Migalhas de Peso

Lei Geral de Proteção de Dados

No Brasil ainda aguardamos a atuação da Autoridade Nacional de Proteção de Dados (“ANPD”), responsável pela fiscalização e pela regulamentação do tratamento de dados pessoais.

19/4/2021

(Imagem: Arte Migalhas)

Em 18 de setembro de 2020, entrou em vigor da Lei Geral de Proteção de Dados (LGPD), que traz transformações importantes às relações de trabalho.

A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado. O intuito é o de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade natural.

A legislação brasileira não traz tratamento específico ao Direito do Trabalho, como ocorre com sua predecessora legislação europeia: o Regulamento Geral de Proteção de Dados (RGPD), cuja entrada em vigor definitiva aconteceu em maio de 2018. Os efeitos da entrada em vigor da nova legislação têm de ser examinados sob o prisma do tratamento às informações pessoais dos empregados, mas também no dia a dia das relações de trabalho, como mencionaremos abaixo.

A título de exemplo, os empregadores franceses possuem hoje disposição específica ao tratamento de dados pessoais em todos os contratos assinados com empregados, fornecedores e prestadores de serviço, e demandam a autorização de todos os clientes para o processamento de quaisquer dados que possam a ser utilizados no curso da prestação de serviços. Os pontos mais importantes relativos ao Direito do Trabalho, sob o prisma europeu, são o consentimento prévio dos empregados; a máxima redução da quantidade de dados pessoais coletados dos empregados; a garantia de segurança e de confidencialidade no tratamento dos dados coletados; o reconhecimento do direito de acesso aos dados coletados; a designação de um Diretor de Proteção de Dados ("Data Protection Officer" ou "DPO"), também previsto na lei brasileira, para todas as empresas com mais de 250 empregados.

No Brasil ainda aguardamos a atuação da Autoridade Nacional de Proteção de Dados (“ANPD”), responsável pela fiscalização e pela regulamentação do tratamento de dados pessoais, mas podemos utilizar a legislação em vigor para a revisão das práticas corporativas internas sobre a proteção de dados.

Destacamos primeiramente os conceitos fundamentais descritos no art. 5° da RGPD brasileira:

Segundo o art. 7º, o tratamento de dados pessoais somente poderá ser realizado nas seguintes situações:

(...)

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

(...)

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

(...)

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

(...)

Nos processos de seleção, via de regra, o tratamento de dados deve ocorrer através do consentimento do titular, pois trata-se de momento anterior à contratação, quando os dados pessoais são tratados para o cumprimento de obrigação legal pelo controlador, hipótese que não depende de consentimento e que não seria o foco de nossa consulta.

Tal consentimento, livre de quaisquer vícios, deverá ser fornecido por escrito e mencionar as finalidades determinadas, sendo que as autorizações genéricas serão nulas (§ 1º, 3º e 4º do art. 8º). Caso haja mudanças da finalidade não compatíveis com o consentimento original, o controlador deverá informar previamente o titular, podendo este revogar o consentimento, caso assim discorde (§ 2º, art. 9º). E, ainda, se o controlador necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular (§ 5º, art. 7º).

Após o término do tratamento de dados pessoais, caso o candidato não seja contratado após o processo de seleção, os dados pessoais deverão ser eliminados (art. 16º).

Vale mencionar que é dispensada a exigência de consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos e princípios previstos na LGPD (§ 4º, art. 7°). Contudo, a eventual dispensa da exigência do consentimento escrito não desobriga a observância dos princípios gerais e da garantia dos direitos do titular (§ 6º. Art. 7º).

Com relação ao legítimo interesse do controlador, o art. 10 da LGPD determina que somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, sendo que (I) somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados, excluídos os dados pessoais sensíveis; (II) o controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse, e (III) a ANPD poderá solicitar ao controlador registro de tratamento de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial. Aliás, os agentes de tratamento devem manter registros das operações de tratamento que realizem, especialmente baseado no legítimo interesse (art. 37), pois hipótese de dispensa de consentimento.

Importante ressaltar que o titular dos dados pessoais tem direito a obter do controlador, a qualquer momento, mediante requisição (I) a confirmação da existência de tratamento; (II) o acesso aos dados; (III) a correção de dados incompletos, inexatos ou desatualizados; (IV) anonimização, bloqueio ou eliminação de dados; (V) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; (VI) revogação do consentimento, dentre outros (art. 18).

As sanções administrativas em razão das infrações à LGPD abrangem desde simples advertência, com indicação de prazo de adoção de medidas corretivas; multa simples de até 2% do faturamento no último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração; multa diária, observado o limite mencionado; suspensão e proibição, parcial ou total do exercício de atividades relacionadas a tratamento de dados, dentre outras (art. 52).

Ainda que tenhamos que aguardar a jurisprudência sobre o tema e a atuação da ANPD, nos parece que:

Recomendamos que as empresas revisem as práticas corporativas internas sobre a proteção de dados e criem os seus próprios protocolos de acordo com as obrigações legais.

Ana Cristina Gameleira
Bacharel em Direito pela Universidade Cândido Mendes. Pós-graduada em Direito do Trabalho pela PUC/RJ. Pós-graduada em Direito Empresarial pela Universidade Cândido Mendes. Sócia do escritório Gameleira, Pelagio, Fabião e Bassani Sociedade de Advogados.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

O Direito aduaneiro, a logística de comércio exterior e a importância dos Incoterms

16/11/2024

Encarceramento feminino no Brasil: A urgência de visibilizar necessidades

16/11/2024

Transtornos de comportamento e déficit de atenção em crianças

17/11/2024

Prisão preventiva, duração razoável do processo e alguns cenários

18/11/2024

A relativização do princípio da legalidade tributária na temática da sub-rogação no Funrural – ADIn 4395

19/11/2024