A cada ano que passa, a população brasileira se preocupa mais com a proteção de seus dados pessoais, inclusive em razão dos recentes e reiterados escândalos de vazamentos de informações, sendo um dos últimos deles relativo a dados de 223 milhões de brasileiros [1].
A necessidade de se normatizar de forma específica e criteriosa a relação das pessoas físicas e jurídicas com dados de terceiros, e de oferecer condições para que os dados pessoais sejam utilizados em ambiente controlado e seguro, culminou na edição da Lei nº 13.709/2018, chamada popularmente de LGPD (Lei Geral de Proteção de Dados).
O objetivo primordial da LGPD é proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural, através do regramento dos tipos de tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.
Acontece que esse marco regulatório acarreta a necessidade de adequação de todas as áreas que realizem o tratamento de dados, o que envolve grande parte de uma empresa, mas que nesse caso daremos enfoque a relação de trabalho.
Foram incluídos na LGPD conceitos jurídicos capazes de identificar todos os envolvidos e afetados pelo tratamento de dados, o que se mostra de suma importância em atenção às consequências do descumprimento de quaisquer dos preceitos contidos na Lei nº 13.709/2018.
Entre outras especificações, o artigo 5º do referido diploma legal nos informa três classificações de dados (dado pessoal, dado pessoal sensível e dado anonimizado), os termos atribuídos àqueles que lidarão diretamente com o tratamento desses dados (o titular, o controlador, o operador, o encarregado), o que se entende legalmente por consentimento e, ainda, as ações que serão consideradas espécies de tratamento.
Mais adiante, no artigo 7º, temos os requisitos para o tratamento de dados pessoais, texto no qual está consolidado que o tratamento de dados pessoais somente poderá ser realizado nas hipóteses de fornecimento de consentimento pelo titular ou, ainda, para o cumprimento de obrigação legal ou regulatória pelo controlador. Não obstante as hipóteses taxativas do artigo supramencionado sejam dez, por ora iremos nos concentrar nas duas primeiras listadas nos incisos I e II.
Dispositivo semelhante possui o artigo 11, que versa sobre tratamento de dados pessoais sensíveis, assim considerados os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural — vide artigo 5º, inciso II, da Lei nº 10.709/2018. Já que para relação de trabalho são necessários, na maioria das vezes, dados relativos à saúde, esse é um ponto que também requer um cuidado adicional.
Pela leitura de ambos os dispositivos citados, é possível notar que não se tratam de requisitos complementares e cumulativos, mas, sim, alternativos e de incidência fixada para diversas situações fáticas.
Ao referir como hipótese de regular tratamento de dados pessoais e de dados pessoais sensíveis o cumprimento de obrigação legal ou regulatória pelo controlado, de pronto pode-se afirmar que o empregador — quando da admissão de funcionários — ,independentemente do consentimento expresso destes, poderá tratar seus dados pessoais e dados pessoais sensíveis a fim de dar cumprimento a obrigações que possui em razão de previsão legal, nos seus estritos limites.
Como exemplo, temos a obrigação relacionada ao Cadastro Geral de Empregados e Desempregados (Caged). A Lei nº 4.923/1965 determina que empresas que dispensarem ou admitirem empregados são obrigadas a fazer a respectiva comunicação às Delegacias Regionais do Trabalho, mensalmente, em relação nominal por estabelecimento, da qual deverá constar também a indicação da CTPS ou, para os que ainda não a possuírem, nos termos da lei, os dados indispensáveis à sua identificação pessoal.
Na oportunidade de preenchimento das declarações, uma gama extensa e variável de informações tanto do contratante (empregador) quanto do contratado (empregado) são solicitadas pelo sistema, sem as quais não é possível validar o comunicado oficial ao órgão competente. Entre elas podemos citar: CNPJ ou CEI do estabelecimento contratante, PIS/Pasep do trabalhador, nome completo, número e série da CTPS, CPF, data de nascimento, raça, existência de deficiência, sexo, grau de instrução, data de admissão, horas contratuais, salariais e cargo contratado (CBO) [2].
Analisando as informações requeridas e as especificações da Lei Geral de Proteção de Dados, resta incontroversa a necessidade da prática de diversos tipos de tratamentos de dados. No entanto, a conduta dos agentes de tratamento deverá ser cuidadosa e criteriosa.
O artigo 5º, inciso X, da Lei nº 13.709/2018 nos informa que será considerado tratamento toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Ou seja, a cada coleta, a cada classificação, a cada reprodução e transmissão, ocorre um ato de tratamento. Por isso, é preciso observar os exatos limites legais que autorizam o tratamento de dados sem consentimento, isto é, para fins de cumprimento de ordem legal.
A coleta de dados para a realização da declaração do Caged, exemplo dado acima, não autoriza que os mesmos dados sejam posteriormente utilizados para outra finalidade. Caso ocorra esse uso diverso, o tratamento somente se valida através de consentimento específico do titular.
A complexidade da Lei Geral de Proteção de Dados é tal que um mesmo dado, relativo a um mesmo titular, manuseado por um mesmo agente de tratamento pode necessitar de autorização expressa e, em outro viés, não, o que vai requerer uma atenção do DPO ou responsável pela gestão desses dados.
Voltando à análise do Caged, especificamente quanto a dados pessoais sensíveis, ao coletar a informação do trabalhador, registrar o dado na declaração do Cadastro Geral de Empregados e Desempregados e transmiti-lo ao ministério, estamos diante da prática pelo empregador de três formas de tratamento previstas na LGPD, que, a princípio, são regidas pelo artigo 11, inciso II, alínea "a", da Lei nº 13.709/2018.
Por sua vez, no momento que o empregador insere essa informação — por exemplo — na ficha de registro do empregado, a hipótese não é mais a de cumprimento de obrigação legal ou regulatória pelo controlador, sendo obrigatório o consentimento de forma específica e destacada, e para finalidades específicas (no caso em exemplo, especificamente para constar na ficha de registro do empregado).
Essa análise pormenorizada deve ocorrer todas as vezes em que for feita qualquer coleta, inserção e demais modelos de tratamentos de dados, sob pena de incorrer nas penalidades previstas em lei.
O artigo 42 da LGPD dispõe que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Os incisos do §1º desse mesmo artigo complementam e determinam que: 1) o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador: e 2) os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente.
Essas disposições denotam que os agentes de tratamento de dados respondem integralmente e sem benefício de ordem pelos danos que causarem, inclusive em relação às multas informadas no artigo 52, que podem inclusive chegar à monta de R$ 50 milhões. Relevante atentar que a multa é aplicada por infração, ou seja, por cada espécie de tratamento feita com cada dado do titular.
Outro aspecto relevante, que merece intensa atenção, é a previsão normativa de o titular do dado ter o direito de revogar seu consentimento a qualquer tempo. O artigo 8º, §5º, da Lei nº 13.709/2018 nos informa que o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.
Significa dizer, no exato momento em que o titular do dado desautorizar o tratamento do mesmo, os agentes devem se abster imediatamente da prática. Para além das consequências mais evidentes dispostas na própria LGPD, é forçoso sobressaltar que a revogação do consentimento pode gerar reflexos de caráter processual.
Inegavelmente, este não foi a intenção da lei. No entanto, não se pode esquecer que na Justiça especializada do Trabalho boa parte da distribuição do ônus da prova em reclamações trabalhistas fica a cargo do polo passivo/parte reclamada, normalmente ocupada pelo empregador (ou, fazendo um paralelo com a LGPD, pelo operador ou controlador), que poderá perder acesso às informações importantes das mais diversas ordens e, em um processo trabalhista, se encontrar em uma posição que não terá em seu poder as provas necessárias para auxiliar na busca pela verdade é o mesmo que cercear o direito de defesa e infringir a ampla defesa e o contraditório.
Com certeza o Poder Judiciário terá papel imprescindível para analisar e dizimar situações complexas em que ocorrerá o uso da LGPD como forma de usurpação do sistema e utilização deste para benefício pessoal.
[1] Disponível em: https://g1.globo.com/economia/tecnologia/noticia/2021/01/28/vazamento-de-dados-de-223-milhoes-de-brasileiros-o-que-se-sabe-e-o-que-falta-saber.ghtml. Acessado em 30/4/2021.
[2] O Manual de Orientação do Caged elaborado pelo Ministério do Trabalho e Emprego em 2010 está disponível em: Microsoft Word - Manual_Caged_2010_versãoACI10.doc (llconsult.com.br); Acesso em 30/04/2021.
Fonte: Conjur
Comments