Manipulação de dados pessoais e o consentimento do empregado em tempos de LGPD

Embora o mundo todo esteja conectado em razão do grande avanço da tecnologia nas últimas décadas, sabemos que, na prática, especialmente nas relações de trabalho, é muito comum a manipulação de dados pessoais de colaboradores e de seus respectivos cônjuges e filhos, ainda pelo meio físico.

Isto é, dentre os dados pessoais mais utilizados no cotidiano das empresas, podemos citar de forma ilustrativa: dados cadastrais, captura de imagens, mensagens por aplicativos de comunicação, dados biométricos, dados bancários, Atestado de Saúde Ocupacional (ASO), histórico escolar, certificado de alistamento militar ou reservista etc.

Deste modo, considerando o elevado fluxo de dados pessoais no âmbito laboral, dúvidas não restam de que esta área merece especial proteção contra vazamentos, desde a fase pré-contratual, estando aí incluídos os processos seletivos e admissão, até a fase pós-contratual, momento em que a Empregadora continua responsável pela guarda dos dados daquele trabalhador.

Assim, é de extrema importância que as empresas compreendam a relevância do aculturamento da proteção de dados, por meio da adequação de suas rotinas trabalhistas, visando um sistema de gestão de riscos.

Em razão disso, "como medida de compliance, para qualquer tipo de empregado, visando a gestão e mitigação de riscos, é recomendável evitar a utilização do consentimento como base legal de tratamento de dados no âmbito das relações de trabalho¹", exceto quando o dado pessoal se enquadra como dado sensível. Por ser uma base legal frágil, o consentimento deverá ser utilizado como exceção, e não como regra.

Mas porque o consentimento é uma base legal frágil?

Primeiramente, para que o consentimento seja válido para todos os fins, deverá atender aos critérios definidos na lei, quais sejam: livre, expresso, informado e inequívoco.

Ocorre que, quando trazemos esses critérios para o âmbito laboral, difícil concluir que o consentimento fornecido pelo colaborador seja válido e sem qualquer vício, haja vista o inegável desequilíbrio contratual existente entre as duas partes. Entende-se que, por receio de sofrer represálias do seu empregador, o colaborador, parte hipossuficiente, não irá se opor às decisões acerca do tratamento de seus dados.

Um exemplo desse desequilíbrio se traduz nas cláusulas generalistas de consentimento contidas nos contratos de trabalho, que muito se assemelham com o contrato de adesão, o que impossibilita que o colaborador discuta tais cláusulas. Este cenário transfere à empregadora o ônus de comprovar a validade do consentimento.

Entendem Miziara, Mollicone, Pessoa que "nesse sentido, não há validade de consentimento se o empregado-titular assim proceder por temer consequências negativas. Não havendo liberdade na decisão, não há que se falar em validade²" e, como resultado, o consentimento será considerado nulo de pleno direito.

Outra razão, que revela a fragilidade do consentimento como base legal para o tratamento de dados pessoais, é a possibilidade do colaborador, a qualquer momento do contrato de trabalho, revogar seu consentimento, visto que a revogação se encontra no rol dos direitos do titular de dados, conforme estabelecido no inciso IX, art. 18 da lei.

Contudo, não significa que o consentimento nunca poderá ser utilizado como base legal para tratamento de dados dos colaboradores.

Estudo realizado pelo Grupo de Trabalho do Artigo 29º para a proteção de dados sustenta que "pode haver situações em que seja possível ao empregador demonstrar que o consentimento foi dado livremente. Atendendo ao desequilíbrio de poder entre empregadores e empregados, estes só podem dar o seu consentimento livremente em circunstâncias excepcionais, quando o ato de dar ou recusar o consentimento não produza quaisquer consequências negativas³".

Além disso, não se deve esquecer que a manifestação de vontade do empregado-titular deve ser específica e informada. Ou seja, "a instalação de software que facilitem o tratamento eletrônico de dados pessoais não podem ser qualificados como consentimento dado pelos empregados, uma vez que o consentimento exige uma manifestação ativa de vontade. A falta de ação não pode, em geral, ser considerada como um consentimento específico para permitir tal tratamento⁴".

Assim, em todo caso, a Empresa responsável pelo tratamento deve observar os princípios norteadores da proteção de dados presentes no art. 6º da lei 13.709/18, sendo os principais: transparência, finalidade, necessidade e boa-fé, que uma vez aplicados, alcançará a finalidade da norma.

_________