LGPD: três momentos nos quais as empresas têm de se preocupar
A Lei Geral de Proteção de Dados estabelece uma série de diretrizes, requisitos e obrigações a serem observadas por órgãos públicos e entidades privadas
Em qualquer lugar, do posto de gasolina ao supermercado, da farmácia ao metrô, na recepção dos hotéis, na fatura do cartão de crédito, nos processos seletivos, nos aplicativos de refeição e transporte, fornecemos diariamente dados sobre nós. Por isso, esses dados precisam ser protegidos para que não sejam utilizados de forma indiscriminada e para fins não autorizados.
Desde 18 de setembro de 2020 ganhamos um regime jurídico específico para tratamento de dados pessoais no Brasil, já que finalmente entrou em vigor a Lei Geral de Proteção de Dados Pessoais (“LGPD” – Lei 13.709/2018).
Inspirada no regulamento europeu, a LGPD veio estabelecer uma série de diretrizes, requisitos e obrigações a serem observadas por órgãos públicos e entidades privadas no tratamento de dados de pessoas físicas e jurídicas.
Embora a LGPD estabeleça sanções administrativas, tais como multas de até 50 milhões de reais por infração, a aplicação dessas sanções pela Autoridade Nacional de Proteção de Dados (“ANPD”) foi prorrogada para agosto de 2021. No entanto, os demais artigos da LGPD estão em pleno vigor e isso significa dizer que os outros órgãos reguladores de consumo como o SENACON e os PROCONs e o Ministério Público já podem exigir o seu cumprimento realizando fiscalizações, instaurando procedimentos e inquéritos civis para averiguar possíveis violações à legislação e aplicar sanções pelo seu descumprimento. Do mesmo modo, as pessoas físicas e jurídicas titulares de dados já podem exercer seus direitos previstos na LGPD, podendo, inclusive, ajuizar ações com base na sua violação.
Apesar das incertezas que ainda pairam sobre a LGPD, especialmente sobre como funcionará, na prática, a atuação da ANPD, as empresas precisam desenvolver ou acelerar seus projetos de adoção das diversas medidas técnicas e administrativas que visem à sua observância.
Mas, a pergunta que fica é: como a LGPD se relaciona com as práticas trabalhistas? Consideramos que há três momentos fundamentais nos quais as empresas têm de se preocupar para não infringir a legislação de proteção de dados: momento da seleção de pessoal, armazenamento dos dados coletados dos trabalhadores e no momento da dispensa.
Na seleção de pessoal, os velhos formulários de entrevistas de emprego e as solicitações de inúmeras informações nos currículos devem ser repensados. A empresa deverá observar se o dado pessoal solicitado é compatível com o contexto de uma seleção de candidatos (princípio da adequação). Além disso, deverá observar se o dado solicitado é efetivamente necessário para a escolha do candidato que preencherá a vaga ofertada (princípio da necessidade). O excesso de solicitações de dados desnecessários ao processo de seleção pode ser entendido como forma de discriminação de candidatos e gerar sanções na esfera trabalhista. Exemplo: se a vaga é oferecida para auxiliar administrativo na equipe financeira da empresa, geralmente é desnecessário pedir que o candidato forneça dados relativos ao seu estado civil, filiação partidária ou convicção religiosa.
Para o armazenamento dos dados coletados dos trabalhadores, a LGPD estabelece uma séria de diretrizes e requisitos a serem seguidos pelos operadores no armazenamento – uma das formas de tratamento de dados – dos dados pessoais coletados. Dentre eles, dispõe que o tratamento de dados pessoais necessita de consentimento (livre e sem vícios) de seu titular. Assim, é importante que as empresas exijam, como prática, o consentimento do trabalhador para que possa coletar e armazenar o dado fornecido por ele no momento da contratação ou no curso do contrato. Mas, o cuidado não deve se restringir ao consentimento. É necessário que a empresa adote todas as medidas necessárias à proteção dos dados coletados e garanta ao titular desses dados acesso fácil, preciso e transparente sobre o seu tratamento. Exemplo: criação de políticas internas informativas sobre como funciona o protocolo de tratamento de dados pela empresa; revisão dos modelos de contratos de trabalho e contratos com empresas prestadoras de serviços etc.
No caso da dispensa do trabalhador, ocorrendo a extinção da relação contratual, via de regra o tratamento de dados deixará de ser necessário à empresa. Por isso, a empresa deverá tomar os cuidados pertinentes à eliminação dos dados pessoais, podendo conservar aqueles cuja necessidade seja justificada pela própria LGPD (cumprimento de obrigação legal ou regulatória; realização de estudos por órgão de pesquisa; transferências a terceiros, observando-se os requisitos legais dispostos na LGPD, dentre outros).
A LGPD é um avanço da legislação brasileira na proteção de dados. A partir de agora, as empresas, especialmente as de marketing, e-commerce, telecomunicações e tecnologia, terão de ser ainda mais responsáveis pelos dados pessoais dos seus trabalhadores, fornecedores e clientes. Será preciso armazená-los em ambientes seguros, especialmente os dados sensíveis (relacionados à religião, política, saúde, características físicas e orientação sexual) e aqueles relativos menores de idade, e evitar o excesso de solicitação de dados desnecessários. Numa sociedade invasiva e vulnerável como a nossa, o desafio será adequar as condutas praticadas ao longo desses anos por todos nós com as diretrizes trazidas pela LGPD.
Afinal, não estamos fazendo nada além de dar corpo a um princípio fundamental que já conhecemos há muito tempo, mas que ficava muito restrito ao plano das ideias: o princípio constitucional da intimidade e privacidade.