Breve avaliação da exposição de motivos revela que o legislador prestigiou o respeito à privacidade, a inviolabilidade da intimidade, assim como a dignidade, direitos humanos de primeira geração que foram tomados como pilares básicos para construção da legislação, a qual foi inspirada no modelo europeu (General Data Protection Regulation – GDPR). Sobretudo visou o legislador fomentar a própria economia, na medida em que os países que não dispõem de uma lei protetiva de dados acabam por assumir uma posição de isolamento, perdendo a oportunidade de firmar novos negócios.
É cediço que o direito em comento já encontrava base legal no ordenamento jurídico brasileiro, inclusive com status de direito fundamental, a exemplo do artigo 5º, X, da Constituição Federal (inviolabilidade da intimidade e da vida privada). No plano infraconstitucional os artigos 43, 44 e 46 do Código de Defesa do Consumidor (exigência consumerista para formalização de banco de dados, acesso e suas alterações) também contemplam a questão, além do próprio Marco Civil da Internet, a Lei 12.965/2014 (direitos e deveres para o uso da internet).
No entanto, assentou a LGPD, minuciosa e especificamente, regras que devem ser observadas quando do “tratamento” de dados pessoais, distinguindo, ainda, aqueles considerados sensíveis (artigo 5º, I e II). De partida, podemos extrair a primeira lição advinda da novel legislação, qual seja, aplica-se exclusivamente para proteção de dados pessoais da pessoa natural (artigo 1º com correspondência com o artigo 5º, V). Portanto, excluída a pessoa jurídica de direito público ou privado como titular do direito tutelado.
O tratamento de dados (artigo 5º, X), expressão utilizada pelo legislador para classificar todo e qualquer ato praticado no curso de uma relação entre o “controlador” (aquele que coleta dados com determinada finalidade) e o “titular” (pessoa natural que cede tal informação) atinge todas as esferas de Direito, não se restringindo apenas e tão somente às relações de consumo. Aqui chegamos ao objetivo desta abordagem: os impactos da nova lei nas relações de trabalho.
Pois bem! Não é preciso fazer maior esforço para vislumbrar as inúmeras situações que podem ser atingidas pela LGPD quando falamos em relações de trabalho. Entrevistas de emprego; recebimento de currículos; formalização de contratos e aditivos; realização de exames; recebimento de atestados; compartilhamento de dados com seguradoras, planos de saúde, entidades sindicais;rescisão contratual;acesso ao Poder Judiciário, entre tantas outras, fazem parte do cotidiano de qualquer empregador e/ou contratante, já que em qualquer das hipóteses ocorre o “tratamento” de dados.
Para evitar qualquer irregularidade, a qual é passível de fiscalização, autuação, aplicação de expressivas sanções e, inclusive, reparação indenizatória — dano moral in re ipsa (artigos 42, 43,44, 45, 52, 53 e 54), necessário seguir à risca um manual de condutas, visando adoção de boas práticas de governança, aspecto que foi norteado pelo próprio legislador (vide construção principiológica expressamente prevista no artigo 6º).
Não obstante todos os princípios sejam absolutamente relevantes, quatro deles merecem maior destaque e devem ser utilizados como verdadeiros dogmas pelo “controlador”, no caso, a empresa que promoverá o tratamento de dados. São eles: (a) finalidade (propósito legítimo, por exemplo, execução do contrato); (b) necessidade (finalidade restrita e proporcional para realização daquele ato, sem que haja excesso); (c) segurança (adoção de medidas de proteção, como a restrição de uso e acesso, por exemplo); e (d) não discriminação (impossibilidade de utilização para fins ilícitos e discriminatórios).
Observadas referidas premissas, sem prejuízo de outras não exploradas neste artigo, estará o controlador no caminho certo para se adequar à novel legislação, evitando sanções desnecessárias e que podem impactar diretamente nos resultados da empresa (faturamento), bem como em sua imagem perante terceiros (idoneidade e valor de marcado), o que seria, sem dúvida, prejudicial.
Em suma, quando do tratamento de dados, todo empregador e/ou contratante deve se perguntar: por que devo colher tais dados? Qual a sua finalidade? Há base legal para tanto? Quais os limites dessa exigência? Necessito do consentimento do titular? Posso compartilhar tais dados? Quando devo descartá-los?
É preciso ficar claro que nem sempre é preciso o “consentimento” do titular (pessoa natural) para o tratamento de dados. Embora o primeiro contato com a matéria remeta o raciocínio a tal exigência, certo é que referida hipótese só deve ser utilizada quando da ausência e/ou impossibilidade de enquadramento de todas outras. E a razão parece ser óbvia: o consentimento pode ser revogado a qualquer tempo (artigo 8º, parágrafo 5º), o que coloca o controlador em uma situação delicada.
Tratando exclusivamente de relações de trabalho, conclui-se que o empregador e/ou contratante, pode se valer, como regra (sem prejuízo de avaliação caso a caso), da previsão contida no artigo 7º, incisos II e V (para dados pessoais), e artigo 11, inciso II, alíneas “a” e “d” (para dados pessoais sensíveis), isto é, quando o tratamento deriva de obrigação legal, ou, ainda, quando necessário para execução do contrato. Portanto, regular o tratamento de dados pessoais sem que a haja a necessidade de colher o expresso consentimento do titular nesse particular.
Ultrapassado o momento inicial que antecede a formalização da relação (envio de currículos e entrevistas), bem assim o ato da própria admissão e/ou contratação, ora abrangidas pelos dispositivos acima suscitados, outras situações específicas, e que podem ocorrer no curso ou no término dos contratos, também foi objeto de autorização expressa do legislador, tais como: (a) exercício regular de direito em processo judicial (artigo 7º, VI, e artigo 11, inciso II, alínea “d” — utilização de dados em eventual reclamação trabalhista, por exemplo) e (b) para proteção da vida e incolumidade física do próprio titular (artigo 7º, VII, e artigo 11, inciso II, alínea “e” — em casos de acidente e encaminhamento ao hospital, por exemplo).
A exclusão ou descarte de dados também tem lugar. Partindo da premissa de que não foi necessário obter o consentimento do titular, o que poderia ensejar revogação (artigo 15, III), certo é que, alcançada a finalidade ou quando deixarem de ser necessários (artigo 15, I, com correspondência com o artigo 16), devem ser prontamente eliminados.
A conservação é admitida, desde que enquadrada em uma das hipóteses de exceção (artigo 16, incisos I a IV). No caso em estudo, poderia o empregador e/ou controlador, a princípio, utilizar do texto positivado no inciso I: cumprimento de obrigação legal ou regulatória. A medida é pertinente, pois em caso de judicialização de um conflito, haverá a necessidade de produzir provas, sendo razoável que os dados permaneçam em poder do controlador até o fim do prazo prescricional.
No entanto, adentrando as minúcias da nova lei, dúvidas começam a surgir, as quais não foram esclarecidas pelo legislador. Exemplos não faltam: (i) casos que envolvem doenças e/ou acidentes, pois o marco prescricional tem como ponto de partida o efetivo conhecimento do titular (diagnóstico e extensão dos danos); (ii) quando do evento morte (titular), sendo os herdeiros menores, caso em que não é deflagrado de imediato o prazo prescricional. Para esses casos, pergunta-se: está autorizado ultrapassar o prazo prescricional descrito na lei (bienal e quinquenal)?
Até mesmo para fins de aplicação e alcance desta lei existem dúvidas. Não passou despercebido o texto do artigo 4º, inciso I, o qual assevera que as regras para o tratamento de dados não se aplicam quando realizado por pessoa natural e não houver finalidade econômica. Ora, seria a hipótese do empregador doméstico? Haveria um conflito para com o artigo 3º, caput, que estabelece que a lei se aplica a qualquer operação de tratamento de dados, seja por pessoa natural ou jurídica?
E quanto aos “dados pessoais” e “dados pessoais sensíveis” (artigo 5º, incisos I e II, respectivamente), trata-se de um rol taxativo ou meramente exemplificativo? A propósito, qual o conceito da expressão utilizada pelo legislador: “informação” relacionada à pessoa natural? Admitem-se como “dados” o conteúdo de vídeos, fotografias etc?
E não para por aí! Acerca da fiscalização e autuação, haverá competência compartilhada? O fiscal do trabalho poderá atuar nessa seara ou apenas a autoridade nacional — agência reguladora (a qual será criada pelo Poder Executivo)?
Ademais, analisada a regra do artigo 31 desta lei (quando houver infração ao tratamento de dados por órgãos públicos, a autoridade nacional enviará informe com medidas para a cessação da violação), pergunta-se: há disparidade de tratamento entre o Poder Público e as pessoas jurídicas de direito privado, o que atrairia violação ao princípio da igualdade (artigo 5º, caput, da Constituição)?
Enfim, diante de todas as questões espargidas, tem-se que a ausência de um capítulo específico para regular as relações de trabalho pode gerar inúmeros conflitos, o que certamente terá que ser resolvido por uma norma secundária, a qual dever partir da autoridade nacional no formato de portarias, resoluções, entre outras.
Conclui-se, assim, que a inovação possui enorme envergadura e tende a atingir todos os seguimentos de Direito, especialmente as relações de trabalho, razão pela qual a regularização dos dados já existentes (já tratados) deve se adequar ao novo modelo e suas respectivas exigências, sem perder de vista os princípios estabelecidos, notoriamente quando nos depararmos com dúvidas e lacunas ainda não preenchidas pela regra geral.
Diante de tamanha escalada legislativa, a qual tem por objetivo não só acompanhar a evolução das relações em sociedade,mas a própria tecnologia, não há tempo a perder! Quanto maior a inovação, maior a precaução daqueles que devem regularizar suas ações.”
Revista Consultor Jurídico, 14 de março de 2020
.’.Murilo Gouvêa dos Reis. Advogado Empresarial. Especialista em Direito do Trabalho. Mestre em Relações Internacionais..

#Direito #Trabalho #Trabalhista #LGPD #Impactos