11.12
Artigos
Direito do Trabalho
A proteção de dados e o Direito do Trabalho
Por Rafael Montano Rossi
A Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709, de 14 de agosto de 2018) entrou em vigor no dia 18 de setembro de 2020 com o intuito de ampliar o escopo da proteção das informações relativas aos brasileiros, tanto dentro quanto fora do território nacional (artigo 3º, da LGPD). Os dados pessoais tinham sua proteção assegurada de forma esparsa na legislação, a LGPD consolidou essa legislação em um único diploma legal, bem como incluiu novos direitos e garantias aos titulares de dados.
Mas quem são os titulares? E o que são, afinal, dados pessoais?
O artigo 5º da LGPD traz esses conceitos em seus incisos, definindo que dados pessoais são aquelas informações:
[...] relacionada a pessoa natural identificada ou identificável” (inciso I), sendo consideráveis sensíveis aqueles dados “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (inciso II).
Titular, por sua vez, é a “[...] pessoa natural a quem se referem os dados pessoais que são objeto de tratamento [...]” (inciso V). A lei também conceitua tratamento como “[...] toda operação realizada com dados pessoais [...]” (inciso X).
Uma vez que toda a informação relacionada à pessoa natural e que permita sua identificação é considerada um dado pessoal, a LGPD tem aplicação na maioria absoluta das atividades humanas, com reflexos em todas as áreas do Direito. Com o Direito do Trabalho, não é diferente.
Embora a proteção de dados tenha entrado em voga, principalmente, graças a escândalos envolvendo vazamento de informações de bancos de dados virtuais e manipulação da opinião pública através de ferramentas disponibilizadas por redes sociais a seus anunciantes, engana-se quem acredita que essa proteção vincula apenas empresas do setor de Tecnologia da Informação. De fato, praticamente todas as empresas necessitam, para realizar suas atividades, de coleta e armazenamento de dados de pessoas físicas, sejam eles clientes, prestadores de serviços, sócios ou empregados.
Em relação a esse último grupo, as obrigações surgem antes mesmo de ser formalizado o contrato de trabalho. A chamada fase pré-contratual da relação de emprego tem início no processo seletivo. Os currículos dos pretendentes a uma vaga de emprego estão preenchidos de diversos dados pessoais que permitem a sua identificação por terceiros, como nome completo, telefone, e-mail, histórico acadêmico e profissional. Portanto, desde essa etapa, a empresa precisa ter preocupações como, por exemplo, por quanto tempo armazenará os documentos dos candidatos, quem terá acesso, se o servidor é seguro contra ataques externos e como poderá mitigar os danos decorrentes de um eventual vazamento.
Ainda, embora seja vedado selecionar empregados por critérios discriminatórios como gravidez, enfermidades preexistentes, antecedentes criminais e análise de crédito, algumas profissões exigem a coleta dessas informações. É o caso do motorista profissional, que deverá se submeter a exames toxicológicos previamente à admissão e por ocasião do desligamento (artigo 168, § 6°, da CLT) e dos diretores e demais empregados de empresas de vigilância, que não podem ter antecedentes criminais (artigos 12 e 16, VI, da Lei nº 7.102/1983 c/c art. 4°, I da Lei nº 10.826/2003).
Alguns dos dados citados no parágrafo anterior são considerados sensíveis pela nova lei, e merecem proteção especial, o que impõe às empresas que atuam nessas áreas maiores cuidado, especialmente no que diz respeito às previsões contidas no artigo 11 da LGPD, que trata, especificamente, das hipóteses para tratamento de dados pessoais sensíveis.
Em face dos direitos do titular de dados na fase pré-contratual, também é fundamental que as empresas informem claramente por que necessitam de determinada informação em seus processos seletivos, bem como quais os critérios para seleção e eliminação dos candidatos, evitando alegações de discriminação. Também é importante estabelecer uma política para limitar o acesso aos bancos de currículos daqueles que não necessitam de tal informação, assim como um prazo para eliminar essas informações, evitando prejuízos decorrentes de um eventual vazamento.
Porém, firmado o contrato de trabalho, há natural necessidade de que a empresa armazene ainda mais dados de seus empregados, como endereço residencial e dados bancários para pagamento do salário. Mais importante, considerando a necessidade de preservar a saúde do trabalhador mediante, entre outras medidas, os Atestados de Saúde Ocupacional (ASO) periódicos, a empresa é obrigada, por lei, a ter acesso a dados pessoais considerados sensíveis pela LGPD.
Esses dados deverão ser armazenados por um período posterior ao término do contrato de trabalho, em face da possibilidade de ajuizamento de ação trabalhista contra a empresa. Embora a Constituição Federal preveja a prescrição das demandas de empregados no prazo de cinco anos, limitado a dois anos do término do contrato de trabalho (artigo 7º, inciso XXIX, da Constituição), recomenda-se armazenar esses dados por período até maior, ante a resistência de alguns juízes do trabalho em aplicar adequadamente a previsão constitucional.
A maioria dessas informações provavelmente estará contida na Ficha de Registro de Empregado. Então, é importante que o empregador observe quais desses dados são realmente necessários. Por exemplo, há necessidade de registrar a etnia do empregado, correndo o risco de que essa informação, reiteramos, considerada sensível pela LGPD, seja vazada?
A melhor forma de evitar prejuízos decorrentes do acesso indevido de dados pessoais dos empregados é não armazenando aquelas informações que não sejam indispensáveis à manutenção do emprego e ao atendimento das obrigações legais da empresa.
Uma vez que alguns dados pessoais sempre precisarão ser analisados, inclusive alguns daqueles considerados sensíveis também se impõem medidas que previnam o seu vazamento. Para isso, não bastam bancos de dados robustos, protegidos por firewalls de última linha. A maior parte dos incidentes de segurança tem origem em uma falha humana. Portanto, deve-se estimular uma cultura de proteção de dados dentro da empresa, informando a todos os empregados da importância de resguardar a privacidade alheia, de utilizar senhas seguras, de não deixar suas máquinas logadas em bancos de dados sem necessidade ou quando se ausentarem de suas estações de trabalho, entre outras medidas que, certamente, se mostrarão mais efetivas e menos onerosas do que investir em medidas de segurança cuja importância sequer é compreendida por aqueles que realizarão, no cotidiano da empresa, o tratamento dos dados dos empregados.
A Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709, de 14 de agosto de 2018) entrou em vigor no dia 18 de setembro de 2020 com o intuito de ampliar o escopo da proteção das informações relativas aos brasileiros, tanto dentro quanto fora do território nacional (artigo 3º, da LGPD). Os dados pessoais tinham sua proteção assegurada de forma esparsa na legislação, a LGPD consolidou essa legislação em um único diploma legal, bem como incluiu novos direitos e garantias aos titulares de dados.
Mas quem são os titulares? E o que são, afinal, dados pessoais?
O artigo 5º da LGPD traz esses conceitos em seus incisos, definindo que dados pessoais são aquelas informações:
[...] relacionada a pessoa natural identificada ou identificável” (inciso I), sendo consideráveis sensíveis aqueles dados “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (inciso II).
Titular, por sua vez, é a “[...] pessoa natural a quem se referem os dados pessoais que são objeto de tratamento [...]” (inciso V). A lei também conceitua tratamento como “[...] toda operação realizada com dados pessoais [...]” (inciso X).
Uma vez que toda a informação relacionada à pessoa natural e que permita sua identificação é considerada um dado pessoal, a LGPD tem aplicação na maioria absoluta das atividades humanas, com reflexos em todas as áreas do Direito. Com o Direito do Trabalho, não é diferente.
Embora a proteção de dados tenha entrado em voga, principalmente, graças a escândalos envolvendo vazamento de informações de bancos de dados virtuais e manipulação da opinião pública através de ferramentas disponibilizadas por redes sociais a seus anunciantes, engana-se quem acredita que essa proteção vincula apenas empresas do setor de Tecnologia da Informação. De fato, praticamente todas as empresas necessitam, para realizar suas atividades, de coleta e armazenamento de dados de pessoas físicas, sejam eles clientes, prestadores de serviços, sócios ou empregados.
Em relação a esse último grupo, as obrigações surgem antes mesmo de ser formalizado o contrato de trabalho. A chamada fase pré-contratual da relação de emprego tem início no processo seletivo. Os currículos dos pretendentes a uma vaga de emprego estão preenchidos de diversos dados pessoais que permitem a sua identificação por terceiros, como nome completo, telefone, e-mail, histórico acadêmico e profissional. Portanto, desde essa etapa, a empresa precisa ter preocupações como, por exemplo, por quanto tempo armazenará os documentos dos candidatos, quem terá acesso, se o servidor é seguro contra ataques externos e como poderá mitigar os danos decorrentes de um eventual vazamento.
Ainda, embora seja vedado selecionar empregados por critérios discriminatórios como gravidez, enfermidades preexistentes, antecedentes criminais e análise de crédito, algumas profissões exigem a coleta dessas informações. É o caso do motorista profissional, que deverá se submeter a exames toxicológicos previamente à admissão e por ocasião do desligamento (artigo 168, § 6°, da CLT) e dos diretores e demais empregados de empresas de vigilância, que não podem ter antecedentes criminais (artigos 12 e 16, VI, da Lei nº 7.102/1983 c/c art. 4°, I da Lei nº 10.826/2003).
Alguns dos dados citados no parágrafo anterior são considerados sensíveis pela nova lei, e merecem proteção especial, o que impõe às empresas que atuam nessas áreas maiores cuidado, especialmente no que diz respeito às previsões contidas no artigo 11 da LGPD, que trata, especificamente, das hipóteses para tratamento de dados pessoais sensíveis.
Em face dos direitos do titular de dados na fase pré-contratual, também é fundamental que as empresas informem claramente por que necessitam de determinada informação em seus processos seletivos, bem como quais os critérios para seleção e eliminação dos candidatos, evitando alegações de discriminação. Também é importante estabelecer uma política para limitar o acesso aos bancos de currículos daqueles que não necessitam de tal informação, assim como um prazo para eliminar essas informações, evitando prejuízos decorrentes de um eventual vazamento.
Porém, firmado o contrato de trabalho, há natural necessidade de que a empresa armazene ainda mais dados de seus empregados, como endereço residencial e dados bancários para pagamento do salário. Mais importante, considerando a necessidade de preservar a saúde do trabalhador mediante, entre outras medidas, os Atestados de Saúde Ocupacional (ASO) periódicos, a empresa é obrigada, por lei, a ter acesso a dados pessoais considerados sensíveis pela LGPD.
Esses dados deverão ser armazenados por um período posterior ao término do contrato de trabalho, em face da possibilidade de ajuizamento de ação trabalhista contra a empresa. Embora a Constituição Federal preveja a prescrição das demandas de empregados no prazo de cinco anos, limitado a dois anos do término do contrato de trabalho (artigo 7º, inciso XXIX, da Constituição), recomenda-se armazenar esses dados por período até maior, ante a resistência de alguns juízes do trabalho em aplicar adequadamente a previsão constitucional.
A maioria dessas informações provavelmente estará contida na Ficha de Registro de Empregado. Então, é importante que o empregador observe quais desses dados são realmente necessários. Por exemplo, há necessidade de registrar a etnia do empregado, correndo o risco de que essa informação, reiteramos, considerada sensível pela LGPD, seja vazada?
A melhor forma de evitar prejuízos decorrentes do acesso indevido de dados pessoais dos empregados é não armazenando aquelas informações que não sejam indispensáveis à manutenção do emprego e ao atendimento das obrigações legais da empresa.
Uma vez que alguns dados pessoais sempre precisarão ser analisados, inclusive alguns daqueles considerados sensíveis também se impõem medidas que previnam o seu vazamento. Para isso, não bastam bancos de dados robustos, protegidos por firewalls de última linha. A maior parte dos incidentes de segurança tem origem em uma falha humana. Portanto, deve-se estimular uma cultura de proteção de dados dentro da empresa, informando a todos os empregados da importância de resguardar a privacidade alheia, de utilizar senhas seguras, de não deixar suas máquinas logadas em bancos de dados sem necessidade ou quando se ausentarem de suas estações de trabalho, entre outras medidas que, certamente, se mostrarão mais efetivas e menos onerosas do que investir em medidas de segurança cuja importância sequer é compreendida por aqueles que realizarão, no cotidiano da empresa, o tratamento dos dados dos empregados.