O controle de jornada do teletrabalhador em tempos de proteção de dados

Em julho de 2021 o IBGE constatou que o número de trabalhadores em home office representava 11% da força de trabalho do país, o que equivale a aproximadamente oito milhões de pessoas. Certamente, houve uma redução desse número até o momento, mas a verdade é que muitas pessoas apreciaram essa modalidade de trabalho e pretendem permanecer nesse sistema.

Diante da maciça utilização do teletrabalho, o governo editou a MP 1108/22 alterando as regras da CLT e criando o sistema híbrido de contratação, que consiste na possiblidade do empregado prestar serviços alguns dias nas dependências do empregador e outros em teletrabalho.

Na exposição de motivos apresentada pelo ministro Onyx Lorenzoni, o fundamento principal foi retirar a limitação existente, que exigia que o teletrabalho fosse realizado somente fora da empresa. A MP também trouxe a possibilidade de o empregado prestar serviços por "jornada" ou por "produção ou tarefa" e acrescentou que, para essa segunda modalidade, não haverá aplicação de controle de horário, o que nos conduz à conclusão óbvia de que o controle de horário de trabalhador em regime de teletrabalho, por "jornada", é obrigatório.

Vale destacar que o § 2º do art. 74 da CLT diz que é obrigatório que os estabelecimentos com mais de 20 trabalhadores anotem a hora de entrada e de saída, em registro manual, mecânico ou eletrônico. E a portaria 373/11, do MTE, por sua vez, corrobora essa previsão legal, dispondo sobre a possibilidade de adoção de sistema alternativo eletrônico de controle de jornada através de acordo coletivo.

As decisões procedentes dos tribunais trabalhistas também têm apontado a obrigatoriedade do controle de jornada do empregado que trabalha à distância ou em atividade externa, se for constatado o uso de tecnologia que possibilite esse controle. Portanto, tanto a lei, quanto a jurisprudência consideram que, se há meios de controle de jornada, a impossibilidade de fiscalização do horário de teletrabalho é eliminada. E se ambas determinam esse controle, o monitoramento deverá ser feito.

Reconhecida, assim, a exigência de controle da jornada de teletrabalho, surge com relevância a necessidade de compatibilizar, de um lado, o dever do empregador de exercer o efetivo controle de jornada de trabalho e, de outro, o direito do empregado à proteção de dados e à preservação de sua privacidade e intimidade.

Esta harmonização é crítica e imprescindível, porque o teletrabalho, por concepção, utiliza dispositivos tecnológicos que podem ir além do simples monitoramento da jornada de trabalho, capazes de violar a privacidade e a intimidade do teletrabalhador, que assim como a proteção de dados pessoais, são direitos constitucionalmente tutelados e regulamentados pela LGPD.

A LGPD estabelece critérios para o tratamento de dados pessoais. Conforme definido pelo art. 5º, inciso X, da LGPD, "tratamento" é toda operação realizada com os dados pessoais, tais como coleta, armazenamento, processamento, avaliação e controle da operação, eliminação e transferência, ou seja, são vários verbos que exemplificam o tratamento de dados. O tratamento é admitido em hipóteses específicas previstas na LGPD, que estabelece as bases legais que validam esta atividade.

O trabalhador é um titular de dados assim como qualquer outra pessoa física, de modo que identificar a finalidade do tratamento e sua respectiva base legal é a principal tarefa capaz de tornar legítima a coleta dos dados. Parece-me que, em relação ao teletrabalho, a captura de dados para comprovação do início e término da jornada de trabalho é uma finalidade legítima, uma vez que a lei e a jurisprudência reconhecem a obrigatoriedade do controle. Parece-me, também, que a base legal para o tratamento desses dados é o chamado "cumprimento de obrigação legal", disposto no art. 7º, inciso II da LGPD.

Assim, estabelecida a base legal que autoriza a coleta de dados pelo empregador, convém enfrentarmos a seguinte questão: como o empregador poderá proceder para preservar a privacidade do empregado no caso específico do monitoramento da jornada de trabalho?

Em primeiro lugar, os empregadores devem estabelecer critérios no uso da tecnologia, para que não avancem sobre o tratamento de dados desnecessários para o efetivo controle da jornada, o que demanda avaliação rigorosa do software que fará esse monitoramento. Neste sentido, o art. 46 da LGPD diz que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados ou qualquer forma de tratamento inadequado ou ilícito. O §2º, do mesmo art., estabelece que as medidas deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

A consideração acima faz clara referência à teoria criada pela canadense, Ann Cavoukian, que introduziu o princípio da PbD - privacy by design¹, segundo o qual o processo de engenharia e desenvolvimento de um produto ou serviço que envolva o tratamento de dados pessoais deve garantir a proteção da privacidade. O princípio do PbD está baseado em sete fundamentos, dos quais cito apenas dois: 1. a privacidade como uma configuração padrão, garantindo que os dados pessoais estejam automaticamente protegidos em qualquer sistema tecnológico ou serviço, 2. e a privacidade embutida dentro do design e arquitetura do sistema tecnológico, como parte integrante desse sistema, sem diminuir sua funcionalidade.

Esses são fundamentos essenciais, que devem ser observados na contratação de uma ferramenta tecnológica e que contribuem para evitar a exposição indevida da privacidade e da intimidade do teletrabalhador, considerando, inclusive, que a prestação de serviços ocorre a partir de sua própria residência.

É esperado também que o empregador assuma boas práticas e estabeleça padrões éticos de tratamento de dados pessoais, agindo de forma transparente, informando ao titular quais dados serão tratados e para quais finalidades, além de permitir que o empregado solicite acesso aos seus dados quando achar pertinente. Um diferencial importante será a adoção de medidas técnicas e administrativas que envolvam tecnologia adequada e pessoas conscientes dos riscos e procedimentos, aptas a evitar um incidente de dados.

Enfim, é importante ressaltar a necessidade de cuidado ao implementar regras para o controle da jornada do teletrabalhador, pois qualquer atividade de tratamento de dados que ultrapasse a finalidade legítima de controle eletrônico de jornada poderá desrespeitar da LGPD, ocasionando danos ao titular dos dados e às empresas.