Por: Politizza Karol Marinho Moura
Nos tempos atuais, a privacidade se tornou bastante escassa. Com os meios informatizados de captação de dados não há qualquer movimento que não seja registrado ou captado por alguém e que pode ser utilizado para diversos fins. É o caso da técnica denominada “retargeting” que ocorre quando alguma pesquisa é feita em uma loja, por exemplo, e no dia seguinte o produto pesquisado está em todos os sites acessados. Pessoas rotineiramente têm seus aplicativos de conversa hackeados, fotos acessadas remotamente por estranhos que não deixam qualquer rastro sequer.
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709/2018, tem como objetivo regulamentar o tratamento de dados pessoais pelas empresas, vez que os dados pessoais ganharam grande importância na economia moderna, pois permitem fazer predições, analisar perfis de consumo, opinião, dentre outras atividades.
Dado pessoal no conceito clássico é todo aquele capaz de identificar uma pessoa, como o CPF, RG, endereço mas também são capazes de identificar uma pessoa a sua face, a impressão digital, a imagem de uma parte do corpo de alguém vinculado a um cadastro.
Ou seja, empresas de todos os portes que têm acesso a dados pessoais de cliente ou empregados deverão se blindar ao máximo e, para isto, certamente deverão despender grandes quantias.
Mas o que a lei efetivamente tutela?
Essa lei tutela o que podemos observar em seu artigo 5º:
Art. 5º Para os fins desta Lei, considera-se:
X – tratamento (é toda): toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Se uma empresa ou empregador pratica qualquer um desses atos, sua atividade passa a ser regulada também por esse lei, desde a Pesquisa e Desenvolvimento ao Marketing, dentre outras vertentes que serão afetadas. Além disso, a lei estende a sua aplicabilidade a entes públicos e privados, offline ou online, regulando danos individuais ou coletivos, patrimoniais ou morais.
Ocorre que a lei geral de proteção aos dados não é aplicada somente às empresas voltadas ao mundo digital que lidam com e-commerce e que tenham relações diretas com o consumidor, vai muito mais além, pois toda relação que envolve proteção de dados haverá de ter um controle e o atendimento à referida lei.
Aqui, vamos abordar as mudanças e impactos sobre o direito do trabalho, em especial nas relações de trabalho existentes. Importante ressaltar que nessas relações a proteção aos dados deverá ocorrer desde a fase pré-contratual até de fato a contratação. Ou seja, em um processo seletivo todos os dados pessoais fornecidos deverão ser objeto de proteção e respeitar as previsões da lei.
Dentre todas as alterações ao ordenamento trazidas pela lei destacam-se:
1. A necessidade de o proprietário do dado estar ciente sobre como será feito o tratamento (todas as etapas) e as finalidades para as quais serão utilizadas;
2. O consentimento do proprietário do dado deve ser expresso e, se for fornecido por escrito, deverá constar de cláusula destacada das demais e pode ser revogado a qualquer momento mediante manifestação.
Deste modo, o empregador deverá manter todos os dados que receber em sigilo e os contratos de trabalho ou mesmo de prestação de serviços deverão ser revistos, a fim de que cumpram o determinado na LGPD, trazendo de forma explícita e fundamentada para quais finalidades os dados pessoais fornecidos serão utilizados.
Outro ponto bastante relevante da lei e que certamente afetará o mundo das relações de trabalho é que foram estipulados os chamados dados pessoais sensíveis.
Tais dados têm maior proteção por aqueles que os tratam, e são eles:
1. origem racial ou étnica;
2. convicção religiosa;
3. opinião política;
4. filiação a sindicato ou a organização de caráter religioso,filosófico ou político;
5. dado referente à saúde ou à vida sexual;
6. dado genético ou biométrico, quando vinculado a uma pessoa natura.
Ou seja, o empregador quando tiver conhecimento acerca da filiação ao sindicato de sua categoria pelo empregado, por exemplo, deverá proteger esta informação, sendo que não poderá torná-la pública ou repassar a terceiros sem o consentimento prévio e com explicação de sua utilização.
As empresas deverão ser cautelosas quanto à transmissão de dados a terceiros, como acontece na contratação de planos de saúde para o empregado, seguro de vida, contadoria, na terceirização de serviços e, até mesmo, ao sindicato eleito à filiação do empregado. Isto porque, antes da vigência da lei os dados pessoais eram transmitidos a estes terceiros sem necessidade de consentimento do proprietário do dado, no caso, o empregado.
A partir da aplicação da LGPD não apenas será necessário o consentimento expresso como também a ciência quanto ao uso dos dados. Ou seja, o empregador deverá não apenas rever seus contratos, mas também, fiscalizar a proteção aos dados feita por terceiros contratados por ele e que tenham acesso aos dados dos empregados ou prestadores.
Outro ponto que se destaca é o fato de que muitos dos documentos em posse do empregador contêm dados sensíveis, como os atestados médicos. Fica o questionamento quanto ao uso em processos para fins de contestação pela empresa. Isto porque, é muito comum empresas levarem tais documentos aos autos de processos para comprovar afastamentos, abonos ou outros direitos.
Percebe-se que para se adequar à lei, as empresas deverão investir altos valores em tecnologia de proteção e evitar sansões como advertências e multas, que podem alcançar a quantia de R$ 50 milhões.
Preocupa as pequenas empresas que, muitas vezes, têm recursos limitados, inclusive, para se manter e crescer no mercado e, agora, deverão investir em recursos de elevados valores.
Assim, diante de tantas mudanças, percebemos na realidade uma verdadeira reforma trabalhista, onde os empregadores deverão se adaptar sob o risco de terem seus negócios findados, em virtude das multas altíssimas previstas em caso de infração das disposições.
As empresas devem revisar seus processos seletivos e os dados pessoais requisitados em currículos ou em sites para se evitar o tratamento indevido dos dados pessoais dos candidatos.
O Recursos Humanos deve ter atenção quanto ao armazenamento dos currículos para futuros processos seletivos. Caso esta seja a decisão da empresa, o tratamento destes para eventos futuros requer consentimento expresso para esta finalidade e prazo, pois a manutenção de currículos por tempo indeterminado, sem consentimento será considerada uma infração à lei.
Quanto aos serviços terceirizados, é recomendável que as empresas solicitem às prestadoras de serviços não só os documentos comprobatórios de cumprimento das obrigações trabalhistas e previdenciárias, mas também os de cumprimento com as normas de proteção de dados pessoais, incluindo este tipo de obrigação em contrato para conferir maior segurança jurídica.
O treinamento de funcionários, colaboradores e terceirizados sobre a LGPD é fundamental para garantir a governança e a segurança da informação.
A documentação da aplicação dos treinamentos é recomendável assim como a realização de auditorias periódicas para uniformizar o nível de informação e treinamento.
Ressalta-se a necessidade da revisão dos documentos internos das empresas:
- Códigos de Conduta;
- Políticas de Segurança da Informação e Privacidade;
- Políticas de Privacidade Externa;
- Termos de Consentimento etc.
De modo geral, podemos classificar quatro etapas como fundamentais para que a empresa esteja adequada a legislação:
(i) Descubra: identifique e realize o inventário de dados pessoais, incluindo sua classificação, quem os controla, quem os processa e como são transferidos;
(ii) Gerencie: avalie o nível de proteção de dados em todos os envolvidos, sejam próprios ou terceiros;
(iii) Proteja: defina e implante soluções, políticas e governança de dados em toda a organização;
(iv) Monitore: controle e audite continuamente o nível de proteção, assim como avalie constantemente possíveis vazamentos internamente e externamente.
Ainda, para além de um software que proteja os dados, é imprescindível o treinamento constante das pessoas envolvidas, a conscientização quanto às consequências de informações vazadas, bem como a relevância da adoção de medidas diárias de proteção e senhas, traço indelével para uma adequação exitosa.
Dessa feita, a fusão entre mecanismos tecnológicos seguros, aliado ao treinamento constante, são ferramentas chave para que que de fato a ideia maior da LGPD venha ser concretizada.