Fruto do advento do direito digital e da crescente preocupação com a privacidade informacional, a Lei Geral de Proteção de Dados Pessoais - LGPD (lei 13.709, de 14 de agosto de 2018) regula o tratamento de dados pessoais com o objetivo de proteger as informações relacionadas à pessoa natural e está prevista para entrar em vigor a partir do dia 3 de maio de 2021.
Vale lembrar que o instrumento normativo foi inspirado no regulamento 2016/679 do Parlamento Europeu e do Conselho, conhecido como General Data Protection Regulation - GDPR[1] ou Regulamento Geral sobre a Proteção de Dados, em português, existente no ordenamento jurídico europeu desde 27 de abril de 2017, o qual tutela os dados pessoais e a privacidade dos indivíduos localizados na União Europeia.
No Brasil, embora não contando com os mais completos instrumentos fornecidos pelo GDPR, a LGPD ganhou notória importância após os diversos escândalos envolvendo vazamento de dados pessoais de grandes empresas (Facebook e a Cambridge Analytica), fundamentando-se, principalmente, no respeito à privacidade e na autodeterminação informativa.
Nessa toada, a referida lei nacional tem como principal objetivo a regulamentação do tratamento de dados pessoais por pessoas ou entidades do setor público ou privado, visando a proteção dos direitos fundamentais de liberdade e de privacidade e do livre desenvolvimento da personalidade da pessoa natural.
Para entendermos melhor esse objetivo, é imprescindível saber que o dado pessoal é toda informação relacionada à pessoa natural identificada ou identificável, v.g., nome, nacionalidade, estado civil, endereço etc. A lei também faz referência à proteção dos dados pessoais sensíveis, que podem ser descritos como toda informação relacionada à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Pois bem, conquanto a LGPD não tenha trazido regramento específico acerca da sua aplicabilidade diante das relações jurídicas trabalhistas, é inegável que a sua abrangência impactará a dinâmica dos contratos de trabalho.
Para tanto, basta interpretar a redação do art. 1º, caput, e do inciso X do art. 5º, para entender que o empregador, pessoa física ou jurídica, está sujeito às normas de proteção de dados, na medida em que realiza operação de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração dos dados pessoais dos seus empregados.
Lado outro, o empregado, definido pelo art. 3º da CLT como toda pessoa física que presta serviços de natureza não eventual a empregador, é titular de dados pessoais, conforme definição do inciso V do art. 5º da LGPD. Registre-se que não somente o empregado será o sujeito de direito tutelado pela norma, mas todo e qualquer prestador de serviços, independentemente do reconhecimento de vínculo empregatício, desde que os seus dados pessoais transitem pelo empregador.
Além disso, o inciso V do art. 7º da norma protetiva autoriza o tratamento dos dados pessoais quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.
Portanto, considerando que o empregado é o titular dos dados e que o empregador é o controlador, porquanto realiza o manuseio dos dados (tratamento) fornecidos pelo obreiro por força do contrato individual de trabalho, a LGPD é aplicável às relações laborais, devendo o empregador observar as regras sobre proteção de dados pessoais de seus empregados e adotar as medidas de segurança, técnicas e administrativas para a proteção dos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme previsão do caput do art. 46.
Com isso, destaca-se a previsão do art. 46, que obriga a observância das medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais desde a fase de concepção do produto ou do serviço até a sua execução. Em uma interpretação extensiva (trata-se de norma de proteção), vale dizer que o empregador deve fazer uso do tratamento adequado das informações pessoais contidas nos dados de inscrição (fase pré-contratual), dados insertos no contrato de trabalho (fase contratual) e no Termo de Rescisão de Contrato de Trabalho (fase pós-contratual).
Os dados protegidos, à luz do dos incisos I e II do art. 5º da LGPD, abrangem informações – como o próprio nome, endereço, escolaridade, currículo, nome dos genitores, idade, e-mail, estado civil –, além de dados pessoais sensíveis como a filiação a sindicatos ou às organizações de caráter religioso, filosófico ou políticos e dados referentes à saúde.
Ademais, outros fatores contribuem para que as relações laborais tenham especial relevância na necessidade de proteção de dados. Trata-se da transmissão de dados entre o empregador e terceiros, v.g., nas relações entre empresa terceirizada e contratante, convênios, planos de saúde e as informações repassadas ao e-Social.
Nesse sentido, ante os diversos regramentos previstos pela LGPD, além de ter controle sobre todo e qualquer dado pessoal que esteja relacionado às pessoas físicas, empregados ou prestadores de serviços, o empregador deve distinguir a natureza dessas informações, que podem se referir a dados pessoais ou a dados pessoais sensíveis para, então, executar o tratamento adequado.
Vale destacar, por oportuno, que a infração cometida pelo agente de tratamento de dados, no caso, o empregador, sujeita-o às seguintes sanções administrativas, cominadas pelo art. 52 da referida lei, in verbis:
Art. 52 [...]
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
[...]
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Com esse enquadramento, toda atenção aos ditames legais acerca da proteção dos dados pessoais dos empregados se mostra necessária, na medida em que as sanções podem variar de uma simples advertência até uma multa de 2% (dois por cento) do faturamento da empresa, que pode significar um prejuízo de R$50.000.000,00 (cinquenta milhões de reais) por infração.
Assim, pois, torna-se urgente que os empregadores, sobretudo as pessoas jurídicas de direito privado, passem a observar essas normas relativas à proteção de dados, sendo aconselhável que as incorporem em seus programas de compliance.
Por fim, importante mencionar que os empregadores que ainda não se adequaram ao regramento ainda poderão fazê-lo, a priori, até o dia 3 de maio de 2021. As normas relativas às sanções administrativas, no entanto, somente entrarão em vigor a partir do dia 1º de agosto de 2021.
_________
_________