A LGPD não se destina, precipuamente, às relações de trabalho. O objetivo da lei é proteger os direitos fundamentais da liberdade e privacidade, além do livre desenvolvimento da personalidade da pessoa natural, como disposto em seu art. 1º42.
Destarte, todas as relações jurídicas que tenham como consequência natural o manuseio de dados e informações, entre pessoas naturais e/ou jurídicas, serão afetadas pela LGPD.
Seu campo de aplicação, por excelência, contudo, são as relações de consumo, ou comerciais, inseridas no universo virtual, abrangendo desde aplicativos, redes sociais, e-commerces e sites.
A intenção do legislador, europeu e brasileiro, é a garantia de um maior protagonismo dos titulares de dados, a fim de que os princípios previstos ao longo da Lei sejam viabilizados na prática.
Assim, adota-se uma perspectiva pela qual a privacidade deve ser respeitada desde a concepção dos serviços/produtos, como uma premissa “cultural” para trilhar o caminho da conformidade.
Importa, neste ponto, esclarecer que a Lei não distingue as pequenas empresas das grandes corporações. Além disso, não faz qualquer menção à quantidade de dados que deverá ser submetida ao regime previsto na legislação43.
Isso quer dizer, portanto, que todos serão afetados, independente do porte da empresa ou do volume de dados manuseados por esta, de modo que a microempresa familiar, assim como grandes instituições financeiras, terão ambas que
42 Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
43
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I - a operação de tratamento seja realizada no território nacional; II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou (Redação dada pela Lei nº 13.853, de 2019)
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
§ 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do art. 4º desta Lei.
agir de acordo com um compliance seguro para buscar a adequação à Lei.
4.3.1 A Lei Geral de Proteção de Dados e suas implicações nas relações trabalhistas
As relações de trabalho, assim como relações conexas a esta, como aquelas originadas a partir de prestações de serviço em geral, também contam com um fluxo de dados e, consequentemente, com um trânsito de informações que dizem respeito a uma pessoa natural.
Logo, o empregador, ou mesmo o prestador de serviços, serão juridicamente considerados dominador desses dados, sejam pessoais ou não, de empregados e contratantes, o que indica a necessidade de adequação e observância por parte desses setores à Lei Geral de Proteção de Dados44.
A Lei, todavia, não se dedicou a regulamentar especificamente a questão envolvendo empregados e empregadores, embora tenha sido diretamente inspirada no Regulamento Geral de Proteção de Dados europeu, que possui disposições específicas a respeito.
Ressalte-se que na RGPD, as empresas que contam com menos de 250 empregados são dispensadas de possuir um registro de atividades de tratamento de dados, salvo se a atividade da empresa for um risco para os direitos e liberdades do titular dos dados, não seja ocasional ou abranja as categorias especiais de dados a que se refere o artigo 9º, nº 1, ou dados pessoais relativos à condenações penais e infrações referidas no artigo 10, conforme a previsão do artigo 30, §2º, 5.
O artigo 88 do Regulamento autoriza ainda a regulamentação por meio de convenções coletivas de trabalho, visando a criação de normas mais específicas para cada caso, e garantindo, assim, uma maior proteção aos titulares dos dados, o que seria interessante, aliás, para o caso do Brasil, mas que, contudo, não foi inserido na legislação pátria.
44 LGPD e sua necessária adequação às relações de trabalho. Disponível em: https://www.jota.info/paywall?redirect_to=//www.jota.info/opiniao-e-analise/artigos/lgpd-e-sua-
4.3.2 O papel de controlador e de operador dos dados nas empresas
Na legislação brasileira, observando-se especialmente a redação dos artigos 2º e 3º da CLT, resta claro que, nas relações de trabalho, o empregado passará a figurar como titular dos dados, haja vista que, em razão do contrato de trabalho, é natural que se forneça informações pessoais ao empregador, como nome completo, número do Registro de Identidade e de inscrição no Cadastro de Pessoa Física, endereço completo, dados bancários, etc.
O empregador, por sua vez, funcionará como controlador desses dados, uma vez que caberá a ele decidir quais atitudes deverão ser tomadas a partir dessas informações.
Cabe aqui diferenciar duas figuras previstas na legislação: o controlador e o operador de dados. O controlador encontra-se previsto no art. 5º, VI.
Já a figura do operador, encontra-se disposta no mesmo artigo, no inciso VII. Tanto o controlador quanto o operador possuem papeis relevantes no tratamento de dados, contudo desempenham funções bem diferentes, uma vez que a um cabe decidir e ao outro executar.
Nesse contexto, a LGPD determina que o controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Define, ademais, o operador como a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Dito isso, esclarece-se que o papel do operador pode ser desempenhado diretamente pelo próprio empregador, ou ainda por alguém de sua empresa encarregado desta função. Além disso, pode ser desempenhado por um setor específico da companhia, pré-existente ou criado exclusivamente para esta finalidade. Por fim, pode ser desenvolvido por terceiros, estranhos à relação, como empresas terceirizadas que prestam serviços atuando em substituição ao setor de recursos humanos.
Há um intenso fluxo de dados pessoais permeando os contratos de trabalho, envolvendo diretamente o empregado, aqui encarado como titular dos dados, e o empregador, quem irá controlá-los.
Esse fluxo de dados inicia-se desde antes mesmo da contratação, ou seja, ainda na fase de seleção, visto o manuseio de dados como: informações sobre o candidato, currículo, histórico, etc.
Após, formalizada a celebração do contrato de trabalho, o empregador passa a manusear dados cadastrais, filiação a sindicado, endereço, nomes dos genitores, escolaridade, situação familiar, nomes dos filhos, idade, tipo sanguíneo, e demais informações.
Ato contínuo, durante a execução do contrato de trabalho, as informações como jornada de labor, valor do salário, descontos, faltas, motivos das faltas, doenças, acidentes, situações conjugais que podem ter reflexos em providências da empresa, como o pagamento de pensão, inclusão de dependentes no plano de saúde, também fazem parte do cotidiano do tratamento de dados.
Por fim, ao término do contrato de trabalho, o controlador manuseia dados como o motivo do desligamento, valor das verbas rescisórias, dados bancários, etc.
Há, contudo, fluxo de dados também entre o empregador (controlador) e outros controladores e órgãos públicos, já que sempre que o empregador transmitir informações sobre um empregado a um terceiro, independente de quem seja este, e a partir dessas informações seja possível identificar o titular dos dados, há uma transmissão, uma circulação dessas informações, nos termos da Lei.
Para um vislumbre mais fácil, basta imaginar a relação existente entre o empregador e convênios médicos, planos de saúde, empresas que atuam fornecendo vale-refeição e vale-alimentação, E-Social e consultorias contratadas.
Ademais, haverá fluxo e tratamento de dados pessoais também nas hipóteses de transmissão de dados de funcionários, pela contratante, às empresas terceirizadas.
Dessa forma, um simples cadastro, como uma ficha de registro, passará a ser um complexo documento repleto de dados pessoais, sendo alguns deles, inclusive, considerados “sensíveis”, cujo tratamento requer procedimentos específicos, que se diferem do tratamento destinado aos dados gerais.
é um dado pessoal sensível do titular, e toda empresa precisa saber se o empregado é ou não associado a um sindicato pela razão simples de que, se o for, terá que efetuar os descontos.
4.3.4 O manuseio de dados sensíveis nas relações pré-contratuais e ao longo do contrato de trabalho
As empresas devem ter um cuidado especial com informações que dizem respeito à esfera pessoal do candidato e seu uso ao longo do processo seletivo, como a existência de ações judiciais trabalhistas ajuizadas pelo candidato.
Dessa forma, o artigo 21 da LGPD, dispõe expressamente que os dados pessoais que dizem respeito ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo, tratando-se, portanto, de exemplo de dado sensível.
Os dados sensíveis, como explicitado anteriormente, são aqueles cujo o elevado potencial lesivo aos seus titulares, como a filiação a sindicato da categoria ou a existência de ações trabalhistas anteriores, ensejam uma classificação a parte em razão do seu potencial discriminatório.
Em obediência ao previsto no artigo 8º da lei, convém destacar que o consentimento do empregado para o tratamento de dados pessoais deve sempre ser fornecido por escrito no contrato de trabalho, de forma específica e em cláusula destacada das gerais. As autorizações genéricas, portanto, serão consideradas nulas.
Aponta-se ainda como exemplo de dado sensível as informações que dizem respeito à saúde do empregado. O tratamento desses dados permeia as relações trabalhistas e deve ser acompanhado de alguns cuidados imprescindíveis.
Isso porque o trabalhador é submetido a diversos exames clínicos ao longo da relação de trabalho, desde a sua admissão (exame admissional), bem como ao longo da vigência do contrato, até chegar à rescisão do pacto laboral (exame demissional).
Sobre o tema, o Repertório de Recomendações Práticas de Proteção de Dados Pessoais do Trabalhador da OIT (1997), recomenda que os dados médicos úteis às relações de trabalho devem ser expostos de maneira restritiva, indicando apenas aquelas informações que são indispensáveis para que seja determinado se o trabalhador está ou não apto ao exercício da função a que está se dispondo.
Ressalta também o documento que o relatório médico deve conter informações acerca da possibilidade de se poder cumprir os requisitos de segurança e saúde do trabalho e se é possível ter direito às prestações sociais.
Ao fim, indica ainda o repertório que, uma vez realizado o exame médico, o empregador deve obter apenas as conclusões que importem para o exercício do cargo, dispensando-se informações de cunho pessoal e que orbitem na esfera íntima do trabalhador.
4.4 As consequências do descumprimento da LGPD: da advertência em