O DESAFIO DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) NO CONTRATO DE TRABALHO
“LGPD não é um projeto, é uma jornada. Segurança de dados pessoais, assim como na nossa vida, não se restringe à adequação a uma lei.” (Regis Bronzatto).
É fato que a LGPD trouxe ao cotidianos de todos a regulamentação para o uso, proteção e transferência de dados pessoais no Brasil, nos âmbitos privado e público, e estabeleceu os atores nesse cenário, determinando as figuras envolvidas e quais são suas atribuições, responsabilidades e as penalidades imputáveis no âmbito civil – que podem chegar à multa de 50 milhões de reais por incidente.
Inegável o valor da LGPD, porque seu suporte está nos Direitos fundamentais de liberdade e de privacidade, como a livre iniciativa e o desenvolvimento econômico e tecnológico do país.
E, ligado aos Direitos e Garantias Fundamentais previstos no início da Constituição da República, um dos pontos pertinentes a destacar é o da transparência no uso de dados pessoais, o que repercute na forma de responsabilização, ou na adequação, ou seja, na busca pelo equilíbrio do uso dos dados pessoais com as finalidades informadas, aquilo que se denota como “privace by design”, onde os dados só devem ser utilizados para as finalidades específicas para as quais foram coletados e previamente informados aos seus titulares. Isso ocorre em sintonia com o chamado princípio da necessidade, que impõe ao operador a limitação do uso dos dados ao mínimo necessário para que se possa atingir a finalidade pretendida. Desse princípio exsurge ainda a indispensável exclusão imediata de dados, após atingida sua legítima finalidade.
A LGPD demarca como fronteira do dado pessoal qualquer informação que identifique diretamente, ou torne identificável, uma pessoa natural. De forma sincrônica, a Lei demarca como tratamento toda operação realizada com dados pessoais, tais como coleta, utilização, acesso, transmissão, processamento, arquivamento, armazenamento, transferência etc.
Diante disso, neste primeiro momento, a legislação em estudo abriga conceitos que irão construir novos parâmetros de relacionamento entre o sujeito de dados e o operador de dados. Assim, qualquer operação de tratamento de dados pessoais realizada no território nacional por pessoa natural ou pessoa jurídica de Direito público ou privado, cujos titulares estejam localizados no Brasil, que tenha por finalidade a oferta de produtos ou serviços no Brasil, está sujeita à LGPD, que passa a exigir o consentimento expresso do usuário para esta operação.
A origem e conceitos da Lei n. 13.709/18 (LGPD) está na GDPR (General Data Protection Regulation). Este regulamento, nascido em meados de 2012, quando a União Europeia trouxe uma proposta de disciplinar a gestão de dados pessoais, passou por estudos, debates e deliberações que culminaram, em abril de 2016, com sua aprovação (Regulamento 16/679) e vigência plena em 25.05.2018.
Em nosso país a LGPD traz em seu bojo as bases da GDPR, o que favorece a análise comparativa, e ajuda a construir em nossa realidade uma rede de proteção legal que não pode prescindir de extenso arcabouço jurídico na preservação de Direitos individuais em nosso país, expresso na Carta Magna de 1988, corroborado pelo Código Civil brasileiro e, finalmente, no campo da internet pelo Marco Civil da Internet, consagrando a importância que o tema sempre mereceu.
No âmbito corporativo, que é a regra nesses vínculos, a porta de entrada dos dados pessoais é, por óbvio, a própria relação entre a empresa e seus colaboradores (empregados, prestadores de serviços, terceiros, prepostos de qualquer natureza), mediante a coleta de informações documentais e sua gestão. Essas informações são acessíveis em todo o tempo aos profissionais internos da empresa, os quais lidam com as questões de pessoal, sobretudo em face da necessidade de se utilizar esses dados durante a vigência do contrato de trabalho, mas também nas fases que antecedem ou sucedem a contratualidade.
As rotinas nas empresas sofrem impacto, como por exemplo, nas entrevistas de emprego, recebimento de currículos, formalização de contratos e aditivos, realização de exames, recebimento de atestados, compartilhamento de dados com seguradoras, planos de saúde, no Direito Coletivo Sindical, em Acordos e Dissídios Coletivos, e até mesmo na forma de condução de processos judiciais.
Ao empregador cumpre normas que devem ser seguidas para que se evitem conflitos com a LGPD, em especial na aplicação de sanções pela futura Autoridade a ser instituída (ANPD) .
Desde o ingresso do trabalhador na etapa de seleção admissional, o cuidado no trato dos dados pessoais se impõe, bem como na fase que procede a rescisão do contrato, portanto, ao longo da história de vigência do contrato de trabalho.
Aspectos principais na utilização e seus fins específicos, quando da transmissão ou uso dos dados pelo empregador, comportam o respeito pela privacidade e guarda dos mesmos.
A empresa, ciente do seu papel de guardiã dos dados, deve pautar-se por todos os princípios indicados pela norma e, em especial, exercer com zelo o gerenciamento dos dados, principalmente o acesso aos chamados “sensíveis”, que, por exemplo, não são fundamentais ou essenciais à relação de emprego e que, portanto, não devem ser sequer coletados.
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. § 1º A fim de assegurar a efetiva indenização ao titular dos dados: I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei; II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei. § 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa. § 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente. § 4º Aquele que reparar o dano ao titular tem Direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso. Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem: I - que não realizaram o tratamento de dados pessoais que lhes é atribuído; II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: I - o modo pelo qual é realizado; II - o resultado e os riscos que razoavelmente dele se esperam; III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.
Sendo assim, as empresas que passaram a adotar procedimentos para compatibilizar sua mão de obra com a restrição provocada pelo isolamento social – resultando na adoção de medidas para minimizar o risco de propagação da pandemia entre a sua força de trabalho, em especial o teletrabalho – observam que suas redes privadas (conhecidas como VPN) tornaram-se comuns no dia a dia corporativo. Esse fenômeno inopinado trouxe o ambiente virtual do futuro para o presente de uma forma acelerada pelas contingências. As adaptações, inclusive à luz da legislação de proteção de dados, urgem.
A LGPD nasce, assim, em um cenário forçado de transformação e com várias questões não resolvidas, cujas pinceladas busquei colocar no texto apenas como fonte de indagações e questionamentos, ainda sem respostas objetivamente propostas pelo legislador.
Nesse caldeirão de desafios cumpre aos juristas e a todos os operadores do Direito reunirem esforços para que a LGPD tenha êxito e coloque o Brasil em um patamar compatível com o das nações de destaque nessa esfera.
O contrato de trabalho torna-se dinâmico, conforme dito acima, ainda mais com o teletrabalho e o crescimento exponencial do comércio eletrônico, de webinars, reuniões virtuais e um sem-número de atividades que passaram a ocorrer totalmente por meio da internet.
E isto faz acender um sinal de atenção a todos nós que pretendemos aplicar a LGPD, porque, enquanto cresce a importância do mundo digital no âmbito trabalhista, também multiplicaram-se os riscos associados ao uso indevido dos dados pessoais, com especial atenção aos vazamentos de dados, acessos indevidos por terceiros, furtos por meios de transmissão de vírus eletrônicos, guarda de dados mantidos por servidores corporativos, sem se falar na criação de perfis falsos, disseminação de fake news e outros.
Do empresário não se pode esquecer que luta pela sobrevivência de seu empreendimento, por vezes sem os instrumentos capazes de construir estruturas que possam suportar mudanças tão drásticas e imediatas. Diante disso, o desafio da jornada da LGPD no âmbito do contrato de trabalho precisa trazer a consciência de que o incremento do trânsito de dados pessoais, sobretudo no curso da pandemia da Covid 19, escapa dos ambientes restritos e com melhor proteção dos departamentos de T.I. corporativos, e chegam às redes privadas de residências em tele trabalho.
A Nova Lei, antes de representar mais um ônus para as empresas, precisa ser entendida como sendo um norte seguro a ser perseguido, independentemente de seu prazo de vigência.
É uma lei moderna e adequada ao padrão que o mundo ocidental e industrializado exige para adoção de negócios. Sua prática sem dúvida minimizará riscos indesejáveis para as empresas, demonstrando na figura do DPO – Data Protection Officer (na LGPD é o Encarregado) – o instrumento capaz de diligenciar a comunicação entre os administradores, adequada à proteção das partes envolvidas.
EDUARDO LINS Advogado especialista em Direito Digital