A Lei 13.709/2018, denominada Lei Geral de Proteção de Dados, foi inspirada no Regulamento Geral ou Regulamento (UE) 2016/679 do Parlamento Europeu de 27 de abril de 2016, o qual revogou a Diretiva 95/46/CE. A Lei Geral de Proteção de Dados é uma lei totalmente principiológica e o compliance trabalhista é a cultura de adequação não apenas à regra, como aos princípios fundamentais.
O artigo 88 do regulamento europeu, destinado especificamente às relações laborais, autoriza a regulamentação por meio de convenções coletivas de trabalho, o que infelizmente não foi repetido na nossa Lei Geral de Proteção de Dados. A Lei Geral de Proteção de Dados não tratou, de forma expressa, das relações de trabalho, mas se aplica no tratamento de dados pessoais dos empregados e demais trabalhadores pelos empregadores ou tomadores.
A proteção aos dados começa já no anúncio da vaga
A adequação à Lei Geral de Proteção de Dados deve iniciar, nas relações de trabalho, desde o anúncio de vaga, no processo seletivo, durante a execução do contrato de trabalho, no tratamento de dados de saúde e segurança do trabalho, sendo estes últimos dados pessoais sensíveis e deve ocorrer até à cessação da relação do trabalho, podendo ainda estes dados serem guardados durante o período prescricional.
No anúncio de vaga de emprego, onde inicia o tratamento dos dados pessoais do candidato à vaga de emprego, devem ser apenas solicitados os dados indispensáveis à vaga. Deve haver o cuidado para que o tratamento não ofenda o princípio da não discriminação, tratando-se dados pessoais sensíveis sem consentimento, ou sem base em alguma das demais hipóteses autorizadoras de tratamento, salvo quando a natureza da atividade a ser exercida, pública e notoriamente, assim o exigir, ou for para a tutela e proteção do próprio candidato, como, por exemplo, exigência de idade mínima para trabalho em atividades perigosas, insalubres ou em horário noturno, nos termos do artigo 7º da Constituição Federal de 1988, inciso XXXIII.
Consentimento para tratamento de dados pessoais
A primeira hipótese autorizadora do tratamento de dados pessoais, ou mesmo dos dados pessoais sensíveis, é o consentimento, o qual deverá ser livre, informado e inequívoco, referindo-se este, nos termos da lei, a finalidades determinadas e específicas, sendo que as autorizações genéricas para o tratamento de dados pessoais serão consideradas nulas. O consentimento será colhido de forma “granularizada”, de grão em grão, inclusive para armazenamento de currículos e transferência de dados a terceiros, como tomadoras de serviços, sindicatos, planos de saúde, seguros de vida e empresas gestoras de folha de pagamento.
Nas relações de trabalho, o empregado é subordinado ao empregador, sendo improvável que o titular dos dados recuse dar o consentimento ao seu empregador para o tratamento dos dados, havendo desiquilíbrio de poder e o que já foi objeto de discussão, na União Europeia, pelo Grupo de Trabalho do Artigo 29.º, Working Party 29, o qual traz orientações relativas ao consentimento no regulamento da União Europeia 2016/679 e que foi criado pela revogada Diretiva 95/46/CE. O Grupo de Trabalho do Artigo 29.º , no capítulo 3.1.1, traz orientações que tratam do desiquilíbrio de poder, incluindo as relações de trabalho. O Grupo de T29 considera problemática a questão de os empregadores procederem ao tratamento de dados pessoais dos seus trabalhadores atuais ou futuros com base no consentimento, uma vez que é improvável que esse consentimento seja dado de livre vontade.
Tratamento de dados para cumprimento de obrigação legal
A segunda hipótese de tratamento que é para o cumprimento de obrigação legal ou regulatória, pelo controlador, é sempre o meio mais seguro de tratamento, nas relações de trabalho. O envio de dados para o eSocial e para a EFD-Reinf se tratarem de hipótese de cumprimento de obrigação legal ou regulatória pelo controlador.
É possível o tratamento para a tutela da saúde, nos termos do inciso VIII, artigo 7º, da Lei 13.709/2018, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias, imaginemos uma enfermeira que tenha um acidente e se pique com uma agulha enquanto faz a coleta de sangue em um paciente detentor do vírus HIV.
O tratamento pode ter por base o legítimo interesse do controlador, que é o empregador, em regra, nos termos do artigo 7º, IX, mas este não pode ser uma “porta aberta” para todas situações de tratamento que não se encontram dentro das outras hipóteses não previstas nos demais incisos do artigo 7º da Lei Geral de Proteção de Dados, devendo sempre prevalecer os direitos e liberdades fundamentais do titular dos dados pessoais.
O artigo 11º da Lei 13.709 de 2018, traz as hipóteses de tratamento de dados pessoais sensíveis, sendo também exceção ao consentimento, entre outras, o cumprimento de obrigação legal.
Os dados biométricos, assim como aqueles de maior potencial discriminatório, são considerados dados pessoais sensíveis, mas podemos considerar a possibilidade da utilização, enquanto vigente o contrato de trabalho, para viabilizar o uso do REP ou registro eletrônico de ponto por se tratar de cumprimento de obrigação legal, o que não ocorre com os dados biométricos para acesso às dependências da empresa.
A Autoridade para as Condições de Trabalho, em Portugal, país ao qual se aplica o regulamento europeu e no qual se inspira nossa legislação de proteção de dados, emitiu a Nota Técnica de número 8, com o tema: “Impacto do Regulamento Geral de Proteção de Dados nas relações laborais”, podendo estas orientações ser úteis, naquilo que for compatível com nossa legislação.
Conclusão
A Lei Geral de Proteção de Dados traz uma nova ferramenta de compliance, o relatório de impacto à proteção de dados pessoais, que contém toda a descrição dos processos de tratamento de dados pessoais, que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Com um bom programa de compliance, em apoio à governança, a empresa se adequará à Lei Geral de Proteção de Dados, evitando ser penalizada com sanções administrativas ou com altas condenações, principalmente em ações coletivas, no Judiciário, seja por não adequação à legislação trabalhista, aos princípios constitucionais, à Lei Geral de Proteção de Dados e outras normas.
Artigo escrito pela professora do MBA FGV, SELMA CARLOTO. Doutora em Direito do Trabalho pela Universidade Federal de Buenos Aires e USP. Mestre em Relações de Trabalho pela Universidade de Coimbra. Especialista em Processo do Trabalho pela faculdade autônoma de São Paulo. Professora de mestrado da Universidade Alemã de Steinbeis. Palestrante em treinamentos, congressos e seminários de Compliance Trabalhista, Modelos de Contratos, Terceirização, Limbo Previdenciário, Estratégias de Prevenção de Passivos Trabalhistas, Dano Moral e Legislação Trabalhista. Autora dos livros publicados no exterior: Manual de Derecho Laboral Comparado e Interesses Metaindividuais e Acões Coletivas.
