Do tratamento de dados pessoais pelo empregador: o consentimento do empregado à luz da LGPD.

Notebook aberto mostrando um dashboard de desempenho de uma empresa

Em 2020 o mundo foi assolado pela pandemia do Novo Coronavírus, voltando os olhares para o ser humano, sua saúde e como protegê-la em meio a nova doença que se disseminou tão rápido.

Lockdown, quarentena, isolamento social foram as palavras de ordem. E, como não poderia ser diferente, os impactos na economia e nas relações de trabalho tomaram proporções inimagináveis para um “futuro tão próximo”.

Para muitos, a alternativa foi acelerar os planos de virtualização de seus processos, instituindo, em massa, o home office e o teletrabalho. O que ainda era concreto, palpável, tornou-se abstrato, armazenado em nuvens de informações e partilhado por uma rede abrangente, integrada e invisível.

A intimidade do indivíduo em suas relações de trabalho nunca esteve tão vulnerável quanto agora. Não apenas pelos poucos ou inexistentes limites entre o labor e o seio familiar, mas pelo inevitável aumento do fluxo de informações pessoais que passaram a circular na rede.

Essas informações se traduzem em dados e passaram a integrar o conjunto extracorpóreo de direitos dos obreiros a partir de 18/09/2020, com a publicação da Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018, que ampliou as prerrogativas de titularidade, tratamento, divulgação e fiscalização de dados pessoais. (SOUZA, 2019).

Contudo, inexiste em seu texto legal disposições expressas quanto a aplicabilidade à seara trabalhista, sendo considerada como fonte subsidiária de direito, mas de observância obrigatória. É o que se depreende do artigo 1º da LGPD, que elucida sua imperiosidade em decorrência do dever patronal de proteção aos direitos e liberdades individuais:

Art. 1º. Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Em complemento, o artigo 5º, inciso X, esclarece que o tratamento de dados corresponde a:

“toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”

Assim, impossível imaginar uma empresa ou empregador sequer que não esteja exposto a, no mínimo, uma das atividades elencadas. Tais procedimentos fazem parte da dinâmica da relação de trabalho, que, via de regra, se inicia com a coleta, recepção e armazenamento de dados pessoais dos candidatos, a chamada fase “pré-contratual”, evoluindo durante toda a vigência da relação de trabalho e, muitas vezes, não se encerra com a extinção do contrato, em função da necessidade de guarda de documentos durante o decurso do prazo prescricional.

Ponto comum é que em todas essas fases o empregador tem acesso e se torna responsável pela utilização, armazenamento e guarda dos dados pessoais de seus empregados, sejam eles eletrônicos ou não.

Ou seja, o tratamento dos dados pessoais dos empregados é uma obrigação inerente à condição de empregador, que deverá desempenhá-la em estrita observância aos fundamentos e princípios norteadores da LGPD, descritos em seus artigos 2º e 6º[1].

Destes, especial destaque compete à alínea “II”, do artigo 2º, a qual traz preceito inovador à seara trabalhista – a autodeterminação informativa, tendo em vista que a privacidade, a intimidade e as liberdades de expressão, opinião etc., já eram tuteladas pela Constituição Federal e na Consolidação das Leis do Trabalho.

Conforme explicam Iuri Pinheiro e Vólia Bomfim (2020), a LGPD alterou a sistemática da titularidade dos dados pessoais conferindo-a, agora, aos empregados:

“durante muito tempo acreditou-se que os dados das pessoas naturais faziam parte do patrimônio da empresa que os coletava. A valoração econômica da atividade empresarial, muitas vezes, correspondia ao quantitativo de dados que tratava. Após vazamentos e utilização indevida e muitas vezes abusiva, vem a lei para regular, e não impedir, o tratamento dos dados das pessoas físicas, dando ao seu titular, e só a este, o direito de informação, decisão e disponibilidade.”

O conjunto extrapatrimonial do empregado passou a abranger mais do que apenas seus dados pessoais. A LGPD elevou o empregado ao status de titular, conferindo apenas a ele a atribuição de consentir sobre sua captação, tratamento, correção, divulgação e extinção.

E, justamente entorno do consentimento do empregado é que gira uma das maiores problemáticas da aplicação da LGPD às relações de trabalho.

O artigo 5º, inciso XII, da LGPD determina que o consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Para tanto, o artigo 8º, caput e § 1º, da LGPD, estipulam que o consentimento “deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular” e que, caso seja fornecido por escrito, deve “constar de cláusula destacada das demais cláusulas contratuais”.

Nesse sentido, Rodolfo P. Filho e Vicente V. C. Junior (2020, p. 13) destacam a importância de os empregadores adaptarem seus procedimentos, para que deles constem de forma clara e objetiva todos os pontos relevantes ao tratamento, facultando ao empregado manifestar seu esclarecido e expresso consentimento:

“as empresas terão que rever os seus contratos, especialmente os de trabalho e termos de uso do consumidor, evitando termos técnicos e textos demasiadamente longos, para que façam constar nestes instrumentos informações claras, objetivas, inteligíveis, de fácil acesso, expressas acerca dos tipos de dados que estão sendo coletados naquela operação, os quais serão armazenados e os que serão descartados, por quanto tempo permanecerão arquivados, de que forma serão mantidos e, sobretudo para quais finalidades serão utilizados após a coleta e durante o tempo que estiverem em seu poder.

Outrossim, ressaltam a importância de que cada tratamento pelo empregador seja informado e partilhado pontualmente ao empregado (2020, p.13):

“é igualmente necessário que o consentimento seja granulado, para finalidades e pessoas específicas, que não podem ser estendido a outrem sem que haja novo e específico consentimento neste sentido e em etapas bem definidas, de modo que o titular possa separar de modo nítido quais dados está disposto a ceder para tratamento, concedendo consentimentos específicos para cada finalidade almejada pela empresa coletora dos dados (sistema opt in – opção de entrar), evitando-se contratos/formulários genéricos, pelos quais sejam concedidas autorizações abrangentes e de difícil compreensão acerca de quais dados serão objeto de tratamento, garantindo assim o cumprimento do dever de prestação de contas, materializando a necessária regra de accountability.”

Infelizmente, tais orientações vão de encontro com a prática de diversas empresas que têm implementado o “consentimento” como cláusula contratual ou termo aditivo ao contrato de trabalho, apenas em razão do permissivo artigo 8º, § 1º[2], sobretudo, sem observarem a vedação ao “consentimento genérico”, imposto pelo artigo 8º, § 4º, da LGPD[3].

Por outro lado, inobstante a imprescindibilidade do consentimento, o tratamento dos dados no âmbito das relações de trabalho não deverá tê-lo como exclusivo fundamento, valendo-se das obrigações e deveres inerentes à manutenção das relações de emprego e subjacentes como base legal, a exemplo das previsões do artigo 7º, incisos II, V e VII[4].

Isso porque, apoiar o tratamento de dados apenas no consentimento encontra óbice no § 5º do art. 8º da LGPD, pelo qual o empregado poderá revogá-lo a qualquer momento, mediante “manifestação e por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação”.

Deve-se assegurar ao empregado, a cada tratamento, a manifestação da sua vontade – consentimento, bem como a ciência da finalidade específica – obrigações e deveres contratuais e legais – para a qual se impõe, inclusive quando esta for alterada ou quando do compartilhamento dos dados com outras empresas e entes públicos, considerando que os princípios da finalidade, adequação e necessidade são tripés “do núcleo duro de legitimação do tratamento de dados” e mandatório aos empregadores. (PINHEIRO e BOMFIM, 2020).

A conduta do empregador deverá pautar-se na indispensabilidade do consentimento obreiro informado e expresso, bem como em evitar qualquer abuso no tratamento dos dados, utilizando-os de acordo com a finalidade estrita para os quais foram coletados, sob pena de prática de ilícito administrativo, civil e trabalhista.

A inobservância à LGPD, por si só acarreta lesão ao direito do empregado, passível de multa no valor de 2% sobre o faturamento bruto até R$ 50.000.000,00, por infração e, incorrendo em dano, é dever do empregador repará-lo. Aliás, a violação aos dados pessoais, além de ensejar o direito à reparação moral, também cria o direito à rescisão indireta do contrato de trabalho e, caso identificada repercussão social que cause prejuízos a uma coletividade de empregados, ensejará a atuação do Ministério Público do Trabalho. (CORREIA E BOLDRIN, 2020).

E não apenas aos empregadores são destinadas às sanções, mas a todos aqueles que colaboraram com a lesão, na proporção de sua ação ou omissão. (SOUZA, 2019).

O acatamento aos termos da LGPD, em especial ao consentimento expresso e informado do empregado é obrigatório, mas não é suficiente a elidir, por completo, o risco de eventuais reclamações trabalhistas sobre o tema. Ressalvados os casos de empregados hiperssuficientes, é impossível considerar o consentimento como uma manifestação totalmente livre e inequívoca do sujeito submetido ao contrato de trabalho, o qual, por sua essência, reveste-se do caráter de adesão ante a hipossuficiência econômica e jurídica do empregado. (PINHEIRO e BOMFIM, 2020).

Inclusive, para Rodolfo P. Filho e Vicente V. C. Junior (2020, p.19), a inobservância à LGPD pode ensejar a nulidade do consentimento: “eventuais disposições contratuais que gerem danos ao titular dos dados será considerada como se ali não estivesse escrita, […], como forma de tutelar os interesses da parte hipossuficiente”.

A fim de pacificar a questão, há quem defenda que o consentimento deva ser fixado em convenção coletiva de trabalho, em atenção à prevalência do negociado sobre o legislado. Entretanto, tal cogitação não se apresenta como solução razoável por versar sobre direitos personalíssimos (privacidade e intimidade), sendo a negociação eivada de inconstitucionalidade. (PINHEIRO e BOMFIM, 2020).

Dessa forma, não resta outra alternativa aos empregadores, senão, adequar todos os seus processos internos à LGPD, sempre obtendo o consentimento específico, expresso e esclarecido do trabalhador, para todas as atividades relacionadas ao tratamento dos seus dados, além da implementação de ferramentas e orientações acerca de medidas de proteção, com o intuito de precaver vazamentos e minimizar os prejuízos morais e materiais.

A adoção de medidas e políticas internas de segurança da informação são imperiosas e tornaram-se ainda mais urgentes frente à nova realidade imposta às relações de trabalho, não podendo mais serem ignoradas ou relevadas.

FONTES:

1. PINHEIRO, Iuri e BOMFIM, Vólia. A Lei Geral de Proteção de Dados e seus impactos nas relações de trabalho. Instituto Trabalho em Debate (ITD), 2020. Disponível em: <http://trabalhoemdebate.com.br/artigo/detalhe/a-lei-geral-de-protecao-de-dados-e-seus-impactos-nas-relacoes-de-trabalho>. Acesso em 05/01/2021.

2. CORREIA, Henrique e BOLDRIN, Paulo Henrique Martinucci. Lei Geral de Proteção de Dados (LGPD) e o Direito do Trabalho. Meu Site Jurídico, 2020. Disponível em: <https://meusitejuridico.editorajuspodivm.com.br/2020/09/25/lei-geral-de-protecao-de-dados-lgpd-e-o-direito-trabalho/>. Acesso em 05/01/2021.

3. SOUZA, Tercio Roberto Peixoto. A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) – LEI nº. 13.709/2019, A ADEQUADA CUSTÓDIA DE DADOS PESSOAIS NA RELAÇÃO DE EMPREGO E O DEVER DE INDENIZAR DO EMPREGADOR. Instituto Trabalho em Debate (ITD), 2019. Disponível em: < http://trabalhoemdebate.com.br/artigo/detalhe/por-tercio-souza-a-lei-geral-de-protecao-de-dados-pessoais-lgpd-lei-no-137092019-a-adequada-custodia-de-dados-pessoais-na-relacao-de-emprego-e-o-dever-de-indenizar-do-empregador>. Acesso em 12/01/2021.

4. NETTO, Thaís. Quais os impactos da LGPD nas rotinas trabalhistas e nos contratos de trabalho? Instituto de Direito Real. 05/05/2020. Disponível em: < https://direitoreal.com.br/artigos/quais-os-impactos-da-lgpd-nas-rotinas-trabalhistas-e-nos-contratos-de-trabalho>. Acesso em 12/01/2021.

5. FILHO, Rodolfo Pamplona e JUNIOR, Vicente Vasconcelos Coni. A Lei Geral de Proteção de Dados e seus impactos no Direito do Trabalho. Revista Direito UNIFACS – Debate Virtual, 2020. Disponível em: < https://revistas.unifacs.br/index.php/redu/article/view/6744>. Acesso em 12/01/2021.


[1] Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I – o respeito à privacidade;

II – a autodeterminação informativa;

III – a liberdade de expressão, de informação, de comunicação e de opinião;

IV – a inviolabilidade da intimidade, da honra e da imagem;

V – o desenvolvimento econômico e tecnológico e a inovação;

VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

[2] Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.

[3] Art. 8º. § 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

[4] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Voltar ao topo