A Lei Geral de Proteção de Dados entrou em vigor em setembro de 2020 e a adequação a todos os seus termos está trazendo muitas dúvidas e insegurança, já que atinge a maioria das pessoas jurídicas, independentemente da atividade econômica que exerça e da dimensão do negócio.
Até porque, grande parte das empresas possui empregados cujos dados devem ser tratados de forma adequada, observando os princípios da boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não-discriminação, responsabilização e prestação de contas.
Assim, a gestão de dados demanda uma relação mais estreita com a área de tecnologia da informação, além dos agentes de tratamento, ou seja, empregados direcionados para o atendimento de todas as diretrizes da lei.
A primeira lição que as empresas devem ter em mente é a necessidade de lidar apenas com dados suficientes, ou seja, coletar as informações, por exemplo, do empregado, que bastem para o cumprimento de suas obrigações.
Destaque-se que a atenção das empresas deve ocorrer desde a fase pré-contratual, pois os dados fornecidos pelos candidatos em processos seletivos devem seguir as regras dessa nova legislação, sendo necessário informar aos candidatos não selecionados a forma de gestão dos dados a que a empresa teve acesso.
Além disso, a política de proteção de dados da empresa deve ser divulgada de forma inequívoca, devendo os empregados participarem de treinamento com lista de presença, para posterior demonstração da disseminação da política. É de suma importância, também, que as empresas incluam uma cláusula destacada sobre a LGPD em seus documentos, seja no próprio contrato de trabalho/aditivo ou em política própria, abordando os dados que serão colhidos, o tratamento das informações e o prazo de guarda dessas informações/documentos.
Neste aspecto, vale salientar que a estipulação do prazo de guarda dos documentos dos empregados passa, muitas vezes, pela análise das legislações especificas que trazem imposições legais de armazenamento, tais como os exames médicos que devem ser mantidos por período mínimo de 20 anos após o desligamento do trabalhador.
Outra questão importante é que muitos dados podem ser coletados pela empresa sem o consentimento do empregado, como, por exemplo, os dados que devem ser inseridos no e-Social, por ter legítimo interesse e se tratar de cumprimento de sua obrigação legal.
Por outro lado, nos casos que exijam o consentimento do empregado, este deve ser uma manifestação livre, informada e inequívoca, deve ser feito por escrito ou por outro meio que demonstre a manifestação de vontade expressa.
Em caso de necessidade de comprovação do consentimento, o ônus da prova caberá ao controlador, pessoa a quem competem as decisões referentes ao tratamento de dados, no caso a empresa.
Vale destacar que o consentimento do empregado pode ser revogado a qualquer momento, daí porque é muito importante a análise de cada situação e a verificação de enquadramento nas hipóteses de tratamento de dados já previstas na lei.
Um ponto delicado que a lei tomou o cuidado de tratar de forma específica é a questão dos chamados dados pessoais sensíveis, que nada mais são do que aqueles dados pessoais quanto à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Neste ponto, uma vez que a coleta de referidos dados, em sua maioria, não decorre de uma imposição legal, é importante ter a cautela sobre a real necessidade de coleta, além de limitar o acesso dessas informações a um grupo restrito de pessoas de confiança da empresa, e de ter o consentimento expresso do empregado. Diante disso, dados como os biométricos e aqueles que são compartilhados com planos de saúde, em especial os dados de terceiros, como familiares dos empregados, em que pese se tratar de uma finalidade legítima, deverão ser tratados com cuidado por serem considerados sensíveis.
Logo, o que pudemos observar é que a LGPD exige de todas as empresas um mapeamento detalhado das rotinas procedimentais, tais como treinamentos e revisão de contratos e políticas internas, além da revisão estrutural decorrente da interação com seus empregados, prestadores de serviço e clientes. E mesmo as pequenas empresas, sem sistemas informatizados ou procedimentos complexos, devem fazer adequações de acordo com a realidade do seu negócio, como não arquivar currículos de candidatos sem consentimento ou usar documentos como rascunho.
Ademais, é provável que as tratativas negociais e vinculações empresariais exijam a adoção de políticas de governança do tratamento e segurança dos dados, razão pela qual a necessidade de se adequar à LGPD o quanto antes não decorre somente da ideia de prevenir futuras fiscalizações e sanções, mas também de viabilizar novos negócios.
*Bruna Barros Pravatto e Vivian Sofilio Honorato, sócias do escritório Peluso, Stupp e Guaritá Advogados
