Em 18 de setembro de 2020, entrou em vigor da Lei Geral de Proteção de Dados (LGPD), que traz transformações importantes às relações de trabalho.
A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado. O intuito é o de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade natural.
A legislação brasileira não traz tratamento específico ao Direito do Trabalho, como ocorre com sua predecessora legislação europeia: o Regulamento Geral de Proteção de Dados (RGPD), cuja entrada em vigor definitiva aconteceu em maio de 2018. Os efeitos da entrada em vigor da nova legislação têm de ser examinados sob o prisma do tratamento às informações pessoais dos empregados, mas também no dia a dia das relações de trabalho, como mencionaremos abaixo.
A título de exemplo, os empregadores franceses possuem hoje disposição específica ao tratamento de dados pessoais em todos os contratos assinados com empregados, fornecedores e prestadores de serviço, e demandam a autorização de todos os clientes para o processamento de quaisquer dados que possam a ser utilizados no curso da prestação de serviços. Os pontos mais importantes relativos ao Direito do Trabalho, sob o prisma europeu, são o consentimento prévio dos empregados; a máxima redução da quantidade de dados pessoais coletados dos empregados; a garantia de segurança e de confidencialidade no tratamento dos dados coletados; o reconhecimento do direito de acesso aos dados coletados; a designação de um Diretor de Proteção de Dados ("Data Protection Officer" ou "DPO"), também previsto na lei brasileira, para todas as empresas com mais de 250 empregados.
No Brasil ainda aguardamos a atuação da Autoridade Nacional de Proteção de Dados (“ANPD”), responsável pela fiscalização e pela regulamentação do tratamento de dados pessoais, mas podemos utilizar a legislação em vigor para a revisão das práticas corporativas internas sobre a proteção de dados.
Destacamos primeiramente os conceitos fundamentais descritos no art. 5° da RGPD brasileira:
- Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável (I);
- Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (II);
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (V);
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (VI);
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (VII);
- Agentes de Tratamento: o controlador e o operador (IX);
- Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (X);
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (XII); e
- Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado (XIV).
- Ademais, dentre os princípios norteadores do tratamento de dados pessoais no RGPD (art. 6º), destacamos aqueles relacionados à:
- Boa-Fé (caput do art. 6º);
- Finalidade: tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades (I);
- Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento (II);
- Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados (III);
- Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais (IV);
- Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial (VI);
- Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (VII), e
- Não-discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos (IX).
Segundo o art. 7º, o tratamento de dados pessoais somente poderá ser realizado nas seguintes situações:
(...)
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
(...)
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
(...)
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
(...)
Nos processos de seleção, via de regra, o tratamento de dados deve ocorrer através do consentimento do titular, pois trata-se de momento anterior à contratação, quando os dados pessoais são tratados para o cumprimento de obrigação legal pelo controlador, hipótese que não depende de consentimento e que não seria o foco de nossa consulta.
Tal consentimento, livre de quaisquer vícios, deverá ser fornecido por escrito e mencionar as finalidades determinadas, sendo que as autorizações genéricas serão nulas (§ 1º, 3º e 4º do art. 8º). Caso haja mudanças da finalidade não compatíveis com o consentimento original, o controlador deverá informar previamente o titular, podendo este revogar o consentimento, caso assim discorde (§ 2º, art. 9º). E, ainda, se o controlador necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular (§ 5º, art. 7º).
Após o término do tratamento de dados pessoais, caso o candidato não seja contratado após o processo de seleção, os dados pessoais deverão ser eliminados (art. 16º).
Vale mencionar que é dispensada a exigência de consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos e princípios previstos na LGPD (§ 4º, art. 7°). Contudo, a eventual dispensa da exigência do consentimento escrito não desobriga a observância dos princípios gerais e da garantia dos direitos do titular (§ 6º. Art. 7º).
Com relação ao legítimo interesse do controlador, o art. 10 da LGPD determina que somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, sendo que (I) somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados, excluídos os dados pessoais sensíveis; (II) o controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse, e (III) a ANPD poderá solicitar ao controlador registro de tratamento de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial. Aliás, os agentes de tratamento devem manter registros das operações de tratamento que realizem, especialmente baseado no legítimo interesse (art. 37), pois hipótese de dispensa de consentimento.
Importante ressaltar que o titular dos dados pessoais tem direito a obter do controlador, a qualquer momento, mediante requisição (I) a confirmação da existência de tratamento; (II) o acesso aos dados; (III) a correção de dados incompletos, inexatos ou desatualizados; (IV) anonimização, bloqueio ou eliminação de dados; (V) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; (VI) revogação do consentimento, dentre outros (art. 18).
As sanções administrativas em razão das infrações à LGPD abrangem desde simples advertência, com indicação de prazo de adoção de medidas corretivas; multa simples de até 2% do faturamento no último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração; multa diária, observado o limite mencionado; suspensão e proibição, parcial ou total do exercício de atividades relacionadas a tratamento de dados, dentre outras (art. 52).
Ainda que tenhamos que aguardar a jurisprudência sobre o tema e a atuação da ANPD, nos parece que:
- Via de regra, o tratamento de dados de candidatos em processos seletivos deverá ocorrer mediante consentimento destes;
- O consentimento deverá ser obtido por escrito e para finalidades determinadas e qualquer compartilhamento deverá ser expressamente autorizado previamente;
- Caso o candidato não seja contratado após o processo de seleção, os dados pessoais deverão ser eliminados, salvo consentimento do titular para manutenção dos dados pessoais em arquivo;
- A mera consulta ou acesso de dados pessoais publicados em mídias sociais, por exemplo, pelo próprio titular poderá ser feita, desde que de forma legítima, não-discriminatória e compatível com a finalidade pretendida, sem necessidade de prévio consentimento específico e por escrito. Caso haja a efetiva coleta e armazenamento de dados pessoais, entendemos que tais modalidades de tratamento devam ser previamente consentidas (e de forma específica, destacada e para finalidades específicas, quando se tratarem de dados pessoais sensíveis);
- A princípio seria possível justificar a consulta a antecedentes criminais para executivos que tenham acesso a informações sigilosas, tal qual a tese adotada pelo TST, como legítimo interesse, a dispensar o consentimento específico e escrito do titular, desde que o titular seja ao menos informado dessa possibilidade, em virtude do princípio da transparência e boa-fé adotados pela lei (no entanto, entendemos arriscado, considerando que o julgamento foi realizado em data anterior à entrada em vigor da LGPD);
- A ANPD poderá solicitar ao controlador registro de tratamento de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo. Desta forma, caberá à ANPD, em última análise, o enquadramento da hipótese de “legítimo interesse” e a dispensa de consentimento do titular ou a caraterização de infração e aplicação da sanção correspondente;
- O candidato em processo de seleção, o candidato não selecionado e o colaborador/empregado contratado, titulares dos dados pessoais, poderão, a qualquer momento, ter acesso aos dados pessoais tratados e exigir os direitos estabelecidos na LGPD, como anonimização, bloqueio ou eliminação, ressalvado o tratamento de dados em virtude de obrigação legal ou regulatória;
- Enquanto não houver a atuação da ANPD, a nosso ver, a postura das empresas deverá ser mais conservadora, obtendo sempre o consentimento dos candidatos titulares para o tratamento dos seus dados, inclusive em relação à consulta de antecedentes criminais, em virtude dos riscos aqui mencionados, cujo impacto financeiro pode até ser consideravelmente mais elevado que na hipótese trabalhista.
Recomendamos que as empresas revisem as práticas corporativas internas sobre a proteção de dados e criem os seus próprios protocolos de acordo com as obrigações legais.