação Civil Coletiva 0020043-80.2021.5.04.0261. Data da Autuação: 26/01/2021. Tribunal Regional do Trabalho da 4ª Região. MONTENEGRO/RS, 13 de julho de 2021. IVANISE MARILENE UHLIG DE BARROS – Juíza do Trabalho Substituta.
Logo, o mais recomendável é que o empregador, antes da elaboração dos termos de consentimento e da política de implantação da LGPD consulte um especialista, sendo certo que a equipe trabalhista do Teixeira Fortes está preparada para dirimir dúvidas.
12 setembro, 2024
21 março, 2024
O boletim Vistos, etc. publica os artigos práticos escritos pelos advogados do Teixeira Fortes em suas áreas de atuação. Se desejar recebê-lo, por favor cadastre-se aqui.