Depois de muitas incertezas e expectativas de prorrogação, a Lei Geral de Proteção de Dados (Lei 13.709/2018 alterada pela Lei 18.853/2019), popularmente conhecida como LGPD, passou a vigorar no dia 18 de setembro de 2020. A legislação, que deveria ter entrado em vigor em agosto do ano passado, passou por um processo legislativo conturbado desde a sua sanção. Ao longo do ano de 2020, tanto o Projeto de Lei 1179/2020, quanto a Medida Provisória 869/2020, trouxeram propostas legislativas para o adiantamento das regras da lei. Nesse contexto, muito embora o início da vigência das regras que dispõem sobre as sanções administrativas tenha sido prorrogado para 1° de agosto de 2021, todas as demais disposições da LGPD estão em plena vigência desde a data mencionada anteriormente (18 de setembro de 2020).
De forma sintética, a LGPD estabeleceu um novo regime jurídico sobre o processamento de dados pessoais dentro do território brasileiro, fixando inovações acerca das obrigações das organizações privadas e públicas e disciplinando os direitos dos titulares de dados, que passaram a contar com maior segurança no controle sobre a coleta e tratamento de seus dados.
No entanto, muito embora a LGPD seja de suma importância para a sociedade atual, ao enviesar sua análise sob a ótica do Direito do Trabalho, notamos clara deficiência no implemento legislativo, na medida em que foi concebido à margem das peculiaridades próprias do ramo laboral. Enquanto operadores do Direito do Trabalho, entendemos que o desafio está exatamente nesse ponto, qual seja, a interpretação da LGPD em acordo com os regramentos próprios da seara especializada do trabalho.
O artigo 3º da lei dispõe que os regramentos ali estabelecidos são aplicados a “qualquer operação de tratamento”. No artigo subsequente, que versa sobre as hipóteses excludentes de aplicação da LPGP, não há qualquer ressalva quanto aos contratos de trabalho. Nesse ponto há de se concluir que o legislador pretendeu, sim, que as relações de trabalho sejam abarcadas pelo regime jurídico então estatuído, muito embora entendamos que em um plano futuro breve haja adaptação da lei à realidade das relações trabalhistas.
Feitos tais esclarecimentos, cumpre-nos destacar que o tratamento que os empregadores fazem dos dados de seus colaboradores, via de regra, se dá em decorrência do estrito cumprimento do dever legal, em decorrência de imposições legais, regulamentos, instrumentos coletivos etc. Ou seja, enquanto controlador de dados, o empregador não objetiva fins econômicos no trato dos dados de seus empregados.
Muito embora entendamos que a LGPD sofrerá futuras regulamentações por parte da Autoridade Nacional de Proteção de Dados (ANPD) e outros órgãos, é de suma importância que as organizações privadas e públicas se acautelem com alguns cuidados básicos quanto ao tratamento de dados de seus colaboradores, dentre eles o consentimento do empregado, conceituado no artigo 5º, XII, da LGPD como a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Isso porque, nos termos artigo 8º, §2º, da LGPD, “Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.”.
Considerando que os artigos 8º, §1º, e 19, §3º, ambos da LGPD permitem que o consentimento seja por meio de uma cláusula contratual – e não obrigatoriamente um instrumento contratual autônomo, com exceção ao tratamento de dados pessoais considerados sensíveis, entendemos que o consentimento do empregado por ser manifestado por meio de uma cláusula inserida no contrato de trabalho, ou em um termo aditivo ao contrato de trabalho.
Além do consentimento, a legislação oferece outras justificativas plausíveis para o tratamento de dados, dispostas no art. 7º, contudo, em qualquer dos casos, o Controlador deverá se atentar a fatores “intra” contratuais para respeitar, não apenas a legitimidade para tratar, mas também a ciência do titular de que seus dados estão sendo tratados. Em outras palavras, nos contratos de trabalho, tanto a base legal “consentimento”, quanto “cumprimento de obrigação legal ou regulatória”, deverão ser avisadas ao titular, já que a lei estabelece além do princípio da finalidade, também o da transparência.
Tal como mencionado, tratam-se de cuidados iniciais para adequação da empresa-empregadora aos ditames da LGPD, posto que o desafio é deveras superior, na medida em que a singela reflexão sobre o tema nos faz vislumbrar, a título de exemplo, as seguintes problemáticas: o operador dos dados tratados, enquanto empregado do controlador, pode ser responsabilizado pessoalmente por eventual inobservância das regras da LGPG, tal como determinado pela mencionada Lei?; Considerando que o tratamento de dados será levado a efeito por meio de empregados da empresa-empregadora, seria pertinente, no âmbito do contrato de trabalho, a indicação de um encarregado, nos termos do artigo 41 da LGPD?; Há necessidade de consentimento na coleta de dados dos candidatos à vaga de emprego?
Com efeito, parece-nos que a importância do tema resta evidente, pois, segundo levantamento feito pela empresa de jurimetria Data Lawyer Insights, a pedido do jornal Valor Econômico, até janeiro de 2021, a LGPD foi objeto de discussão em cerca de 140 ações trabalhistas, tendo como total das causas a soma de R$ 15 milhões, e sendo São Paulo a cidade detentora da maior parte das postulações envolvendo o assunto.
Portanto, de rigor que os empregadores implementem uma mudança sensível de cultura em seus meios empresariais, com a criação de rotinas seguras; estabelecimento de políticas de armazenagem e tratamento apropriados dos dados; divulgação do tema e treinamento de todos os empregados, em especial os colaboradores do Departamento de Recursos Humanos, os quais, via de regra, serão responsáveis pela coleta de dados desde o momento de seleção de candidatos até a conservação dos dados pessoais de ex-empregados.
O ano de 2021 promete ser de intensa regulamentação da LGPD por parte da Autoridade Nacional de Proteção de Dados. Há diversos aspectos na legislação que demandam regulamentação e orientação, inclusive aspectos essenciais para permitir a continuidade de negócios hoje existentes, como a edição de normas sobre as transferências internacionais de dados. Entre alguns dos principais temas que devem constar na agenda regulatória da ANPD estão: hipóteses de obrigatoriedade da realização de Relatório de Impacto à Proteção de Dados; hipóteses de dispensa da obrigatoriedade de nomeação de um Encarregado, tal como já abordado; prazos para atendimento da requisição de confirmação de existência ou de acesso a dados pessoais; prazo e forma de comunicação de incidentes de segurança; normas específicas para empresas de pequeno porte e startups. O funcionamento da ANPD, com a estruturação de seu regimento interno, e o regulamento sobre as sanções administrativas devem ser os primeiros assuntos na pauta de normatização.
Dentro do escopo da LGPD, cabe também a menção ao papel do assessor jurídico para auxiliar na estruturação de propostas de regulamentação, na interação com a Autoridade Nacional de Proteção de Dados e com outros órgãos reguladores, na elaboração de estratégias para relações institucionais e governamentais, em consultas à ANPD, na construção de códigos de condutas setoriais a serem submetidos à ANPD e na participação em consultas e audiências públicas em prol dos melhores interesses.