A chegada do mês de agosto marcou a entrada em vigor da Lei Geral de Proteção aos Dados (LGPD). De forma prática, marcou o inicio de aplicação das sanções que poderão ser imputadas aos agentes de tratamento em caso de descumprimento.
Significa dizer que as organizações, de diferentes portes e ramos de atuação, deverão redobrar os cuidados com a coleta, armazenagem e tratamento de dados e informações, pretendemos neste artigo, abordar a aplicação da Lei nos os processos que envolvem o Direito Laboral, em especifico na gestão de Segurança e Medicina do Trabalho.
I – DA LEI Nº 13.709, DE 14 DE AGOSTO DE 2018
Primeiro precisamos entender sobre a lei 13.709/2018, também conhecida como Lei Geral de Proteção de Dados, ou LGPD que dispõe sobre a proteção dos dados pessoais de todas as pessoas naturais em território brasileiro. Conforme o Projeto de Lei de Conversão nº34/2020, resultado da MP nº 959/2020 e convertido na Lei 14.058, em 17 de setembro de 2.020 a “LGPD” passou a valer a partir de 18/09/2020.
Por força da Lei 14.010/20, as sanções entraram em vigor no dia 1º de agosto de 2021. As punições podem chegar até 2% do faturamento até o limite de 50 milhões de reais.
II – APLICAÇÃO
Conforme Lei 13.709/2018 – Todas as empresas estão sujeitas às implicações da lei, no Art. 3º defini que a Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I – a operação de tratamento seja realizada no território nacional;
II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
III – os dados pessoais objeto do tratamento tenha sido coletados no território nacional.
III – DEFINIÇÕES
Para compreender melhor a aplicabilidade da LGPD para as áreas abordadas, será necessário conhecer algumas definições disponível na Lei em seu – Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
IV – DOS PRINCÍPIOS
No Brasil, a disciplina jurídica aplicada aos dados pessoais estava esparsa na Constituição Federal (artigo 5. ° Incisos, X, XI e XII)27 e em leis, tais como Código Civil (Arts. 20 e 21), Código de Processo Penal (Art. 201 § 6°) e Marco Civil da Internet. Entretanto, com a aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, o Brasil inaugurou o que se pode chamar de sistema normativo protetivo de dados pessoais.
Neste aspecto, a lei deve ser entendida como um sistema, pois estabelece princípios que devem nortear direitos básicos dos titulares de dados pessoais, fundamentos, obrigações impostas aos controladores e responsáveis pelo tratamento de dados pessoais. Assim, fala-se que a espinha dorsal da proteção de dados pessoais, é, basicamente, formada por vários princípios basilares, a saber:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
V- LGPD APLICADA NA GESTÃO DE SEGURANÇA E MEDICINA DO TRABALHO
Muitas empresas já aplicam e são adeptas aos princípios e métodos da Governança Corporativa, já possuem uma cultura de privacidade, ou, estão em fase de implantação dos programas de adequação à LGPD, estas organizações ja entenderam que, tão importante quanto proteger e saber como gerir os dados de clientes e fornecedores é manter em segurança as informações de seus próprios trabalhadores e cobrar de seus parceiros de negócios o cumprimento da Lei.
Neste aspecto, as relações trabalhistas estão sendo repensadas, principalmente em função da coleta, do armazenamento e do uso de dados pessoais e sensíveis dos recursos humanos das empresas, sejam eles regidos pela CLT ou não. Todos os procedimentos, inclusive os anteriores à contratação, fase pré-contratual, e após o término do contrato devem ser readequados às normas da LGPD e às novas regras trabalhistas.
O tratamento de dados e a adequação à Lei Geral de Proteção de Dados nas relações de trabalho iniciam-se no anúncio da vaga de emprego, nos exames admissionais e na aferição e validação dos treinamentos e capacidades do candidato, nesta fase iniciam-se os tratamentos e fluxos de dados que irão permear todo o contrato de trabalho, inclusive na fase da rescisão contratual.
Muitos dados ainda poderão continuar sendo tratados após a extinção da relação empregatícia e pelo período da prescrição bienal, já que a Lei Geral de Proteção de Dados autoriza este tratamento. É importante destacar que a LGPD exige conformidade não apenas no tratamento de dados de empregados ou trabalhadores com vínculo, mas também de trabalhadores autônomos e até trabalhadores eventuais, quando houver tratamento de dados de pessoas naturais.
Este processo, aplicado no âmbito trabalhista, revela o objetivo de assegurar ao trabalhador, titular de dados pessoais, o controle sobre o destino das suas informações pessoais, a partir de uma relação transparente com quem controla esses dados.
Dessa forma, cabe o tratamento de dados por estes processos e toda operação realizada com dados pessoais, que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração será necessário estabelecer procedimentos e práticas para atender a LGPD nestas áreas.
VI – ASPECTOS PRÁTICOS
A área da Segurança e Medicina do trabalho, no contexto empresarial, demanda do operador, a análise acurada dos ambientes, setores, processos, máquinas e equipamentos, além de documentos individualizados, tais como, programas, laudos, exames, perícias, atestados, dentre as práticas que demandam estudo, tratamento e armazenamento de dados destacam-se:
- Avaliação probatória e lista de Presença de treinamentos contendo dados pessoais;
- Atas eleição, nomeação e de reunião da CIPA;
- Fotos dos setores e ambientes contendo pessoas identificáveis;
- Fotos, filmagens e imagens de treinamentos;
- Planos de treinamentos com dados pessoais;
- Dados pessoais em documentos de segurança, tais como: Plano de Gerenciamento de Riscos, Planos de emergências, listagens de equipes de emergências e evacuação, ordens de serviços por função, Brigada de incêndio, dados sensíveis contidos no Perfil Profissiográfico Previdenciário, além de documentos de terceiros e prestadores de serviço de forma geral;
- Monitoramento por Câmeras nos ambientes de trabalho;
- Contratos, requisições, notas fiscais, e outros documentos de fornecedores e clientes;
Tudo isso, somado a gestão da Medicina Ocupacional, onde são armazenados os dados sensíveis e individualizados dos trabalhadores, tais como: Anamnese, Resultado de exames, Histórico e Ficha Clinica, (ASO) Atestado de Saúde Ocupacional, cópia da (CAT) Comunicação de Acidente de Trabalho, Exames individuais e complementares, entre outros procedimentos.
Resumindo, estes e outros dados relatados devem ser tratados corretamente, com base na LGPD.
VII – HIPÓTESES DE TRATAMENTO DE DADOS
Uma das grandes preocupações da nova legislação foi a de elencar os requisitos e hipóteses necessárias para que os dados pessoais possam ser devidamente utilizados pelos controladores,neste sentido, aplicando as hipóteses do art. 7º da LGPD às relações de emprego, podemos sustentar que os dados pessoais poderão ser exigidos dos empregados, especialmente para:
1) Cumprimento de obrigação legal (art. 7º, II): por determinação legal, a empresa necessita de diversos dados pessoais de seus empregados, como informações para constar no registro de empregados (qualificação civil do trabalhador, dados sobre a relação de emprego, férias, doenças, acidentes de trabalho etc.), dados sobre exames de saúde ocupacional.
2) Dados necessários para a execução do contrato a pedido do empregado (art. 7º, V): por essa hipótese, a empresa poderá usar os dados do empregado quando for por ele autorizado para a execução do contrato de trabalho.
3) Interesses legítimos do controlador (art. 7º, IX): nesse caso, o empregador poderá obter dados pessoais sem o consentimento quando houver um interesse legítimo do controlador no uso desses dados, desde que não haja violação de direitos e liberdades fundamentais do titular que exijam a proteção dos dados. Há discussão quanto ao alcance da expressão “interesses legítimos” por se tratar de conceito vago e abstrato.
VIII – DA IMPLEMENTAÇÃO
Para o controle de dados nestes processos recomendamos as empresas implementem uma gestão completa e adequada da LGPD, contemplando as seguintes etapas:
1- Inventario de dados: Tipo de dados armazenados? Local? Quem utiliza estes dados? Qual a finalidade? Necessita de consentimento? Quem é o responsável destes dados nos processos?
2- Obtenção do consentimento: É uma etapa mais demorada, deve ser iniciada após inventário de dados, quando tenho todos os dados identificados e inventariados. Deve-se acionar todos os titulares dos dados, informar a finalidade do uso daqueles dados, obter e armazenar as autorizações.
3- Limpar os dados que não são necessários: Descartar o desnecessário e o que não pode ser justificado, porque quanto mais dados na empresa, maior o risco e maior o esforço para protegê-los e para buscar consentimento.
4– Proteção dos dados: Avaliar a segurança dos dados que restaram após a limpeza e implementar ações para garantir sua proteção e monitoramento, com segurança física, lógica, controles de acesso, rastreabilidade, etc.
5- Gestão dos dados: Fazer o gerenciamento, governança e funções para responder demandas de usuários, clientes, fornecedores, e órgãos de controle.
IX – CONSIDERAÇÕES FINAIS
Pela leitura do artigo, percebe-se que a LGPD só fará sentido, e trará resultados concretos se for inserida e aplicada dentro dos princípios da governança corporativa e do compliance laboral, devendo estar alinhada a outros processos internos da organização.
Desse modo, torna-se imprescindível a escolha correta do operador, do encarregado (DPO) além da formação dos comitês internos para estudo, aplicação e revisão da LGDP.
Muitas empresas terceirizam os processos de gestão segurança e medicina do trabalho, logo, é indispensável que sejam feitos aditivos aos contratos de prestação de serviço, delimitando as responsabilidades, finalidade e abrangência dos dados coletados junto ao controlador (empresa tomadora dos serviços).
Ressalto por fim, que o presente artigo não engloba todas as obrigações e dispositivos contidos na lei 13.709/2018 (LGPD), mas somente uma breve demonstração sobre os impactos da LGPD no Direito Laboral, em específico na Gestão de Segurança e Medicina do Trabalho das empresas.
Autor: Eder L. R. Daré – Advogado na Seg Advogados Associados – Gestor de Compliance Laboral – Associado do Núcleo de Proteção de Dados do Oeste Baiano (NPD) – Sócio Proprietário da empresa Seg & Company – Segurança e Medicina do Trabalho.
REFERÊNCIAS:
CALEGARI, Luiz Fernando. A influência da LGPD nas Relações de Trabalho: a necessidade de as empresas se adequarem à nova legislação. Síntese. 2020.
ALVES, Amauri Cesar; ESTRELA, Catarina Galvão. Consentimento do trabalhador para o tratamento de seus dados pelo empregador: análise da subordinação jurídica, da higidez da manifestação de vontade e da vulnerabilidade do trabalhador no contexto da LGPD. Síntese. 2020.
ALVES, Amauri Cesar; ESTRELA, Catarina Galvão. Consentimento do trabalhador para o tratamento de seus dados pelo empregador: análise da subordinação jurídica, da higidez da manifestação de vontade e da vulnerabilidade do trabalhador no contexto da LGPD. Síntese. 2020.
VASCONCELLOS JUNIOR, Carlos Augusto Pinto de; FERREIRA, Victor Silva. Impactos da Lei Geral de Proteção de Dados Pessoais nas relações de trabalho: a necessidade de implantação do programa de compliance. Síntese. 2020.
PESSOA, André, MOLLICONE, Bianca, MIZIARA, Raphael, Reflexos da LGPD no Direito e no Processo do Trabalho, São Paulo, Revista dos Tribunais.
ALMEIDA, Tânia. Caixa de Ferramentas em Mediação, Aportes práticos e teóricos. São Paulo: dasheditora, 2014.
SILVA, Lima e Silva; e Pinheiro, Iuri. Manual do Compliance Trabalhista – Teoria e Prática. Salvador: Editora Jus PODIVM, 2020.
CARVALHO, Zenaide. Compliance Trabalhista, prática, riscos e atualidades. Goiânia:BSSPeditora, 2019.
