Por Mariana Asterito e Gustavo Chaves Barcellos*
Com a Lei 13.709 de 2018 (“Lei Geral de Proteção de Dados – LGPD”) em vigor, muito tem se falado no impacto que tal regulamentação trará para a relação entre as empresas de tecnologia e os seus clientes, mas existe um ponto importantíssimo que não vem sendo muito explorado pelos especialistas de plantão: o impacto que a LGPD trouxe às relações trabalhistas.
Ocorre que, se a LGPD já é uma legislação principiológica, o que dificulta a sua aplicação na prática a depender da operação dos Agentes de Tratamento, sendo que, no âmbito das relações trabalhistas, tal dificuldade se potencializa.
Esta dificuldade está relacionada ao fato que as relações trabalhistas são geralmente de subordinação do empregado em relação ao seu empregador. A LGPD inverte essa lógica, pois o empregado sendo titular dos dados pessoais tem “poderes” para ditar como se dará o tratamento dos mesmos pelos Agentes de Tratamento, no caso, a empresa na qual trabalha.
O legislador parece não ter levado em consideração tal paradoxo, muito menos os desafios práticos de implementação das prerrogativas de proteção de dados no âmbito de uma relação de trabalho. Ora, é possível que cada empregado limite ou determine uma forma específica para o tratamento dos seus dados aos seus empregadores?
Pela LGPD, sim, mas, na prática, parece pouco provável que isso ocorra a depender do número de empregados, tamanho da empresa e peculiaridades do segmento de mercado que elas atuam.
Curioso é que, neste ponto, parece o legislador brasileiro ter ido de encontro a principal fonte de inspiração para criação da LGPD: A famosa General Data Protection Resolution (“GDPR”).
Isso porque a GDPR faz uma ressalva em relação às especificidades do tratamento de dados pessoais dos empregados pelos empregadores. Neste sentido, nos termos do artigo 88 do Regulamento 2016/679:
Art 88 – 1. Os Estados-Membros podem estabelecer, no seu ordenamento jurídico ou em convenções coletivas, normas mais específicas para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos trabalhadores no contexto laboral, nomeadamente para efeitos de recrutamento, execução do contrato de trabalho, incluindo o cumprimento das obrigações previstas no ordenamento jurídico ou em convenções coletivas, de gestão, planeamento e organização do trabalho, de igualdade e diversidade no local de trabalho, de saúde e segurança no trabalho, de proteção dos bens do empregador ou do cliente e para efeitos do exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados com o emprego, bem como para efeitos de cessação da relação de trabalho.
De outro lado, no contexto brasileiro, ao definir o que seria tratamento de dados pessoais, o legislador jamais fez diferenciações a serem aplicadas a cada relação jurídica. Ou seja, o conceito de tratamento de dados pessoais, desde que envolva uma pessoa natural identificada ou identificável, pode ser aplicada a todas as relações jurídicas com um certo grau de semelhança (o que parece ser temerário ante a ausência de diferenciações que se fazem necessárias a depender da relação).
Vejamos o artigo 5, inciso X, da LGPD:
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Além disso, ao analisarmos o diploma de proteção de dados brasileiro, em nenhum momento, há disposição específica para sanar, no âmbito das relações de trabalho, as distorções de submissão suscitadas. Desta forma, podemos dizer que há margem para que o empregado submisso ao empregador exerça em face e às custas deste os seguintes direitos:
I – Confirmação da existência de tratamento;
II – Acesso aos dados;
III – Correção de dados incompletos, inexatos ou desatualizados;
IV – Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
V – Eliminação dos dados pessoais;
VI – Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VII – Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e,
IX – Revogação do consentimento.
O teor dos direitos descritos acima mostra que, numa relação trabalhista, o próprio ambiente em que empregados e empregadores se encontram pode inviabilizar o efeito prático do seu exercício. Vale lembrar, ainda, que o tratamento dos dados pessoais é feito não exclusivamente pela obtenção do consentimento do titular, mas por conta da existência de uma relação jurídica formal materializada no contrato de trabalho que, inclusive, exige dos empregadores que promovam ao tratamento dos dados pessoais independentemente da aceitação dos empregados.
É dizer, ao contrário do que ocorre no prisma comercial, o tratamento dos dados no âmbito trabalhista se dá, primeiramente, pelo fato de que titular dos dados pessoais e controlador são partes de uma mesma relação contratual e, segundamente, porque cabe ao empregador cumprir com determinações legais e regulatórias por meio do tratamento dos dados dos seus empregados.
No que tange ao inciso VI, além da obrigação legal do empregador compartilhar os dados pessoais de empregados, por entes governamentais para fins cadastrais, também é bastante comum que haja o compartilhamento dos dados como com empresas terceiras prestadoras de serviço, tais como empresa terceirizada que realize a folha de pagamento, sindicatos, plataformas para registro de ponto e atividades, de fornecimento de cartões de vale-alimentação, etc.
Sempre que o empregador compartilhar qualquer informação de um empregado que possibilite a identificação do mesmo para um terceiro, haverá uma transmissão de dados pessoais nos termos da lei.
Dessa forma, o compliance interno das empresas deverá mapear cada uma dessas empresas terceirizadas e informar ao empregado a respeito do compartilhamento e tratamento de seus dados pessoais por elas.
As repercussões no contrato de trabalho
Outro ponto importante nesta relação é que os funcionários da empresa podem assumir posição de operadores dos dados pessoais de terceiros coletados pelo empregador tendo em vista a natureza da atividade de desenvolvida. Dessa forma, é de suma importância que as empresas elaborem políticas internas com o intuito de informar seus empregados acerca não só do seu direito enquanto titular dos dados quando do tratamento de seus dados pessoais, mas dos seus deveres ao terem acesso ou fizerem uso de dados pessoais de terceiros.
É importante a firmação de contratos onde o empregado se comprometerá a realizar o tratamento de tais dados nos exatos termos estabelecidos pelo empregador e de acordo com os parâmetros de segurança da informação por ela estipulados, sempre buscando proteger os direitos dos titulares de dados.
A não observância destas disposições por parte do empregado poderá inclusive ensejar justo motivo para rescisão do contrato de trabalho por justa causa com fulcro nas alíneas a, b, c, g, h e k do art. 482 da Consolidação das Leis do Trabalho.
A eliminação dos dados pessoais dos empregados após o término de seu tratamento
O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II – fim do período de tratamento;
III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento; e
IV – determinação da autoridade nacional.
Dessa forma, dados coletados para fins de pesquisas internas, por exemplo, que não possuem fundamento legal para a sua coleta, deverão ser eliminados quando das hipóteses supra referidas.
Por outro lado, é disposto na LGPD que os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I – cumprimento de obrigação legal ou regulatória pelo controlador;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Dessa forma, vale destacar os documentos originários de uma relação trabalhista são enquadrados no cumprimento de obrigação legal ou regulatória pelo controlador, de forma que o empregador apenas deverá eliminá-los após o cumprimento da obrigação legal de guarda dos mesmos.
Relembramos alguns prazos legais de guarda de documentos por parte dos empregadores:
- CAT – Comunicação de Acidente do Trabalho – 10 anos;
- Comprovante de entrega GPS (Guia da Previdência Social) ao sindicato profissional – 10 anos;
- Comprovante de pagamento de benefícios reembolsados pelo INSS – 10 anos;
- Folha de pagamento – 10 anos; e
- Termo de Rescisão do contrato de trabalho – 10 anos.
Diante da complexibilidade dos cenários apresentados, é essencial a realização de uma análise jurídica por advogado(a) especializado trabalhista, visando a revisão dos procedimentos adotados para adequação da empresa no que tange também às relações trabalhistas tendo em vista os preceitos da LGPD.
PODCAST STARTUP LIFE
Desvendando o Open Source [com Gabriel Engel (Rocket.chat), Fábio Sobral (TotalCross), Leandro Neves (Ilhasoft), Felipe Cecagno (Mconf)]
