Desafios do RH na adequação à LGPD no ambiente de trabalho

Escrito por Fabiana Maria Galego Cicchetto e Ana Carolina F. de Melo Brito, Advogadas de Privacidade e Proteção de Dados no Trigueiro Fontes Advogados

O direito à proteção de dados pessoais no Brasil não se limita à Lei Geral de Proteção de Dados (LGPD). O Supremo Tribunal Federal (STF) já reconheceu a existência desse direito, como parte integrante dos direitos individuais fundamentais. Além disso, foi aprovada pelo Congresso Nacional a proposta de emenda à Constituição (PEC) 17/2019, que objetiva tornar a proteção de dados pessoais um direito fundamental, expressamente previsto na Constituição.

Nesse passo, não há dúvidas de que a LGPD está no centro de atenção de diversos órgãos brasileiros, inclusive do Poder Judiciário. Em um levantamento das tendências de abordagens nos tribunais e embasamento das decisões judiciais proferidas em 2021, observou-se que já é expressiva a demanda na Justiça do Trabalho no tocante à aplicação da LGPD, ficando atrás apenas das demandas do Tribunal de Justiça de São Paulo (TJ/SP), em número de decisões sobre o tema.

A Autoridade Nacional de Proteção de Dados (ANPD) está cumprindo sua agenda regulatória e já possui vasto conteúdo de natureza orientativa, disponibilizado à sociedade.

A LGPD no RH

A LGPD aplica-se a toda relação em que ocorre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado. Segundo a referida lei, são dados pessoais toda informação relacionada a pessoal natural identificada ou identificável. Logo, todas as pessoas naturais são titulares de dados e, portanto, têm seus direitos protegidos pela LGPD. A definição de titular de dados não exclui o trabalhador, tampouco impede a sua aplicação nas relações de trabalho, o que demonstra a extensão da aplicação da LGPD em uma organização.

Toda a organização faz o tratamento de dados pessoais de seus colaboradores, prestadores de serviços, fornecedores, trabalhadores autônomos e eventuais, estagiários, aprendizes, terceirizados, temporários e outros, que são considerados titulares desses dados. Portanto, é fato que a relação empregatícia constitui uma fonte inesgotável de tratamento de dados pessoais, de modo que é dever do empregador (na posição de controlador) fazer o uso correto destes dados.

As regras que circundam o tratamento dos dados devem incluir medidas adequadas para salvaguardar a dignidade e os direitos fundamentais do titular dos dados. Ademais, a organização deverá manter a transparência e segurança no tratamento dos dados, respeitando os princípios constitucionais aplicados ao Direito do Trabalho de forma não discriminatória e conjugada com os princípios da LGPD, especialmente quanto ao tripé finalidade, adequação e necessidade, impedindo a utilização dos dados para fins ilícitos e discriminatórios.

Desafios do setor de RH no processo seletivo

Na contratação de colaboradores, há tratamento de dados desde a candidatura ao processo seletivo até o armazenamento de documentos na fase pós-contratual. E aí surgem vários desafios para a LGPD no RH.

Durante todo este processo os departamentos administrativos precisam mapear e enxergar os momentos do ciclo de vida dos dados e gerir informações de empregados, estejam ativos ou não, o que se torna bem desafiador a depender no número de empregados.

Logo na fase de recrutamento e seleção, as organizações devem estar atentas na adoção de métodos e técnicas proporcionais e minimamente necessários para a escolha de um candidato, respeitando a vida privada deste e evitando qualquer seleção discriminatória. Existe, portanto, uma linha muito tênue entre o procedimento a ser adotado, a finalidade e eventuais resultados práticos.

Como nesta fase ainda não há a relação de subordinação que preside o contrato de trabalho e cria indiscutível desequilíbrio entre as partes, o consentimento do candidato para as etapas do aludido processo é necessário e tem um peso diferenciado.

O candidato deverá ser informado sobre (i) as informações de finalidade da coleta, forma e duração do tratamento dos seus dados; (ii) a identificação do controlador; (iii) seus direitos como titular; (iv) bem como todas as informações necessárias à compreensão do tratamento de dados. Além de consentir de forma expressa e específica com o eventual compartilhamento de seus dados com outro agente de tratamento ou utilização para outro fim que não a seleção para vaga de emprego.

Considerando que ainda existem lacunas nos entendimentos doutrinários e jurisprudenciais sobre aplicação da LGPD, por se tratar de uma norma recente, bem como sobre como será a atuação da ANPD sobre determinados pontos controversos, é de grande valia que as empresas se utilizem da análise de alguns casos paradigmáticos já existentes na Europa, sobre temas corriqueiros no ambiente laboral.

As diretrizes e decisões tomadas por algumas autoridades europeias sobre a aplicação da GDPR podem guiar as empresas sobre boas práticas de governança, assim como possivelmente se dará a aplicação da legislação de proteção de dados às relações de trabalho no nosso país.

Os cuidados e boas práticas inerentes aos processos seletivos, por exemplo, já foram tema da elaboração de um código sobre proteção de dados e práticas trabalhistas pela Autoridade de Proteção de dados no Reino Unido, abordando questões sobre processos de entrevistas, #backgroundcheck e pre-employment vetting.

Além disso, o Article 29 Data Protection Working Party (WP 29), órgão consultivo criado pela diretiva 95/46 e substituído pelo European Data Protection Board com a entrada em vigor do Regulamento Europeu Geral de Proteção de Dados, traz orientações sobre como as organizações devem evitar analisar perfis em redes sociais nos quais o candidato compartilha com seus amigos informações, ainda que tenha optado em torná-lo público.

Note-se que tais questões já discutidas e abordadas por outras autoridades de proteção de dados podem auxiliar as empresas na estruturação dos procedimentos de recrutamento e seleção de empregados nos ditames de privacidade e proteção de dados pessoais.

Havendo um resultado negativo da seleção, o candidato deverá consentir sobre a possibilidade de manutenção do seu currículo em um banco de talentos da organização para contratações futuras, e por qual tempo, em respeito ao princípio da qualidade dos dados pessoais. E o departamento responsável deverá adotar meios que facilitem o controle da gestão deste consentimento e gerem evidências do cumprimento da eventual eliminação do dado da sua base, quando requerida pelo titular do dado.

Atuação renovada do RH durante o contrato de trabalho e rescisão

Se ocorrer o resultado positivo do processo seletivo, com a contratação do candidato, os dados solicitados serão os mínimos necessários para a celebração do contrato de trabalho e o cumprimento das demais exigências contratuais e legais por ambas as partes.

Nesta fase, o consentimento será relativizado e solicitado apenas em situações singulares, já que o tratamento dos dados poderá ocorrer com fundamento em outras bases legais previstas na LGPD.

Com a formalização do contrato de trabalho, os departamentos administrativos devem se manter atentos às finalidades dos dados obtidos e dar especial atenção aos pontos críticos inerentes ao tratamento de dados sensíveis, como biometria, informação de filiação a sindicato, dados médicos e outros, que inevitavelmente serão tratados em algum momento no decorrer da relação de emprego.

Aqui também se faz oportuna a análise conjunta de decisões do Tribunal Superior do Trabalho com cases autuados por Autoridades Europeias sobre o monitoramento de e-mails e ambiente de trabalho. O uso de câmeras já foi inclusive objeto de um guia elaborado pela Agência Espanhola de Proteção de dados, que pode ser utilizado de forma suplementar.

Igualmente deverão observados os procedimentos e limites de compartilhamento de dados, o qual certamente ocorrerá para a manutenção do vínculo de emprego, realização de pagamentos, concessão de benefícios e cumprimento das obrigações legais perante órgãos como o INSS e a CEF.

No caso de benefícios proporcionados pelo empregador (academia de ginástica, nutricionista, psicólogo, plano de saúde, etc.), é preciso atentar para a base legal que autoriza o tratamento desses dados. Por exemplo, se o benefício decorre de uma obrigação prevista na Convenção Coletiva de Trabalho, esta tem a natureza jurídica de contrato e deve ser entendida como uma extensão do contrato de trabalho individual. Nessa hipótese, o tratamento é autorizado pelo artigo 7º, inciso V, da LGPD.

No entanto, se o benefício é oferecido para além das obrigações legais ou contratuais, o empregador realizará o tratamento dos dados relacionados ao benefício com base no consentimento do empregado (art. 7º, inciso I). Por fim, se o tratamento versa sobre dados sensíveis, recomenda-se obter o consentimento e a sua base legal pode ser o art. 11, inciso I ou II da LGPD.

Ainda sobre os dados sensíveis, convém lembrar o louvável esforço que as empresas estão fazendo para atender e promover a diversidade e inclusão na organização. A criação de comitês de diversidade e inclusão e suas ações, portanto, devem preservar a vontade dos colaboradores e empregados em se identificar com determinado segmento, bem como assegurar medidas de segurança da informação, para que tais dados não sejam tratados indevidamente.

Outro ponto que merece atenção na relação contratual é a transferência internacional de dados. Não é raro que os processos seletivos ou promoções para determinados cargos sejam compartilhados com outas unidades da empresa no exterior. Além disso, em inúmeras ocasiões ocorrem troca de e-mails com envio de planilhas contendo dados de empregados entre pessoas de distintas unidades internacionais da empresa, assim como pode ocorrer o acesso a sistema no exterior com compartilhamento de dados ou uso/consulta de servidores no exterior.

As modalidades de tratamento de dados acima apontadas podem ocorrer durante atividades diárias no trabalho e não poderão passar despercebidas pelos responsáveis pela gestão de dados na empresa.

Ocorrendo a rescisão do contrato, os dados pessoais cuja coleta decorreu do contrato de trabalho deverão ser armazenados pelos prazos legais previstos nas legislações setoriais, seja para cumprimento das obrigações contratuais e regulatórias ou para o exercício regular de direito em eventual processo judicial/administrativo. Neste ponto, a gestão do tempo de guarda dos dados igualmente deverá ser gerenciada adequadamente, sob pena de descumprimento das diretrizes da LGPD.

Considerações finais

Pelos cenários acima expostos, resta claro que, para alcançar a conformidade à LGPD no âmbito laboral, o departamento de recursos humanos e de gestão da privacidade de dados deverão estar sempre atentos às nuances de cada ciclo de tratamento do dado pessoal do colaborador. A gestão desses dados deverá ser continuamente monitorada e eventualmente renovada, diante da dinâmica das atividades de cada segmento, de modo a ser alcançar a adequação o menos falha possível.

Além disso, o RH deverá adotar boas práticas de governança e uma cultura de privacidade organizacional, aliadas a tecnologia que lhe possibilite organizar toda a sistemática adotada. Esse trabalho inevitavelmente exigirá algum investimento financeiro e, eventualmente, com a contratação de pessoal, programas/softwares de gestão de dados e segurança da informação. Todo este empenho objetivará evitar passivos trabalhistas perante a justiça do trabalho e fiscalizações dos órgãos reguladores, incluindo a aplicação de sanções pela ANPD.

Com o noticiamento constante de ataques cibernéticos e vazamento de dados, há uma expectativa de que este ano será mais dinâmico quanto aos temas envolvendo privacidade e proteção de dados pessoais, o que certamente será pautado por uma atuação mais fiscalizadora da ANPD e dos demais órgãos de proteção ao trabalho.