A Lei Geral de Proteção de Dados (LGPD – Lei nº13.709/2018*) prevê regras e princípios que devem ser observados quando da utilização de dados pessoais pelas empresas privadas e públicas. Naturalmente, essa legislação impactou a relação entre empregados e empregadores, tendo em vista o grande fluxo de informações pessoais a ela inerentes.
A LGPD deve ser observada em todo o desenvolvimento da relação trabalhista, isto é, desde o processo seletivo até após a dissolução do contrato de trabalho, visto que a empresa precisa armazenar informações de antigos funcionários para fins trabalhistas e previdenciários. É certo que uma grande quantidade de dados pessoais, seja do próprio colaborador e até mesmo de seus familiares, abastecem toda e qualquer relação laboral.
De início, a empresa deve identificar os tratamentos de dados pessoais que realiza para verificar se há base legal na LGPD que o autorize (arts 7º e 11) e poder aferir se os dados coletados são adequados e se são realmente necessários para atingir determinada finalidade (art. 6º, incisos I, II e III).
E falando em base legal, nas relações trabalhistas as principais bases legais utilizadas são: cumprimento de obrigação legal e a execução de contrato.
É importante a empresa compreender qual é a sua posição enquanto agente de tratamento de dados pessoais dentro da relação trabalhista. A LGPD define como agente de tratamento de dados pessoais o controlador e o operador (art. 5º, inciso IX). Pelos termos da lei, ao controlador competem as decisões referentes ao tratamento de dados pessoais e ao operador cabe a realização efetiva do tratamento de dados em nome do controlador.
Como regra, as empresas assumirão o posto de controladora em relação ao tratamento dos dados pessoais dos seus colaboradores. Por sua vez, assume a posição de operadora, por exemplo, uma empresa terceirizada, contratada pelo controlador para fornecer benefícios aos seus colaboradores.
Identificar a posição que o agente assume na cadeia de tratamento de dados é de suma importância, pois isto definirá o regime de responsabilidade e norteará o reajuste das cláusulas contratuais mantidas pelas empresas com os seus fornecedores e os seus colaboradores.
Na condição de controladora, a empresa tem a responsabilidade de informar os seus colaboradores de como os seus dados pessoais são tratados, indicar as medidas técnicas e administrativas para prevenir incidente envolvendo os dados pessoais, oferecer treinamentos para construir a cultura de proteção de dados dentro da empresa, estabelecer políticas de privacidade e proteção de dados que devem ser seguidas pelos colaboradores, exigir a adequação das empresas com quem compartilha dados pessoais dos colaboradores, conhecer os principais riscos à segurança da informação dentro da empresa para adotar medidas efetivas a fim de mitiga-los, dentre outras condutas.
Além disso, a LGPD impacta a contratação de pessoas menores de idade ao trazer regras específicas para tratamento de dados pessoais de crianças e adolescentes (art. 14). Assim, empresas que empregam menores de idade devem providenciar a coleta do consentimento específico e em destaque de pelo menos um dos pais ou responsável.
Uma grande preocupação das empresas tem sido o prazo de guarda dos dados pessoais, tendo em vista que a LGPD determina a eliminação dos dados após o término do seu tratamento (art. 16) e isso tem grande impacto nas relações trabalhistas, haja vista os seus vários reflexos após o encerramento do contrato de trabalho, que pode ainda gerar o ajuizamento de reclamações trabalhistas ou a necessidade de esclarecimentos previdenciários para a aposentadoria do empregado.
No contexto trabalhista há uma grande quantidade de documentos e para melhor organização a empresa deve criar uma política específica para a gestão dos prazos dos documentos armazenados. O período de armazenamento deve estar fundamentado no respectivo artigo de lei. Com a Súmula vinculante nº 08 (São inconstitucionais o parágrafo único do artigo 5º do Decreto-Lei nº 1.569/1977* e os artigos 45 e 46 da Lei nº 8.212/1991*, que tratam de prescrição e decadência de crédito tributário) deve-se
considerar o prazo do Código Tributário Nacional (CTN), que é de 5 anos, conforme é previsto nos artigos 174 e 195 em relação ao prazo de retenção de atestado médico ou abono de falta
Por fim, um dos temas que vem causando bastante controvérsia é o uso do ponto eletrônico biométrico, considerado como um dado pessoal sensível (art. 5º, II).
Considerando o que dispõe o §2º, do art. 74, CLT, bem como a Portaria 1.510/09* e a Portaria 373/11*, ambas do Ministério do Trabalho e Emprego, podemos argumentar que a coleta do dado biométrico para registro de ponto se enquadra na hipótese do art. 11, II, “a” – obrigação legal ou regulatória pelo controlador –, já que a CLT determina a obrigatoriedade do registro para empresas com mais de 20 funcionários, ou, na hipótese do art. 11, II, “g” – garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Ainda não há um posicionamento da Autoridade Nacional de Proteção de Dados (ANPD) sobre o tema, mas, considerando a grande influência que a LGPD sofreu da GDPR, é válido verificar como a questão é tratada na União Europeia, que já possui uma cultura de proteção de dados muito mais consolidada.
O Parecer nº 02/2017 do GT 29 orienta “pela utilização da biometria no caso de controle de ponto desde que esses dados sejam utilizados exclusivamente para essa finalidade”.
Assim, para a coleta da biometria pela empresa estar em conformidade com a LGPD é necessário que o seu uso se restrinja as finalidades acima mencionadas (controle de jornada e prevenção à fraude), sendo indicado o uso de medidas de segurança mais rígidas por tratar-se de dados sensíveis, tais como a criptografia.
Por fim, é importante que as empresas tenham consciência que não existe receita mágica para a adequação à LGPD, de modo que cada empresa deve ter um projeto desenvolvido sob medida para si.
Links relacionados:
*LGPD – Lei nº13.709/2018
*Decreto-Lei nº 1.569/1977
*Lei nº 8.212/1991
*Portaria 1.510/09
*Portaria 373/11
*Juliana Callado Gonçales é sócia do Silveira Advogados e especialista em Direito Tributário e em Proteção de Dados (www.silveiralaw.com.br)
Bom dia!
Ótimas informações! Parabéns! Só uma contribuição com a matéria: A informação “…; atestado médico ou abono de falta podem ser armazenados por até 10 anos, com fundamento no art. 46 da Lei nº 8.212/91 e no art. 225, § 5º do Decreto 3.048/99.” está equivocada. O prazo é de 5 anos e o artigo 46 da Lei nº 8.212/91 mencionado foi revogado.
Abraços!
Olá Iuri!
Fizemos a seguinte correção no texto:
Com a Súmula vinculante nº 08 (São inconstitucionais o parágrafo único do artigo 5º do Decreto-Lei nº 1.569/1977* e os artigos 45 e 46 da Lei nº 8.212/1991*, que tratam de prescrição e decadência de crédito tributário) deve-se
considerar o prazo do Código Tributário Nacional (CTN), que é de 5 anos, conforme é previsto nos artigos 174 e 195 em relação ao prazo de retenção de atestado médico ou abono de falta.
Agradecemos o seu comentário, ele contribui para a formação de um ambiente de aprimoramento e trocas profissionais.
Att.
Juliana Callado Gonçales