A cada ano que passa, a população brasileira se preocupa mais com a proteção de seus dados pessoais, inclusive em razão dos recentes e reiterados escândalos de vazamento de informações, sendo um dos últimos deles relativo a 223 milhões de brasileiros. A necessidade de se normatizar de forma específica e criteriosa a relação das pessoas físicas e jurídicas com dados de terceiros, e de oferecer condições para que os dados pessoais sejam utilizados em ambiente controlado e seguro, culminou na edição da Lei 13.709/18, chama popularmente de LGPD (Lei Geral de Proteção de Dados).
O objetivo primordial da LGPD é proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural através do regramento dos tipos de tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.
Acontece que esse marco regulatório acarreta a necessidade de adequação de todas as áreas que realizem tal atividade, o que envolve grande parte de uma empresa, mas que nesse caso daremos enfoque à relação de trabalho.
Foram incluídos na LGPD conceitos jurídicos capazes de identificar todos os envolvidos e afetados pelo tratamento de dados, o que se mostra essencial em atenção às consequências do descumprimento de quaisquer dos preceitos contidos na lei.
Entre outras especificações, o art. 5° da lei nos informa três classificações de dados (dado pessoal, dado pessoal sensível e dado anonimizado), os termos atribuídos àqueles que lidarão diretamente com esses dados (o titular, o controlador, o operador, o encarregado), o que se entende legalmente por consentimento e, ainda, as ações que serão consideradas espécies de tratamento.
Mais adiante, no art. 7°, está consolidado que o tratamento de dados pessoais somente poderá ser realizado nas hipóteses de fornecimento de consentimento pelo titular ou, ainda, para o cumprimento de obrigação legal ou regulatória pelo controlador. Não obstante as hipóteses taxativas sejam dez, iremos nos concentrar nas duas primeiras, listadas nos incisos I e II.
Dispositivo semelhante possui o art. 11, que versa sobre os dados pessoais sensíveis, assim considerados aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural – vide art. 5°, II, da LGPD. Já que para relação de trabalho são necessários, na maioria das vezes, dados relativos à saúde, esse é um ponto que também requer um cuidado adicional.
Pela leitura de ambos os dispositivos citados, é possível notar que não se trata de requisitos complementares e cumulativos, mas sim alternativos e de incidência fixada para diversas situações fáticas.
De pronto pode-se afirmar que o empregador – quando da admissão de funcionários -, independentemente do consentimento expresso destes, poderá manusear seus dados pessoais e dados pessoais sensíveis a fim de dar cumprimento às obrigações que possui em razão de previsão legal, nos seus estritos limites.
Como exemplo, temos a obrigação relacionada ao Cadastro Geral de Empregados e Desempregados (CAGED). A Lei 4.923/65 determina que empresas que dispensarem ou admitirem empregados são obrigadas a fazer a respectiva comunicação às Secretaria Regional do Trabalho, mensalmente, em relação nominal por estabelecimento, da qual deverá constar também a indicação da CTPS ou, para os que ainda não a possuírem nos termos da lei, os dados indispensáveis à sua identificação pessoal.
Na oportunidade de preenchimento das declarações, uma gama extensa e variável de informações tanto do contratante (empregador) quanto do contratado (empregado) é solicitada pelo sistema, sem as quais não é possível validar o comunicado oficial ao órgão competente. Entre elas podemos citar: CNPJ ou CEI do estabelecimento contratante, PIS/PASEP do trabalhador, nome completo, número e série da CTPS, CPF, data de nascimento, raça, existência de deficiência, sexo, grau de instrução, data de admissão, horas contratuais, salariais e cargo contratado (CBO).
Analisando as informações requeridas e as especificações da Lei Geral de Proteção de Dados, resta incontroversa a necessidade da prática de diversos tipos de tratamento de dados. Por isso mesmo, a conduta dos agentes de proteção deverá ser cuidadosa e criteriosa.
O art. 5°, X, da Lei 13.709/18 determina que será considerado tratamento toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Ou seja, a cada coleta, a cada classificação, a cada reprodução e transmissão, ocorre um ato de tratamento. Por isso, é preciso observar os exatos limites legais que autorizam a gestão de dados alheios sem consentimento, isto é, para fins de cumprimento de ordem legal.
A coleta de informações para a realização da declaração do CAGED, exemplo mencionado acima, não autoriza que os mesmos dados sejam posteriormente utilizados para outra finalidade. Caso ocorra esse uso diverso, o tratamento somente se valida através de consentimento específico do titular.
A complexidade da Lei Geral de Proteção de Dados é tal que um mesmo dado, relativo a um mesmo titular, manuseado por um mesmo agente pode necessitar de autorização expressa e, em outro viés, não que vai requerer uma atenção do encarregado de proteger os dados (DPO na sigla em inglês).
Voltando à análise do CAGED – especificamente quanto a dados pessoais sensíveis, ao coletar a informação do trabalhador, registrar o dado na declaração do Cadastro Geral de Empregados e Desempregados e transmiti-lo a Secretaria Especial de Previdência e Trabalho (SEPRT) -, estamos diante da prática pelo empregador de três formas de tratamento previstas na LGPD, que, a princípio, são regidas pelo art. 11, II, “a”, dessa lei.
Por sua vez, quando o empregador insere essa informação – por exemplo – na ficha de registro do empregado, a hipótese não é mais a de cumprimento de obrigação legal ou regulatória pelo controlador, sendo obrigatório o consentimento de forma específica e destacada, e para finalidades distintas (no caso em tela, objetivamente para constar na ficha de registro do empregado).
Essa análise pormenorizada deve ocorrer todas as vezes em que for feita qualquer coleta, inserção e demais modelos de manejo de dados, sob pena de se incorrer nas penalidades previstas em lei.
O art. 42 da LGPD dispõe que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Os incisos do § 1° desse mesmo artigo complementam e determinam que: 1) o operador responde solidariamente pelos danos causados pelo vazamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador; e 2) os controladores que estiverem diretamente envolvidos na ação da qual decorreram danos ao titular dos dados respondem solidariamente.
Essas disposições denotam que os agentes de proteção respondem integralmente e sem benefício de ordem pelos danos que causarem, inclusive em relação às multas informadas no art. 52, que podem chegar à monta de R$ 50 milhões. É preciso atentar que a multa é aplicada por infração, ou seja, por cada espécie de tratamento feito com cada dado da pessoa.
Outro aspecto que merece intenso cuidado é a previsão normativa de o titular do dado ter o direito de revogar seu consentimento a qualquer tempo. O art. 8°, § 5°, da Lei 13.709/18 estabelece que o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação. Significa dizer: no exato momento em que o titular do dado desautorizar seu tratamento, os agentes devem se abster imediatamente da prática. Para além das consequências mais evidentes dispostas na própria LGPD, é forçoso sobressaltar que a revogação do consentimento pode gerar reflexos de caráter processual.
Inegavelmente essa não foi a intenção da lei. No entanto, não se pode esquecer que na justiça especializada do trabalho boa parte da distribuição do ônus da prova em reclamações trabalhistas fica a cargo do polo passivo/ parte reclamada, normalmente ocupada pelo empregado (ou, fazendo um paralelo com a LGPD, pelo operador ou controlador), que poderá perder acesso a informações importantes das mais diversas ordens e, em um processo trabalhista, se encontrar em uma posição em que não terá em seu poder as provas necessárias para auxiliar na busca pela verdade. É o mesmo que cercear o direito de defesa e infringir a ampla defesa e o contraditório.
Com certeza o Poder Judiciário terá papel imprescindível para analisar e dirimir situações complexas em que ocorrerá o uso da LGPD como forma de usurpação do sistema e utilização deste para benefício pessoal.
Autoras: Carolinne Queiroz- Advogada
Ariana Miranda Quintanilha- Advogada
Voltar