A Nova Lei Geral de Proteção de Dados (LGPD) revoluciona a forma de tratamento de dados pessoais realizadas pelas empresas. Inspirada na Lei Europeia, General Data Protection Regulation (GDPR), a lei brasileira estabelece os parâmetros pelos quais as empresas poderão realizar o tratamento de dados pessoais, o que até então era regulado por leis esparsas e de forma insuficiente. Isso significa que as empresas precisarão passar por mudanças significativas para estarem em conformidade com a nova legislação.

O descumprimento da legislação poderá acarretar em multa de 2% da receita local das empresas, com teto de R$ 50 milhões, mas principalmente, impactar na imagem da empresa e a confiança que esta inspira no mercado. Desse modo, é imprescindível que os departamentos Jurídico e de Recursos Humanos estejam treinados e aptos a realizar o processamento de dados pessoais dentro dos parâmetros legais. Alguns pontos de relevância que desde já devem ser notados são:

1) As 10 hipóteses em que é permitido o tratamento de dados

  1. mediante o fornecimento de consentimento pelo titular;
  2. para o cumprimento de obrigação legal ou regulatória pelo controlador;
  3. pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
  4. para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  5. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  6. para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei de Arbitragem;
  7. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  8. para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
  9. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  10. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

CONSENTIMENTO: As empresas devem avaliar a necessidade de obtenção de  consentimento para processamento de dados. Isso porque o consentimento deve ser obtido de forma livre, clara e inequívoca com finalidade específica e transparente, sob pena de alegação de vício de vontade. Além disso, o titular tem o direito de revogar o consentimento a qualquer momento.

2) Coleta e Guarda de Dados

A LGPD resultou em importante inovação em relação ao GDPR, qual seja, a possibilidade de conservação de dados após o término do processamento, como no caso de ex-empregados, desde que atenda às seguintes finalidades:

I – Cumprimento de obrigação legal ou regulatória pelo controlador;

II – Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III – Transferência a terceiro, desde que seguindo o disposto na Lei; e

IV – Uso exclusivo pelo controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Salvo nessas hipóteses, os dados devem ser eliminados após o processamento. No caso de banco de currículos recebidos pela empresa, deve-se atentar a um período máximo razoável para sua manutenção, o que deverá ocorrer de forma consentida e determinada, observando-se as condições da vaga para a qual o candidato demonstrou interesse e decidiu fornecer seus dados pessoais ao enviar seu currículo. A Política de Retenção de dados pessoais é, sem dúvida, de suma importância para as empresas.

3) Proteção de Dados do Empregado

Com a nova lei, foram criadas responsabilidades a todos que processam os dados de qualquer indivíduo. E, como resultado, importando esse conceito para as relações de trabalho, não há dúvidas de que empregadores – ou até mesmo tomadores de serviços – terão que realizar a correta coleta, armazenamento e tratamento dos dados daqueles que lhes prestam serviços.

O uso de dados de empregados pelas empresas é prática comum, por exemplo, na hipótese de elaboração de políticas internas da empresa e avaliação de benefícios concedidos pelas empresas aos seus empregados.

Isto é, desde a fase do processo seletivo (quando o indivíduo fornece à empresa um grande número de dados), perpassando pela admissão (quando diversos documentos serão fornecidos e deverá ser feito o consentimento prévio do tratamento de dados, como, por exemplo, através de cláusula expressa do contrato de trabalho), até o momento da rescisão.

A guarda de dados pelas empresas após o término do contrato de trabalho é legítima e respaldada pela LGPD, em conformidade com a legislação trabalhista, uma vez que tais dados podem ser necessários para cumprimento de obrigações legais ou mesmo para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

PRESCRIÇÃO TRABALHISTA: A prescrição trabalhista deverá ser levada em conta para fins de guarda de dados. Segundo a Constituição Federal, o direito de ação prescreve em 2 anos após o término do contrato de trabalho, e os empregados poderão pleitear direitos relativos aos últimos 5 anos a contar da data do ajuizamento da ação.

Vale ressaltar que as empresas somente poderão compartilhar os dados desses empregados com terceiros (tais como na abertura de conta em bancos, planos de saúde, cartão corporativo, etc.) no caso do compartilhamento estar estritamente vinculado aos limites estabelecidos, sob pena de violação da LGPD e também das leis trabalhistas, por potencial abuso de direito.

Sem prejuízo dos cuidados necessários quanto às hipóteses e procedimentos para o tratamento dos dados dos empregados, merecem particular atenção os dados pessoais considerados como "dados sensíveis", que somente devem ser processados quando estritamente necessários.

4) Dados Sensíveis

Os dados sensíveis, que já eram protegidos pela legislação e pela jurisprudência brasileira no âmbito trabalhista, agora, passam a ser contemplados também como de máxima proteção pela LGPD. O processamento de quaisquer informações do tipo será mais restrito, dificultando o uso de tais informações, por exemplo, em processos trabalhistas, valendo lembrar que parte da jurisprudência trabalhista vinha entendendo como abusiva a utilização de dados pessoais confidenciais pelas empresas em suas defesas.

A partir de 16 de agosto de 2020, quando a LGPD entrará em vigor, todas as empresas deverão rever tais práticas abusivas na relação de trabalho, pois, além de violarem a Constituição Federal e a legislação trabalhista, também estarão violando a proteção dos dados sensíveis dos empregados, sempre que o uso ou utilização dos dados não se enquadrar em nenhuma das hipóteses que legitimariam o seu processamento.

A LGPD exigirá que as empresas reavaliem: (i) suas práticas de segurança; (ii) políticas internas; (iii) códigos de ética, entre outros, ponderando inclusive a real necessidade de tratamento de certos dados sensíveis.

REGRA DE OURO: Avaliar a real necessidade de a empresa tratar dados pessoais sensíveis. Se não for estritamente necessário, a empresa estará assumindo riscos dispensáveis, que podem atingir a esfera civil, trabalhista e até mesmo criminal.

5) Terceirização

A nova lei trabalhista determina que poderá haver a terceirização da atividade-fim, isto é, aquela tida como essencial para o funcionamento da empresa, entendimento que foi ratificado pelo Supremo Tribunal Federal (STF).

Diante disso, em casos de terceirização de mão de obra, poderão surgir situações controversas em razão de possível confusão entre reais beneficiários desses dados nas relações de trabalho ou pessoas autorizadas a processar os dados dos trabalhadores, sejam empregados diretos ou terceirizados.

RESPONSABILIDADE SUBSIDIÁRIA x SOLIDÁRIA: Ainda que a reponsabilidade da tomadora de serviços por créditos trabalhistas inadimplidos pela prestadora de serviços seja subsidiária, a LGPD menciona expressamente que a responsabilidade na proteção e tratamento de dados será solidária, motivo pelo qual prestadora e tomadora de serviços deverão atuar conjuntamente na questão da segurança e proteção dos dados dos empregados.

Os contratos de terceirização de mão de obra deverão ser minuciosamente elaborados para delimitar as responsabilidades de cada uma das partes – prestador e tomador dos serviços – não apenas para prevenir riscos trabalhistas, mas, também, para melhor gestão quanto à proteção de dados de todas as partes, mitigando sua responsabilidade dentro daquilo que possa ser autorizado pela LGPD.

As empresas tomadoras de serviços deverão atentar cada vez mais em contratar empresas prestadoras de serviços que sejam idôneas não apenas no âmbito financeiro e obrigacional trabalhista, mas, também, confiáveis quanto ao adequado tratamento dos dados dos seus empregados.