Vigência, Conceitos, Aplicação, Requisitos, Responsabilidade, Boas Práticas
1. Introdução
A evolução da tecnologia aplicada na sociedade moderna fez com que o acesso à informação se tornasse cada vez mais amplo e fácil para a população em geral, o que, consequentemente, aumenta o risco destes dados serem propagados e manipulados indevidamente por terceiros.
Em razão disto foi criada a Lei n° 13.709/2018, mais conhecida como LGPD (Lei Geral de Proteção de Dados), com o intuito de atribuir obrigações e responsabilidade às pessoas diretamente envolvidas na colheita, guarda, propagação e uso destas informações.
É importante esclarecer que a ideia de proteção de informações pessoais em si não é algo novo. Na verdade, este tópico já vem sendo debatido em diversos países por anos e, inclusive, consta no ordenamento jurídico brasileiro antes mesmo da publicação da Lei n° 13.709/2018.
Entretanto, anteriormente, os dispositivos legais existentes eram esparsos e genéricos, como ocorre com o artigo 5°, inciso X, da CF/88 e o artigo 21 do Código Civil - Lei n° 10.406/2002, que abordam a questão do direito à privacidade.
A Lei n° 13.709/2018 vem com o intuito de suprir esta lacuna, claramente inspirada nos diplomas legais já existentes na Europa GDPR (General Data Protection Regulation), buscando conciliar a ideia de proteção pessoal de dados com o interesse público, instituindo um sistema de proteção contra abusos, sem desencorajar o desenvolvimento tecnológico.
Em outras palavras, a Lei n° 13.709/2018 impõe uma série de regras que devem ser observadas não só por entes públicos, mas também por empresas e indivíduos do setor privado, permitindo assim aos cidadãos mais controle sobre o tratamento de suas informações pessoais.
Apesar de a Lei n° 13.709/2018 ser um passo importante, é imprescindível ressaltar que neste momento alguns de seus aspectos e repercussões ainda são muito debatidos e estão apenas no âmbito teórico. Isto porque a norma legal começará a ser aplicada em sua integralidade somente a partir de 2021, razão pela qual não se tem jurisprudência nacional ampla sobre a matéria.
1.1. Aplicabilidade na Seara Trabalhista
As normas legais referentes à proteção de dados não se destinam originalmente às relações trabalhistas, mas sim às relações jurídicas como um todo, eis que atualmente a utilização de dados e informações em massa, impulsionado pela informatização e meios telemáticos, amplia em muito o campo de possibilidades dos indivíduos, maximizando a possível utilização indevida destas informações e, consequentemente, o risco de lesão aos direitos fundamentais de seus titulares.
Assim, a questão afeta não só a seara pública, mas também a privada, pois repercute na sistemática até hoje aplicável na esfera trabalhista no que tange à requisição e controle de dados pessoais dos empregados e demais prestadores de serviço, interferindo diretamente nas rotinas administrativas.
Lembrando que a ideia central da LGPD é a proteção dos direitos fundamentais, a liberdade e a privacidade, razão pela qual o ideal é que haja a implementação de condutas para tanto, devendo os empregadores se adaptarem as novas rotinas, implementando os procedimentos de controle necessários, independentemente de seu porte.
No mais, tem-se que a LGPD não se sobrepõe as leis trabalhistas já existentes, eis que indica tão somente procedimentos específicos para a guarda e repasse de informações pessoais. Em outras palavras, os documentos trabalhistas ainda devem ser mantidos, com suas devidas cautelas.
Nesse sentido, para o período de guarda das documentações relativas aos contratos de trabalho, sugere-se a verificação da tabela Guarda de Documentos Trabalhistas, Previdenciários e FGTS disponível em Tabelas Praticas Trabalhista.
Partindo-se destas premissas, passa-se a analisar ao longo dos demais tópicos abaixo, pontualmente os aspectos da referida lei e seus reflexos na seara trabalhista.
2. Vigência
A Lei Geral de Proteção de Dados (Lei n° 13.709/2018), publicada no dia 15.08.2018, não entrou em vigor imediatamente, tendo sua vigência dividida em fases, conforme abaixo:
Destaca-se que a Lei Geral de Proteção de Dados - Lei n° 13.709/2018 (DOU de 15.08.2018) tinha inicialmente previsão para entrar em vigor no dia 18.02.2020, conforme estabeleceu a redação original do seu artigo 65.
Posteriormente, a Medida Provisória n° 869/2018 (DOU de 28.12.2018), convertida na Lei n° 13.853/2019 (DOU de 09.07.2019), alterou esse dispositivo para acrescentar os incisos I e II, os quais passaram a prever as seguintes vigências:
I - 28.12.2018, para os artigos que tratam das partes integrantes da fiscalização, organização e elaboração das diretrizes sobre a proteção de dados, ou seja, a ANPD (Autoridade Nacional de Proteção de Dados) e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; e
II - 15.08.2020, quanto aos demais artigos da LGPD.
Neste contexto, as disposições que tratam da estrutura fiscalizatória, de fato, entraram em vigor no dia 28.12.2018, conforme previsto pelo inciso II do artigo 65 da LGPD, com a nova redação dada pela Lei n° 13.853/2019.
Já a vigência dos demais artigos da LGPD, prevista no inciso II do artigo 65, foi subdividida e novamente alterada pelas seguintes normas:
- Lei n° 14.010/2020 (DOU de 12.06.2020): estabeleceu vigência em 01.08.2021 para os artigos que tratam das penalidades, acrescentando o inciso I-A ao artigo 65 da LGPD;
- Medida Provisória n° 959/2020 (DOU de 29.04.2020): fixou em 03.05.2021 a entrada em vigor dos demais artigos, alterando o inciso II do artigo 65 da LGPD.
Entretanto, quando a MP n° 959/2020 foi convertida na Lei n° 14.058/2020 (DOU de 18.09.2020), a previsão para o dia 03.05.2021 não foi mantida, gerando alguns efeitos jurídicos importantes:
1°) Deixou de existir base legal que determinasse o início de vigência em 03.05.2021. Consequentemente, a Lei n° 13.853/2019, que teve sua eficácia suspensa pela MP n° 959/2020, voltou a ser a norma aplicável, uma vez que já trazia anteriormente a previsão de vigência da LGPD;
2°) Entretanto, a Lei n° 13.853/2019 apenas produziu efeitos, em relação ao início de vigência dos demais artigos da LGPD, na data da sanção presidencial da Lei n° 14.058/2020, que ocorreu em 18.09.2020. Isto porque, apenas nessa data, a MP n° 959/2020 deixou de produzir seus efeitos, conforme estabelece o § 12 do artigo 62 da Constituição Federal, que dispõe:
Art. 62. (...)
§ 12. Aprovado projeto de lei de conversão alterando o texto original da medida provisória, esta manter-se-á integralmente em vigor até que seja sancionado ou vetado o projeto.
Em razão dessas alterações legislativas, as disposições da LGPD tiveram seu início de vigência fracionado conforme exposto acima.
3. Conceitos
O artigo 5° da Lei n° 13.709/2018 traz os seguintes conceitos em relação à proteção de dados:
Dado Pessoal = informação relacionada a pessoa natural identificada ou identificável;
Dado Pessoal Sensível = dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Dado Anonimizado = dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Banco de dados = conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
Titular = pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
No caso tratado, o empregado ou mesmo o prestador de serviço poderia vir a ser entendido como titular no caso em tela, eis que em razão do contrato de trabalho é obrigado a fornecer seus dados pessoais ao empregador.
Controlador = pessoa natural ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento de dados pessoais. Aqui poderia se entender que o empregador é o controlador, pois recebe os dados do empregado ou do prestador de serviços para formalização do contrato de trabalho;
Operador = pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado = pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. O encarregado é também conhecido como DPO, sigla para Data Protection Officer, nome utilizado no Regulamento Europeu de Proteção de Dados;
Agentes de tratamento = o controlador e o operador;
Tratamento = toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Anonimização = utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
Consentimento = manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Bloqueio = suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
Eliminação = exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
Transferência internacional de dados = transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
Uso compartilhado de dados = comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
Relatório de impacto à proteção de dados pessoais = documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Órgão de pesquisa = órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
Autoridade nacional = órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
Eis um exemplo de um fluxo de dados pessoais que pode existir da empresa e as partes envolvidas neste processo:
4. Princípios
Os princípios que regem a matéria estão citados no artigo 6° da Lei n° 13.709/2018, sendo que dentre estes os mais relevantes para o setor privado são, em um primeiro momento, o Princípio da Finalidade, da Adequação e da Necessidade.
Isto porque, de uma forma geral, tais princípios indicam que os envolvidos devem agir de boa-fé, tendo propósitos legítimos, específicos e explícitos, os quais devem ser devidamente informados ao titular dos dados; limitando-se a abranger e utilizar o mínimo necessário para que se alcance a finalidade estipulada previamente entre as partes, não a desvirtuando ou recaindo em excessos.
Em razão justamente destes princípios que resta vedada qualquer utilização de dados para fins discriminatórios, ilícitos ou abusivos.
Em um segundo momento, ganham destaque os Princípios da Segurança e da Prevenção, na qual o agente que efetuar o tratamento dos dados fica responsável por aplicar medidas técnicas e administrativas aptas a prevenir a ocorrência de danos ao titular destas informações; devem-se, portanto, serem estipulados procedimentos para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
5. Aplicação
Como dito previamente, as normas referentes à proteção de dados são aplicáveis não só na esfera pública, como também na privada, por pessoas jurídicas e físicas, independentemente do meio utilizado para a guarda e processamento de dados, ou seja, seja por meios físicos ou eletrônicos.
O tratamento dos dados, inclusive, deve ser observado independentemente do local em que se encontra a sede da empresa e do país em que estejam localizados estes dados respectivamente, desde que a realização da operação de tratamento ou os dados tenham sido coletados no território nacional.
O procedimento da lei aplica-se ainda quando a atividade de tratamento tenha por objetivo a oferta, o fornecimento de bens e/ou serviços ou o tratamento de dados de indivíduos localizados no Brasil (artigo 3° da Lei n° 13.709/2018).
Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
Eis as hipóteses nas quais pode ser realizado o tratamento de dados pessoais (artigo 7° da Lei n° 13.709/2018):
I) Mediante o fornecimento de consentimento pelo titular;
II) Para o cumprimento de obrigação legal ou regulatória pelo controlador;
III) Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
IV) Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V) Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI) Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei n° 9.307/96 (Lei de Arbitragem);
VII) Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII) Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX) Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
X) Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
6. Requisitos
É extremamente importante ressaltar que a utilização e tratamento de dados pessoais só poderá ser realizado mediante fornecimento de consentimento escrito do titular, o qual deve constar em cláusula destacada das demais do contrato, de modo que os documentos da empresa devem ser atualizados para que haja disposição neste sentido.
Pode se citar aqui informações gerais do titular como: nome, RG, CPF, data e local de nascimento, telefone, imagem/fotos, dentre outros.
O consentimento deverá se referir a finalidade determinada e específica, pois eventuais autorizações genéricas podem vir a ser consideradas nulas posteriormente.
Uma exceção, contudo, são os dados tornados manifestamente públicos pelo seu titular, sobre os quais é dispensada a exigência de consentimento expresso. Não obstante, ainda é importante que a destinação destes dados, mesmo que já tenham se tornado públicos, seja lícita, sob pena de responsabilização do agente que os utilizou de forma indevida.
Posteriores alterações de finalidade ou dos dados devem ser informados ao titular de forma prévia, com indicação específica do teor destas mudanças, pois também é necessário o consentimento para que assim seja procedido.
Isto porque é direito do titular ter acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizados de forma clara, adequada e ostensiva no que tange os seguintes pontos (artigo 9° da Lei n° 13.709/2018):
I) finalidade específica do tratamento;
II) forma e duração do tratamento, observados os segredos comercial e industrial;
III) identificação e informações de contato do controlador;
IV) informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
V) responsabilidades dos agentes que realizarão o tratamento;
VI) direitos do titular, com menção explícita aos direitos contidos no artigo 18 da Lei n° 13.709/2018.
No que se refere a utilização do interesse do controlador como indicação de finalidade para a utilização de dados pessoais do titular, isto somente poderá ser realizado para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I) Apoio e promoção de atividades do controlador; e
II) Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.
Pode-se entender que as relações de trabalho e de prestação de serviços em geral se enquadrariam no segundo tópico acima transcrito, mas lembrando que neste caso a utilização deve se restringir somente aos dados pessoais estritamente necessários para a finalidade em questão.
Nestes casos é importante que o agente tenha um RIPD (relatório de impacto à proteção de dados pessoais), pois este documento poderá vir a ser solicitado posteriormente por entidade fiscalizadora, nos termos do artigo 10, § 3°, da Lei n° 13.709/2018.
Com relação a este relatório, tem-se que ele será explicado nos itens abaixo.
6.1. Requisitos para o Tratamento de Dados Sensíveis
Cumpre lembrar que se entende por “dado pessoal sensível” aquele que trata da origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Nota-se, portanto, que grande parte dos documentos trabalhistas terão uma mescla de informações entendidas como dados normais e dados sensíveis, pois a própria indicação de filiação ou não a Sindicato, para fins de contribuição sindical, seria entendido como um dado sensível.
Os dados pessoais sensíveis somente podem ser utilizados quando houver consentimento pelo titular, de forma específica e destacada, devendo ser indicada a finalidade específica para o qual será utilizado.
Entretanto, conforme artigo 11 da Lei n° 13.709/2018, neste ponto existem exceções a serem consideradas, pois ainda que não haja autorização do titular tais dados podem ser utilizações em situações que se faça indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei de Arbitragem - Lei n° 9.307/96;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no artigo 9° da Lei n° 9.307/96 e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
6.2. Requisitos para Tratamento de Dados de Menores de Idade
Caso se trate de um menor de idade é importante que o tratamento dos dados seja realizado seguindo os seus melhores interesses, devendo ser buscado pela empresa contratante consentimento específico por, no mínimo, um dos pais ou responsável legal (artigo 14 da Lei n° 13.709/2018). Deve-se informar ainda, de forma clara e acessível, quais os tipos de dados coletados e a forma/finalidade para os quais serão utilizados.
Interessante destacar neste ponto que o empregador deverá realizar todos os esforços razoáveis para verificar que o consentimento foi dado efetivamente pelo responsável do menor, consideradas as tecnologias disponíveis.
6.3. Transferência Internacional de Dados
Na esfera privada, é importante destacar que a transferência internacional de dados pessoais somente é permitida quando, além de colher o consentimento expresso e específico do titular, o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos deste e do regime de proteção de dados.
Para tanto, deve-se observar (artigo 33 da Lei n° 13.709/2018):
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, será realizada pela autoridade nacional (artigo 35 da Lei n° 13.709/2018).
Poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário, pela autoridade nacional.
6.4. Compartilhamento de Dados com Terceiros
Ainda que tenha conseguido o consentimento do titular dos dados, é imprescindível que em havendo a necessidade de compartilhamento destes com terceiros o titular seja novamente comunicado, obtendo-se novo consentimento específico para tanto, conforme determina o artigo 7°, § 5°, da Lei n° 13.709/2018.
Isto pode vir a ocorrer na seara trabalhista quando da concessão dos dados do empregado para contabilidades terceirizadas, planos de saúde, empresas de vale-refeição, etc.
7. Revogação do Consentimento
O consentimento pode ser revogado a qualquer momento pelo titular dos dados, mediante manifestação expressa deste, momento após o qual deve ocorrer a sua eliminação, ressalvadas as hipóteses do artigo 16 da Lei n° 13.709/2018.
O agente não poderá requisitar valores ou criar procedimento a fim de dificultar o exercício deste direito pelo titular, nos termos do artigo 8° da Lei n° 13.709/2018.
8. Acesso aos Dados por Requisição do Titular
A confirmação de existência ou o acesso a dados podem vir a ser requisitado pelo titular, devendo ser fornecido de forma imediata e simplificada ou, alternativamente, dentro de 15 dias contados do requerimento, mas neste último caso de forma clara e completa, indicando a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial (artigo 19 da Lei n° 13.709/2018).
A critério do titular poderão ser fornecidos por meio eletrônico desde que este se mostre seguro e idôneo, ou mesmo de forma impressa. Neste último caso, orienta-se que pelo menos seja assinado pelo empregado um recibo de entrega, para fins de eventual e futura comprovação, caso se faça necessário.
Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
9. Do Término do Tratamento de Dados
O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses (artigo 15 da Lei n° 13.709/2018):
I) Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II) Fim do período de tratamento;
III) Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público; ou
IV) Determinação da autoridade nacional, quando houver violação constatada.
Em regra, os dados pessoais serão eliminados após o término de seu tratamento quando da ocorrência de uma das circunstâncias acima, no âmbito e nos limites técnicos das atividades.
Ocorre que é autorizada a conservação dos dados excepcionalmente para as seguintes finalidades (artigo 16 da Lei n° 13.709/2018):
I) Cumprimento de obrigação legal ou regulatória pelo controlador;
II) Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III) Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV) Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
No caso de contrato de trabalho, entretanto, o ideal é se realizar a manutenção dos dados do empregado ou do prestador de serviços mesmo que o vínculo tenha se encerrado, eis que podem ser necessários futuramente em caso de fiscalização ou mesmo ação judicial.
Para tanto deve-se, contudo, haver previsão específica no contrato.
10. Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
Orienta-se que a empresa mantenha um protocolo para a guarda e segurança dos dados pessoais de seus empregados e prestadores de serviço, o que pode vir a ser formalizado por meio do RIPD (Relatório de Impacto à Proteção de Dados Pessoais), nos termos do artigo 38 da Lei n° 13.709/2018.
Este é um relatório no qual se indica especificamente os procedimentos de segurança adotados para o processamento dos dados. É um importante aspecto de governança corporativa, que pode vir a ser utilizado posteriormente para comprovar o cumprimento das normas da Lei Geral de Proteção de Dados.
O RIPD deve conter, no mínimo:
I) Descrição dos tipos de dados coletados;
II) O detalhamento da metodologia utilizada para a coleta e garantia da segurança das informações;
III) A análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados;
Lembrando que este documento poderá vir a ser solicitado posteriormente por entidade fiscalizadora, nos termos do artigo 10, § 3°, da Lei n° 13.709/2018, sendo que a sua ausência pode vir a gerar a aplicação de penalidade administrativa.
11. Responsabilidade
Cumpre esclarecer que em caso de alegação de utilização indevida de dados, conduta ilícita ou inobservância dos princípios de segurança pelo agente que realizou o tratamento, cumprira a este a prestação de contas, ou seja, a demonstração de que adotou medidas eficazes e capazes de prevenir dados ao titular dos dados, bem como que cumpriu as normas de proteção de dados pessoais, por força do artigo 6°, inciso X, da Lei n° 13.709/2018.
Caberá ainda ao agente a obrigação de comprovar que o titular concedeu o seu consentimento previamente para a utilização dos dados pessoais.
Em sendo efetivamente constatadas tais infrações, o agente poderá ser notificado para cessar com a violação ou adotar as medidas cabíveis para se adequar. Pode-se ter ainda a aplicação de multas administrativas, sem prejuízo a eventuais repercussões civis, penais e trabalhistas cabíveis.
12. Recomendações e Boas Práticas - Reflexos na Prática Trabalhista
Diante de todo o exposto, orienta-se que antes da entrada em vigência da LGPD, seja observado pela empregadora os seguintes pontos:
1° Primeiramente seja realizado um diagnóstico e mapeamento das informações que regularmente transitam pela empresa, bem como as partes interessadas externas que podem vir a ter acesso a estes dados, como consultorias, escritórios de contabilidade, etc.
2° Verificar os dados efetivamente essenciais para a regulamentação do vínculo empregatício ou prestação de serviços, simplificando as rotinas administrativas a fim de requisitar apenas as informações necessárias. Ou seja, o ideal é que se busque fazer a revisão dos procedimentos e documentos utilizados pela empresa, a fim de verificar a existência de dados desnecessários que possam subtrair a finalidade ou lesar algum dos dispositivos da Lei de Proteção de Dados.
3° Indicar um profissional que ficará encarregado pelo tratamento de dados pessoais, devendo divulgar a sua identidade e informações de contato publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do receptor das informações, conforme dispõe o artigo 41 da Lei n° 13.709/2018.
4° Formalizar protocolos de condutas para que os dados sejam mantidos em sigilo, somente tendo acesso a estes às pessoas específicas que deles necessitem para a administração do vínculo empregatícios (Exemplo: Recursos Humanos e setor Financeiro).
5° Formular um “relatório de impacto à proteção de dados pessoais” (RIPD), conforme já explicado no item 10 desta matéria.
6° Seja inserida uma cláusula nos contratos de trabalho utilizados pelos empregadores nos quais os empregados autorizam a manutenção de seus dados pessoais para fins de administração interna da empresa. Sugere-se a seguinte redação, a qual deve ser adaptada caso necessário:
CLÁUSULA X - Tenho conhecimento e autorizo que meus dados pessoais sejam mantidos pela contratante para os fins deste contrato de trabalho, escrituração digital e cumprimento da legislação trabalhista e previdenciária, o que perdurará mesmo após o vínculo trabalhista ser finalizado diante de eventual necessidade apresentação judicial ou administrativa por requisição de órgão fiscalizador.
CLÁUSULA X.1- O eventual compartilhamento dos meus dados pessoais com terceiros, com exceção das questões já autorizadas acima, fica condicionada a autorização expressa do contratado, sob pena de responsabilização em caso de uso indevido, diante da observância dos direitos instituídos no art. 18 da Lei n° 13.709/2018.
7° Caso o empregador precise repassar informações pessoais de seus empregados para terceiros (Exemplo: contabilidade, plano de saúde, seguro de vida, convênios, etc), orienta-se que seja inserido no contrato de trabalho uma cláusula na qual o empregado autorize o tratamento dos dados por estes. No mais, o ideal é que sejam fiscalizados os protocolos de proteção instituídos por estes terceiros, pois com o advento da Lei n° 13.709/2018 cabe ao empregador a responsabilidade sobre estes dados.
8° Caso trate-se de um menor de 18 anos, deve constar no contrato firmado (ou termo de estágio) uma cláusula sobre a matéria, devendo a empresa deixá-la em destaque e buscar a assinatura de, no mínimo, um dos pais do menor ou seu responsável legal. Deve-se informar ainda quais os tipos de dados coletados e a forma/finalidade para os quais serão utilizados.
Lembrando que para este fim não basta requisitar que o menor peça ao seu responsável para assinar o contrato, eis que segundo o artigo 14, § 5°, da Lei n° 13.709/2018, o empregador deverá realizar todos os esforços razoáveis para verificar que o consentimento foi dado efetivamente pelo responsável pelo menor, consideradas as tecnologias disponíveis.
9° Para os empregados que já se encontram na empresa, o ideal é formular um termo específico de consentimento no que tange aos dados fornecidos que devem ser mantidos no registro da empresa.
Esta, dentre outras condutas, podem ser aplicadas pelos empregadores, eis que nos termos do artigo 50 da Lei n° 13.709/2018, estas se prestam a criação de um sistema de controle e gerência de dados, tendo sido expressamente consignado que “os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança corporativa que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais”.
O ideal é que estas práticas de governança observem pelo menos os seguintes pontos:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
12.1. Práticas na Fase Pré-contratual - Seleção de Candidatos
Este é um ponto extremamente debatido, que vem gerando controvérsia, eis que na prática quando as empresas recebem currículos com dados pessoais para seleção não se tem o costume de requisitar a assinatura de um termo específico com a autorização para manutenção de dados.
Diante disto, o ideal é que as empregadoras se restrinjam a requisitar informações efetivamente essenciais de seus candidatos e, quando for o caso, principalmente quando o intuito for manter uma base de dados (banco de currículos) para contratações futuras, que seja colhida a autorização específica deste.
Pode-se requisitar dos candidatos que já enviem os currículos com esta autorização em seu bojo ou realizar a colheita desta autorização logo depois do envio dos dados pelo candidato, a depender do caso em concreto.
No mais, deve-se restringir o acesso a estes dados não repassando-os a terceiros sem autorização expressa e específica do candidato.
13. Penalidades
Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na LGPD, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional (artigo 52 da Lei n° 13.709/18):
* Estas penalidades serão aplicadas somente após já ter sido imposta ao menos uma das demais sanções acima indicadas, com exceção da advertência, para o mesmo caso concreto e em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.
As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto (artigo 52, § 1°, da Lei n° 13.709/2018).
Os vazamentos individuais ou os acessos não autorizados poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades acima indicadas (artigo 52, § 7°, da Lei n° 13.709/2018).
A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa (artigo 53 da Lei n° 13.709/2018).
Evidencia-se, entretanto, que a aplicação destas penalidades não substitui a aplicação de sanções administrativas, civis ou penais definidas em legislação específica.
14. Modelo
MODELO - TERMO DE CONSENTIMENTO PARA TRATAMENTO DE DADOS PESSOAIS
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS - LGPD
Autor: Equipe Técnica Econet Editora