Luara Rezende
Advogada do Escritório Marcos Martins Advogados
A Lei Geral de Proteção de Dados Pessoais – LGPD reflete diretamente nas relações de trabalho. No que diz respeito ao âmbito trabalhista, a aplicação da LGPD, engloba as fases anteriores à celebração do contrato, como a coleta de informações sobre o candidato, o currículo, o histórico, entre outros, até a execução do contrato de trabalho. Assim, é necessário compreender os impactos da lei indicada nas rotinas e nos contratos de trabalho, dentre eles as fases pré-contratual, contratual e pós contratual.
Mesmo que uma empresa preste serviços ou venda produtos exclusivamente às pessoas jurídicas, não podemos esquecer que empresas são feitas de pessoas. Essas pessoas (funcionários, colaboradores, diretores, prestadores de serviços, representantes, etc) também são titulares, perante a LGPD, e devem ter seus dados pessoais e sensíveis protegidos.
Assim, dentro das relações de trabalho, considerando que há grande tráfego deste tipo de informações, necessária a adequação de toda e qualquer empresa à LGPD. Vejamos:
Nos termos da LGPD, os dados que necessitam de proteção abrangem dados pessoais – como o próprio nome, endereço, escolaridade, currículo, nome dos genitores, idade, e-mail, estado civil -, além de dados pessoais sensíveis como a filiação a sindicatos ou às organizações de caráter religioso, filosófico ou políticos e dados referentes à saúde.
Dessa forma, para fins da LGPD temos que:
- Titular – empregado ou prestador de serviços que fornece a informação ao empregador; e
- Controlador/Operador de dados – é o empregador, que deve tomar as decisões necessárias sobre o tratamento.
Aqui, é de suma importância dizer que não existe um manual para a adequação à LGPD, cada empresa deverá averiguar internamente os processos e procedimentos, com uma equipe multidisciplinar, para identificar a necessidade de alteração em algum procedimento e reforço em outro. Isto porque, cada empresa tem um fluxo diferente de informações, de acordo com o tamanho, quantidade de colaboradores e processos. Assim o mapeamento interno é fundamental.
Entendemos que, quando da revisão de processos e procedimentos internos para tratamento dos dados, o empregador e/ou contratante deverá realizar os seguintes questionamentos:
- Quais os dados pessoais que estou coletando?
- Por que estou coletando tais dados?
- Qual a finalidade do tratamento destes dados?
- Há base legal para a coleta e tratamentos desejados?
- Necessito do consentimento do titular?
- Posso compartilhar tais dados?
- Quando devo descartá-los?
Como vimos na Introdução, não há necessidade de consentimento quando o tratamento dos dados decorre de obrigação legal ou para execução do contrato. A lei também define algumas situações específicas, onde o consentimento é dispensado:
- exercício regular de direito em processo judicial (artigo 7º, VI, e artigo 11, inciso II, alínea “d” — utilização de dados em eventual reclamação trabalhista, por exemplo);
- para proteção da vida e incolumidade física do próprio titular (artigo 7º, VII, e artigo 11, inciso II, alínea “e” — em casos de acidente e encaminhamento ao hospital, por exemplo).
Contudo, ainda que haja uma base legal para o tratamento do dado, o tratamento deve ser realizado de forma correta e segura, de modo que mesmo com a obrigação legal, há a possibilidade de incorrer em sanções, caso o tratamento seja inadequado.
Neste caso é importante observar que o empregador deverá se adequar internamente, mas também externamente, na medida em que alguns dos dados pessoais ou dados pessoais sensíveis são transmitidos à terceiros, como é o caso de empresa terceirizada, convênios, planos de saúde e informações repassadas ao e-Social.
Dentro das relações de trabalho podemos dividir o tratamento dos dados em 3 fases: 1. Pré-contratual; 2. Contratual e, 3. Pós-contratual.
A. Fase Pré-Contratual
Podemos entender como fase pré-contratual todo o processo de seleção, ou seja, abertura de vaga, recepção de currículos, triagem dos currículos e entrevistas, até a efetiva contratação. Ocorre que o controlador deverá também, ao realizar seu processo de adequação, em caso de manutenção de banco de currículos, bem como quanto ao tratamento do currículo daqueles candidatos não selecionados para a vaga.
Nesta fase é importante alguns cuidados:
- Solicitar as informações estritamente necessárias para a avaliação e seleção do candidato. (Não há como definir um rol taxativo de informações, devendo ser avaliado caso a caso, as atividades do cargo ofertado, etc.)
- Cuidados com o manuseio e arquivo dos currículos, apesar de haver um consentimento, a proteção das informações nele constantes continua vigente;
- Informar ao candidato o tratamento que será dado às informações ali constantes e se há interesse em manutenção do currículo em banco de dados, necessário obtenção de autorização expressa para isso;
- Importante dizer que a utilização daqueles dados é especificamente para a candidatura da vaga anunciada, não podendo ser utilizado para outro fim, a exceção de dados estatísticos em que as informações são tratadas de forma anônima;
- Cautela no uso e repasse das informações que são obtidas em entrevistas, há que se orientar o colaborador da seleção sobre a responsabilidade na preservação das informações que são tidas como sensíveis;
- Após a seleção de um candidato, deverá dar a destinação correta às informações dos candidatos não selecionados, de acordo com a opção (banco de currículos ou eliminação dos dados).
B. Fase Contratual
A fase contratual se inicia com a admissão do empregado ou formalização de contrato com prestador de serviços. A partir daí todos os dados e documentos decorrentes da relação entre a empresa e o trabalhador terão um fluxo maior e, portanto, deverá haver uma cautela e cuidado maior, com a definição de processos e procedimentos específicos de acordo com a realidade de cada empresa.
Assim, as empresas deverão analisar todos os departamentos que possuem acesso aos dados dos funcionários e colaboradores e realizar os seguintes questionamentos:
- Quem possui acesso aos dados/documentos? (lembramos que não é só o setor de RH. A contabilidade e a área financeira também podem ter acesso a determinados dados)
- Há transmissão interna ou para terceiros?
- Qual a forma de transmissão?
- Quais documentos/dados são tratados?
- Onde são armazenados?
A partir desse mapeamento é que será possível analisar os riscos e necessidades de adequações à Lei, com revisão de cláusulas contratuais, políticas e treinamentos específicos.
Uma parte ainda mais importante é o tratamento de dados pessoais sensíveis, como dados de saúde, raça, biometria, etc e dados de menores de idade. Apesar de a coleta de alguns desses dados estarem fundamentadas em lei, esses dados exigem maior proteção do controlador.
A empresa que garante plano de saúde ao colaborador, por exemplo, precisará revisar o seu contrato com a seguradora que presta os serviços, já que poderá ser responsabilizada por incidentes de segurança incorridos pelos operadores por ela indicados.
Caso a empresa realize ainda a contratação de menores de idade, ou ainda se o empregado indicar menores de idade como dependentes, nos termos da lei, os responsáveis legais devem autorizar o tratamento e deverão ser mantidos a par de todos os tratamentos realizados com os dados pessoais dos menores.
Neste sentido, também é importante definir hierarquias de acesso aos dados, analisando quais pessoas realmente necessitam do acesso, de modo a minimizar vazamentos ou utilizações inadequadas das informações.
C. Fase pós-contratual
A fase pós-contratual é caracterizada pelo desligamento de um funcionário ou colaborador dos quadros da empresa. Nesta fase, há a necessidade de informação de finalização do uso de dados ao titular, seja por determinação legal, seja por solicitação.
Todavia, quando falamos de relações trabalhistas, há obrigações de guarda de documentos que decorrem de imposição legal, e isso pode acarretar o afastamento da solicitação do titular do direito, em eventual uso de dados no futuro, devendo ser analisado caso a caso.
Um exemplo que podemos citar é a guarda de documentos que poderão ser utilizados como prova em ações trabalhistas ou para concessão de informações relacionadas às contribuições sociais, ou eventuais fiscalizações pelo Ministério da Economia.
O prazo prescricional atual para o empregado exigir seus créditos e direitos trabalhistas derivados das relações de trabalho é de 5 (cinco) anos, até o limite de 2 (dois) anos após a extinção do contrato. Portanto, a empresa possui garantia legal para guardar documentos comprobatórios pelo menos dentro do prazo prescricional.
Contudo, no decorrer do período de guarda, ainda deverão ser observadas as diretrizes da LGPD, com a adoção de técnicas capazes de deixar os dados em sigilo, sendo que após o término desse período, o descarte é obrigatório.
Aqui recomendamos que haja uma tabela de temporalidade e destinação desses dados e, para que essa tabela tenha eficácia, deve ser instituída uma avaliação da necessidade daqueles documentos serem guardados ou não.
Por fim, destacamos que o descarte dos dados deve ser feito de modo que não haja como recuperá-los posteriormente, com a eliminação dos originais e eventuais cópias. Esse é um tema bastante discutido entre profissionais de TI, já que existem divergências sobre a real possibilidade de descarte.
A chave de tudo é um mapeamento interno, com uma equipe multidisciplinar para identificar os pontos fortes e frágeis do processo adotado pela empresa ou a necessidade de criação/alteração desses processos, criação de políticas e documentos comprobatórios da adoção das medidas necessárias e treinamento contínuo dos colaboradores que tratam os dados, para evitar qualquer tipo de penalização.
O escritório Marcos Martins Advogados está atento a este assunto e preparado para prestar assessoria jurídica qualificada aos seus clientes.