LGPD, covid-19 e o retorno às atividades presenciais
A atribuição da base legal adequada e a observância dos princípios da LGPD são fundamentais para a proteção dos dados de empregados durante o retorno às atividades presenciais nas empresas.
quarta-feira, 28 de outubro de 2020
Atualizado às 12:57
Após meses de isolamento social imposto pela decretação de Estado de Emergência em Saúde Pública (portaria 188/20 do Ministério da Saúde) decorrente da disseminação do coronavírus (covid-19), vários estados brasileiros, incluindo o estado de São Paulo, criaram planos de flexibilização da quarentena. Assim, diversas empresas decidiram retomar, de forma gradual, suas atividades presenciais. O retorno, contudo, depende de um cuidado com o ambiente de trabalho para garantir a saúde dos empregados, bem como para evitar a disseminação do vírus. Dentre as medidas adotadas, destaca-se a coleta de dados pessoais sensíveis sobre a saúde de empregados para fins de avaliação de possíveis sintomas que podem estar relacionados ao covid-19, tais como temperatura, sintomas de gripe, informações sobre inclusão em grupos de risco, e contato recente com algum infectado.
Esse cenário tem causado diversos questionamentos acerca dos limites e cautelas a serem adotados pelas empresas no que se refere ao tratamento de dados pessoais principalmente devido à preocupação com relação à aderência dos processos e dinâmicas às disposições da Lei Geral de Proteção de Dados Pessoais - LGPD (lei 13.709/18), a qual entrou em vigor e passou a ter efeitos práticos recentemente.
Considerando que as orientações e diretrizes sobre o tema deveriam partir da Autoridade Nacional de Proteção de Dados (ANPD), a qual ainda não está em funcionamento, a análise jurídica do tema posto em debate encontra respaldo não apenas na interpretação da LGPD e legislação nacional, mas também no Direito Comparado, através da observação da experiência europeia, já que a Europa iniciou seu processo de reabertura e retorno às atividades presenciais antes do Brasil e a LGPD em muito se assemelha ao Regulamento Geral de Proteção de Dados da União Europeia (GDPR)
Nesse sentido, importante destacar que a ICO (Information Commissioner's Office), Autoridade de Proteção de Dados do Reino Unido publicou em seu site orientações sobre a coleta de dados de empregados para fins de retomada das atividades presenciais e, dentre as medidas, recomendou que antes da empresa proceder à coleta dos dados pessoais de seus empregados atente-se para: (I) coleta de dados realmente necessários para o atingimento da finalidade pretendida; (II) promoção de um ambiente seguro de coleta; e (III) confirmação se seria possível atingir o mesmo objetivo sem a coleta dos dados pessoais pretendidos, especialmente dados pessoais sensíveis .
Partindo-se da premissa de que a coleta de todos os dados pessoais, incluindo os sensíveis, é necessária e se qualifica como um caminho eficaz para promover um ambiente seguro para o retorno das atividades presenciais, faz-se mister a identificação da base legal que autoriza o tratamento, bem como a adoção de medidas que visem garantir que todos os princípios e disposições da LGPD serão aplicados de maneira eficaz.
Com efeito, é possível sustentar que a base legal disposta no artigo 11, II, "a", da LGPD, qual seja, "cumprimento de obrigação legal ou regulatória pelo controlador" pode apresentar-se como adequada para justificar o tratamento dos dados pessoais sensíveis. A obrigação legal que se pretende cumprir através do tratamento dos dados pessoais sensíveis no cenário discutido encontra fundamento no artigo 2º, § 2° da lei 8.080/90, o qual estabelece o dever de as empresas garantirem meios de concretização do pleno exercício do direito à saúde, e na lei 13.979/20, que dispõe sobre as medidas de enfrentamento da pandemia do covid-19 durante o estado de calamidade pública. Dentre essas medidas, estão as determinações para o compartilhamento de dados de saúde de pessoas infectadas e com suspeita de infecção pelo vírus com órgãos e entidades da administração pública federal, estadual, municipal e distrital e com autoridades sanitárias, como a ANVISA (artigo 6º, § 1º). Também se aplica nesse contexto o artigo 168, inciso III, da CLT (Consolidação das Leis do Trabalho), que determina a obrigação do empregador implementar e manter medidas de medicina preventiva do trabalho, inclusive promovendo exames médicos periódicos para seus empregados.
Também seria válida a argumentação de aplicabilidade da base legal de proteção da vida ou incolumidade física de terceiro, prevista no artigo 11, II, alínea "e", da LGPD. Isso porque o intuito da empresa é adotar medidas que previnam o contágio de outras pessoas pelo eventual titular contaminado, protegendo a vida dos demais empregados e terceiros com quem o titular possa ter contato durante as atividades laborais - com especial atenção para pessoas no grupo de risco.
Independentemente da base legal que se pretenda adotar para justificar o tratamento dos dados pessoais sensíveis, é imprescindível o cumprimento de todos os princípios dispostos no artigo 6º da LGPD, com destaque para os elencados a seguir:
Finalidade: o tratamento dos dados pessoais sensíveis deve se limitar restritivamente a finalidade única e exclusiva de promover um retorno às atividades presenciais de forma segura, mitigando riscos de contaminação entre os empregados. Não pode o empregador aproveitar-se desses dados para atingir outras finalidades diferentes daquelas relacionadas à segurança e prevenção de contágio no ambiente de trabalho.
Transparência: o empregador deve fornecer ao titular informações claras, precisas e facilmente acessíveis sobre o tratamento de dados pessoais sensíveis. Isso significa dizer que o titular tem o direito, por exemplo, de saber quais dados estão sendo coletados, para qual finalidade, por quanto tempo serão armazenados, quais direitos tem e como pode exercê-los, além dos impactos que esse tratamento de dados pessoais pode gerar a ele.
Necessidade: apenas dados estritamente necessários para o atingimento da finalidade do tratamento deverão ser coletados. O empregador deve observar o princípio da minimização dos dados pessoais e coletar o mínimo necessário para as finalidades de tratamento determinadas.
Não discriminação: a empresa não pode utilizar os dados pessoais coletados para fins discriminatórios, ou seja, deve evitar que as informações dos empregados contaminados se tornem públicas ou deem margem à criação de estigmas com relação a esses titulares. Nesse sentido, é recomendável que apenas profissionais de saúde da empregadora, devidamente autorizados e que tenham assinado Acordo de Confidencialidade tenham acesso aos dados pessoais de saúde dos empregados.
Segurança: o empregador deve adotar medidas técnicas para a proteção dos dados pessoais coletados relacionadas à tecnologia da informação, tais como a utilização de técnicas de autenticação de usuário, uso de criptografia, controle de acesso, segregação de servidores, mecanismos de segurança em softwares, assim como medidas administrativas que visam a criação de documentos e procedimentos internos para suportar essa coleta de dados, quais sejam política, normas e procedimentos de segurança da informação, avisos de privacidade, treinamento para capacitação das pessoas para uso correto e adequado dos dados pessoais.
Além desses princípios, destaca-se a necessidade de observação do princípio da responsabilização e prestação de contas (artigo 6º, inciso X, da LGPD), o qual traz em seu bojo a necessidade de a empresa documentar e conseguir comprovar que o tratamento foi ou está sendo realizado da forma como determina a lei, como também ressaltado pela Autoridade do Reino Unido ("accountability principle"). Como boa prática e demonstração objetiva e concreta do referido princípio, essa Autoridade aponta a necessidade de elaboração prévia ao tratamento de uma Avaliação de Impacto à Proteção de Dados pessoais (Data Protection Impact Assessment - DPIA) equivalente ao Relatório de Impacto à Proteção de Dados previsto na LGPD:
"To show that your processing of test data is compliant, you will need to use the accountability principle. It makes you responsible for complying with the GDPR and says that you must be able to demonstrate your compliance such as additional recording keeping requirements when processing sensitive data. One way of demonstrating accountability is through a data protection impact assessment (DPIA). If your organisation is going to undertake testing and process health information, then you should conduct a DPIA focussing on the new areas of risk."
Assim, a correta aplicação da base legal para o tratamento e a observância aos princípios supracitados, acompanhados da adoção das medidas técnicas e administrativas pertinentes, são essenciais para a proteção dos dados pessoais sensíveis dos empregados durante o retorno às atividades laborais presenciais nesse momento e dão segurança tanto para os próprios titulares quanto para as empresas.
_________
*Clarisse Salgado Monte Serrat é advogada, certificada como Data Protection Officer (DPO) pela Exin. Pós-graduanda em Direito Contratual pela PUC/SP. Graduada em Direito pela Universidade Estácio de Sá.
*Dayana Caroline Costa é advogada, graduada pela Faculdade de Direito de São Bernardo do Campo. MBA em Direito Digital pela Escola Paulista de Direito. Vice-presidente da Comissão de Direito Digital da OAB subseção de Santo Amaro.