Que a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD) entrou em vigor “fazendo barulho”, todos sabem. O que não sabemos ao certo (ainda) é como será colocá-la em prática.

No tocante à relação entre Empregado X Empregador e a prática das previsões da LGPD surgem as dúvidas: até que ponto o Empregador poderá coletar e tratar os dados do Empregado? O Empregado pode proibir? O Empregador pode deter os dados coletados por tempo indeterminado?

Pois bem, vamos analisar tais questões, mas antes, para melhor entendimento, insta esclarecermos e fazermos algumas considerações quanto à LGPD.

A LGPD, além de ter como prioridade a proteção de dados pessoais, tem a grande importância de gerar maior segurança jurídica e atração de investimentos do exterior, tudo decorrente do elevado nível de proteção exigido pela Lei e principalmente do fomento cultural provocado no sentido da proteção de dados pessoais.

Isto é, a Lei determina que os dados pessoais coletados devem ser tratados mediante observação e respeito dos princípios.

O tratamento dos dados pessoais que aduz a LGPD se aplica a TODOS os atos envolvendo dados pessoais, da coleta até o descarte, passando pelo compartilhamento, processamento e pelos simples acessos.

Para que isso ocorra, os dados pessoais só podem ser tratados para finalidades legítimas, específicas, explícitas e informadas ao titular (do dado), de modo adequado para atingir as finalidades informadas, de acordo com o contexto da coleta dos dados e limitado ao mínimo necessário para atingir a finalidade, também de acordo com o contexto.

Desta forma, questiono: a empresa pode requerer do empregado seu estado civil? Se ele tem filhos? Ter o controle e conhecimento dos exames feitos pelo empregado quando do uso do plano de saúde corporativo?

Para isso a LGPD prescreve em seus artigos 7º e seguintes as bases ou autorizações legais para o tratamento dos dados coletados, isto é, a coleta e o uso dos dados precisam estar amparadas em uma autorização (“base legal”) adequada para cada finalidade.

Cada base legal tem seus próprios requisitos e limitações, portanto escolher a base legal errada leva a uma infração.

Sob a LGPD temos 10 bases legais, nenhuma é melhor ou mais importante que a outra, sendo elas: cumprir um contrato, cumprir dever legal, garantir exercício de direitos, consentimento, atender a interesses legítimos, realizar políticas públicas, pesquisar sem fim lucrativo, proteger o crédito, proteger a vida e tutelar a saúde.

A empresa, quando coleta os dados pessoais de seu empregado, desde o início da contratação em potencial, com o recebimento do currículo, até a contratação efetiva e manutenção de prontuário do empregado, deve ter em mente que para cada dado pessoal coletado deve ter uma base legal válida para amparar seu tratamento.

Ou seja, a maioria das bases legais requer que o tratamento seja adequado para aquela finalidade. Se a Empresa consegue atingir a mesma finalidade sem o tratamento do dado, então ela não tem uma base legal para justificar a coleta.

Vejamos: no exemplo da solicitação se o empregado tem filhos ou se é casado, qual a finalidade da empresa solicitar tal informação? Se for para pagar o benefício do bolsa família, a empresa deve considerar como base legal o cumprimento de um dever legal para o tratamento dos dados; mas se for para incluir os seus dependentes em plano de saúde corporativo, a empresa deve considerar o cumprimento de um contrato como base legal para o tratamento dos dados.

Já no caso do acompanhamento do departamento pessoal da empresa nas solicitações de exames e consultas do empregado no plano de saúde corporativo, a empresa precisa coletar tais dados com qual finalidade? Nenhuma base legal justifica tal coleta, em princípio.

Vejam, cada caso é um caso. Cada empresa tem uma especificidade nas suas atividades, dependendo da finalidade da coleta dos dados estar amparada em uma base legal trazida pela LGPD.

O caso da coleta da biometria, ao adentrar o prédio da empresa, por exemplo, talvez possa ser justificada e estar amparada na base legal de proteção à vida, em caso de intercorrências na segurança dentro do edifício. Mas com o cadastro do nome completo, CPF e RG do empregado, já não dá para identificar o empregado? É realmente necessária a coleta da biometria? Não seria talvez um exagero de coleta?

São questões que deverão ser cada vez mais questionadas pela Empresa em relação à coleta de dados, porque todos os dados pessoais coletados devem estar amparados em uma base legal para serem tratados.

E você pode estar pensando: “mas se eu não encontrar nenhuma base legal adequada que ampare a coleta de determinado dado pessoal, posso amparar na base legal do consentimento?”

Muito embora eu lhe tenha dito que nenhuma base legal é melhor ou mais importante que a outra, o consentimento é uma base legal extremamente delicada, principalmente dentro do contexto da relação empregado/empregador.

Explico: a LGPD define um alto padrão de consentimento, isto é, o consentimento significa oferecer ao titular do dado pessoal escolha e controles reais. O consentimento tem que ser livre, explícito e esclarecido, podendo o titular do dado revogá-lo, proibi-lo de uso, inclusive solicitar o descarte de tal dado a qualquer momento.

Vejam, portanto, que, se o empregador amparar a coleta de determinado dado pessoal no consentimento do empregado, poderá a qualquer momento perdê-lo. Ou seja: questione sempre qual a finalidade da coleta do dado, e procure sempre uma base legal diferente do consentimento, uma vez que essa é a base legal mais difícil de se conseguir e de se manter.

E mais: lembre que a base legal, escolhida como amparo da coleta e tratamento de determinado dado pessoal, caso não seja adequada é passível de sanção, muito embora somente a partir de 2021 (quando as sanções passam a vigorar), mas que se deve ter em mente desde agora a boa prática.

Logo, podemos vislumbrar e concluir que, nesse cenário da LGPD em vigor, é importante que a empresa discuta as boas práticas, mapeie os processos que envolvam os processamentos de dados pessoais (e não só de seus empregados, mas de todos os dados pessoais coletados e tratados dentro da empresa), faça avaliações de impacto, crie políticas e protocolos que assegurem o tratamento dos dados dentro dos requisitos legais, reveja políticas e termos de privacidade, bem como busque suporte e auxílio de advogados e consultores especializados.

E lembre-se sempre: melhor começar agora do que chegar atrasado!

EnglishPortuguese