A Lei Geral de Proteção de Dados (LGPD – Lei nº13.709/2018) prevê regras e princípios que devem ser observados quando da utilização de dados pessoais pelas empresas privadas e públicas. Naturalmente, essa legislação impactou a relação entre empregados e empregadores, tendo em vista o grande fluxo de informações pessoais a ela inerentes.
A LGPD deve ser observada em todo o desenvolvimento da relação trabalhista, isto é, desde o processo seletivo até após a dissolução do contrato de trabalho, visto que a empresa precisa armazenar informações de antigos funcionários para fins trabalhistas e previdenciários. É certo que uma grande quantidade de dados pessoais, seja do próprio colaborador e até mesmo de seus familiares, abastecem toda e qualquer relação laboral.
De início, a empresa deve identificar os tratamentos de dados pessoais que realiza para verificar se há base legal na LGPD que o autorize (arts 7º e 11) e poder aferir se os dados coletados são adequados e se são realmente necessários para atingir determinada finalidade (art. 6º, incisos I, II e III).
E falando em base legal, nas relações trabalhistas as principais bases legais utilizadas são: cumprimento de obrigação legal e a execução de contrato.
É importante a empresa compreender qual é a sua posição enquanto agente de tratamento de dados pessoais dentro da relação trabalhista. A LGPD define como agente de tratamento de dados pessoais o controlador e o operador (art. 5º, inciso IX). Pelos termos da lei, ao controlador competem as decisões referentes ao tratamento de dados pessoais e ao operador cabe a realização efetiva do tratamento de dados em nome do controlador.
Como regra, as empresas assumirão o posto de controladora em relação ao tratamento dos dados pessoais dos seus colaboradores. Por sua vez, assume a posição de operadora, por exemplo, uma empresa terceirizada, contratada pelo controlador para fornecer benefícios aos seus colaboradores.
Identificar a posição que o agente assume na cadeia de tratamento de dados é de suma importância, pois isto definirá o regime de responsabilidade e norteará o reajuste das cláusulas contratuais mantidas pelas empresas com os seus fornecedores e os seus colaboradores.
Na condição de controladora, a empresa tem a responsabilidade de informar os seus colaboradores de como os seus dados pessoais são tratados, indicar as medidas técnicas e administrativas para prevenir incidente envolvendo os dados pessoais, oferecer treinamentos para construir a cultura de proteção de dados dentro da empresa, estabelecer políticas de privacidade e proteção de dados que devem ser seguidas pelos colaboradores, exigir a adequação das empresas com quem compartilha dados pessoais dos colaboradores, conhecer os principais riscos à segurança da informação dentro da empresa para adotar medidas efetivas a fim de mitiga-los, dentre outras condutas.
Além disso, a LGPD impacta a contratação de pessoas menores de idade ao trazer regras específicas para tratamento de dados pessoais de crianças e adolescentes (art. 14). Assim, empresas que empregam menores de idade devem providenciar a coleta do consentimento específico e em destaque de pelo menos um dos pais ou responsável.
Uma grande preocupação das empresas tem sido o prazo de guarda dos dados pessoais, tendo em vista que a LGPD determina a eliminação dos dados após o término do seu tratamento (art. 16) e isso tem grande impacto nas relações trabalhistas, haja vista os seus vários reflexos após o encerramento do contrato de trabalho, que pode ainda gerar o ajuizamento de reclamações trabalhistas ou a necessidade de esclarecimentos previdenciários para a aposentadoria do empregado.
No contexto trabalhista há uma grande quantidade de documentos e para melhor organização a empresa deve criar uma política específica para a gestão dos prazos dos documentos armazenados. O período de armazenamento deve estar fundamentado no respectivo artigo de lei. Por exemplo, acordos de compensação de horas devem ser armazenados por 05 anos, com fundamento no art. 7º, inciso XXIX, CF; atestado médico ou abono de falta podem ser armazenados por até 10 anos, com fundamento no art. 46 da Lei nº 8.212/91 e no art. 225, § 5º do Decreto 3.048/99.
Por fim, um dos temas que vem causando bastante controvérsia é o uso do ponto eletrônico biométrico, considerado como um dado pessoal sensível (art. 5º, II).
Considerando o que dispõe o §2º, do art. 74, CLT, bem como a Portaria 1.510/09 e a Portaria 373/11, ambas do Ministério do Trabalho e Emprego, podemos argumentar que a coleta do dado biométrico para registro de ponto se enquadra na hipótese do art. 11, II, “a” – obrigação legal ou regulatória pelo controlador –, já que a CLT determina a obrigatoriedade do registro para empresas com mais de 20 funcionários, ou, na hipótese do art. 11, II, “g” – garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Ainda não há um posicionamento da Autoridade Nacional de Proteção de Dados (ANPD) sobre o tema, mas, considerando a grande influência que a LGPD sofreu da GDPR, é válido verificar como a questão é tratada na União Europeia, que já possui uma cultura de proteção de dados muito mais consolidada.
O Parecer nº 02/2017 do GT 29 orienta “pela utilização da biometria no caso de controle de ponto desde que esses dados sejam utilizados exclusivamente para essa finalidade”.
Assim, para a coleta da biometria pela empresa estar em conformidade com a LGPD é necessário que o seu uso se restrinja as finalidades acima mencionadas (controle de jornada e prevenção à fraude), sendo indicado o uso de medidas de segurança mais rígidas por tratar-se de dados sensíveis, tais como a criptografia.
Por fim, é importante que as empresas tenham consciência que não existe receita mágica para a adequação à LGPD, de modo que cada empresa deve ter um projeto desenvolvido sob medida para si.
*Juliana Callado Gonçales é sócia do Silveira Advogados e especialista em Direito Tributário e em Proteção de Dados (www.silveiralaw.com.br)