Por Nathalia Pompeu[1] e Camila Castioni[2]
A Lei Nº 13.709, de 14 de agosto de 2018, que versa sobre a Lei Geral de Proteção de Dados, popularizada como LGPD, tem marcado presença em quase todas as pautas regulatórias e legislativas desde sua publicação.
Já não é novidade o seu impacto nas operações de diversos setores econômicos e, com a pauta da proteção de dados em alta e a tecnologia em rápida evolução, é importante compreendermos melhor a sua origem histórica e quais os impactos traz para o preventivo e o contencioso trabalhista.
Embora o tema da proteção de dados pareça novo, saiba que não é tão recente assim. Registros históricos demonstram que a primeira lei versando sobre o tema surgiu na Alemanha em 1970, século XX.
Desde então, a temática foi bastante debatida em diversos países. Mas, somente em abril de 2016 surgiu o marco histórico da privacidade na comunidade europeia: o General Data Protection Regulation 2016/679 (GDPR) – traduzido em português para Regulamento Geral sobre a Proteção de Dados – com vigência a partir de maio de 2018. Desde então, esse marco normativo passou a regular o tratamento de dados da União Europeia, influenciando outros países a criarem seus próprios regulamentos.
Em 28 de junho de 2018, foi aprovado o California Consumer Privacy Act (CCPA) nos Estados Unidos. Tal qual o GDPR, a lei norte-americana teve sua vigência postergada e definida para ser implementada em 1º de janeiro de 2020, para que houvesse um amadurecimento da cultura de privacidade.
Já no Brasil, a LGPD foi sancionada em agosto de 2018, com vigência a partir de agosto de 2020. Vale ressaltar, porém, que os dispositivos da lei que tratam das sanções administrativas somente tiveram plena eficácia a partir de agosto de 2021, após a criação e estruturação da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela fiscalização administrativa da lei.
Para compreender a Lei Nº 13.709 como um todo e, em especial, correlacionar com o tema do presente artigo (A LGPD e seu impacto trabalhista), é importante entender os seus conceitos mais profundamente.
Desta forma, dado pessoal é a informação relacionada a pessoa natural identificada ou identificável e, tal informação, será classificada como dado pessoal sensível, se dispor sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual (importante a leitura e análise dos efeitos da Lei Nº 14.289/2022[3]), dado genético ou biométrico (como as digitais cadastradas no controle de ponto), quando vinculado a uma pessoa natural (toda e qualquer pessoa que trabalha na empresa).
A LGPD traz em seu art. 5º, os conceitos que fundamentam o seu inteiro teor. Dentre eles, destacam-se 2 (duas) figuras principais no tratamento de dados – chamados de agentes de tratamento. São eles: (i) controlador – na relação trabalhista, em geral será ocupado pelo empregador e; (ii) operador – podemos ter uma empresa terceira exercendo esse papel, como em casos de contratação de funcionários terceirizados.
Muito embora a linha do tempo de vigência seja desafiadora e as sanções administrativas mencionadas no art. 52 tenham a sua eficácia reconhecida somente a partir de agosto de 2021, desde a entrada em vigor da LGPD, órgãos como o Procon e o Ministério Público já vinham exercendo fiscalização com base nos termos da Lei. Isso significa dizer que, sem prejuízo da fiscalização por parte da Autoridade Nacional de Proteção de Dados, mais uma vez o Judiciário será ferramenta no processo decisório que a Lei abarca.
Segundo o “Painel LGPD nos Tribunais”, podemos ver que 41,2%[4] das decisões judiciais envolvendo a LGPD estão na justiça trabalhista:
Dentre os casos que mais ganharam mídia, cabe analisar 2 (dois) destaques:
- Case 1 [5] – em abril de 2020, uma unidade da franquia de uma empresa optou por divulgar o telefone celular da gerente no site da empresa, sem aviso ou pedido de autorização anterior.[6]
- Case 2[7] – o Sindicato dos Trabalhadores nas Indústrias da Alimentação de Montenegro propôs Ação Trabalhista alegando descumprimentos sistemáticos da proteção de dados dos funcionários, como compartilhamento indevido com terceiros. O Sindicato afirmou ainda não haver a indicação do encarregado pelos dados pessoais – popularizado como DPO[8]. Veja mais casos[9].
Considerando que cada atividade empresarial possui suas especificações e processos de negócio, quando falamos em implementação de um programa de compliance em Privacidade e Proteção de Dados Pessoais (P&PD)[10] não existe um modelo único que servirá para todos. No entanto, é importante evidenciar que ambos os lados – empregados e empregadores – conheçam as suas normas, a importância e a correta aplicação, a fim de que todos saibam como trabalhar corretamente os dados pessoais de uma forma segura e em compliance com a legislação que a subsidia.
É importante ter em mente os principais objetivos da norma e como atingi-los. Assim, um bom programa de compliance, preocupado não só com a LGPD, mas também com os impactos internos na relação de trabalho, consistirá em no mínimo 3 (três) etapas principais: (i) mapeamento – estudo dos processos internos e o fluxo da informação – que envolve um contato direto com processos e atividade dos colaboradores nas empresas e o “como” da sua forma de trabalho; (ii) diagnóstico – após a primeira fase, consiste na identificação dos pontos de atenção e melhorias que devem ser implementadas e; (iii) implementação – fase de remodelações necessárias e consolidação de processos, com constante monitoramento de qualidade e compliance.
Além da adoção de medidas de segurança pelas empresas, o colaborador (titular de dados) deve tomar precauções no seu dia a dia, tais como: estar atento a autenticidade das comunicações recebidas, adotar medidas de segurança em seus dispositivos (como firewall, antivírus, autenticação de dois fatores, etc.), e evitar clicar em links de sites desconhecidos que não tenham certificação SSL em sua URL, etc.
Ademais, cuidados adicionais devem ser tomados na produção e na análise de contratos de prestação de serviços – principalmente de saúde – tais como: identificação dos agentes e suas responsabilidades, limites da responsabilidade civil, cláusulas de auditoria, prazos para cumprimento de obrigações, etc.
Um levantamento feito sobre a coleta de dados de funcionários na pandemia[11], retrata bem o volume de dados que as empresas têm sob sua responsabilidade e a maturidade necessária para os seus programas de privacidade:
Por essa e outras razões, o time de P&PD deve sempre atuar em conjunto com a assessoria jurídica e o DPO, responsável por acompanhar todos os processos.
[1] Nathalia Correia Pompeu. Superintendente jurídica do SINAMGE. Doutora em Direito Empresarial, Mestre em Direito Processual e Especialista em Direito Tributário, pela PUC/SP, com certificações e pesquisas internacionais na União Europeia. Especializada em Direito Constitucional pela Universidade de Salamanca/Espanha; Negócios Internacionais pela Waterford Institute of Technology na Irlanda e Diplomacia na Saúde em Oxford/UK; Pós-doutoranda na Universidade de Lisboa/PT na temática de Proteção de Dados. Executiva há mais de 10 anos com atuação em empresas e start up companies no setor de seguros e saúde suplementar. nathalia.pompeu@abramge.com.br
[2] Camila Castioni Secundino. Analista jurídica e DPO do SINAMGE. Bacharel em Direito pelas Faculdades Metropolitanas Unidas. Especializanda em Direito Médico e Hospitalar pela Escola Paulista de Direito. Tutora de Habilitação em Seguros pela FGV Conhecimento. Atuação em seguros e saúde suplementar desde 2015, com experiência em multinacionais e start up. camila.castioni@abramge.com.br
[3] SENADO. LEI Nº 14.289, DE 3 DE JANEIRO DE 2022. Torna obrigatória a preservação do sigilo sobre a condição de pessoa que vive com infecção pelos vírus da imunodeficiência humana (HIV) e das hepatites crônicas (HBV e HCV) e de pessoa com hanseníase e com tuberculose, nos casos que estabelece; e altera a Lei nº 6.259, de 30 de outubro de 1975. Disponível em: https://www.in.gov.br/en/web/dou/-/lei-n-14.289-de-3-de-janeiro-de-2022-371717752. Acesso em: 28. jan. 22.
[4] JUSBRASIL. LGPD nos Tribunais. Disponível em: https://www.jusbrasil.com.br/static/pages/lgpd-nos-tribunais.html. Acesso: 03. fev. 21.
[5] CIDADE AZUL NOTÍCIAS. Cacau Show é condenada por uso indevido de dados pessoais. Disponível em: https://cidadeazulnoticias.com.br/cacau-show-e-condenada-por-uso-indevido-de-dados-pessoais/. Acesso em: 03. fev. 21.
[6] Em resposta, a funcionária ingressou com Reclamação Trabalhista contra o estabelecimento a fim de romper o vínculo de emprego, requerendo direitos trabalhistas, bem como a condenação da empregadora em danos morais. Na sentença, a Juíza fez questão de constar o motivo da condenação com base na LGPD. A empresa recorreu da decisão, mas o entendimento foi mantido no Acórdão proferido pelo Tribunal Regional do Trabalho da 3ª Região. Assim, a Cacau Show foi condenada a indenizar a ex-funcionária em R$ 5 mil por Danos Morais.
[7] MIGALHAS. Justiça nega ação de sindicato e reconhece adequação da JBS a LGPD. Disponível em: https://www.migalhas.com.br/quentes/348546/justica-nega-acao-de-sindicato-e-reconhece-adequacao-da-jbs-a-lgpd. Acesso em: 03. fev.21.
[8] A JBS, por sua vez, negou descumprimento da lei, e informou possuir política interna de tratamento de dados (privacidade e manual de dados), além de software próprio, comitê de privacidade (com hierarquia do DPO) e portal de direitos do titular, tudo dentro de um programa de governança elaborado por uma consultoria. Na decisão, a juíza do Trabalho substituta declarou a plena adequação da JBS aos termos da LGPD – Lei Geral de Proteção aos Dados.
[9] Processos: 1001064-30.2020.5.02.0007; 1000765-27.2021.5.02.0069; 1000765-27.2021.5.02.0069; 1000765-27.2021.5.02.0069; 0021049-48.2019.5.04.0664; 0010302-19.2020.5.03.0054; 0010083-28.2021.5.03.0003;0000393-11.2020.5.10.0101
[10] Privacidade e proteção de dados.
[11] IAPP.gov. IAPP-EY Annual Privacy Governance Report 2021. COVID-19: Employee data collection, work arrangements and business travel in the near future. Disponível em: https://iapp.org/resources/article/privacy-governance-report/. Acesso em: 03.fev.21.