Necessidade de adequação às normas de proteção nas relações de trabalho

Artigo escrito por Júlia Mayara Medeiros

Com o advento da Lei Geral de Proteção de Dados – LGPD, mostrou-se necessário o compliance por parte das empresas ao tratamento dos dados pessoais, tanto de seus consumidores, fornecedores, colaboradores, quanto de seus empregados.

Assim, é perceptível a necessidade de adequação das políticas internas da empresa à legislação, em específico ao tratamento de dados desde a sua coleta até sua eliminação, devendo haver revisão dos documentos e dos contratos, inclusive no que se refere aos contratos de trabalho.

É certo que a General Data Protection Regulation – GDPR, lei da União Europeia sobre Proteção de dados, no qual a legislação brasileira foi inspirada, possui disposições específicas para relação de trabalho, o que prevê, por exemplo, no art. 88, a possibilidade dos Estados-Membros estabelecerem em seu ordenamento jurídico ou por convenção coletiva, normas específicas para garantir a defesa dos direitos e liberdades ao tratamento de dados pessoais dos trabalhadores.

Embora não exista norma expressa na LGDP a fim de regulamentar a relação de emprego, em uma simples leitura, é certa a necessidade de adequação das normas e diretrizes ao que se vê entre empregados e empregadores, vez que a legislação brasileira, se fundamenta no respeito à privacidade de dados pessoais de todas as pessoas físicas no Brasil. Desta forma, salvaguarda-se a dignidade, os interesses legítimos e os direitos fundamentais do titular dos dados, com especial relevo para a transparência do tratamento destas informações.

Pois bem. É conhecido que, em uma relação de emprego, há um enorme fluxo de dados pessoais no qual o controlador dos dados é o empregador e o titular de dados é o empregado. Em razão do contrato de trabalho, o empregado fornece ao empregador seus dados pessoais, devendo o controlador-empregador tomar as medidas cabíveis quanto ao tratamento desses dados, tanto de forma interna na empresa quanto ao compartilhar os dados para com terceiros, em caso, por exemplo, de concessão de vale refeição, plano de saúde, empresas de auditoria, E-social etc. Tal tratamento é realizado pelo controlador-empregador juntamente com o operador e o encarregado de dados, também denominado de DPO (Data Protection Officer), podendo estes serem empregados da empresa ou prestadores de serviços.

Ainda neste contexto, vê-se como necessário contar com regras de boas práticas e de governança, treinando os empregados/colaboradores sobre a política interna dos dados pessoais. Destaca-se a importância de dar-lhes ciência das consequências dos seus atos, devendo-se ter cautela na coleta dos dados, desde a fase pré-contratual, com observância do prazo para armazenamento dos dados, do momento da recepção de currículos e descarte dos candidatos não selecionados, até a contratação e desligamento de funcionários, o que deverá ser rigidamente controlado, através de um plano de ação.

Diante do exposto, torna-se indispensável ter a empresa um plano de resposta, através de RIPD (relatório de impacto à proteção de dados pessoais), para mitigação do risco em casos de incidentes de segurança (ex: falhas na segurança, cibercrimes com vazamento de dados etc.), no qual deverão ser comunicados rapidamente, promovendo adaptações que possam demonstrar a iniciativa da empresa em estar em conformidade.

Faz-se, portanto, essencial o auxílio do profissional especializado, independente do porte empresarial, para uma análise completa de condutas a serem adotadas e adequação das políticas de segurança da informação que se amolde as diretrizes previstas na legislação.

Por fim, cabe salientar que, caso haja o descumprimento da norma, os empregados, colaboradores, consumidores, fornecedores, os agentes reguladores, especialmente no que se refere a ANPD (Autoridade Nacional de Proteção de dados), poderão pleitear a adequação da empresa e ainda requerer eventuais responsabilização com requerimentos de sanções no âmbito judicial, além de sanções administrativas, podendo acarretar a empresa multas que variam de 2% do faturamento bruto até R$ 50 milhões, por infração, conforme art. 52, II, da LGPD, com possibilidade da exposição pública negativa da marca e o nome da empresa, desvalorizando seu capital e sua reputação.

Vale ser ressaltado que, segundo estudo realizado pela Cisco Data Privacy Benchmark Study, a cada US$1,00 investido em tratamento de dados, há um retorno de US$2,70 à empresa, ou seja, um retorno de 270% em benefícios comerciais. A empresa que estiver adequada as diretrizes previstas na Lei, adquire diversos benefícios e vantagens operacionais e econômica, como, por exemplo, organização e otimização da empresa, agilidade, aumento da segurança, maior vantagem competitiva, valorização da imagem, trazendo, consequentemente, maior confiança ao cliente.

Autora: Júlia Mayara Medeiros
Advogada, especialista em Direito Digital e Direito do Trabalho. Pós-graduada a nível MBA em Direito Digital e LLM em Direito Empresarial, em andamento. Atuação profissional com mais de 10 anos de experiência, atendendo às demandas de clientes e empresas de grande porte em diversos segmentos de mercado. Membro da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados). Membro da Comissão de Direito das Startups da OAB/PE. Membro da ANADD (Associação Nacional de Advogados do Direito Digital) – Comitê de Relações Trabalhistas no Digital.

Quer receber conteúdos como esse diretamente na sua caixa de entrada? Cadastre-se para receber dicas e novidades sobre a LGPD.