A LGPD (Lei Geral de Proteção de Dados) – Lei nº 13.709/2018, foi promulgada em 14 de agosto do ano de 2018, mas, sua vigência está programada apenas para agosto de 2020. Porém, para o direito internacional, já um tema considerado cediço e com aplicação em diversos países há décadas. Existem mais de 130 outras “legislações visando a proteção de dados” no mundo.
É visto, que com o crescente uso de novas tecnologias da informação, meios de comunicação e plataformas digitais, que agem em consonância com o uso da internet, geraram um aumento significativo no tráfego de informações, bem como dados pessoais.
Dados estes que podem ser adquiridos e armazenados desde uma entrevista com um possível candidato a emprego, ou até mesmo um ex-empregado.
Antes de entrarmos realmente na legislação, bem como em suas aplicações extensões, devemos compreender algumas classificações e conceitos do referido instrumento legal.
O Titular dos dados é toda pessoa natural a quem se referem os dados pessoais (art 5º, V), já o controlador, pode ser pessoa natural ou jurídica, que decide quanto ao tratamento dos dados do titular (art 5º, VI).
O operador, é a pessoa natural ou jurídica, que faz o tratamento dos dados (art 5º VII), sendo que por tratar dados, devemos entender que é todo o manuseio dos dados, envolvendo desde a coleta, até o seu armazenamento, sua transmissão, etc. (art 5º X).
O conceito mais amplo e abrangente, é justamente o dado pessoal. O dado pessoal, é uma informação relacionada a pessoa natural identificável, como disposto no art 5º, inciso primeiro. Outro ponto importante, são os dados sensíveis, características que possam expor a intimidade, honra, costumes, origem racial ou étnica, religião, opinião ou filiação política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos e etc.
Neste momento, onde se tornou cristalino os conceitos definidos em lei, conseguimos passar para uma análise sob a ótica do direito do trabalho e as implicações na rotina laboral.
Muitas organizações começaram a adotar o teletrabalho ou home office, que foi regulamentado com a Reforma Trabalhista, principalmente neste momento, onde o mundo é assolado pela Pandemia do Coronavirus(COVID-19).
O objetivo da LGPD é proteger as informações e os dados pessoais, além de resguardar a privacidade dos indivíduos, visto que com as tecnologias da informação circulam cada vez mais rapidamente na rede e sem controle dos mesmos.
A legislação brasileira não dispõe especificamente sobre as relações de trabalho, diferentemente do Regulamento Europeu de Proteção de Dados – RGPD, por exemplo. Porém, por mais que não haja essa disposição específica, é notório o seu uso e aplicação nos contratos de trabalho entre empregado e empregador.
O primeiro ponto a ser observado sob este prisma, é que o começo da coleta de dados se inicia desde antes a celebração do contrato, como na coleta de informações sobre o candidato, o currículo, o histórico, entre outros, até a execução do contrato de trabalho, e até mesmo quando este se findar.
Nestes casos, onde há a ação dos recursos humanos, faz-se necessário que haja agora o consentimento do titular dos dados de maneira expressa, para que assim, possa a empresa estar em consonância com o disposto na legislação.
Para os empregados que já estão contratados, os dados necessários para que o empregador possa cumprir com suas obrigações legais, tais como registro, abertura de conta do FGTS, NIS, Vale Transporte e etc., não haverá necessidade desta anuência expressa. O empregador deverá apenas dar ciência ao empregado de que seus dados serão destinados a este fim.
Como mencionado acima, os dados sensíveis, são os que mais merecem atenção, pois a LGPD exige maiores atenção e níveis de segurança, pelo seu tratador. Estes dados apenas podem ser requeridos e utilizados para uso específico e fundamentado, com anuência expressa do titular dos dados. Antes destes dados serem tratados, deverá ser procedido com a anonimização. Ou seja, o titular dos dados deve ser pessoa anônima no momento do tratamento.
Para as empresas, específico as que possuem Certificação OEA (Operador Econômico Autorizado), que devem possuir sistema de gestão, governança e análise de seu capital humano, devemos tomar algumas precauções, para que estes não fujam dos princípios e obrigatoriedade do programa.
Usando das premissas do OEA, bem como de seus critérios de Elegibilidade, faz-se necessário que nas políticas de recursos humanos, haja certo resguardo e precaução com os cargos sensíveis, que são aqueles ligados ao comércio exterior. Na política de triagem de candidatos, bem como no momento de sua contratação, deveremos proceder com o recolhimento da anuência do titular dos dados, para que a empresa possa se resguardar perante a LGPD e cumprir os requisitos do programa.
Tal acompanhamento e anuência, também deverá se estender aos prestadores de serviço indiretos, como terceirizados, autônomos, motoristas e qualquer pessoa que faça parte da cadeia logística, ou seja, atingindo até mesmo a gestão de parceiros comerciais.
Após o momento que este colaborador se tornar efetivo e integrar o quadro laboral, deverá ser procedida mais uma anuência do titular. Essa anuência se faz necessário por conta do monitoramento. Pois mesmo após o deferimento de sua certificação, faz-se necessário que mesmo durante o programa, você mantenha todo o padrão elencado no momento da análise.
E por fim, no momento do desligamento, deverá se proceder com a armazenagem dos dados do titular, pelo prazo legal de 5(cinco) anos, além das obrigações impostas pelo programa.
Essas anuências se fazem necessárias, pois a LGPD tem que funcionar em consonância com o OEA, por mais que haja essa proteção aos dados pessoais, o titular deverá conceder autorização para que o tratador possa fazer as análises pertinentes, com esta finalidade, de consultar e levantar dados sensíveis, no limite da lei, para ver se colaborador pode ou não desempenhar a função pretendida.
Além da anuência do titular, faz-se necessário, que se notifique a finalidade e uso dos dados. Se os mesmos serão usados para tirar certidões, verificar cadastros e bureaus de dados, ou seja, explicar de maneira clara e transparente aonde esses dados serão utilizados e com qual finalidade.
Para dar ciência se a empresa candidata ao OEA, está em conformidade com os princípios e requisitos do programa, além de agir em consonância com a LGPD, primeiramente, devemos fazer um processo de levantamento do risco inerente, mapeá-lo, identificá-lo, analisá-lo e tomar os devidos tratamentos para que estes não impactem a conduta, gerem reincidência, ou passivo para empresa.
De maneira detalhada, esse processo citado acima deverá começar um mapeamento completo dos dados que transitam pela empresa, envolvendo todas as pessoas físicas como colaboradores diretos e indiretos, autônomos e etc.
Após este primeiro passo, devemos mapear a natureza e o tipo desses dados (dados sensíveis ou não), e após distingui-los, caracterizá-los de acordo com tratamento que esses dados atualmente recebem, se sua utilização serve apenas para armazenamento, ou se porventura eles são geridos, alterados, transmitidos a terceiros.
Após o mapeamento e fluxo dos dados, devemos identificar a relação a cada tipo de tratamento, e em relação a cada tipo de dado, daqueles que podem ser feitos sem o consentimento, e os que devem ser feitos com consentimento e/ou anuência expressa do titular.
Aos processos internos que necessitem de manutenção na forma de obtenção dos dados e dos tipos de tratamento atuais, deverão ser alterados a fim de que respeitem e sigam o disposto na LGPD.
Esse processo de análise interna é o primeiro passo para adequar a sua empresa, porém não o protege de possíveis riscos.
Pois uma vez que levantada todas essas informações referentes aos processos, deve-se proceder com todo o compliance dos processos internos e externos, elaborar termos de anuência geral e específicos de acordo com a finalidade de cada tratamento e da natureza dos dados.
Caso a empresa não observe a forma prescrita nessa legislação, poderá inicialmente receber uma advertência. Se vier a se tornar recorrente, receberá também uma sanção pecuniária com valor de até 2%(dois por cento) de seu faturamento, limitado ao teto de R$ 50.000.000,00(Cinquenta milhões de reais).
Além também de ressarcimento de possíveis eventuais danos causados, devendo ser reparado em sua extensão.
