No ano de 2016 o Parlamento europeu, juntamente com o Conselho da União Europeia, objetivado conferir privacidade e proteção aos dados pessoais de seus cidadãos, aprovou o Regulamento Geral sobre a Proteção de Dados (RGPD). O mencionado regramento é a fonte inspiradora da congênere brasileira, a LGPD (Lei Geral de Proteção de Dados), em plena vigência desde 18/09/2020.
Assim como a normativa europeia, a LGPD visa resguardar a privacidade do indivíduo, protegendo-o do compartilhamento injustificado de seus dados ao oferecer severas punições para quem o faça, tais como: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração; dentre outras.
A Lei Geral de Proteção de Dados não reproduziu integralmente as disposições europeias, pois deixou de lado capítulo destinado às relações de trabalho. Naquele ordenamento, o europeu, há dispositivos específicos contemplando a relação entre empregados e empregadores, como por exemplo, no que se refere à dispensa, para empresas com menos de 250 empregados, de possuir um registro de atividades de tratamento de dados ou, ainda, artigo que autoriza a regulamentação por meio de convenções coletivas de trabalho.
A lei brasileira não faz distinção. Aplica-se a todo e qualquer tratamento de dado pessoal, seja por pessoa natural ou por pessoa jurídica (pública ou privada), com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural (art. 1º).
Por sua vez, o artigo 5º, X, define tratamento como toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Muito embora a LGPD não trate especificamente das relações trabalhistas, ela incide, inexoravelmente, no contrato de trabalho. As empresas já sentem o impacto ocasionado pela entrada em vigor da Lei Geral de Proteção de Dados. O desafio que se impõe aos setores de Recursos Humanos das empresas é gigantesco, sejam elas microempresas ou empresas de grande porte. A necessidade de adequação imediata às regras passa pela conscientização de todos os atores envolvidos (agentes de tratamento) no processo de coleta, manutenção e destinação dos dados, tanto do próprio quadro de funcionários, como de informações obtidas pelo RH em eventuais entrevistas de emprego.
Em caráter bastante didático, como retro referido quanto à conceituação de tratamento, a própria LGPD traz outros conceitos, sendo possível cotejá-los com a relação de emprego. Vejamos: Titular dos dados: pessoa natural a quem se referem os dados pessoais (art 5º, V); Controlador: pessoa natural ou jurídica que decide quanto ao tratamento dos dados do titular (art 5º, VI); Operador: pessoa natural ou jurídica que faz o tratamento dos dados (art 5º, VII); Dado pessoal: informação relacionada à pessoa natural identificável (art 5º, I). Há, ainda, a figura do encarregado, sendo a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Diante de tais conceitos, percebe-se, com facilidade, que o empregado é o titular dos dados. Ele fornece-os ao empregador que, por sua vez, passa a ser o Controlador de tais dados e a quem cabe, obrigatoriamente, a tomada de decisão acerca da amplitude das informações a serem coletadas, por quanto tempo as armazenará e o destino delas ao final do contrato de trabalho. Para a tarefa de tratamento dos dados, o empregador designará um Operador, a quem caberá o manuseio das referidas informações. É importante sublinhar que a resilição do contrato de trabalho não pode ocasionar a eliminação completa dos dados relativos ao ex-empregado. A empresa deve, e pode, reter algumas informações e documentos para contestar eventual ação reclamatória, observando a prescrição de 2 (dois) anos do direito de ação, a partir da extinção do contrato de trabalho, podendo retroagir, no máximo, por 5 (cinco) anos.
Não bastassem os já existentes, com o advento da LGPD surge para as empresas um universo de novos desafios. Elas deverão conectar-se com rapidez e eficiência aos preceitos protetivos da citada lei, adequando suas rotinas laborais de recursos humanos, mapeando o fluxo de dados do setor, identificando a necessidade de revisão de contratos de trabalho (adição de termos de consentimento) e da política de privacidade e proteção de dados. Incorporará os princípios da lei no processo de Compliance da empresa, sempre com o objetivo primeiro de cumprir e fazer cumprir a lei, reduzindo os passivos, sejam eles puramente trabalhistas, sejam aqueles provenientes de eventuais punições pela Autoridade Nacional de proteção de Dados. Tais punições podem atingir até 2% do faturamento da empresa, do “grupo ou conglomerado”, faturamento verificado no ano anterior àquele em que for verificada a ilegalidade.
Artigo da autoria de Paulo Eduardo Forster