Direito Trabalhista

A Lei Geral de Proteção de Dados e seus impactos nas relações de trabalho.

Por Iuri Pinheiro e Vólia Bomfim

A Quarta Revolução Industrial1 está sendo vivenciada através de novas tecnologias, que se baseiam em análise massiva de dados (“big data”) a partir da inteligência artificial e da robótica, dentre outros fatores, em um mundo no qual os objetos são conectados uns aos outros (internet das coisas). Os dados, cada vez mais, são processados e valorados economicamente, sendo considerados o principal insumo da sociedade contemporânea e equiparados ao petróleo de outros tempos. Por isso mesmo, afirma-se que a economia é dirigida por dados (“data driven economy”). (...)

Por: Trabalho E(m) Debate Atualizado: 01/10/2020 11:54

A Lei Geral de Proteção de Dados e seus impactos nas relações de trabalho.

 

Iuri Pinheiro1

Vólia Bomfim2

1 – Introdução

A Quarta Revolução Industrial3 está sendo vivenciada através de novas tecnologias, que se baseiam em análise massiva de dados (“big data”) a partir da inteligência artificial e da robótica, dentre outros fatores, em um mundo no qual os objetos são conectados uns aos outros (internet das coisas).

Os dados, cada vez mais, são processados e valorados economicamente, sendo considerados o principal insumo da sociedade contemporânea e equiparados ao petróleo de outros tempos. Por isso mesmo, afirma-se que a economia é dirigida por dados (“data driven economy”).

Diante de tamanha magnitude, a disciplina e regulação do uso de dados passou a ser uma pauta central em vários países e, sobretudo, compromisso da agenda internacional, de modo a assegurar o seu uso íntegro e evitar concorrência desleal.

O Conselho da Europa disciplinou o tratamento de dados pessoais desde 1973, através da Resolução nº 22 de 1973 e da Resolução nº 29 de 1974, ambas versando sobre princípios para proteção de informações pessoais em bancos de dados automatizados, no setor público e privado.

Contudo, o tratamento mais abrangente da matéria no âmbito da União Europeia foi realizado em 1995 através da Diretiva nº 46, que foi sucedida pelo Regulamento Geral da Proteção de Dados, GPPR (sigla em inglês), o qual entrou em vigor em 25 de maio de 2018.

No Brasil, viveu-se um longo período de anomia legislativa específica, mas que não significa dizer que vivíamos um estado de absoluta desproteção, afinal, a privacidade e a intimidade são valores inscritos no catálogo de direitos fundamentais (art. 5º, X, da CF/88). O inciso XII do artigo 5º da Constituição expressamente protege o sigilo dos dados e da correspondência. Além disso, existem outras manifestações infraconstitucionais, a exemplo do Código de Defesa do Consumidor (arts. 43 a 45); Lei nº 9.507, de 12.11.1997 (Habeas Data); Lei nº 12.414, de 9.06.2011 (Cadastro Positivo); Lei nº 12.527, de 18.11.2011 (Lei do Acesso à Informação); e Lei nº 12.965, de 23.04.2014 (Marco Civil da Internet).

Entretanto, o Brasil carecia de uma efetiva disciplina sobre o tratamento de dados pessoais, o que vinha, de modo recorrente, despertando desconfiança da comunidade internacional acerca da confiabilidade de compartilhamento de dados no âmbito brasileiro.

Após muitos debates e entraves de processo legislativo, em 15 de agosto de 2018, foi publicada a Lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais) com prazo de vacatio legis que foi alterado diversas vezes, postergando sistematicamente a entrada em vigor.

Apesar da nova lei, outros dispositivos legais e infraconstitucionais podem ser aplicados para complementá-la em seus vazios, como expressamente previsto no artigo 64.

Renovadas as desconfianças sobre a confiabilidade brasileira no tratamento de dados, a LGPD, finalmente, teve sua vigência iniciada em 18/09/2020, exceto no que se refere às sanções administrativas, que entrarão em vigor em 01/08/2021.

Entrementes, ainda que as sanções administrativas estejam em período de vacância, seus princípios e deveres já são dotados de juridicidade e podem ensejar responsabilidade civil em caso de descumprimento4, sendo premente a necessidade de compreensão deste relevante diploma legal.

 

2 - A relevância da proteção de dados no contexto das relações de trabalho

O art. 1º da LGPD aponta como finalidade da lei a proteção dos “direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, sem fazer qualquer distinção quanto ao tipo de relação jurídica em que se dê o tratamento de dados pessoais.

Essa disciplina ampla é coerente com a própria denominação do diploma, intitulado de Lei “Geral” de Proteção de Dados”, que deve, assim, espraiar os seus efeitos pelas mais variadas espécies de relações, ostentando autêntica transversalidade.

Diversamente do GDPR5, a lei brasileira não contempla expressa disposição sobre o direito do trabalho6, mas sua incidência a ele é irrefutável, pois a relação de trabalho sequer teria como se iniciar e desenvolver sem a coleta, recepção, armazenamento e retenção7 de dados pessoais dos empregados ou candidatos a empregos.

Importante destacar que o elevado fluxo de dados nas relações de trabalho assume grandes proporções e atrai especial atenção sobre a questão, uma vez que o empregador, desde a fase pré-contratual (processos seletivos e admissão), passando pela fase contratual e chegando até a fase pós-contratual, tem acesso e se torna responsável pelo armazenamento e guarda de dados pessoais dos trabalhadores.

Entre os dados pessoais que merecem cuidado, pode-se citar, em singela ilustração, a própria documentação pessoal de identificação dos trabalhadores, o monitoramento de correspondências eletrônicas, as mensagens trocadas em aplicativos de comunicação, a captura de imagens dos trabalhadores no local de trabalho, o registro de chamadas no âmbito da prestação de um serviço de telemarketing, as chamadas em sistemas de teleconferência, o registro biométrico da jornada de trabalho.

Mesmo que a legislação brasileira não tenha regulamentado a aplicação da proteção de dados no âmbito das relações de trabalho, é essencial investigar as causas legitimadoras do tratamento de dados nas relações de trabalho, bem como a forma de operacionalizá-las, considerando-se as necessidades decorrentes da dinâmica dos negócios.

Assim, é extremamente importante que os profissionais da área trabalhista, sob o viés de um sistema de gestão de riscos, tenham especial atenção sobre as obrigações impostas pela legislação e se prepararem para adequar as rotinas trabalhistas às exigências de proteção de dados.

 

3 - Fundamentos da Lei Geral de Proteção de Dados

A LGPD enuncia, no início do seu texto, os fundamentos que devem nortear a disciplina de dados pessoais:

 

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I - o respeito à privacidade;

II - a autodeterminação informativa;

III - a liberdade de expressão, de informação, de comunicação e de opinião;

IV - a inviolabilidade da intimidade, da honra e da imagem;

V - o desenvolvimento econômico e tecnológico e a inovação;

VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

 

Além de corresponderem a fundamentos inspiradores da criação da própria norma (função normogenética ou informadora), esses sete fundamentos devem ser compreendidos como balizamentos essenciais para a correta definição do sentido e alcance da disciplina de proteção de dados.

Todos os fundamentos são de extremo relevo, mas um deles, até então, não era muito difundido e por isso passamos a explorá-lo de forma destacada.

Cuida-se do direito à autodeterminação informativa, que também pode ser denominado de direito à privacidade decisional e informacional.

Explicamos.

Durante muito tempo acreditou-se que os dados das pessoas naturais faziam parte do patrimônio da empresa que os coletava. A valoração econômica da atividade empresarial, muitas vezes, correspondia ao quantitativo de dados que tratava. Após vazamentos e utilização indevida e muitas vezes abusiva, vem a lei para regular, e não impedir, o tratamento dos dados das pessoas físicas, dando ao seu titular, e só a este, o direito de informação, decisão e disponibilidade.

Este direito foi reconhecido inicialmente pelo Tribunal Constitucional Alemão, em 1982, no julgamento do caso da Lei do Censo Alemã, a qual foi declarada inconstitucional porque, para realização do censo demográfico, haveria a coleta excessiva de dados, como bem lembra a autora portuguesa Teresa Coelho8.

JJ Gomes Canotilho9 ensina que o direito geral à autodeterminação informativa se traduz, fundamentalmente, na faculdade de o particular determinar e controlar a utilização dos seus dados pessoais.

Trata-se de um direito fundamental, visto que diretamente ligado à privacidade e intimidade (art. 5º, X, da CF/88).

A propósito, tramita no Congresso Nacional a PEC nº 17/2019, que altera a Constituição da República para incluir a proteção de dados pessoais de forma expressa entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais

Como exemplo prático no cotidiano das relações de trabalho, podemos citar o caso da entrega de atestados médicos, nos quais tenha constado a indicação de uma doença (CID10).

É inequívoco que o empregado possui o direito de que a informação sobre seu estado de saúde não seja compartilhada entre os demais trabalhadores até mesmo pelo elevado potencial discriminatório, mas, por outro lado, a empresa tem o dever de guarda da documentação de seus empregados inclusive para fins de reflexos previdenciários.

É fundamental, assim, que a empresa esteja preparada para criar rotinas seguras. Os atestados médicos devem, preferencialmente, ser armazenados em setor específico de segurança e medicina ocupacional, mas esse procedimento deve ser feito com proteção adequada para não incorrer em violação à privacidade.

Para a guarda segura, pode-se citar como possibilidade o armazenamento digital com a utilização de criptografia, anonimização ou pseudonimização, recursos esses cogitados pela própria LGPD e que demandarão o trabalho conjunto com a tecnologia da informação.

Todos os empregados devem ser informados e alguns treinados para o armazenamento, descarte e demais formas de tratamento de dados pessoais e sensíveis, inclusive os que aparentemente não lidam com dados, como a faxineira, o contínuo ou o garçom, pois podem ter acesso fortuito a um documento esquecido no ambiente de trabalho. Compete ao empregador (controlador) a adoção das medidas de precaução e proteção aos dados de todos os trabalhadores.

 

4 – Princípios da LGPD

Além de fundamentos, a LGPD enuncia dez princípios que devem orientar as operações de tratamento de dados em seu art. 6º, o qual se transcreve na sua integralidade:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medida

Os princípios são premissas estruturantes que informam, conformam e orientam a aplicação das outras normas, sendo por isso mesmo considerados os alicerces ou vigas-mestras do edifício jurídico.

Por isso, é muito importante ter em mente todos esses princípios acima enumerados, que são de clareza explicativa e que devem sempre ser ponderados quando do tratamento dos dados pessoais.

Os três primeiros princípios acima indicados formam um tripé do núcleo duro de legitimação do tratamento de dados, eis que sempre será preciso ponderar criteriosamente se a operação realizada está se restringindo à finalidade específica que justifica o seu uso; se é adequado ao fim pretendido e se está sendo realizado sem excessos, limitando apenas ao necessário.

Embora denominado pela LGPD de Princípio da Necessidade, essa última premissa também vem sendo denominada de Princípio da Minimização.

 

5 - Conceituações centrais da LGPD e suas implicações nas relações de trabalho

O art. 5º da LGPD equivale a uma espécie de dicionário da LGPD, apresentando diversos conceitos essenciais à compreensão da lei.

Por limitação de espaço, esse texto cuidará dos aspectos centrais, reservando para outra oportunidade o aprofundamento de outras questões.

 

5.1 Dados Pessoais e Dados Pessoais Sensíveis

Antes de analisar as hipóteses e formas de tratamento, é essencial compreender o que são dados pessoais e dados pessoais sensíveis.

A teor do art. 5º, I e II, da LGPD, dado pessoal é a “informação relacionada a pessoa natural identificada ou identificável”, enquanto dado pessoal sensível é o “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Podemos citar como dados pessoais o nome, estado civil, escolaridade, endereço, filiação, idade, correspondência eletrônica, o CPF, o número do registro civil, dentre outros.

Os dados sensíveis são dados pessoais associados a determinados contextos que sejam capazes, em tese, de gerar uma discriminação injustificada.

A LGPD apresenta um rol de situações que qualificam dados pessoais como sensíveis, mas não declina se o rol é exemplificativo ou taxativo.

Considerando a ausência de limitação do texto e que, naturalmente, existem diversos outros contextos passíveis de gerar tratamento discriminatório, não se mostra razoável entender tal rol como taxativo, sendo possível até mesmo que a Autoridade Nacional de Proteção de Dados aborde outras hipóteses caracterizadoras, com fundamento no seu papel complementar conferido pelo art. 55-J da LGPD.

 

5.2 Tratamento de Dados Pessoais

Outra compreensão fundamental é entender que tipo de operação seria alcançada pela LGPD, cumprindo observar que a legislação utiliza o verbo “tratar” e que ela define o que seria tratamento de dados pessoais no inciso X do art. 5º como sendo "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.".

Perceba-se que o conceito de tratamento de dados pessoais é extremamente elástico e envolve vinte núcleos verbais, conferindo, portanto, ampla proteção aos dados pessoais.

 

5.3 Sujeitos do Tratamento de Dados Pessoais

No que se refere aos sujeitos envolvidos no tratamento de dados, a legislação traz quatro figuras que merecem destaque:

a) titular de dados pessoais;

b) controlador;

c) operador e

d) encarregado (denominado no direito comparado como Data Protection Officer – DPO).

 

5.3.1 Titular dos Dados Pessoais

O inciso V do art. 5º intitula o titular como sendo a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”.

Em que pese à pessoa jurídica sejam aplicáveis, no que couber, os direitos da personalidade (art. 52 do Código Civil e artigo 223-B da CLT), perceba-se que a LGPD consignou como destinatário de proteção de dados pessoais e sensíveis apenas a pessoa natural.

Merece reflexão mais cuidadosa a incidência da LGPD em favor de microempreendedor individual (MEI), do empregador doméstico11 e do empregador pessoa física, como os profissionais liberais. Isto porque todos esses se constituem em pessoas naturais, normalmente com hipossuficiência econômica12 em relação às empresas.

É importante relembrar que MEI é uma ficção jurídica criada pela Lei Complementar 128, através da qual uma pessoa natural exerce individualmente uma atividade empresarial, mas, ainda assim, se assegura a obtenção de CNPJ, desde que atendidas certas limitações legais.

A possibilidade de ter CNPJ poderia induzir a uma compreensão de que o MEI não seria destinatário da LGPD, mas o simples fato de possuir CNPJ não equivale a dizer que se trata de pessoa jurídica.

Com efeito, o art. 44 do Código Civil aponta quais são as pessoas jurídicas de direito privado e apenas contempla as empresas individuais de responsabilidade limitada (EIRELI), figura que com aquela não se confunde.

Não sendo o MEI uma pessoa jurídica, mas sim uma pessoa física empreendedora a quem a lei faculta a obtenção de CNPJ para fins ficais, é lícito concluir ser alcançado pela proteção da LGPD, tanto para proteção de seus dados como para respeitar os dados de seus empregados.

O mesmo raciocínio pode ser aplicado ao empregador doméstico e aos demais empregadores que sejam pessoas naturais, pois são ao mesmo tempo titulares de seus dados pessoais, logo, protegidos pela LGPD, mas por outro lado devem obediência à LGPD no que se refere aos dados de seus empregados, com certas restrições.

No âmbito específico da relação de trabalho, o titular de dados pessoais será, quase sempre, o empregado, mas também pode ser aplicado aos terceirizados, autônomos e demais prestadores de serviços.

 

5.3.2 Controlador e Operador

O controlador e o operador estão definidos, respectivamente, nos incisos VI e VII do art. 5º como sendo a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” e a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.

Aplicando tais conceitos ao âmbito da relação de trabalho, o empregador inequivocamente desempenhará a função de controlador.

A figura do operador poderá, ou não, existir a depender de ter havido, ou não, a contratação de uma pessoa natural ou jurídica pelo empregador para em seu nome realizar o tratamento de dados pessoais. Portanto, pode o empregador cumular o papel de controlador e operador.

Situação que vem suscitando debates é se o empregado que realiza o tratamento de dados pessoais em uma determinada empresa ostentaria a condição de operador.

O Tribunal de Justiça do Distrito Federal e dos Territórios (TJDFT) editou a Resolução nº 9, de 02 de setembro de 2020, instituindo uma política de privacidade no âmbito daquele tribunal e, em seu art. 5º, classificou o Presidente do Tribunal como Controlador e os servidores como Operadores.

Caso adotada essa mesma perspectiva para o âmbito privado, os empregados que tratam os dados por ordem do controlador (patrão) ostentariam a condição de operadores.

Importante destacar que a questão não é meramente teórica porque aquele que seja classificado como operador responde solidariamente13 pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, a teor do art. 42, § 1º, I, da LGPD.

Em que pese a complexidade da questão, não se pode ignorar que, ao executar tarefas e ordens, o empregado está “presentando” o empregador. Em outras palavras é como se o próprio empregador estivesse atuando, diversamente da hipótese em que o empregador contrata uma outra pessoa (física ou jurídica) para realização do tratamento de dados.

A partir dessa perspectiva é possível defender que o empregador é um mero executor de ordens subordinado, não assumindo a condição de controlador ou operador, salvo quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, quando a própria LGPD o considera como controlador por equiparação14.

Por outro lado, é possível também advogar que não há qualquer vedação legal para que o encargo de operação de dados seja assumido por empregado, hipótese em que, ao aceitar o encargo, estará, consequentemente, obrigado a respeitar as instruções do controlador.

O cargo é eminentemente técnico, não sendo obrigatória a concessão de função de confiança gratificada para o exercício da função de operador.

 

5.3.3 Encarregado

Por sua vez, na conformidade do art. 5º, VIII, da LGPD, o encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador (empregador), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Importante destacar que, na redação inicial, o encarregado deveria ser uma pessoa natural, mas a Lei n.º 13.853/19 suprimiu essa exigência, abrindo espaço para que o encarregado seja pessoa jurídica através de terceirização de serviços (isso também é permitido na GDPR – art. 37º, VI).

Essa alternativa pode se tornar atrativa pela possibilidade de delegar a tarefa a alguém especializado, mas, por outro lado, exige muita responsabilidade.

Isso porque o art. 4º-A da Lei 6.019 exige que toda prestadora de serviços tenha capacidade econômica compatível com a execução do contrato, exigindo uma “due diligence” muito criteriosa.

Além disso, a terceirização elevará a exposição de dados e o risco de vazamento, reforçando a necessidade de investigar com muito cuidado para quem se está terceirizando.

Em se tratando de empresas do mesmo grupo econômico, entendemos ser possível a indicação de um só encarregado, seja ele empregado ou não de apenas uma delas, para representar todas, por força da incidência do direito comparado (art. 37º, II, da GDPR c/c art. 8º da CLT). Mesmo tendo a Lei 13.467/17 eliminado, quase por completo, a teoria do empregador único, ainda assim, será possível a nomeação de apenas um encarregado para todas as empresas do grupo, independente de ser este grupo vertical (por subordinação) ou horizontal (por coordenação).

Outra polêmica será sobre a necessidade de indicação de encarregado no âmbito doméstico, para os profissionais liberais com poucos empregados e para o MEI (que só pode ter um empregado), já que o art. 41 não traz exceção. Entendemos que é dispensável a contratação de um encarregado nestas hipóteses, podendo o controlador cumular o cargo de encarregado. Além disso, o § 3º do artigo 41 prevê que a ANPD pode estabelecer dispensa de indicação, o que nos parece razoável para esses casos.

O art. 41, § 2º, da LGPD prevê as atividades do encarregado nos seguintes termos:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

 

A partir dessas atribuições, muitas controvérsias surgirão. A primeira delas é se as referidas atribuições não demandariam a necessidade de uma autonomia incompatível com a figura da relação de emprego, visto que o encarregado terá que se reportar à autoridade nacional de proteção de dados, dela receber comunicações e adotar providências.

Em que pese tal reflexão, entendemos que não há qualquer óbice ao desempenho de tal função por empregados próprios especializados no tema, até porque existem diversos trabalhadores técnicos e especialistas, muitos regidos por normas específicas que imputam deveres legais que vão além das obrigações do contrato de trabalho (médicos, arquitetos, engenheiros etc).

Nesse tocante, pontua-se também que a existência de uma legislação específica a ser observada pelo encarregado, além da possibilidade de normas complementares que podem ser editadas pela ANPD, poderá futuramente permitir a constituição de sindicatos próprios, caracterizando o encarregado como categoria diferenciada.

Se o empregador atribuir tal função a um empregado que concorde com tal encargo, é recomendável a elaboração de aditivo contratual.

Relevante pontuar o cuidado de zelar para que eventual cumulação de funções não resulte em conflito de interesses, o que assume contorno muito particular em relação àqueles que exerçam a função de advogados da empresa, ou operador de tecnologia da informação.

Isso porque o artigo 2º, parágrafo único, inciso VIII, alínea “b”, do Código de Ética da Ordem dos Advogados do Brasil estabelece que são deveres do advogado abster-se de patrocinar interesses ligados a outras atividades estranhas à advocacia, em que também atue.

E, no dia 28 de setembro de 2018, em sessão plenária, o Conselho Geral da Ordem dos Advogados – Conselho Regional de Lisboa – deliberou aprovar o parecer emitido no âmbito do processo n.º 14/PP/2018-G, em que foi relator o Dr. Zacarias Carvalho, segundo o qual “(n)os termos do disposto no artigo 83º, nºs 1, 2 e 6, do Estatuto da Ordem dos Advogados, os advogados estão impedidos de exercer a advocacia e, assim, impedidos de exercer o mandato forense ou a consulta jurídica, para entidades para quem exerçam, ou tenham exercido as funções de Encarregado de Proteção de Dados”15.

Assim, caso o advogado tenha contrato ou esteja constituído para defender ou patrocinar interesses do controlador não deverá, sob pena de flertar com infração ético-disciplinar, exercer as atribuições de encarregado de proteção de dados do mesmo cliente.

Outra polêmica centra-se na necessidade, ou não, de o encarregado ser detentor de conhecimento jurídico-regulatório.

O § 4º do art. 41 da LGPD previa expressamente que o encarregado deveria ser detentor de tal conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados, mas a disposição restou vetada pela Presidência da República, sob a seguinte justificativa:

 

A propositura legislativa, ao dispor que o encarregado seja detentor de conhecimento jurídico regulatório, contraria o interesse público, na medida em que se constitui em uma exigência com rigor excessivo que se reflete na interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial.

 

Em que pese o veto, é extremamente recomendável que o encarregado seja dotado de conhecimento jurídico-regulatório, até porque a natureza de suas atribuições reclama destacado conhecimento da LGPD.

 

6 - Hipóteses Autorizativas do Tratamento de Dados Pessoais e de Dados Pessoais Sensíveis e a contextualização com a relação de trabalho

 

6.1 Premissas gerais

O art. 7° da LGPD estipula as bases legais para o tratamento de dados pessoais, enquanto o art. 11 enumera as hipóteses autorizativas do tratamento de dados pessoais sensíveis:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;      (Redação dada pela Lei nº 13.853, de 2019)      Vigência

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

 

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou        (Redação dada pela Lei nº 13.853, de 2019)      Vigência

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

 

 

O confronto entre os dois dispositivos permite concluir que uma grande diferença entre as bases de tratamento dos dados pessoais e dados pessoais sensíveis é que o interesse legítimo do controlador ou de terceiro (inciso IX do art. 7º) é causa autorizadora apenas para os primeiros.

Por outro lado, ao mencionar o exercício regular de direitos, a LGPD prevê que estes justificariam o tratamento de dados pessoais não-sensíveis (art. 7º) apenas diante de processos judiciais, administrativos e arbitrais, enquanto para o tratamento de dados pessoais sensíveis o exercício regular de direitos não está restrito a processos.

Essa maior abertura para tratamento de dados com fundamento no exercício regular de direito permitirá, muitas vezes, o tratamento de dados sensíveis em organizações de tendência.

Questão de extrema importância é o procedimento do tratamento de dados pessoais.

Cabe ao controlador identificar cuidadosamente as bases legais que autorizam o tratamento e, havendo mais de uma hipótese, ancorar-se naquela que seja mais segura e específica.

Isso porque, conforme apontado nos Princípios da LGPD, o tratamento de dados deve ser adequado, limitado ao estritamente necessário e restrito à finalidade legitimadora específica.

Além disso, não se pode ignorar que o titular dos dados teve assegurado pela LGPD, em seu art. 9º, o direito à informação, tendo legitimidade de saber qual a causa legitimadora e a finalidade do tratamento dos seus dados pessoais.

No âmbito das relações de trabalho, as hipóteses que legitimarão o tratamento de dados pessoais de modo mais recorrente serão:

  1. cumprimento de obrigação legal ou regulatória;

  2. execução de contrato ou de procedimentos preliminares relacionados ao contrato;

  3. exercício regular de direitos em processo judicial, administrativo ou arbitral.

 

Os procedimentos preliminares a um potencial contrato legitimam o acesso a informações sobre o candidato, mas recomenda-se muita cautela nos dados que serão exigidos a partir do anúncio de um emprego, atendo-se ao estritamente necessário ao exercício da função.

Assim, como regra, deve-se evitar a formulação de exigências relacionadas ao gênero, estado civil, existência de filhos, pretensão de contrair matrimonio, religião16, doenças prévias, patrimônio genético, antecedentes criminais e investigação de vida financeira17.

Por incrível que pareça, ainda há formulários que pedem a indicação de contatos de referências, situação absolutamente desnecessária e que não é tolerada pela LGPD.

Em relação à fase contratual, haverá um vasto leque de dados que será necessário para sua execução e para atender a comandos legais, a exemplo de dados tratados em função da jornada, valor do salário, descontos, faltas, motivos das faltas, doenças, acidentes, situações conjugais e familiares que podem ter reflexos em providências da empresa, como o pagamento de pensão, inclusão de dependente no plano de saúde, dentre outros.

Existem alguns dados que constam ordinariamente dos modelos de livros e ficha de registros de empregados, mas que podem ser questionados também sob a ótica de minimização, a exemplo da filiação cuja necessidade é bem questionável, exceto se os pais forem dependentes do imposto de renda.

No que concerne à qualificação dos filhos, estes dados geralmente serão necessários para fins do salário-família, havendo, portanto, obrigação legal legitimadora para tanto.

No período pós-contratual, existem diversos dados que são necessários para fins da formalização da rescisão contratual, inclusive exame médico demissional.

 

6.2 A checagem de antecedentes (“Background Checks” e “Pre-employment vetting”)

Os termos “Background Check” e “Pre-employmente vetting”18 podem ser compreendidos como um processo de verificação dos antecedentes de empregados e/ou candidatos a uma vaga de emprego por meio de funcionários especificamente designados para determinada atribuição, com ou sem o de auxílio de terceiros, a fim de verificar se ambos estão em conformidade com a cultura empresarial agregando valor a atividade empresarial desenvolvida e diminuindo o risco inerente a própria atividade.

O processo inclui a confirmação do histórico de emprego, autenticação de credenciais educacionais, como diplomas, licenças e certificações profissionais, verificação de perfis de mídia social, revisão de relatórios de crédito e pesquisa de antecedentes criminais ou prisão e geralmente começa depois que o candidato passa pelo processo seletivo de contratação.

Apesar de as políticas de verificação sofrerem variações o essencial é estabelecer diretrizes claras a fim de se observar as melhores práticas. O processo de triagem para uma empresa deve ser padrão entre os candidatos, o que significa que todo candidato considerado para uma vaga deve passar pela mesma verificação de antecedentes. Assim, mesmo quando os empregadores contratem empresas externas para realizar a respectiva triagem, eles devem ser obrigados a seguir o mesmo protocolo.

A objetividade também é crucial, pois a discriminação racial, de gênero e outros tipos de vieses devem ser eliminados o máximo possível.

6.2.1 Quais são os principais motivos relacionados ao “Background Checks” e “Pre-employment vetting”?

O processo de triagem de dados dos respectivos empregados e candidatos está diretamente relacionado com a questão da segurança (“safety”), conformidade legal (“legal compliance”), responsabilidade (“liability issues”) e ajuste da empresa (“company fit”).

Por isso, o empregador deve criar um ambiente seguro para os seus clientes, empregados e para a própria sociedade, construindo a sua reputação e confiança com os respectivos grupos mencionados, pois a confiança é essencial para o desenvolvimento de um empreendimento bem sucedido. Sem embargo, caso o empregador não proceda com cautela e vigilância nas suas escolhas provavelmente será responsabilizado pelos riscos e consequências advindas do desenvolvimento da sua respectiva atividade.

As verificações de antecedentes de emprego são realizadas rotineiramente quanto estivermos diante de imposição legal (“legal compliance”). Do mesmo modo, a responsabilidade também costuma ser um motivo comum pelo qual o empregador realiza uma verificação de antecedentes visto que determinado empregado pode ser fonte de conflitos na empresa não se adaptando ao ambiente de trabalho seja por dificuldade de trabalhar em equipe e/ou em razão de não respeitar os seus superiores hierárquicos.

6.2.2 Quando é admitido na ordem jurídica brasileira que o empregador exija certidão de antecedentes criminais ou proceda à consulta de restrições de crédito?

A jurisprudência do C. TST19 se orienta no sentido de que a consulta a restrições de crédito seria medida conspiratória à Constituição Federal por força da sua proibição de discriminação no âmbito da relação de trabalho (Art. 7º, XXXI), seguindo os parâmetros estabelecidos pela Convenção 111 da OIT.

Pondera-se, ainda, que órgãos de proteção ao crédito, em que pese destinados uma proteção pública, existem para proteger o crédito e não para inviabilizar o emprego, de modo que sua utilização para fins da relação de emprego desatenderia a finalidade para qual o dado pessoal foi lançado.

Além disso, a recolocação no mercado de trabalho é justamente uma maneira de permitir ao devedor saldar as suas dívidas do trabalhador, de modo que se a ele for negado o trabalho por restrições de crédito, haveria um aprisionamento no estado de débito.

Deve ser ressaltado ainda o teor do artigo 1º, da Lei nº 9.029/95, que prevê a proibição de práticas discriminatórias nas relações de trabalho e artigo 373-A da CLT.

Além da feição discriminatória, com a publicação da lei 12.347/10, foi revogado o art. 508 da CLT, que considerava como justa causa, para efeito de rescisão de contrato de trabalho do empregado bancário, a falta contumaz de pagamento de dívidas legalmente exigíveis, o que revelaria ter sido também uma opção política do país não legitimar esse tipo de invasão20.

Por outro lado, a busca de referência e bons antecedentes funcionadas dos candidatos são uma espécie de discriminação positiva e são importantes para verificar o denominado ajuste da empresa (“company fit”) ou integração do empregado a cultura organizacional conforme foi abordado no tópico anterior.

Por fim, a exigência de certidão de antecedentes criminais já foi objeto de decisão vinculante do Tribunal Superior do Trabalho (TST), em acórdão publicado em 22/09/2017, no julgamento do Recurso Repetitivo (RR) 243000-58.2013.5.13.0023, com a fixação da tese jurídica prevalecente que a exigência de certidões de antecedentes criminais somente se justifica em casos excepcionais, em virtude da existência de lei, natureza do ofício ou elevado grau de fidúcia.

A própria tese fixada no Tema 01 da Tabela de Recursos Repetitivos elenca atividades em relação às quais é legítima a exigência de certidão de antecedentes criminais:

II) a exigência de Certidão de Antecedentes Criminais de candidato a emprego é legítima e não caracteriza lesão moral quando amparada em expressa previsão legal ou justificar-se em razão da natureza do ofício ou do grau especial de fidúcia exigido, a exemplo de empregados domésticos, cuidadores de menores, idosos ou deficientes (em creches, asilos ou intuições afins), motoristas rodoviários de carga, empregados que laboram no setor da agroindústria no manejo de ferramentas de trabalho perfurocortantes, bancários e afins, trabalhadores que atuam com substâncias tóxicas, entorpecentes e armas, trabalhadores que atuam com informações sigilosas. Vencidos parcialmente os Exmos. Ministros Augusto César de Carvalho, relator, Aloysio Corrêa da Veiga, Walmir Oliveira da Costa e Cláudio Mascarenhas Brandão, que não exemplificavam;

 

Como ilustração de trabalhadores que lidam com informações sigilosas pode-se citar o caso de operador de telemarketing, que atuam diariamente com intenso fluxo de dados, sendo, assim, justificável a exigência a luz da jurisprudência da SBDI-1 do C. TST21.

 

6.3 Utilização de dados biométricos de seus empregados

O dado biométrico foi expressamente catalogado pelo inciso II do art. 5º da LGPD como dado pessoal sensível, sendo necessário refletir se sua utilização no âmbito das relações de trabalho seria compatível com a LGPD.

Em primeiro lugar, é preciso salientar que biometria não se restringe apenas à impressão digital, podendo ser extraída a partir da íris, face, voz ou até mesmo deambulação.

Uma forma frequente de utilização de dado biométrico na relação de emprego é para fins de registro de ponto.

O art. 74 da CLT estipula a necessidade de registro de ponto, admitindo que tal se dê por meio manual, mecânico ou eletrônico. A Portaria 1510/2009, do então Ministério do Trabalho, autorizou o registro de ponto biométrico de empregados.

O Princípio que pode suscitar dúvidas sobre a legitimidade de utilização desse tipo de dado é da Necessidade ou Minimização, já que existem outros meios supostamente menos invasivos e que permitem o controle de ponto (folha manual ou cartão magnético).

Conquanto seja possível, de fato, assinalar a jornada por outros meios diversos da biometria, não há meio tão eficaz quanto este para assegurar a integridade dos horários lançados nos respectivos registros e a autoria.

E a fidedignidade desses registros é essencial e extremamente saudável para ambas as partes, evitando alegações de desvirtuamento da jornada pela existência, por exemplo, de controle paralelo e permitindo a justa e real apuração do saldo de horas.

O tratamento do dado biométrico para fins de jornada estaria, assim, assegurado pelo cumprimento de obrigação legal pelo controlador (art. 11, II, a, da LGPD).

Além disso, o registro biométrico também pode ser utilizado para outras formas de controle de acesso e segurança na empresa, o que também se legitimaria mesmo sem o consentimento do titular pela alínea “g” do mesmo dispositivo para “garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”.

Mesmos nessas hipóteses excepcionais, é importante que não existam abusos, sendo que os dados deverão ser utilizados com a finalidade estrita para os quais foram colhidos, com a criação de mecanismos para o tratamento e proteção, sob pena de violação aos ditames da Lei Geral de Proteção de Dados.

 

6.4 O risco do tratamento de dados pessoais na relação de trabalho tendo como base o consentimento

Embora seja possível se cogitar do consentimento como causa legitimadora do tratamento de dados pessoais (art. 7º, I) ou até mesmo de dados pessoais sensíveis (art. 11, II), a sua incidência no âmbito das relações de trabalho é cercada de preocupações.

Isso porque o art. 5º, XII, proclama que o consentimento deve ser entendido como a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

A expressão “livre” pressupõe verdadeira opção do titular dos dados, pressuposto que despertará dúvida sobre sua ocorrência no âmbito de uma relação como a trabalhista, marcada pelo desequilíbrio de poder e, em regra, pela dependência econômica.

Não serão raras as alegações de que o empregado não teve legítima escolha, a ele tendo sido imputado o consentimento como fator condicionante de manutenção do vínculo de emprego.

A propósito, o considerando 43 do GDPR prevê expressamente que “a fim de assegurar que o consentimento é dado de livre vontade, este não deverá constituir fundamento jurídico válido para o tratamento de dados pessoais em casos específicos em que exista um desequilíbrio manifesto (“imbalance of power”) entre o titular dos dados e o responsável pelo seu tratamento”.

Exatamente em função disso, o GT 29, órgão consultivo europeu independente, considera problemática a questão de os empregadores procederem ao tratamento de dados pessoais dos empregados com base no consentimento, uma vez que é questionável que esse consentimento seja dado espontaneamente.

A discussão se torna mais suave quando tratarmos dos dados do hiperssuficiente, pois, a estes foi destinado o parágrafo único do artigo 444 da CLT, que permite a transação e renúncia de alguns direitos, desde que não violem a Constituição e os artigos 611-A e 611-B da CLT.

Por isso, como medida de “compliance”, para qualquer tipo empregado, visando à gestão e mitigação de riscos, é recomendável evitar a utilização do consentimento como base legal de tratamento de dados no âmbito das relações de trabalho.

Contudo, caso o empregador pretenda obter o consentimento, é necessário observar o art. 8º, caput e § 1º, da LGPD, que estipula que o consentimento deve ser fornecido ”por escrito ou por outro meio que demonstre a manifestação de vontade do titular” e que, caso seja fornecido por escrito, deve “constar de cláusula destacada das demais cláusulas contratuais”. Logo, sempre deverá ser expresso o consentimento.

Podemos citar como exemplo, a necessidade de o empregado consentir expressamente para critérios de avaliação de sua produtividade pela empresa, com rankings e tabelas comparativas com outros empregados.

Algumas empresas têm inserido cláusula específica e destacada nos contratos formais de trabalho, mas, considerando a natureza de contrato de adesão do contrato de trabalho e que é delas o ônus de comprovar a validade do consentimento (art. 8º, § 2º) seria ainda mais prudente a celebração de um documento em apartado.

Outro aspecto extremamente relevante é a granularidade do consentimento, que se aplica na hipótese de coleta de diversos documentos com finalidades distintas.

Considerando a proibição de consentimento generalista (art. 8º, § 4º), quando estivermos diante da pretensão de tratamento de diversos dados, deve ser assegurado ao titular dos dados a indicação pontual e específica de quais dados ele deseja consentir e para qual finalidade específica, em detrimento da prática de mercado materializada pelo “all or nothing”.

A granularidade, portanto, é a possibilidade de indicação específica e pontual e é um mecanismo revelador da liberdade do consentimento exigida pelo art. 5º, XII, da LGPD.

A empresa deve observar, também, que a obtenção do consentimento não lhe permite compartilhar dados com outros controladores sem a obtenção de consentimento específico para tanto, a teor do art. 7º, § 5º, da LGPD.

Esse destaque é de extrema importância para o âmbito das relações de trabalho porque muitos dados são compartilhados pelo empregador com planos de saúde, previdência privada e empresas terceirizadas.

Merece realce, ainda, a dispensa de consentimento para o tratamento de dados tornados manifestamente públicos pelo titular (art. 7º, § 4º), o que muitas vezes pode ocorrer através de publicação em redes sociais públicas.

Contudo, é imperioso destacar que a mesma legislação estipula no § 3º do art. 7º que o tratamento de dados pessoais públicos deve atender a finalidade, boa-fé e interesse público e que o § 6º do mesmo dispositivo vaticina que “eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular”.

Ao buscar a obtenção do consentimento, também é importante que a empresa esteja atenta ao fato de que, nos termos do § 5º do art. 8º da LGPD, o empregado pode revogá-lo a qualquer momento, mediante “manifestação e por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação”, o que, mais uma vez demonstra a fragilidade de justificar o tratamento dos dados apenas sob essa perspectiva.

 

7 – Término do Tratamento de Dados

O término do tratamento de dados tem uma importância digna de destaque porque é preciso compreender até que momento seria possível continuar o tratamento dos dados pessoais para fazer a sua devida gestão.

O tema é disciplinado pelo art. 15 da LGPD nos seguintes termos:

 

Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

II - fim do período de tratamento;

III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou

IV - determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.

 

O art. 16 da LGPD estipula a necessidade de eliminação dos dados pessoais após as causas do art. 15, mas autoriza a sua conservação em quatro hipóteses:

 

I - cumprimento de obrigação legal ou regulatória pelo controlador;

II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

 

O inciso I legitima que os dados permaneçam armazenados durante o prazo prescricional das pretensões associadas porque, em eventual judicialização de um conflito, haverá a necessidade de produção probatória, a qual muitas vezes é retratada de modo documental, sendo assim legítimo que os dados permaneçam em poder do controlador até o fim do prazo prescricional.

Embora uma primeira leitura possa conduzir a uma impressão simplista de sugerir a guarda pelo prazo prescricional trabalhista de dois anos após fim do contrato ou dos cinco últimos anos do ajuizamento de uma ação (art. 7º, XXIX, da CF/88), é recomendável não cair nesse “conto da sereia”.

Isso porque a prescrição trabalhista é permeada de controvérsias, a exemplo de prescrição total ou parcial, e existem hipóteses em que o prazo prescricional está suspenso ou impedido de correr. A título de exemplo, ilustramos três delas:

  1. existência de absolutamente incapazes (hipótese muito comum em caso de falecimento de trabalhador) ou do menor de 18 anos (art. 440 da CLT);

  2. doenças ocupacionais, que podem se manifestar apenas depois de determina lapso temporal e que tem o início de contagem do prazo prescricional apenas com a sua ciência inequívoca (Súmula 230 do STF e Súmula 278 do STJ);

  3. vínculo de emprego (imprescritível – artigo 11 da CLT).

Por isso, o ideal é não se limitar ao prazo literal de prescrição, sendo possível a guarda mais prolongada ou até mesmo indeterminada em relação a documentos essenciais para se defender de pretensões imprescritíveis.

É pertinente, se viável economicamente, a técnica da anonimização de dados pessoais prevista no inciso IV do art. 16.

 

8 - Negociação Coletiva para o tratamento de dados pessoais

Em um primeiro momento pode soar inusitado cogitar de negociação coletiva para tratamento de dados pessoais, mas uma reflexão mais profunda permite perceber a extrema relevância de enfrentamento do tema.

Em que pese o silêncio da LGPD acerca do assunto, o GDPR, em seu art. 88, prevê expressamente a sua possibilidade de pactuação:

  1. Os Estados-Membros podem estabelecer, no seu ordenamento jurídico ou em convenções coletivas, normas mais específicas para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos trabalhadores no contexto laboral, nomeadamente para efeitos de recrutamento, execução do contrato de trabalho, incluindo o cumprimento das obrigações previstas no ordenamento jurídico ou em convenções coletivas, de gestão, planeamento e organização do trabalho, de igualdade e diversidade no local de trabalho, de saúde e segurança no trabalho, de proteção dos bens do empregador ou do cliente e para efeitos do exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados com o emprego, bem como para efeitos de cessação da relação de trabalho.

 

Considerando o art. 8º da CLT, que autoriza a utilização do direito comparado como fonte supletiva, é lícito cogitar da importação de referida autorização, mas com a reflexão de sua compatibilidade e dos limites de tal aplicabilidade no âmbito interno.

É oportuno rememorar que a Lei 13.467/2017 consagrou a denominada prevalência do negociado sobre o legislado, o que pode levar ao debate sobre a validade de negociação coletiva que flexibilize os critérios e requisitos para o tratamento de dados.

Entendemos, contudo, não ser possível flexibilizar as proteções constitucionais, como o direto à privacidade e à intimidade, revestindo-se de natureza de direito fundamental, de modo que a transação seria maculada pela inconstitucionalidade.

Entretanto, não se pode ignorar a existência de um relevante campo de atuação sindical, relacionada a formas e procedimentos de tratamento de dados pessoais para viabilizar os diversos benefícios normativos que são instituídos por normas coletivas ou até mesmo procedimentos para tornar viável a concessão de obrigação legal de forma coletiva. A norma coletiva poderia, com relativa facilidade, prever a adoção de um só encarregado para as empresas do grupo, sepultando a discussão doutrinária a respeito do tema, ou, dispor sobre direitos do operador, por exemplo.

A rigor, diversas normas coletivas estipulam direitos que, para serem exercidos, demandam tratamento de dados pessoais ou até sensíveis, como a concessão de plano de saúde. Caberá à norma indicar os dados que serão necessários, quem os repassará, quando e por quanto tempo ficarão armazenados.

 

9 – Responsabilidade Civil

 

Os artigos 42 a 45 da Lei 13.709/18 tratam da responsabilidade civil patrimonial e extrapatrimonial dos agentes de tratamento de dados (controlador e operador).

Há forte tendência doutrinária22 em se adotar apenas a responsabilidade subjetiva, com culpa presumida e, via de consequência, em afastar o entendimento de responsabilidade civil objetiva23 do empregador, por aplicação do artigo 42 e incisos II e III do artigo 43 da LGPD, que expressamente isenta de responsabilidade aquele que não violou a lei. A exceção se faz às relações de consumo, pois excluídas pelo artigo 45 da Lei 13.709/18.

A tese tem amparo, também, no fato de a reparação de dano decorrente de responsabilidade objetiva estar regulada genericamente no Código Civil, lei de mesma hierarquia que a LGPD. Logo, a lei posterior pode revogar a anterior de mesma hierarquia, ou a especial revogar a geral, como é o caso.

Entretanto, mesmo antes do Código Civil (parágrafo único do art. 927) a jurisprudência já vinha alargando o conceito de “culpa”, cujo requisito é necessário para o dever de indenizar. A culpa presumida nasce da premissa do dever de que todos temos de não prejudicar ninguém e praticar atos com segurança. Ainda que não se confunda com a culpa presumida, a atividade de risco é mero desdobramento dessa tese, pois a pessoa que explora economicamente a atividade de risco deve ser responsabilizada pelos prejuízos materiais e morais daí decorrentes.

Por isso e considerando que a LGPD (lei especial) não trouxe a culpa como elemento necessário para configuração de responsabilidade, defendemos que, em tese, é possível a aplicação da responsabilidade objetiva.

 

10 – Conclusão

 

A Lei Geral de Proteção de Dados dispõe sobre os critérios, limites e penalidades para o tratamento de dados da pessoa natural. Não há proibição ao tratamento de dados, ao contrário, a Lei 13.709/18 deu ao titular dos dados o empoderamento destes e o direito de autodeterminação informativa, regulamentou o legítimo exercício e previu punições administrativas para os casos de ilicitude.

 

BIBLIOGRAFIA

 

CANOTILHO, JJ Gomes. Direito Constitucional e Teoria da Constituição. Coimbra: Almedina, 2003.

 

CASSAR, Vólia Bomfim; BORGES, Leonardo. Comentários à Reforma Trabalhista. São Paulo: Gen, 3ª Ed, 2019.

 

CASSAR, Vólia Bomfim. Direito do Trabalho. São Paulo: Gen, 17ª Ed. 2020.

 

LIMA, Fabírcio; PINHEIRO, Iuri. Manual do compliance trabalhista: teoria e prática. Salvador: Ed. JusPodivm, 2020.

 

MOREIRA, Teresa Coelho. A Privacidade dos Trabalhadores e as Novas Tecnologias de Informação e Comunicação: Contributo para um estudo dos limites do poder de controlo electrónico do empregador. Coimbra: Almedina, 2010.

 

SCHWAB, Klaus. A quarta revolução industrial. São Paulo: Edipro, 2016.

 

1 Juiz do Trabalho, Coordenador da Pós-Graduação de Compliance Trabalhista, LGPD e Prática Trabalhista do IEPREV, Professor de diversas instituições, dentre elas PUC-MG, CERS e IEPREV. Professor Convidado das Escolas Judiciais dos TRTs 3, 5, 7, 14 e 22. Escritor de obras jurídicas, especialmente do Manual do Compliance Trabalhista e Manual da Terceirização. Formação em Compliance Laboral pela Wolters Kluwer (Espanha).

2 Advogada Trabalhista e Consultora Jurídica. Desembargadora Aposentada do TRT da 1ª Região. Coordenadora Científica da Pós-Graduação de Compliance Trabalhista, LGPD e Prática Trabalhista do IEPREV. Professora de diversas instituições e de Escolas Judiciais. Mestra e Doutora em Direito. Participou da Comissão de Reforma Trabalhista da Câmara dos Deputados. Escritora de obras jurídicas, especialmente do manual de Direito do Trabalho em sua 17ª edição.

3 SCHWAB, Klaus. A quarta revolução industrial. São Paulo: Edipro, 2016.

4 A propósito, o próprio Supremo Tribunal Federal, no julgamento da ADI 6387, invocou a principiologia da LGPD (que tem assento constitucional – privacidade e intimidade) para suspender o compartilhamento de dados de usuários por prestadoras de serviços de telecomunicações ao IBGE, o que era autorizado pela Medida Provisória nº 954/20.

5 O art. 88 do GDPR traz regras expressas sobre o tratamento de dados no contexto laboral.

6 Uma das poucas disposições relacionadas ao âmbito trabalhista é a previsão constante do art. 5º, II, que indica ser dado pessoal sensível a filiação a sindicato.

7 Os verbos utilizados nesta passagem são apenas alguns daqueles que compreendidos dentro do conceito de “tratamento” de dados que foi enunciado pelo art. 5º, X, da LGPD.

8 MOREIRA, Teresa Coelho. A Privacidade dos Trabalhadores e as Novas Tecnologias de Informação e Comunicação: Contributo para um estudo dos limites do poder de controlo electrónico do empregador. Coimbra: Almedina, 2010.

9 CANOTILHO, JJ Gomes. Direito Constitucional e Teoria da Constituição. Coimbra: Almedina, 2003.

10CID – Código de Identificação da Doença

11 Entendemos que o artigo 4º, I da Lei 13.709/18 não se aplica aos empregadores domésticos, pois não utilizam os dados do empregado doméstico para fins “exclusivamente” particulares, uma vez que, por força de lei, o patrão compartilha dados de seus empregados com o e-social e demais órgãos competentes. Além disso, empregador doméstico é o que consome a mão de obra doméstica para fins “não lucrativos” – artigo 1º da LC 150/15. A expressão “não lucrativo” tem conceito diverso de fins “não econômicos”.

12 Este raciocínio também foi o adotado pelo artigo 899, § 9º da CLT, pois tratou diferentemente o empregador doméstico, microempreendedores individuais, entre outros, para fins de depósito recursal.

13 Aliás, a legislação trabalhista também prevê, conforme o artigo 223-E da CLT, que o empregador responda junto com o causador do dano moral (outro empregado) na proporção da ação ou omissão que ocasionou o dano extrapatrimonial.

14 Há quem defenda que a caracterização de controlador por equiparação apenas ocorreria no caso do empregado não seguir as instruções lícitas do controlador em virtude de o dispositivo em questão fazer alusão ao termo “hipótese” no singular. Contudo, parece-nos que o termo “hipótese” se refere a qualquer das duas situações até porque elas foram tratadas como opções alternativas, além de não existir motivo razoável que justifique um tratamento diverso.

15 Disponível em: Acesso em 29.09.2020.

16 Esse dado pode vir a ser justificável em algumas situações, tais como diante de organizações de tendências em relação a funções inseridas na zona de tendência da organização.

17 Esses dois últimos temas serão objeto de análise em tópico específico adiante.

18 Cf. https://searchhrsoftware.techtarget.com/definition/employee-vetting.

19 Por todos: RR - 209-39.2011.5.05.0027 , Relator Ministro: Alexandre de Souza Agra Belmonte, Data de Julgamento: 30/11/2016, 3ª Turma, Data de Publicação: DEJT 02/12/2016.

20 LIMA, Fabírcio; Pinheiro, Iuri. Manual do compliance trabalhista: teoria e prática. Salvador: Ed. JusPodivm, 2020.

21 E-ED-RR - 182000-05.2013.5.13.0008 , Relatora Ministra: Maria Cristina Irigoyen Peduzzi, Data de Julgamento: 24/05/2018, Subseção I Especializada em Dissídios Individuais, Data de Publicação: DEJT 01/06/2018.

23 Aparentemente o artigo 223-A da CLT também afastou a responsabilidade objetiva decorrente de dano extrapatrimonial. A expressão “apenas” contida no caput do art. 223-A da CLT deixa clara a intenção do legislador da não aplicação de outras normas de mesma hierarquia acerca do dano extrapatrimonial trabalhista.

 

 

Últimos artigos

Direito Trabalhista

A greve dos Correios de 2020 e a necessidade de superação de uma jurisprudência trabalhista incoerente

Por Felipe Bernardes
(br) Na ADI 3423 (e outras julgadas em conjunto)1, o Supremo Tribunal Federal declarou a constitucionalidade dos §§2º e 3º do art. 114 da Constituição, na redação da EC 45/2004. A Corte utilizou como argumentos centrais aptos a sustentar a constitucionalidade da exigência do comum acordo para o dissídio coletivo de natureza econômica: (i) inexistência de violação ao acesso à justiça, pois se trata de criação de novo direito, e não de aplicação de direito pré-existente; (ii) a necessidade de reduzir a intervenção estatal nas relações coletivas de trabalho.

Direito Trabalhista

A fiscalização do ambiente laboral do teletrabalhador

Em face do princípio da alteridade (art. 2º da CLT), a assunção dos riscos do emprendimento traz ao empregador diversas responsabilidades, dentre elas a de manter o ambiente de trabalho em condições seguras e saudáveis aos empregados (observância de regras de saúde, higiene, segurança e medicina do trabalho). Sendo do empregador a referida incumbência, pouco importa onde o labor é desempenhado, se fisicamente ou a distância. Tal dever patronal tem arcabouço constitucional (arts. 7º, XXII e XXVIII, 196, 200, VIII, e 225, todos da CF) e legal (art. 157 da CLT e art. 19, §1º, da Lei nº 8.213/91). De igual, é amparado em âmbito internacional, nos termos dos arts. 7º e 12 do Pacto Internacional de Direitos Econômicos Sociais e Culturais (PIDESC), arts. 7º e 10 do Protocolo de San Salvador e nas Convenções 148, 155 e 161, todas da OIT. A obrigação de o empregador manter o local de trabalho imaculado vem acompanhada dos direitos de orientação, fiscalização e até punição dos trabalhadores. Questões intrigantes surgem da análise desses direitos patronais, principalmente o de fiscalização dos teletrabalhadores. Pode o empregador orientar e fiscalizar o ambiente laboral dos seus teletrabalhadores? Como se dará esta fiscalização? A proposta deste ensaio, pois, é a de examinar o disposto no art. 75-E da CLT, “traduzindo” os seus termos e propondo respostas para os questionamentos supra.

Direito Trabalhista

A RESPONSABILIDADE PELOS CUSTOS DOS INSTRUMENTOS DE TRABALHO NO REGIME DE TELETRABALHO

A origem do Direito do Trabalho enquanto ramo específico da ciência jurídica tem como fundamento o trabalho subordinado em sua acepção clássica, encontrado no interior das fábricas e indústrias típicas da industrialização inicial ocorrida nos séculos XVIII e XIX, quando se destacou o modelo taylorista/fordista de produção. Ocorre que a crise vivenciada pelo próprio Direito do Trabalho a partir do final do século XX, as alterações estruturais ocorridas no mundo do trabalho contemporâneo e o consequente surgimento de novas espécies de trabalhadores, bem como, por fim, o surgimento de uma nova filosofia de produção, de origem japonesa, denominada Toyotismo, que horizontalizou a empresa e fez o empregado internalizar o poder diretivo, colocaram a ideia de subordinação jurídica clássica em crise. Além disso, as novas formas de trabalho surgidas no mundo do trabalho assumem feições e características que relativizam a ideia de sujeição do trabalhador a ordens intensas e diretas do tomador dos serviços, sem retirar daquele, entretanto, a hipossuficiência comum que marca o trabalhador empregado. Nesse contexto, para efeito de reconhecimento da relação de emprego, é irrelevante o local da prestação de serviços pelo empregado, que pode ser até mesmo a residência deste. Neste caso, chama-se de trabalho a distância (home office), pelo fato da prestação de serviços ocorrer fora do estabelecimento empresarial, sendo certo que a Lei n. 12.551/2001, alterando o art. 6º da CLT, deixou clara a possibilidade de natureza empregatícia dessa relação jurídica. A Lei n. 13.467/2017 – Reforma Trabalhista inseriu na CLT os artigos 75-A a 75-E, regulamentando a figura do teletrabalho. Mais recentemente, a Medida Provisória n. 927/2020, que, diga-se de passagem, caducou, fez referência ao instituto do teletrabalho.

Direito Trabalhista

ADC 58: Lockdown na Justiça do Trabalho?

O mais turbulento semestre da história recente do Direito e do Processo do Trabalho encerra-se com aquela que talvez seja a decisão monocrática de maior impacto na história do Judiciário brasileiro. No dia 27 de junho de 2020, um sábado, o Ministro Gilmar Mendes, Relator da Ação Declaratória de Constitucionalidade n.º 58, ajuizada em 17/08/2018, proferiu decisão liminar determinando, ad referendum do Plenário da Corte, a “suspensão do julgamento de todos os processos em curso no âmbito da Justiça do Trabalho que envolvam a aplicação dos artigos arts. 879, §7, e 899, § 4º, da CLT, com a redação dada pela Lei nº 13.467/2017, e o art. 39, caput e § 1º, da Lei 8.177/91”. Causa perplexidade a circunstância de a paralisação de processos decorrer não da controvérsia em relação a determinado tema de direito material discutido nos autos, mas de uma questão meramente acessória, a correção monetária, que, na feliz síntese frequentemente rememorada pelo Ministro Cesar Asfor Rocha, “não é um plus que se acrescenta, mas um minus que se evita". O tema da atualização monetária dos créditos trabalhistas tem sido objeto candente controvérsia há alguns anos na Justiça do Trabalho, adquirindo, no ocaso do primeiro semestre 2020, contornos ainda mais dramáticos. Nesse contexto, o presente artigo destina-se a oferecer reflexões iniciais acerca dos efeitos da mencionada decisão sobre os processos trabalhistas. A adequada compreensão da matéria exige, porém, uma breve digressão histórica, que faremos a seguir.

Direito Trabalhista

Grupo econômico no Processo do Trabalho

O incidente da desconsideração da personalidade jurídica é pertinente para o reconhecimento de grupo econômico?

Direito Trabalhista

Ainda é possível antecipação de tutela para saque de FGTS? Uma análise crítica da jurisprudência do STF

Em recente decisão monocrática , o STF julgou procedente reclamação e cassou decisão de TRT que havia determinado, em tutela da evidência, a expedição de alvará para saque de FGTS pela trabalhadora.

Ver mais artigos

Receba conteúdos exclusivos

Instituto Trabalho em Debate 2020 - © Todos direitos reservados