A AB2L iniciou suas atividades em 2017 e, desde então, escreve os capítulos de uma história que tem muito para contar sobre o ecossistema de tecnologia jurídica.
Conheça nossas associadas.
Programas para educar o mercado, fomentar o ecossistema e participar ativamente do processo de regulamentação brasileiro entre direito e tecnologia.
Capítulos regionais/locais exclusivos para associados e grupos abertos ao público em geral.
Por Raphael Miziara
No ano de 1890 foi publicado na Harvard Law Review o famoso ensaio acadêmico intitulado The right to privacy, de Samuel D. Warren e Louis D. Brandes[1]. Considerado um marco doutrinário sobre o direito à privacidade, o estudo demonstrou, já à época, a preocupação com os impactos das novas tecnologias nas esferas menos penetráveis da vida de cada pessoa.[2]
Desde então, foram notáveis, em diversos ordenamentos jurídicos, os avanços na tutela da privacidade dos indivíduos. Na Europa, sobretudo, múltiplas foram as produções normativas que buscaram o resguardo da privacidade e da intimidade, especialmente do chamado “direito à proteção de dados”[3], hoje alçado ao patamar de direito autônomo em relação à privacidade, dada a especialidade de regras e princípios que o ordenam.[4]
Medidas legislativas são bem-vindas e necessárias, na medida em que o dado pessoal é atualmente um dos principais componentes daquilo que se convencionou chamar de “economia dirigida por dados” (data driven economy), no seio da qual os dados são, cada vez mais, processados e valorados economicamente, servindo de valioso instrumento para tomada de importantes decisões (DDDM – Data Driven Decision Making)[5]
Com a pretensão de se alinhar ao cenário mundial de crescente busca pela proteção de dados[6], o Poder Legislativo brasileiro editou a Lei nº 13.709 de 2018, a chamada Lei Geral de Proteção de Dados Pessoais – LGPD, que entrará em vigor em agosto de 2020. Considerada um marco regulatório da proteção de dados no Brasil, a lei surge com a promessa de impor novos paradigmas à tutela normativa da privacidade e da intimidade dos indivíduos.[7]
De incontestável transversalidade, pois provoca expressivos impactos em todas as áreas do direito, a lei tem por objetivo principal proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural (art. 1º).
Contudo, não se pode negar que além do declarado objetivo de proteção à pessoa humana, razões de ordem econômica também impulsionaram a atividade legiferente, pois a norma busca evitar o risco de isolamento das empresas brasileiras do mercado global, além de perdas de competitividade e de investimentos estrangeiros.[8]
Justamente em razão de seu caráter transversal é que a LGPD atinge substancialmente o campo normativo das relações de trabalho subordinado, que possuem como característica lancinante a desigualdade fático-jurídica entre os contratantes. Com efeito, na medida em que em uma relação contratual o objeto do contrato se mostra essencial para sobrevivência de um dos sujeitos (paradigma da essencialidade), mostra-se imperiosa a proteção jurídico-retificadora imposta pela lei.
A própria nomenclatura da Lei nº 13.709 de 2018 é sugestiva, pois busca proteger os dados da pessoa natural, no caso, o empregado, figura em regra vulnerável no cotidiano das relações trabalhistas, sobretudo nos momentos pré-contratual e contratual.
Na tutela dos chamados direitos inespecíficos dos trabalhadores, tais como a privacidade e a intimidade, embora a Lei Geral de Proteção de Dados nada diga expressamente sobre as relações de trabalho subordinado, tem inegável alcance sobre a proteção de dados dos empregados, pois dispõe genericamente sobre o tratamento[9] de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado (art. 1º), o que, por certo, inclui a pessoa do trabalhador, na sua inegável qualidade de pessoa natural.
Não se duvida que a nova lei impactará profundamente as relações trabalhistas. Para que se tenha dimensão exata do que aqui se afirma, basta imaginar o enorme fluxo de dados de titularidade dos empregados que circula no âmbito organizacional, o que vai desde as entrevistas de seleção até os momentos posteriores ao término da relação contratual.
Nesse contexto, será preciso ao empregador saber quais os fundamentos e hipóteses que legitimam, ou seja, tornam lícito, o tratamento de dados pessoais dos trabalhadores.
Há mais: não basta que se faça o correto enquadramento da situação à hipótese legal que legitima o tratamento. Além disso, é preciso saber o modo pelo qual o tratamento poderá ser realizado (por quanto tempo, em qual lugar e de que forma ou procedimento).
É claro que a proteção de dados do trabalhador não é absoluta, podendo por isso sofrer restrições diante das peculiaridades e exigências da convivência laboral, o que franqueia ao empregador o tratamento de certos dados, sob determinadas circunstâncias a serem aferidas in concreto.
Para facilitar a compreensão e dimensão dos reflexos da nova leis nas práticas trabalhistas, pode-se segmentar as inúmeras situações que deverão despertar o cuidado do empregador em três grandes períodos ou fases: a) período pré-contratual; b) período contratual; e, por fim, c) período pós-contratual.
No período pré-contratual, as atenções deverão se voltar, por exemplo, para a investigação da vida privada do empregado (background checks) – o que inclui pesquisa acerca dos precedentes de crédito, solicitações de certidão de antecedentes criminais, bem como pedidos de referência e bons antecedentes funcionais a outros empregadores.
Também nessa fase, o empregador deverá adotar o procedimento correto para a adequada coleta de dados não sensíveis e sensíveis nas entrevistas de seleção (acesso ao patrimônio genético do trabalhador; perguntas sobre dados relacionados à convicção religiosa, opinião política, filiação sindical ou a organizações de caráter religioso, filosófico ou político, dados relacionados à saúde ou à vida sexual e outros). Ainda, importa saber como realizar o tratamento doe dados dos candidatos não selecionados para a contratação.
Já para a proteção de dados no período contratual, as cautelas devem ser canalizadas, por exemplo, para o tratamento de dados insertos nos Atestados de Saúde Ocupacional (ASO) admissionais.
A simples coleta da fotografia do empregado para confecção de um crachá exigirá procedimento nunca antes previsto. O mesmo se dará em relação à coleta de dados comumente exigidos para a contratação, tais como números do CPF, PIS, CTPS, filiação sindical e outros.
Igualmente, será preciso identificar a hipótese legal que legitimará o uso de recursos para coleta de dados biométricos, tais como impressão digital, geometria da mão, reconhecimento facial, leitura biométrica de íris e retina. Também nessa fase o empregador, em situações excepcionais, poderá realizar o tratamento de dados atinentes à vida extralaboral do empregado, o que exigirá cuidado redobrado.
De igual modo, no monitoramento das redes sociais, correio eletrônico, chamadas telefônicas e internet; no controle do trabalhador via sistemas de geolocalização, videovigilância ou gravação sonora; na forma de coleta e armazenamento de atestados médicos, testes antidoping e de gravidez, dentre inúmeros outros.
A discussão acerca da exigência de CID nos atestados médicos é assunto que será ainda mais reavivado. Todos esses casos rotineiros deverão ser corretamente enquadrados, pelo empregador, em uma das hipóteses legitimadoras de acesso aos dados previstas na LGPD, o que se alia à necessidade de adoção do procedimento correto (tempo, lugar e modo).
Em relação ao período pós-contratual, o empregador deverá saber como se portar em relação aos pedidos de referência e bons antecedentes funcionais realizados por outros empregadores. Igualmente, de que modo e por quanto tempo poderá armazenar dados de um ex-trabalhador ou como tratar os dados de trabalhadores já falecidos.
Há, ainda, os casos especiais de compartilhamento de dados do titular (empregado) entre empresas do mesmo grupo econômico. A medida e a forma pela qual poderá se dar tal compartilhamento por certo exigirão atenção redobrada.
O mesmo se dá em relação ao possível compartilhamento de dados dos empregados com as entidades sindicais e com empresas de planos de saúde. Igualmente, a forma correta de compartilhar dados entre as partes envolvidas nos contratos de prestação de serviços a terceiros (terceirização) e, até mesmo, com o compartilhamento de dados com escritórios de contabilidade, advocacia e com o Poder Público.
Por fim, há outros casos especiais de tratamento, como os do empregado chamado de “hipersuficiente”; de empregados crianças e de adolescentes, nos casos em que o ordenamento permite o trabalho; das empresas multinacionais, por envolver a transferência internacional de dados.
Tudo isso leva à conclusão de que com a entrada em vigor da nova lei, o empregador – chamado pela Lei de “Controlador” – deverá estar atento às hipóteses legais que autorizam o tratamento de dados sensíveis[10] e/ou não sensíveis no contexto laboral (arts. 7º a 11 da LGPD), tais como, dentre várias outras hipóteses, mediante o fornecimento de consentimento pelo titular; para o cumprimento de obrigação legal ou regulatória pelo controlador; para a proteção da vida ou da incolumidade física do titular ou de terceiro etc.[11]
Mas, não basta que se faça o correto enquadramento da situação à hipótese legal que autoriza o tratamento. Além disso, é preciso saber o modo pelo qual o tratamento poderá ser realizado (por quanto tempo, em qual lugar e de que forma). Todas essas respostas poderão ser extraídas direta ou indiretamente da novel legislação e dos princípios que orientam a proteção de dados.
Para se der uma ideia da dimensão do problema, pode-se mencionar, apenas a título exemplificativo, a obrigação que o empregador terá de informar adequadamente os empregados sobre como a informação será tratada[12] e o porquê de o tratamento ser necessário.
Ainda, a complexidade da situação se mostra mais acentuada nas relações de trabalho subordinado, o que se pode notar quando se enfrenta a hipótese legal de tratamento denominada “consentimento do titular/empregado” (art. 7º, inciso I, da LGPD)[13].
Com efeito, é fato notório e comum às regras de experiência que na relação de emprego o consentimento livre, como exige a lei, é sempre passível de questionamento, ante à assimetria e (hiper)vulnerabilidade próprias no âmbito das relações de trabalho subordinado.
Assim, relativamente à maioria dos casos de tratamento de dados dos empregados, recomenda-se que o empregador opte por base jurídica diversa do consentimento do titular, até porque o ônus da prova quanto à higidez da manifestação de vontade será do empregador, conforme expressa disposição legal (art. 8º, § 2º, da LGPD).[14]
Como se vê, recomenda-se ao empregador que opte por outras hipóteses de tratamento de dados, pois menos suscetíveis a riscos e à revogação do titular, equalizando assim as assimetrias para um controle mais efetivo dos dados pessoais dos empregados. A propósito, a escolha de outros fundamentos jurídicos de que poderão se valer as empresas para proceder ao legítimo tratamento de dados deverá ser feito profissionais capacitados em proteção de dados.
As empresas e organizações brasileiras não podem ficar alheias a tantas mudanças. Por diversos motivos câmbios estruturais se farão necessários no cotidiano dos agentes econômicos. E, não se está a falar aqui de uma opção estratégica, mas sim de uma necessidade real e imperiosa, até porque a adequação às normas de proteção de dados constitui-se em uma obrigação legal, ou seja, não facultativa, com a previsão de multas pecuniárias elevadíssimas e riscos de responsabilidade civil, o que poderá criar um passivo considerável.[15]
Para além de consubstanciar-se em obrigação legal, pode-se mencionar ainda outros motivos que conduzem à necessidade de adequação empresarial aos ditames da nova lei. Cite-se, ilustrativamente, a existência de evidente tendência de mercado em agregar valor à marca e à empresa em razão da maior transparência e controle dos dados que estão em seu poder. Outrossim, é preciso que se evite o já explicado (supra, nota nº 9) risco de isolamento mercantil, pois a lei europeia de proteção de dados proíbe que as empresas lá situadas tenham relações comerciais com empresas que não dispõem do nível de proteção de dados adequado.
Como se vê, a LGPD impõe às empresas a necessária revisão de procedimentos já existentes, possivelmente com a criação de novos mecanismos, de modo que as mesmas possam demonstrar e provar o cumprimento com as novas regras impostas. Muitas, inclusive, já começaram a se movimentar nesse sentido, encontrando-se aquelas já estão totalmente adequadas e prontas para bem receber a nova Lei.
Mostra-se clara a necessidade e preocupação que todas empresas devem ter para promoverem a devida adequação de suas práticas e rotinas aos comandos da nova lei. Tarefas que antes não despertavam a preocupação de determinados setores da empresa (vide, por exemplo, os setores de recursos humanos e tecnologia) passarão a ser complexas e exigir enormes cautelas no tocante ao tratamento de dados, sob pena de reponsabilidade civil do empregador controlador, além das penalidades de ordem administrativa previstas na Lei.
Desse modo, a vigência da LGPD exigirá dos empregadores enorme esforço para adequar suas rotinas trabalhistas às exigências legais, providência que desde já se recomenda.
[1] WARREN, Samuel D.; BRANDEIS, Louis D. The right to privacy. In: Harvard Law Review, vol. 4, nº 5 (Dec. 15, 1980), p. 193-220.
[2] A seguinte passagem bem ilustra a preocupação dos autores: “Recent inventions and business methods call attention to the next step which must be taken for the protection of the person, and for securing to the individual what Judge Cooley calls the right ‘to be let alone (Cooley on Torts, 2. ed., p. 29)’. Instantaneous photographs and newspaper enterprise have invaded the sacred precincts of private and domestic life; and numerous mechanical devices threaten to make good the prediction that ‘what is whispered in the closet shall be proclaimed from house-tops’” (WARREN, Samuel D.; BRANDEIS, Louis D. op. cit., p. 195. Em tradução livre: Recentes invenções e métodos de negócios chamam a atenção para o próximo passo que deve ser dado para a proteção da pessoa e para garantir ao indivíduo o que o juiz Cooley chama de direito de direito de “ser deixado sozinho” (Cooley on Torts, 2. ed., p. 29). Fotografias instantâneas e empresas de jornais invadiram os recintos sagrados da vida privada e doméstica; e inúmeros dispositivos mecânicos ameaçam retificar a previsão de que “o que é sussurrado no armário deve ser proclamado do topo da casa”.
[3] Desde a década de 70, por exemplo, o Conselho da Europa já disciplinava juridicamente o tratamento de dados pessoais, por meio das Resoluções nº 22 de 1973 e nº 29 de 1974, ambas versando sobre princípios para proteção de informações pessoais em bancos de dados automatizados, tanto no setor público, como privado. No ano de 1981 foi editada a Convenção nº 108, do Conselho da Europa, para a Proteção de Indivíduos com Relação ao Processamento Automático de Dados Pessoais, considerado o primeiro instrumento internacional disciplinando especificamente o assunto com força legal, aberta inclusive a países não membros da Comunidade Europeia. Já em 1995 foi editada a Diretiva nº 46, recentemente sucedida pelo Regulamento Geral de Proteção de Dados, que entrou em vigor no dia 25 de maio de 2018.
[4] Pode-se mencionar, apenas a título exemplificativo, o princípio da autodeterminação informativa, pelo qual à toda pessoa deve ser atribuída a total capacidade controle sobre o tratamento de seus dados pessoais, desde a coleta até o término do tratamento. Segundo a doutrina constitucional, o direito à autodeterminação informativa é o “direito de controlar a informação disponível a seu respeito, impedindo-se que a pessoa se transforme em ‘simples objeto de informação’” (CANOTILHO, José Joaquim Gomes; VITAL, Moreira. Constituição da República Portuguesa anotada. 4. ed., v. 1, Coimbra: Coimbra Editora: 2007, p. 552) A propósito, tramita no Congresso Nacional a Proposta de Emenda à Constituição nº 17/2019, que objetiva incluir no artigo 5º da CRFB/88 o inciso XII-A para então consagrar como fundamental para todo indivíduo o direito à proteção de dados pessoais.
[5] A quantidade crescente de conteúdos (dados) produzidos principalmente por clientes, empregados e colaboradores em geral permite ao controlador dos dados o mapeando de comportamentos, a identificação de tendências e a visualização de oportunidades de negócios e, portanto, de tomada de decisões mais seguras e certeiras, com minimização dos riscos. Fala-se então em big data. O tratamento de dados aliado a inteligência artificial é capaz de armazenar e trabalhar um grande volume de dados, gerando insights preciosos e cada vez mais certeiros para as organizações em geral.
[6] Há patente necessidade de adequação do Brasil aos padrões mundiais. No total, cerca de 125 países no mundo já adotaram normas específicas de proteção e dados, o que revela a grande adesão global à questão, dos quais 6, na América do Sul: Chile, Argentina, Uruguai, Paraguai, Peru e Colômbia, conforme informação constante no Relatório do Senador Ricardo Ferraço nos PLs nºs: 53/2018 (Câmara); 330/13 e 181/2014 (Senado); 131/2014 (Comissão Parlamentar de Inquérito da Espionagem – CPIDAESP).
[7] Antes da LGPD o Brasil já possuía esparsas manifestações legislativas que contemplavam a proteção de dados em âmbito nacional, embora de forma deficiente. Destacam-se, por exemplo, a Lei nº 8.078, de 11.10.1990 (CDC); a Lei nº 9.507, de 12.11.1997 (Habeas Data); a Lei nº 12.414, de 9.06.2011 (Cadastro Positivo); a Lei nº 12.527, de 18.11.2011 (Lei de Acesso à Informação); a Lei nº 12.965, de 23.04.2014 (Marco Civil da Internet).
[8] O viés econômico consta, por exemplo, no próprio Relatório do Senador Ricardo Ferraço, a edição de uma lei geral de proteção de dados se mostrava necessária porque o Brasil “tem perdido oportunidades valiosas de investimento financeiro internacional em razão do isolamento jurídico em que se encontra por não dispor de uma lei geral e nacional de proteção de dados pessoais (LGPD)”. Fala-se em isolamento jurídico, porque desde a data de vigência da GDPR – General Data Protection Regulation, em 25 de maio de 2018, principal norma de proteção de dados da União Europeia, as empresas europeias ficaram praticamente impedidas de contratar com empresas situadas em países que não dispõem do nível de proteção adequado, o que incluía o Brasil, daí se falar em “isolamento” que diminui a competitividade das empresas brasileiras no cenário internacional.
[9] Tratamento de dados pessoais engloba toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; (art. 5º, inciso X, da LGPD).
[10] Dado pessoal sensível é qualquer dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5º, inciso II, da LGPD).
[11] Não se pretendeu neste texto o exame detalhado de cada uma das hipóteses legais que autorizam o empregador a realizar o tratamento de dados dos seus trabalhadores subordinados. Objetivou-se, tão somente, traçar as linhas gerais sobre o tema, no afã de despertar no leitor a importância do tema e de seus impactos nas relações trabalhistas.
[12] O empregado deverá ser informado sobre os detalhes do tratamento de seus dados, que deverão ser disponibilizados de forma clara, adequada e ostensiva acerca. O empregador deverá, assim, informar ao empregado a finalidade específica do tratamento; a forma e duração do tratamento; a identificação do controlador; informações de contato do controlador; informações acerca do uso compartilhado de dados pelo controlador e a finalidade; responsabilidades dos agentes que realizarão o tratamento; e direitos do titular, com menção explícita aos direitos contidos no art. 18 da LGPD (art. 9º da LGPD)
[13] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I – a mediante o fornecimento de consentimento pelo titular; […]
[14] Art. 8º, § 2º, da LGPD – Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei. Assim, o fundamento jurídico do “consentimento”, como hipótese que legitima o tratamento de dados, poderá ser sempre questionado no caso concreto. Sua escolha pelo empregador sempre deixará uma ponta de risco. De fato, levar em conta apenas o consentimento quando se está diante de uma situação de desequilíbrio entre as partes, é “dar sorte ao azar”, precisamente porque a natureza não paritária da relação laboral não permite assegurar a plena e irrefutável liberdade da manifestação de vontade do trabalhador, requisito imprescindível e relevância jurídica do consentimento. A respeito da problemática do consentimento dos empregados, o GT 29 – órgão consultivo europeu independente em matéria de proteção de dados e privacidade – afirmou em Parecer que: “Contudo, isso não significa que os empregadores nunca possam utilizar o consentimento como fundamento legal para o tratamento. Pode haver situações em que seja possível ao empregador demonstrar que o consentimento foi dado livremente. Atendendo ao desequilíbrio de poder entre empregadores e empregados, estes só podem dar o seu consentimento livremente em circunstâncias excepcionais, quando o ato de dar ou recusar o consentimento não produza quaisquer consequências negativas” (Disponível em https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169, acesso em 29/02/2020) ou, acrescente-se, quando do tratamento resulte uma vantagem jurídica ou material para o trabalhador.
[15] Por exemplo, multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; ou, ainda, bloqueio e até a eliminação dos dados pessoais a que se refere a infração até a sua regularização (art. 52 da LGPD).
RAPHAEL MIZIARA – Mestre em Direito das Relações Sociais e Trabalhistas pela UDF. Especialista em Direito do trabalho (Universidad Castilla-La Mancha – Espanha). Advogado sócio do Pessoa & Pessoa Advogados. Professor na Faculdade Baiana de Direito e em cursos pós-graduação em Direito, bem como das Escolas Judiciais dos TRTs da 5ª, 6ª, 7ª, 8ª e 22ª Regiões.
Nossas novidades direto em sua caixa de entrada.