A Lei Geral de Proteção de Dados (LGPD), Lei 13.709/2018, complementada e alterada em parte pela MP 869/2018, traz uma nova arquitetura jurídica para a gestão e proteção das informações pessoais das pessoas físicas.

A LGPD não se destina, precipuamente, às relações de trabalho, mas sim às relações jurídicas em geral que envolvem qualquer manuseio de dados, ou informações entre as pessoas naturais detentoras desses dados, e pessoas naturais ou jurídicas que de alguma forma têm ou obtêm acesso a esses dados.

A lei não faz qualquer distinção entre pequenos ou grandes empreendimentos, ou entre o volume de dados que é manuseado. Ela vale tanto para a loja do bairro que vende bolos caseiros e que possui um pequeno cadastro de clientes em fichas, quanto para provedores de acesso à internet com seus milhões de informações circulando diariamente em seus bancos de dados.

Assim, é importante destacar que nas relações de trabalho, implicam, também, trânsito de informações entre uma pessoa natural, o empregado ou prestador de serviços, e uma outra pessoa: o empregador ou a empresa contratante.

A LGPD, define, alguns conceitos balizadores, os mais importantes para efeito de verificar a aplicação dos seus dispositivos à relação de emprego, são os seguintes:

• Titular dos dados: pessoa natural a quem se referem os dados pessoais (artigo 5º, V)
• Controlador: pessoa natural ou jurídica que decide quanto ao tratamento dos dados do titular (artigo 5º, VI)
• Operador: pessoa natural ou jurídica que faz o tratamento dos dados (artigo 5º VII)
• Dado pessoal: informação relacionada a pessoa natural identificável (artigo 5º I)
• Tratamento: todo o manuseio dos dados, envolvendo desde a coleta, até o seu armazenamento, sua transmissão, etc. (artigo 5º X)

Assim, a partir destes conceitos da LGPD, bem como dos artigos 2º e 3º da CLT, que definem empregado e empregador, conclui-se que o empregado é o Titular dos dados, que, por força do contrato de trabalho fornece informações suas ao empregador, que vem a ser por sua vez o Controlador desses dados, cabendo a ele tomar as decisões necessárias sobre o Tratamento dos dados que será realizado por um Operador – que pode ser o próprio empregador, ou um setor do empregador, ou um terceiro, externo à relação de emprego.

Inegável que existe um intenso fluxo de Dados Pessoais envolvendo o contrato de trabalho, diretamente entre o Empregado-Titular dos dados e o Empregador-Controlador/Operador destes dados, além até mesmo, do interregno temporal do próprio contrato, eis que ocorre desde a fase anterior à contratação (informações sobre o candidato, currículo, histórico etc.), na celebração do contrato de trabalho (dados cadastrais, filiação a sindicado, endereço, nomes dos genitores, escolaridade, situação familiar, nomes dos filhos, idade, tipo sanguíneo, dados para benefícios como plano de saúde etc.), durante a execução do contrato de trabalho (jornada de trabalho, valor do salário, descontos, faltas, motivos das faltas, doenças, acidentes, situações conjugais que podem ter reflexos em providências da empresa, como o pagamento de pensão, inclusão de um dependente no plano de saúde, etc.), ao término do contrato de trabalho (motivo do desligamento, valor das verbas rescisórias, etc.) e após o desligamento (guardar dados por exigência legal).

Além dos dados terem um fluxo interno na empresa, muitas vezes o empregador repassa informações de um empregado que possibilite a identificação para um terceiro, ocorrendo assim uma transmissão de dados pessoais nos termos da lei, como por exemplo nos casos dos convênios médicos, planos de saúde, vales refeições, vales alimentações, E- Social, consultorias contratadas, SESMT.

Haverá tratamento de dados pessoais ainda, em relação aos dados dos empregados das empresas terceirizadas que forem transmitidas à empresa contratante.

O empregador sempre deteve responsabilidade jurídica em relação a esses dados fornecidos a ele pelo empregado, e sempre foi obrigado a utilizá-los para finalidades compatíveis com as do contrato de trabalho, de boa-fé, sujeitando-se, porventura, a uma eventual reparação por dano moral ou material no caso de desvios ou abusos de sua parte (artigos 113, 186 e 927 do Código Civil).

Porém, a LGPD traz obrigações práticas que impõe aos empregadores, agora na condição de Controladores, e diante das consequências administrativas do seu eventual descumprimento (multas etc.), força a necessidade de um novo olhar sobre a natureza dessas informações e a forma com elas devem ser tratadas no âmbito interno e até externo da empresa.

Os empregadores, diante dessa nova realidade, devem buscar se adequar da melhor maneira, o que envolve desenvolver rotinas novas, e compliance, para todos os aspectos que possam envolver dados pessoais de empregados, ou mesmo de não-empregados, como autônomos contratados, ou empregados de empresas contratadas etc.

Para evitar qualquer irregularidade, a qual é passível de fiscalização, autuação, aplicação de expressivas sanções e, inclusive, reparação indenizatória — dano moral in re ipsa (artigos 42, 43,44, 45, 52, 53 e 54), necessário seguir à risca um manual de condutas, visando adoção de boas práticas de governança.

Não obstante todos os princípios sejam absolutamente relevantes, quatro deles merecem maior destaque e devem ser utilizados como verdadeiros dogmas pelo “controlador”, no caso, a empresa que promoverá o tratamento de dados. São eles:

(a) finalidade (propósito legítimo, por exemplo, execução do contrato);
(b) necessidade (finalidade restrita e proporcional para realização daquele ato, sem que haja excesso);
(c) segurança (adoção de medidas de proteção, como a restrição de uso e acesso, por exemplo);
(d) não discriminação (impossibilidade de utilização para fins ilícitos e discriminatórios).

Em suma, quando do tratamento de dados, todo empregador e/ou contratante deve se perguntar: por que devo colher tais dados? Qual a sua finalidade? Há base legal para tanto? Quais os limites dessa exigência? Necessito do consentimento do titular? Posso compartilhar tais dados? Quando devo descartá-los?

É preciso ficar claro que nem sempre é preciso o “consentimento” do titular (pessoa natural) para o tratamento de dados. Embora o primeiro contato com a matéria remeta o raciocínio a tal exigência, certo é que referida hipótese só deve ser utilizada quando da ausência e/ou impossibilidade de enquadramento de todas outras. E a razão parece ser óbvia: o consentimento pode ser revogado a qualquer tempo (artigo 8º, parágrafo 5º), o que coloca o controlador em uma situação delicada.

Por exemplo, no caso do empregador e/ou contratante para determinados dados poderá utilizar o tratamento em decorrência de obrigação legal, sem necessidade alguma de colher o expresso consentimento do titular neste particular.

São muitas as mudanças e as providências que as empresas a princípio devem adotar, mais deve-se iniciar sempre com um mapeamento completo das informações-dados (dados pessoais ou dados pessoais sensíveis); a natureza e o tipo dessas informações-dados, tratamento, bases legais etc.

Após o mapeamento da situação atual da empresa, será necessário, ainda, elaborar todo o compliance e procedimentos internos, elaborar os termos de consentimento específicos para as finalidades de cada tratamento do dado, quando for o caso, ajustar os sinalizadores para as hipótese futuras em que sobrevier transmissão de dados para outra pessoa diversa daquela para quem foi autorizada pelo consentimento, ou alteração do próprio tratamento dos dados, mapeamento de riscos e de fluxo e ainda, naturalmente, organizar treinamentos, cursos, e canais de aprendizado para todos os envolvidos, direta ou indiretamente, no tratamento de dados pessoais.

Notadamente no âmbito das relações trabalhistas, se apresenta como absolutamente indispensável a revisão e adequação das rotinas de recursos humanos e departamento pessoal, bem como da documentação pertinente, que impliquem no tratamento de dados pessoais, desde a coleta no processo de seleção até mesmo a eliminação e arquivamento por ocasião da extinção da relação de trabalho.

A adequação à LGPD deve ser personalizada às necessidades e peculiaridades de cada empresa, mas fato é que, a governança dos dados deve analisar todos os sistemas/setores da empresa, e por obvio os dados oriundos das relações de trabalho a garantir aos titulares de dados total segurança.