LEI GERAL DE PROTEÇÃO DE DADOS NO DIA-A-DIA DAS EMPRESAS
Luiz Carlos Aceti Junior[1]
Maria Flavia Curtolo Reis[2]
Lei 13.709/18 – LGPD (LEI GERAL DE PROTEÇÃO DE DADOS) estabelece o tratamento de dados pessoais, em território nacional, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A Lei atinge a toda a sociedade porque o tratamento de dados pessoais acontece em situações corriqueiras, como num consultório médico onde se encontram as fichas médicas dos pacientes, numa empresa que repassa as informações de seu quadro funcional à empresa de plano de saúde, no banco que informa movimentações financeiras ao Banco Central ou aos cadastros restritivos, enfim, os dados pessoais circulam a todo momento sem que muitas vezes se saiba para onde e por que motivo.
Com o advento da internet, o trânsito de informações atingiu níveis jamais previstos e as pessoas passaram a ser vítimas de utilização indevida de seus dados pessoais. A partir daí houve a necessidade de se regulamentar o acesso a esses dados e responsabilizar aqueles que os tratam inadequadamente.
Foram considerados como fundamentos o respeito à privacidade, a autodeterminação informativa, ou seja, cabe à pessoa o controle sobre suas informações e o direito de saber o que será feito com elas. Também são fundamentos a defesa do consumidor, a inviolabilidade da intimidade, da honra e da imagem, entre outros. (Artigo 2º da referida Lei)
As relações trabalhistas e consumeristas ganharam reforço com a LGPD e exigirão responsabilidades ainda maiores dos empregadores e fornecedores no trato dos dados pessoais.
O artigo 6º da referida Lei, esclarece que, além da boa-fé (princípio elementar nas boas relações), o tratamento dos dados pessoais deverá seguir os princípios da:
- finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
- necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
- livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
- qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
- segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
- não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
- responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Na prática, quem vai lidar com essas informações?
Quando a Lei fala em tratamento dos dados refere-se a toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
O tratamento será dado pelos controladores, a quem competem as decisões referentes ao tratamento de dados pessoais (dos titulares dos dados), ao operador, que realiza o tratamento de dados pessoais em nome do controlador. Exemplo prático: numa empresa, o responsável pelo RH será o operador e a empresa o controlador.
Observe que o tratamento dos dados envolve uma gama enorme de atos e do que se conclui que todo cuidado no tratamento das informações será o caminho de se evitarem problemas judiciais.
A Lei menciona também o encarregado, pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Mas, afinal, o que são os dados pessoais?
Toda informação relacionada a pessoa natural identificada ou identificável. Filiação, endereço, escolaridade, salário, faltas, etc.
Dentre esses dados, há os considerados sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. São dados que podem servir para discriminar a pessoa e levar a ações por danos morais.
A Lei Geral de Proteção de Dados, nos termos do artigo 4º, não se aplica ao tratamento de dados pessoais:
- realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
- para fins exclusivamente jornalístico e artísticos;
- acadêmicos, em condições específicas;
- segurança pública; defesa nacional; segurança do Estado; atividades de investigação e repressão de infrações penais; provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
O tratamento dos dados pessoais somente poderá ser realizado:
- quando houver o consentimento do titular: a Lei menciona que o consentimento poderá ser por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
É preciso cautela por parte do empregador pois nas relações trabalhistas em geral, considera-se o trabalhador como a parte hipossuficiente da relação. O consentimento deverá ser claro e sem vícios de consentimento. E caberá ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
O contrato de trabalho deverá conter cláusula destacada das demais cláusulas contratuais. Nos casos de contrato de trabalho em andamento, é importante providenciar um aditivo contratual que acrescente o conteúdo da LGPD.
É dispensada a exigência do consentimento do titular para os dados por ele tornados manifestamente públicos. Por exemplo, as informações obtidas via redes sociais. É de se alertar que tal fato não é uma permissão para práticas que afrontem a LGPD.
- para o cumprimento de obrigação legal ou regulatória pelo controlador: diversas informações são repassadas aos órgãos públicos em decorrência de exigência legal, como dados previdenciários à Caixa Econômica Federal, INSS, fiscais, à Receita Federal e Ministério do Trabalho, entre outros.
Nesses casos, entende-se não ser obrigatório o consentimento do titular. Porém, que as informações fornecidas restrinjam-se exclusivamente às exigências legais.
- pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei.
Vale lembrar que o controlador que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim e por quanto tempo será armazenado, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei. Por exemplo, a empresa que contrata seguro de vida a seus empregados, ou plano de saúde, ou terceiriza alguma atividade que necessitará fornecer os dados de seu corpo funcional, como processamento da folha de pagamento.
Quanto aos dados sensíveis, maior cuidado deverá ser tomado inclusive com limitação de acesso.
Na esfera trabalhista, desde o momento do primeiro contato entre trabalhador e empregador já há situações que requerem atenção ao cumprimento da LGPD: tratamento do curriculum (o que será feito dos documentos cujos candidatos não forem selecionados), coleta de dados que possam gerar discriminação (dados sensíveis). A Lei admite na fase pré-contratual, a exigência de exame toxicológico para os candidatos a motorista profissional, nos termos da CLT, artigo 168, §6, o atestado de antecedentes criminais, para os cargos de vigilante nos termos dos artigos 12 e 16, VI, da Lei nº 7.102/1983 c/c art. 4°, I da Lei nº 10.826/2003.
A lei permite que sejam coletadas somente as informações que sejam realmente necessárias para as atividades da empresa. Então, muita atenção no processo de recrutamento e seleção, principalmente com os dados considerados sensíveis.
Na fase pós-contrato, isto é, depois que o empregado se desligou da empresa, também há as informações que devem continuar arquivadas seja por determinação legal ou contratual, e para os quais não se exige prévia autorização do titular, seja para razões judiciais, como uma ação trabalhista. Nesses casos o empregado dispõe de um prazo prescricional de 2 anos e nesse intervalo a empresa, a fim de se defender, precisa manter em arquivo os dados do titular.
Na fase contratual, o empregado tomará ciência da política de tratamento de dados da empresa e dará o seu consentimento (ou não) expresso quanto ao seu teor.
O RH das empresas parece ser o setor mais afetado com a nova legislação. Decorre dessa tendência a necessidade de alta qualificação do responsável por essa área e dos demais empregados, na medida de suas responsabilidades. Adequação das normas internas e códigos de conduta, revisão dos contratos de trabalho.
Será um esforço conjunto de equipes como jurídico, marketing, recursos humanos sem se esquecer dos controladores que são as pessoas de quem partem as ordens com relação ao tratamento dos dados.
Alguns exemplos de atividades que exigirão adequação às normas da LGPD:
- Ficha de registro do empregado – limitação acesso aos dados sensíveis;
- Exames periódicos: como são decorrentes de imposição legal (NR-7), a autorização do titular é dispensada. Entretanto, exames que possam ser discriminatórios, como gravidez, HIV, câncer, não podem ser solicitados;
- Menor aprendiz: O Art. 14, §1º, estabelece que o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. (Esse consentimento não será tão somente na rescisão contratual mas também nas demais fases do vínculo contratual);
- Dados biométricos: a LGPD classifica os dados biométricos como dados pessoais sensíveis;
- Atestados: Será considerado como dados sensíveis se houver informações da doença (com menção ao CID-Classificação Internacional de Doenças e Problemas Relacionados à Saúde, embora não seja obrigatório seu preenchimento) e/ou o motivo do afastamento no atestado médico. Nesses casos, O RH deverá adotar política específica de guarda e acesso;
- Compartilhamento de dados com terceiros, como seguradoras, planos de saúde, sindicatos: à exceção das determinações legais, deverá preceder de autorização do titular (que se lembre, não pode ser geral);
- Teletrabalho:
- Monitoramento interno e externo do ambiente da empresa: a LGPD não proíbe o monitoramento do funcionário desde que ele seja justificado e consentido pelo empregado, seguindo-se os princípios do artigo 6º da Lei.
- Vigilância dos empregados pela empresa: a LGPD não proíbe o acesso a e-mails ou dispositivos funcionais como e-mails, redes sociais, geolocalização. Mas, assim como para os demais titulares, deverá contar com a “ciência” do funcionário quanto aos limites do acesso da empresa aos seus dados pessoais e o tratamento que será dado a esses dados;
- Home-office: assim como no teletrabalho, é necessário estabelecer claramente as permissões e proibições de procedimentos através de regras de política interna claras, inclusive de segurança da informação. Para computador ou e-mail institucional é permitido o acesso pelo empregador com o conhecimento do funcionário. O mesmo não se pode dizer dos equipamentos pessoais.
Sanções administrativas, responsabilidade e ressarcimento de danos:
O Art. 52 da LGPD prevê diversas sanções administrativas aplicáveis aos agentes de tratamento de dados: advertências, multas simples que podem chegar a R$50.000.000,00 (cinquenta milhões de reais) por infração, multas diárias, bloqueio e eliminação dos dados pessoais objeto da infração, publicização da infração após devidamente apurada e confirmada a sua ocorrência.
Ainda com relação à infringência das regras da LGPD, o artigo 42 afirma que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Assim como no direito consumerista, o juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa. (art. 42,§2º)
Outro ponto de atenção para as empresas, além do RH, é do segurança da informação. Sistemas de gerenciamento de dados com acessos seguros, restritos aos empregados que realmente precisam daquelas informações. Softwares que permitam melhor controle contra invasões e roubo de dados, controle pelos controladores das atividades realizadas pelos operadores, etc.
Assim como nas questões ligadas ao direito dos empregados, a Lei também protege os dados dos clientes. O mesmo rigor e responsabilidade deverão ser adotados nas relações entre fornecedor e consumidores.
O texto não esgota o assunto. A nova Lei suscita diversos questionamentos que somente ao longo do tempo serão dirimidos.
Então, é fundamental contar com apoio jurídico especializado, que possa orientar o conteúdo de bons treinamentos aos empregados envolvidos, confecção de normas internas de conduta alinhadas à LGPD e à governança responsável.
[1] Advogado. Pós-graduado em Direito de Empresas. Especializado em Direito Ambiental, Direito Empresarial Ambiental, Direito Agrário Ambiental, Direito Ambiental do Trabalho, Direito Minerário, Direito Sanitário, Direito de Energia, Direito em Defesa Agropecuária, e respectivas áreas afins. Mestrado em Direito Internacional com ênfase em direito ambiental e direitos humanos. Professor de pós-graduação em direito e legislação ambiental de várias instituições de ensino. Palestrante. Parecerista. Consultor de empresas na área jurídico ambiental. Escritor de livros e artigos jurídicos em direito empresarial e direito ambiental. Consultor de portal www.mercadoambiental.com.br . Consultor da www.mosaieco.com.br . Sócio da ACDP www.acdp.com.br . Diretor da Aceti Advocacia www.aceti.com.br
[2] Advogada. Pós-graduada em Direito de Empresas. Especializada em Direito Empresarial Ambiental, Direito Contratual e Obrigações Financeiras. Integrante da Aceti Advocacia www.aceti.com.br