A Lei Geral de Proteção de Dados Pessoais (LGPD), instituída pela Lei nº 13.907 de 14 de agosto de 2018 e modificada pela Lei nº 13.853 de 8 de julho de 2019 em função da conversão da Medida Provisória nº 869/2018, é o marco legal brasileiro que que dispõe sobre o tratamento de dados pessoais, tanto nos meios físicos como digitais, realizado por pessoas naturais ou jurídicas, seja de direito público ou privado. Seu objetivo é proteger os direitos fundamentais de liberdade e de privacidade da pessoa natural em um momento histórico onde a economia se apoia nas informações geradas com a coleta, análise e processamento de dados pessoais.
Baseada na boa-fé e em dez princípios explicitados em seu art. 6º, quai sejam, I) finalidade; II) adequação; III) necessidade; IV) livre acesso; V) qualidade dos dados; VI) transparência; VII) segurança; VIII) prevenção; IX) não discriminação; XI) responsabilização e prestação de contas, a LGPD tem como fundamentos, entre outros estabelecidos em seu art. 2º, o respeito à privacidade, a inviolabilidade da intimidade, da honra e da imagem, os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Protege, portanto, os dados pessoais de qualquer indivíduo, seja ele um consumidor, um cliente efetivo ou em potencial (prospect), um terceiro relacionado ao negócio da empresa controladora (stakeholder), ou mesmo um empregado.
Sob o aspecto laboral, embora a LGDP não contenha dispositivos específicos, como ocorre no Regulamento 2016/679 da Comunidade Europeia (GDPR), é inafastável sua aplicação em relação aos dados pessoais dos empregados ou trabalhadores que prestem serviços mesmo sem vínculo de emprego.
Nesse contexto, especial atenção deve ser dispensada aos requisitos para o tratamento dos dados pessoais. Conforme disposto no inciso I do art. 7º da LGPD, a regra para a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração é o consentimento inequívoco pelo titular. Sendo que, nos termos do caput do art. 8º e parágrafos, tal manifestação de vontade deve ser fornecida por escrito ou por outro meio suficiente a demonstrá-la, cabendo ao controlador – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5º, inciso VI) – o ônus da prova de que o consentimento foi obtido em conformidade com a Lei.
Todavia, nas hipóteses enumeradas nos incisos II a X do art. 7º, a LGPD afasta a necessidade do consentimento para o tratamento dos dados pessoais, muito embora permaneça a obrigação de respeito aos demais direitos resguardados pela Lei, tais como a finalidade e a boa-fé. Dentre elas destacamos algumas situações que podem ser verificadas em função das relações trabalhistas.
A primeira situação onde fica dispensado o consentimento pelo titular refere-se à necessidade de cumprimento de obrigação legal ou regulatória pelo controlador (art. 7º, II). Nesse caso, o tratamento de dados é considerado como necessário ao atendimento do interesse público que justifica a obrigação legal ou regulatória. Esta é justamente a hipótese mais comum no tratamento de vários dados pessoais dos trabalhadores pelo empregador ou tomador de serviços (controlador). Por exemplo, em função da necessidade de recolhimento de contribuição previdenciária de determinado empregado, que constitui o cumprimento de uma obrigação legalmente imposta ao empregador, este não precisa da obtenção do consentimento daquele titular para realização do tratamento dos dados pessoais pertinentes (nome, data de nascimento, NIT, CPF, etc.).
Outra hipótese que prescinde o consentimento diz respeito à necessidade de execução de contrato ou de procedimentos preliminares relacionados a contrato (art. 7º, V). Nessa situação, o titular dos dados tratados deve ser parte do negócio jurídico. Aqui podemos usar como exemplo o contrato firmado pela empresa com um trabalhador autônomo que lhe prestará serviços. O tratamento de dados pessoais do profissional eventualmente necessários à execução do contrato independe da autorização expressa do mesmo.
Outra possibilidade de dispensa de consentimento é para o exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI). Esse dispositivo evidencia que a proteção da Lei não compromete o necessário direito que as partes possuem quanto a produção de provas umas contra as outras, ainda que estas se refiram a dados pessoais do ex adverso. Portanto, frente a uma reclamação trabalhista, a empresa demandada não precisa, por óbvio, da autorização do empregado autor para utilizar seus dados pessoais como meio de prova.
Por fim, outra hipótese que apontamos no presente estudo introdutório à LGPD, na qual fica afastado o consentimento do titular, se configura quando o dado pessoal é necessário para atender aos interesses legítimos do controlador ou de terceiro (art. 7º, IX). Esta exceção certamente é a mais controversa dentre toda enumeradas pela Lei, posto que diferentemente das demais, não diz respeito ao interesse público ou nem decorre do necessário cumprimento de obrigações contratuais ou exercício regular de direitos. Ademais, a Lei não define o conceito de “legítimo interesse”, dando margem para interpretações subjetivas. De todo modo, o legislador estabeleceu na parte final do inciso a limitação ao legítimo interesse do controlador: no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Além disso, o art. 10 ressalva que o legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I – apoio e promoção de atividades do controlador; e II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos da própria Lei. Além disso, estabeleceu outras obrigações: somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados (art. 10, § 1º); controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse (art. 10, § 2º); e que a Autoridade Nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, observados os segredos comercial e industrial (art. 10, § 3º). Os exemplos que podemos apresentar para ilustrar esta hipótese no contexto das relações de trabalho seria o seria as transferências de dados pessoais de trabalhadores a terceiros contratados pelo empregador para a execução de serviços contábeis, de medicina, saúde e segurança do trabalho ou de advocacia, entre outros.
Portanto, diante do enorme impacto da LGPD, enquanto novo marco legal em termos de privacidade e proteção de dados pessoais, notadamente no âmbito das relações trabalhistas, se apresenta como absolutamente indispensável a revisão e adequação das rotinas de recursos humanos e departamento pessoal, bem como da documentação pertinente, que impliquem no tratamento de dados pessoais, desde a coleta no processo de seleção até mesmo a eliminação e arquivamento por ocasião da extinção da relação de trabalho, visando o compliance à nova legislação, notadamente em face das graves consequências decorrentes de eventual infração.
Além das sanções administrativas previstas na própria LGPD no art. 52, que vão da advertência, com indicação de prazo para adoção de medidas corretivas, ao bloqueio e eliminação dos dados pessoais a que se refere a infração, passando pela publicização da infração (que implica em danos reputacionais) e multas, por infração ou mesmo diárias, que podem alcançar 2% do faturamento da empresa, grupo ou conglomerado, no seu último exercício, as organizações ainda estão sujeitas, conforme o art. 42 e seguintes, a reparar os danos patrimoniais, morais, individuais ou coletivos, causados aos titulares dos dados.
Sobre o autor: Giordano Adjuto Teixeira. Advogado especialista em Direito do Trabalho e Sindical, Compliance e Proteção de Dados (LGPD). Graduado em 1999 pela Faculdade de Direito da Universidade Federal de Minas Gerais (UFMG). MBA em Gestão Integrada da Qualidade, Meio Ambiente, Saúde e Segurança do Trabalho pelo Centro Universitário de Belo Horizonte (UNIBH). Pós Graduando em Direito e Compliance Trabalhista pelo Instituto de Estudos Previdenciários (IEPREV). Assessor jurídico do Sindicato das Empresas de Asseio e Conservação do Estado de Minas Gerais (SEAC-MG). Integrante da Comissão de Direito Sindical da OAB/MG. Conselheiro Fiscal da Associação Mineira de Advogados Trabalhistas (AMAT). Professor na Pós Graduação da Faculdade Arnaldo Janssen e cursos técnicos do Centro de Estudos da Administração Pública (CEAP). Palestrante no Instituto Nacional da Segurança Privada (INASEP), Federação Nacional das Empresas de Seguranças e Transporte de Valores (FENAVIST) e da Federação Nacional das Empresas Prestadoras de Serviços de Limpeza e Conservação (FEBRAC).