A lei 13.709, de 14 de agosto de 2018, também conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), estabelece regras para promover a segurança dos dados pessoais. Em suas disposições preliminares, evidencia o objetivo "de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural". Inspirada no General Data Protection Regulation (GDPR), regulamento de Proteção de Dados da União Europeia, a legislação brasileira representa significativo aperfeiçoamento jurídico ao determinar, por exemplo, que os dados devem ser utilizados única e exclusivamente para as finalidades para as quais foram coletados. Com a ideia de vincular as atividades de tratamento de dados pessoais à observância da boa-fé, a LGPD atualiza os textos normativos responsáveis pela proteção de aspectos fundamentais da existência humana, como o respeito à privacidade; à liberdade de expressão, de informação, de comunicação e de opinião; e à inviolabilidade da intimidade, da honra e da imagem, o que até então era norteado por costuras interpretativas que mesclavam determinações gerais da Constituição Federal, do Código Civil e do Marco Civil da Internet, por exemplo.
A Lei Geral de Proteção de Dados Pessoais positiva uma série de conceitos jurídicos da sociedade da informação, fixa que dado pessoal é toda "informação relacionada a pessoa natural identificada ou identificável" e, de forma semelhante, traz conceitos para dado pessoal sensível, dado anonimizado, consentimento e outras tantas concepções que, agora, previstas em lei, servem para constituir um cenário de segurança jurídica que permita maior confiança na coleta e no uso de dados pessoais.
Em seu aspecto prático, a LGPD aplica-se "a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados" e não se aplica ao tratamento de dados realizado para fins exclusivamente particulares e não econômicos, para fins exclusivamente jornalísticos, artísticos, acadêmicos, de segurança pública, de defesa nacional, de segurança do Estado ou de atividade de investigação ou repressão de infrações penais.
A LGPD não se ocupa das relações de trabalho, no que se diferencia de seu modelo europeu que, no artigo 30, desobriga as empresas com menos de 250 pessoas de possuírem registro de atividades de tratamento de dados. Ao revés, a LGPD impõe a conformidade de modo geral, atingindo desde as micro e pequenas empresas, até as empresas de grande porte e entidades do chamado Terceiro Setor. Destarte não há no Brasil empregador isento de aplicar a LGPD.
A Lei Geral de Proteção de Dados Pessoais que entraria em vigor a partir de agosto de 2020, teve prorrogação de sua vacatio legis1 recentemente2. Em 18 de março de 2020, o Presidente da República solicitou, por meio da mensagem 93, o reconhecimento ao Congresso Nacional do estado de calamidade pública "em função da pandemia do novo coronavírus, [...] com os fins de atenuar os efeitos negativos para a saúde e para a economia brasileiras", o que acabou ensejando a edição do decreto legislativo 6, de 20 de março de 2020. Não somente, mas também em face da aprovação dessa medida pelo Parlamento, surgiram inúmeras propostas legislativas para a postergação dos efeitos da lei 13.709/2018 (LGPD). O quadro se agrava ainda mais dado o evidente descumprimento do cronograma político do Poder Executivo para a implementação da Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública direta federal imprescindível para a eficácia da LGPD. Nesse cenário e diante da realidade do covid-19 nas relações de trabalho, tornam-se relevantes e questionáveis, justamente, sob o ângulo da proteção de dados pessoais, atos como, por exemplo, o monitoramento da localização de telefones celulares ou a coleta de dados "biofuncionais" de empregados, sob o pretexto de combate ao coronavírus.
No particular da geolocalização, no final do mês de março, as principais operadoras de telecomunicações com atuação no país apresentaram uma possibilidade de colaboração com o Ministério de Ciência, Tecnologia, Inovações e Comunicações (MCTIC) para o desenvolvimento de um mapa de calor com o objetivo de mostrar a localização geográfica dos brasileiros. Dessa forma, seria possível identificar aglomerações e prováveis circunstâncias de contaminação do coronavírus, semelhantemente ao que já ocorre na Coreia do Sul. No entanto, o Presidente Jair Bolsonaro (sem partido), após determinar ponderação no compartilhamento dos dados pessoais, decidiu vetar o uso das informações com a justificativa de que essa aplicação poderia apresentar riscos para a privacidade dos cidadãos. Sobre esse mesmo assunto - e também no mês de março -, a Advocacia-Geral da União (AGU), consultada pela Secretaria de Telecomunicações (SETEL) acerca da possibilidade de emprego de dados de geolocalização, obtidos a partir de dispositivos móveis de comunicação, para combater o covid-19, manifestou entendimento favorável. No parecer, ressaltou a importância de preservar as informações utilizadas em modo anônimo, não caracterizando-as como dados pessoais e, assim, não fazendo incidir sobre elas os efeitos da Lei Geral de Proteção de Dados Pessoais. Por fim, o parecer da AGU conclui: "opina-se pela viabilidade jurídica de compartilhamento de dados de usuários de serviços de telecomunicações para fins de combate ao covid-19, na forma anônima e agregada, por meio de celebração de acordo de cooperação técnica com as empresas prestadoras de serviços de telecomunicações, com o fundamento legal no art. 116 da lei 8.666/93, aplicável no que couber".
Mas não para por aí. Outro acontecimento interessante que faz, no mínimo, despertar reflexões sobre a proteção de dados pessoais no Brasil foi a edição da MP 954, de 17 de abril de 2020, suspensa pouco tempo após pela Ministra Rosa Weber, do Supremo Tribunal Federal (STF). A MP estabelecia o compartilhamento de dados de usuários por prestadoras de serviços de telecomunicações com o Instituto Brasileiro de Geografia e Estatística (IBGE) "para fins de suporte à produção estatística oficial durante a situação de emergência de saúde pública de importância internacional decorrente do coronavírus (covid-19)". Tão logo a medida provisória foi publicada, protocolaram-se ações de inconstitucionalidade (ADI's) no STF por parte do PSB, PSDB, PSOL, PCdoB e pela Ordem dos Advogados do Brasil (OAB). O principal argumento levantado alegava que a MP 954/2020 deixava de observar tanto o direito fundamental à proteção de dados pessoais (artigo 5º, XII, Constituição Federal), quanto o direito à autodeterminação informativa (compreendido na Lei Geral de Proteção de Dados Pessoais). Diante disso, para "prevenir danos irreparáveis à intimidade e ao sigilo da vida privada de mais de uma centena de milhão de usuários dos serviços de telefonia fixa e móvel", a mencionada julgadora entendeu pela suspensão da MP 954.
Para que seja possível constatar a dimensão jurídica do coronavírus no tocante à proteção de dados pessoais nas relações de trabalho, é necessário, antes, compreender o significado da expressão "dado pessoal sensível" que, conforme a LGPD, será todo o "dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural". É a partir desta premissa que se comenta norma publicada em 22 de abril de 2020, válida para o município de Porto Alegre (RS), em que se autorizava a retomada das atividades da construção civil, desde que respeitadas certas medidas de segurança, higiene e distanciamento, encarregando-se os empregadores de "monitorar a temperatura corporal e presença de sintomas gripais [de seus funcionários], diariamente, antes do início da jornada". Por mais que se defenda a necessidade de evitar a disseminação do covid-19 de forma conjugada ao retorno das atividades econômicas, deve-se atentar para a indispensabilidade do cuidado com as informações biológicas dos trabalhadores, pois, como visto, tratam-se de dados pessoais sensíveis. Seria razoável, na circunstância, que a checagem do calor corpóreo fosse realizada em local reservado, com termômetro de distância e que, inclusive, se coletasse sua concordância expressa com tais coletas de dados, informando-lhe quanto ao armazenamento e transmissão e, garantindo-se o seu não constrangimento.
E é justamente nesse cenário que se percebe o quão importante seria a existência e vigência de um regramento objetivo e uniforme sobre proteção de dados pessoais no Brasil. A postergação do vigor da lei 13.709/18 (LGPD) pela MP 959/2020, surge como resposta, principalmente, às dificuldades argumentadas pelas empresas para à LGPD, em especial diante da difícil conjuntura econômica decorrente do covid-19 e da desarticulação do meio produtivo em razão das regras de isolamento social em vigor, tudo sem mencionar o fato de que a Autoridade Nacional de Proteção de Dados (ANPD), órgão necessário ao cumprimento da Lei Geral de Proteção de Dados Pessoais, sequer foi, efetivamente, criado.
Em razão dos evidentes movimentos para adiamento do início de vigência da lei 13.709/2018, o Ministério Público Federal (MPF) enviou para o Congresso Nacional, no dia 14 de abril de 2020, uma nota técnica manifestando o seu posicionamento em defesa de que a lei entre plenamente em vigor no dia 20 de agosto deste ano, como prevê a própria norma. No documento, aponta que "a LGPD deve entrar em vigor imediatamente, para auxiliar no desenvolvimento de ações e na colaboração com atores estrangeiros durante a pandemia, e devem ser instalados, o mais breve possível, a Autoridade Nacional de Proteção de Dados e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade".
Diante da presente contextualização, retoma-se a principal pauta jurídica que este artigo se propõe a debater: como cuidar de dados pessoais de saúde (sensíveis) durante a pendemia? A LGPD deve, realmente, ter a sua vigência adiada? Como fazer a coleta, o armazenamento e o manuseio seguros de dados pessoais sensíveis sem legislação norteadora e específica? Talvez este seja um questionamento para o qual não se disponha de uma resposta segura. Por um lado, é incontestável o fato de que o Brasil se encontra em uma situação de incerteza sobre a proteção dos dados pessoais de seus cidadãos, seja pela autorização (ou determinação) de coleta de dados biofuncionais (como no exemplo da normativa municipal supra), seja pela tentativa de monitoramento de pessoas via geolocalização, ou por outras práticas discutíveis à luz da teoria geral da proteção de dados. Sob outro ponto de vista, é igualmente verdadeiro que as empresas, sobretudo as micro e pequenas, devem aplicar todos os seus esforços na retomada de suas atividades empresariais, o que lhes impõe o cumprimento das condutas prescritas nas normativas da pandemia que, por vezes, podem coloca-las em situação delicada diante do dever de coleta, guarda e bom uso de dados sensíveis.
No meio de tudo isso, é inquestionável a percepção de que o Estado tateia diante de um quadro de caos sanitário, econômico e político nunca antes visto; acreditando-se serem suas intenções as melhores possíveis, todas voltadas ao bem do povo brasileiro.
Destarte e diante do fato novo de que a LGPD vigorará apenas a partir de maio de 2021 (MP 959/2020), é aconselhável que os empregadores, uma vez obrigados a coletar, armazenar e manusear dados ultrasensíveis de seus empregados, tomem todas as cautelas para seu resguardo. O vazamento de dados biológicos dos trabalhadores, em especial acarretando-lhes vexame ou estigma, é passível de judicialização e consequente condenação do empregador por perdas e danos. De outro lado, não poderá o empregador negar-se a cumprir as determinações da autoridade pública (como a medição de temperatura e coleta de materiais biológicos dos subordinados), tendo em vista que estas foram concebidas com olhar voltado ao interesse social, visando proteger a saúde coletiva e, sobretudo, em meio ao estado de calamidade, o que lhes atribui, prima facie, aparência de constitucionalidade.
Em síntese, desviando de polarizações onde o debate é estéril, o propósito deste texto é prestar um serviço, apoiando a sociedade (em especial, empregados e empregadores) neste momento de grandes incertezas jurídicas no que tange à coleta, armazenamento, trato e transmissão de dados pessoais de saúde. O momento faz pensar. Há consequências jurídicas – presentes ou futuras - em tudo o que se diga ou faça e a precaução parece ser a melhor conselheira do gestor da iniciativa privada neste momento sem precedentes e, no tocante aos dados pessoais, sem legislação.
1 Vide MP 959/2020.
2 É importante acompanhar o andamento do PL 1.179/2020, que propõe postergar o início da vigência da LGPD por mais 18 meses. Até o fechamento deste artigo, faltava-lhe ainda tramitar pela Câmara dos Deputados e, ali aprovado, ser sancionado pela Presidência da República.
_________
*Denise Pires Fincato é pós-doutora em Direito do Trabalho pela Universidad Complutense de Madrid. Visiting Researcher na Università degli studi de Parma. Professora pesquisadora no PPGD da PUCRS. Acadêmica titular da cadeira 34 na Academia Sul-Rio-Grandense de Direito do Trabalho. Advogada e consultora.
*Guilherme Schoeninger Vieira é acadêmico do Curso de Direito da Escola de Direito da Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS). Pesquisador vinculado ao Grupo de Pesquisas Novas Tecnologias: Processo e Relações de Trabalho (PUCRS/CNPq). Bolsista de Iniciação Científica.