1. Contextualização Com efeito, à medida em que as novas tecnologias e os meios de coleta de dados e de informações foram se desenvolvendo, passou a haver um maior apelo à privacidade, mas não no seu sentido tradicional, sob uma lógica proprietária, e sim da possibilidade de indivíduos e grupos controlarem suas próprias informações de forma integrada[2]. Como fruto da evolução das definições de privacidade, despontou o que veio a ser denominado de direito à autodeterminação informativa, que importa na assunção por parte do indivíduo de um papel ativo no fornecimento de dados, em que se possibilita o exercício de um real controle sobre a exatidão de suas informações, sobre quem as opera e, sobretudo, sobre a finalidade para a qual foram coletadas, tendo em vista que a maior parte dessas informações é de cunho pessoal, relativa à própria pessoa ou à sua família, cuja divulgação pode trazer consequências nocivas à personalidade do indivíduo[3]. Não obstante seja considerado um tema recente no âmbito do Direito brasileiro, a preocupação com a proteção de dados pessoais tem sido parte integrante da pauta de debates internacionais há décadas, o que resultou na publicação ao longo dos anos de importantes orientações normativas acerca do assunto. Nesse prumo, destacam-se a Recomendação R(89)2 do Conselho da Europa, publicada em 1989, e o Repertório de Recomendações Práticas sobre a Proteção de Dados Pessoais dos Trabalhadores publicado em 1996 pela Organização Internacional do Trabalho (OIT), sendo essas específicas de proteção de dados de trabalhadores. E, mais, recentemente, o Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR) da União Europeia, que passou a vigorar em maio de 2018. No Brasil, compete mencionar a promulgação, no ano de 2014, da Lei 12.965, popularmente chamada de Marco Civil da Internet, responsável por estabelecer princípios, garantias, direitos e deveres para o uso da internet no Brasil, mas que não avançou na questão da proteção de dados, abordando de maneira superficial o tema. Assim, visando preencher a lacuna normativa existente no ordenamento jurídico, o Brasil juntou-se a diversos países do mundo, inclusive da América Latina[4], e publicou, no dia 14/8/2018, a Lei 13.709/2018, denominada de Lei Geral de Proteção de Dados (LGDP), com o intuito de proteger a privacidade das pessoas e reorganizar a maneira como as instituições públicas e privadas lidam com dados e segurança da informação. 2. A Lei Geral de Proteção de Dados A nova lei se aplica a qualquer pessoa — natural ou jurídica de direito público ou privado — que exerça atividade em que se utilizem dados pessoais, inclusive nos meios digitais, podendo ser aplicada até mesmo a empresas que não tenham estabelecimento no país. Segundo a LGPD, o tratamento de dados deverá respeitar dez princípios (artigo 6º), quais sejam, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas. Nesse passo, o tratamento de dados deverá se efetivar para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Estabelecida as finalidades, o tratamento deverá ser com elas compatível, bem como utilizar apenas os dados estritamente necessários para o cumprimento de seu escopo. Ao titular serão concedidas informações precisas e garantida à consulta facilitada e gratuita sobre o tratamento e à integralidade dos dados, devendo esses serem exatos, claros, relevantes e atualizados. Somado ao direito de acesso aos dados e de ser informado, a lei garante ao titular dos dados o direito de retificar, corrigir e apagar informações, de anonimização e portabilidade, além de retirar o consentimento concedido. Acrescenta-se, ainda, que a empresa deverá lançar mão de medidas técnicas e administrativas aptas a proteger os dados pessoais. Ainda, deve adotar medidas de prevenção de danos, além de demonstrar que as medidas adotadas são eficazes, sendo vedada o seu tratamento para fins discriminatórios, ilícitos ou abusivos. A LGPD também assenta que o tratamento de dados pessoais, sensíveis ou não, só poderá ser realizado em determinadas hipóteses, das quais destacamos o fornecimento de consentimento inequívoco pelo titular dos dados, o cumprimento de obrigações legais ou regulatórias pelos agentes do tratamento, além da execução de políticas públicas pela administração pública. Além do mais, tem-se que ao controlador cabe a responsabilidade pelo cumprimento das normas de proteção previstas na lei, podendo o descumprimento ensejar, entre outras sanções, multa de até R$ 50 milhões por infração cometida. 3. Os efeitos da LGPD nas relações trabalhistas Caso o empregador utilize empresas especializadas em recrutamento de trabalhadores, o empregador deverá ter a preocupação de solicitar à agência de empregos que processe os dados pessoais dos candidatos em conformidade com a LGPD[6]. É válido destacar, ainda, que as empresas devem ter cuidado com a utilização no processo de seleção de informações anteriores do candidato, como, por exemplo, a existência de ações trabalhistas. Isso porque, nos termos do artigo 21 da LGPD, os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo. Durante a fase contratual, faz-se necessário que o empregado tenha ciência dos propósitos para os quais seus dados pessoais serão utilizados, cabendo ao empregador coletar apenas as informações necessárias aos fins empregatícios, não lhe sendo autorizado, portanto, recolher qualquer tipo de informação que lhe interesse. A finalidade deverá descrita de forma clara, precisa, sem ambiguidades e nem vaguezas[7]. Em obediência ao previsto no artigo 8º da lei, convém que o consentimento do empregado seja fornecido por escrito no contrato de trabalho, de forma específica e em cláusula destacada das demais normais contratuais. Autorizações genéricas, portanto, deverão ser consideradas nulas. Prescindirá de consentimento o tratamento de dados promovido em função de cumprimento de obrigações legais ou regulatórias pelos agentes do tratamento (por exemplo, envio de dados ao Ministério do Trabalho, INSS e Caixa Econômica Federal por meio de Caged, Rais e Sefip), ou, ainda, para fins de execução de políticas públicas pela administração federal (por exemplo, seguro-desemprego e abono salarial). A lei prescreve, também, ser vedado o tratamento de dados pessoais mediante vício de consentimento. Em tal caso, o consentimento deverá resultar de livre manifestação do trabalhador, o que só será possível se a recusa em consentir não trouxer consequências negativas importantes ao obreiro[8]. Neste aspecto, cabe apontar que razões não faltam para questionar se o consentimento de fato se dará de maneira livre, tendo em vista a condição de hipossuficiente do trabalhador diante do empregador. Decerto, dificilmente um candidato a emprego ou um empregado se sentirá à vontade em deixar de consentir com o tratamento de algum dado pessoal requisitado. Afinal, é relativamente presumível que, para o candidato, haverá receio de não conseguir o emprego, ao passo que, na situação do empregado, a intenção é a de ser manter seu emprego, além de estabelecer um bom relacionamento com o empregador. Daí a importância dos demais limites trazidos pelo legislador. Outro ponto que merece bastante atenção dos empregadores são os ditos dados sensíveis, isto é, aqueles que possuem “elevado potencial lesivo aos seus titulares”[9]. A bem da verdade, por vezes o empregador alcança informações que dizem respeito unicamente à personalidade do trabalhador. Adentra-se a informações como orientação sexual, convicção religiosa, opinião política, modo de vestir-se fora do local de trabalho e, não raros os casos, de momentos íntimos de lazer do trabalhador sem que nenhuma dessas questões sequer influencie nas atividades desempenhadas pelo mesmo dentro da empresa[10], dando margem a práticas discriminatórias no ambiente de trabalho. Nesse diapasão, a LGPD irá operar como um limitador do poder diretivo do empregador, na medida em que, como ventilado, este deverá ater-se aos fins empregatícios, ou seja, somente coletar os dados essenciais ao cumprimento do contrato de trabalho, bem como das obrigações prevista em lei ou em normas coletivas, essenciais para planejamento e organização do trabalho[11]. Dentre os dados sensíveis que atendem aos fins empregatícios, tomemos como exemplo o dado biométrico, que é corriqueiramente coletado para fins de acesso às dependências da empresa e para marcação de ponto. Nessa situação, o empregador deverá ter o cuidado ao coletar o dado biométrico mediante o consentimento do trabalhador, deixando clara a finalidade específica para qual o dado será utilizado. Aqui, convém sublinhar que, ainda que o Registro Eletrônico de Ponto (REP) esteja previsto no artigo 74, parágrafo 2º, da CLT, sendo regulado pela Portaria MTE 1.510/2009 — podendo, portanto, ser considerado que a coleta do dado biométrico seria para fins de cumprimento de obrigação legal —, é razoável que seja solicitado o consentimento do obreiro, na medida em que a norma em questão apenas faz menção ao fato do sistema do controle de frequência poder ser eletrônico, o que não significa que, necessariamente, seja operado por meio de biometria. Outro exemplo de dado sensível cujo tratamento faz parte do cotidiano das relações empregatícias, e que merece ainda maior atenção, é o dado referente à saúde do empregado. Como se sabe, o trabalhador é submetido a exames médicos em sua admissão, ao longo da vigência do contrato e, inclusive, quando da rescisão do pacto laboral. A respeito do assunto, o Repertório de Recomendações Práticas de Proteção de Dados Pessoais do Trabalhador da OIT (1997) sugere que a coleta de dados médicos deve se restringir às informações que são necessárias para determinar se o trabalhador está apto para determinado posto de trabalho; se pode cumprir com os requisitos de segurança e saúde do trabalho; e, mais, se pode ter direito à prestações sociais[12]. Indica ainda que, realizado um exame médico, o empregador deveria ser informado apenas das conclusões relevantes para a decisão específica em matéria de emprego[13]. Por derradeiro, importa mencionar que os dados pessoais porventura compartilhados em virtude de terceirizações deverão ser igualmente protegidos (por exemplo, dados constantes de documentos comprobatórios de regularidade trabalhista enviados pela prestadora de serviços à tomadora). Recomenda-se, aqui, que as empresas envolvidas façam constar no contrato de prestação de serviços o compromisso de observância das normas estabelecidas na LGPD. Não se pode olvidar, ainda, a necessidade de informar o trabalhador a respeito do compartilhamento dos dados, além de requisitar o seu consentimento. 4. Conclusão [1] Em matéria publicada em maio de 2017, o jornal britânico The Economistdecreta que o petróleo já não é o recurso mais valioso do mundo, e sim os dados, referindo-se a eles como o “petróleo da Era Digital”. Disponível em: <https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data>. Acesso em: 14/1/2019. Gustavo Carvalho Machado é advogado, especialista em Direito e Processo do Trabalho pela PUC Minas, pós-graduando em Compliance e Integridade Corporativa pela mesma instituição e bacharel em Direito pela Universidade Federal de Viçosa (UFV). Ricardo Souza Calcini é mestrando em Direito do Trabalho pela PUC-SP, pós-graduado em Direito Processual Civil pela Escola Paulista da Magistratura do TJ-SP, especialista em Direito Social pela Universidade Presbiteriana Mackenzie e professor de Direito do Trabalho.
Atualmente vivemos num contexto econômico em que as empresas são cada vez mais impulsionadas a explorar as tecnologias de informação e da comunicação para garantirem a competitividade frente à concorrência, de modo que os dados pessoais foram alçados à categoria de principal insumo[1] que movimenta essa nova economia (data driven economy).
A LGPD estabelece um novo regramento para o uso de dados pessoais no Brasil, tanto no âmbito on-line quanto off-line, objetivando, em suma: garantir o direito à privacidade e à proteção de dados pessoais dos cidadãos ao permitir um maior controle sobre seus dados, por meio de práticas transparentes e seguras; estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais para empresas; fomentar o desenvolvimento econômico e tecnológico numa sociedade movida a dados; garantir a livre iniciativa, a livre concorrência e a defesa do consumidor; aumentar a confiança da sociedade na coleta e uso dos seus dados pessoais; e aumentar a segurança jurídica no uso e tratamento de dados pessoais[5].
É certo que já no processo de seleção de novos empregados as empresas deverão ser cautelosas e aplicar as medidas de proteção de dados. No formulário de preenchimento de vagas, as empresas deverão solicitar o consentimento expresso do candidato e informá-lo de maneira clara que seus dados serão utilizados para fins de recrutamento, avaliação e seleção.
Como exposto, a LGPD atingirá diretamente as relações de trabalho, criando novos direitos ao trabalhador e novas obrigações ao empregador. A lei passa a vigorar a partir de agosto de 2020[14], prazo que deverá ser utilizado pelas empresas para se adequar às novas diretrizes. De início, é recomendável que as empresas façam um mapeamento dos dados pessoais já armazenados e de como os esses têm sido coletados e tratados de um modo geral, principalmente no setor de recurso humanos. Após, será necessário filtrar os dados estritamente necessários para os fins empregatícios, bem como revisitar os contratos de trabalho vigentes para mediante aditamentos fazer constar o consentimento do trabalhador titular dos dados no que for necessário.
[2] COSTA, Andréa Dourado; GOMES, Ana Virgínia Moreira. Discriminação nas relações de trabalho em virtude da coleta de dados sensíveis. SCIENTIA IURIS, Londrina, v.21, n.2, p.214-236, Jul.2017, p. 220.
[3] SANDEN, Ana Francisca Moreira de Souza. A proteção de dados pessoais do empregado no direito brasileiro: um estudo sobre os limites na obtenção e no uso pelo empregador da informação relativa ao empregado. São Paulo: LTr, 2014, p. 88.
[4] Países como Argentina, México, Colômbia, Chile, Peru, Costa Rica e Panamá já possuem suas respectivas leis de proteção de dados pessoais.
[5] MONTEIRO, Renato Leite. Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada. Disponível em: https://www.jota.info/opiniao-e-analise/colunas/agenda-da-privacidade-e-da-protecao-de-dados/lgpd-analise-detalhada-14072018. Acesso em: 23/1/2019.
[6] “13.1. If the employer uses employment agencies to recruit workers, the employer should request the employment agency to process personal data consistently with the provisions of this code”. (ILO, Protection of workers’ personal data. An ILO code of practice. Geneva, International Labour Office, 1997, p. 7).
[7] CASTRO, Catarina Sarmento apud SANDEN, Ana Francisca Moreira de Souza. Op.cit., p. 65.
[8] SANDEN, Ana Francisca Moreira de Souza. Op.cit, p. 61.
[9] DONEDA, Danilo apud SANDEN, Ana Francisca Moreira de Souza. Op.cit., p. 63.
[10] COSTA, Andréa Dourado; GOMES, Ana Virgínia Moreira. Op.cit, p. 224.
[11] O item 1.3 da Recomendação n. R(89)2 do Conselho da Europa traz a definição do que seria fins empregatícios: “The expression "employment purposes" concerns the relations between employers and employees which relate to recruitment of employees, fulfilment of the contract of employment, management, including discharge of obligations laid down by law or laid down in collective agreements, as well as planning and organisation of work”.
[12] “6.7. Medical personal data should not be collected except in conformity with national legislation, medical confidentiality and the general principles of occupational health and safety, and only as needed: (a) to determine whether the worker is fit for a particular employment; (b) to fulfil the requirements of occupational health and safety; and (c) to determine entitlement to, and to grant, social benefits”. (ILO, Protection of workers’ personal data. An ILO code of practice. Geneva, International Labour Office, 1997, p. 3).
[13] “10.8. In the case of a medical examination, the employer should be informed only of the conclusions relevant to the particular employment decision”. (ILO, Protection of workers’ personal data. An ILO code of practice. Geneva, International Labour Office, 1997, p. 6).
[14] Os artigos relacionados à criação da Autoridade Nacional de Proteção de Dados passaram a vigorar no dia 28/12/2018. Os demais artigos passarão a vigorar 24 meses após a publicação da lei. Este prazo, a princípio, era de 18 meses, mas foi alterado pela Medida Provisória 869/2018.