fbpx
Menu

Tratamento de dados e relações de trabalho

1024 684 Raphaella Reis

Lei Geral de Proteção de Dados foi sancionada em agosto deste ano, e terá plena eficácia em 2020. A norma segue a mesma linha do Regulamento Geral sobre a Proteção de Dados (General Data Protection RegulationGDPR), em vigor desde maio na União Europeia, e está intimamente ligada a ela, que sujeita empresas que tenham atividades, ofereçam e/ou prestem serviços em algum dos países pertencentes ao bloco; ela também traz obstáculos para a transferência de dados pessoais para locais que não sejam considerados seguros para informações pessoais.

A LGPD é uma forma de garantir a viabilidade empresarial do Brasil perante a União Europeia; com a edição desta lei, o país está no patamar de segurança, e habilitado para tráfego de dados. A vacatio legis – tempo entre a sanção da lei e sua entrada em vigor no ordenamento jurídico – da LGPD pode parecer suficiente para adequação; para a União Europeia, dois anos não foram suficientes. No Brasil, analisando o âmbito das relações de consumo, e principalmente, das relações de trabalho, foco deste texto, é necessária atenção redobrada nos pouco mais de 13 meses que temos para adaptação.

Costumamos ter mais atenção com o tratamento de dados nas relações de consumo: pesquisas de público, marketing direcionado ou levantamento de perfis, por exemplo, são intrínsecos às atividades comerciais, e já são corriqueiros em serviços de internet como Google e Facebook. Mas não nos atentamos ao tratamento em outras esferas jurídicas.

Quanto mais alta a rotatividade de trabalhadores em dada empresa, maiores serão os dados por ela tratados, e mais intensos os trabalhos de mapeamento, que abrangem trabalhadores atuais, que já passaram pelo estabelecimento, e que se candidataram a vagas. Isso não depende do tamanho da empresa, mas de seu fluxo de trabalho.

O mapeamento ainda precisa observar todos os componentes de atividades: empregados, prestadores de serviços, trabalhadores autônomos, aprendizes, estagiários e outros. Isso, sem mencionar dados de candidatos a vagas. É necessário identificar e organizar os dados já coletados e armazenados, analisar sua conservação, segurança e proteção (ou completa eliminação) e planejar o cumprimento da norma, cujas ferramentas precisam de cuidado constante, atendendo às diferentes classificações legais de dados pessoais.

A entrega de banco de dados existente a escritórios e equipes de compliance já familiarizados com a empresa, em tempo hábil para estudo e destinação do que já foi registrado, adianta e muito o trabalho de adaptação. Mas não resolve a situação, pois é necessário formular as políticas de coleta e armazenamento – além de cuidar do uso e do compartilhamento destes dados, e outros aspectos pertinentes a sua proteção – deste ponto em diante.

A cautela é chave pela troca constante de dados sensíveis na relação de trabalho; atestados médicos, registros acadêmicos, filiação a sindicato, origem racial ou étnica, dados biométricos, documentos de identidade – por vezes, não só do empregado, mas de seus familiares – e outros. E mais importante: a LGPD não se restringe aos dados coletados em meio digital.

Para definir novos procedimentos, a atenção aos dados comumente solicitados é outra chave. Quais destes são realmente necessários para a seleção de candidatos? Antes da LGPD, eram comuns problemas da obtenção de dados na seleção, que abordamos em artigo anterior. Dados como endereço completo e CPF podem não ser interessantes ou necessários nesta etapa. Pela diferenciação dada às categorias de dados pessoais, quanto menos dados sensíveis a empresa tiver em mãos para destinar tratamento, melhor.

Outra questão a ser observada é o consentimento para coleta e armazenamento, cuja obtenção é obrigatória; ele também pode ser revogado a qualquer momento. Este detalhe pode interferir, por exemplo, no armazenamento de dados pertinentes ao trabalhador para fins de defesa em eventual processo administrativo ou judicial. Caso os dados dos colaboradores sejam utilizados pela empresa para outros fins, que não a execução do contrato de trabalho – um exemplo: uso promocional de imagens dos colaboradores em websites da empresa e outros materiais de marketing – a recomendação é a elaboração de consentimento específico, limitando escopo e prazo para o uso.

O compartilhamento de dados, que é extremamente comum nas relações de trabalho, também é ponto de atenção. É necessário rever as contratações com empresas de medicina e segurança do trabalho, gestores de folhas de pagamento, operadoras de planos de saúde e outros, inserindo mecanismos de controle e responsabilidade sobre estes dados compartilhados.  O mesmo vale para empresas prestadoras de serviços, que exigem um cuidado um pouco maior pelo Lei de Terceirização.

A expectativa é de que a obrigação de fiscalizar a segurança e a proteção dos dados tratados por estas empresas seja incorporada ao dever de cúria do tomador de serviços, o que leva à renegociação de contratos para determinar forma de tratamento de dados, e responsabilidades por seu uso, compartilhamento e eventuais vazamentos.

Com a LGPD, o consentimento para o compartilhamento de dados, em qualquer capacidade, deve ser expresso, com exceção da transmissão derivada de obrigação legal – como o envio de RAIS, CAGED e-Social e outros documentos pertinentes.

Vale lembrar que o compartilhamento de dados com entidades sindicais nem sempre decorre de obrigação legal e precisa ser avaliado em todas as hipóteses. Como solução, muitos sindicatos já inseriram em suas convenções coletivas o compartilhamento de dados.

As sanções para o não cumprimento da LGPD, ou a irregularidade no tratamento de dados, podem resultar em multas de até R$ 50 milhões (o patamar fixado é de 2% sobre o faturamento, não podendo ultrapassar este valor). Há certa apreensão na rigidez da execução das penalidades previstas, exatamente pelo vínculo com a GPDR e a necessidade de manter o Brasil como um parceiro viável para a União Europeia.

Tendo em vista o volume de situações trabalhistas em que dados são coletados, armazenados, utilizados, compartilhados, alterados e eliminados pelas empregadoras, e o tempo exíguo de adaptação, é cada vez mais urgente formular e implementar políticas internas para o tratamento de dados pessoais de equipes.

AUTOR

Raphaella Reis

Advogada. Bacharel em Direito pelo Centro Universitário das Faculdades Metropolitanas Unidas. Eternamente curiosa. Construindo carreira voltada para a defesa dos direitos e interesses das mulheres e negros na sociedade brasileira, tendo como principais áreas de atuação o Direito do Trabalho, o Direito do Consumidor e o Direito de Família. Atua ainda na aplicação dos mecanismos de aplicação de Responsabilidade Civil por atos ilícitos cometidos na internet.

Todas as histórias por: Raphaella Reis