A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) entra em vigor em 15/02/2020 e é aplicável a qualquer operação de tratamento realizada por pessoa natural ou jurídica de direito público ou privado. Em linhas gerais, a lei define como dados pessoais quaisquer informações relacionadas a pessoa natural identificada ou identificável e dados sensíveis aqueles referentes à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referentes à saúde ou à vida sexual e dados genéticos ou biométricos.

A nova lei tem importantes impactos nas relações de trabalho e demanda das empresas algumas adequações em seus procedimentos internos e contratos, sob pena de sanções administrativas, que podem chegar a multa de 2% sobre o faturamento da empresa, com limite de R$ 50 milhões.

Primeiramente, vislumbra-se a necessidade de revisão dos processos seletivos, mais especificamente em relação aos dados que são solicitados aos candidatos, especialmente aqueles considerados sensíveis. É preciso verificar quais informações são necessárias para fins de cumprimento de obrigação legal ou execução do contrato e quais requerem o consentimento do candidato, o que exigirá a adoção de formulários claros que comprovem a manifestação livre, informada e inequívoca por meio do qual ele concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Além disso, o armazenamento dos currículos em bancos de dados para futuros processos seletivos deve também ser reavaliado quanto à necessidade de consentimento do candidato para tanto e a segurança das informações contra vazamento.

Da mesma forma, em algumas situações haverá a necessidade de inclusão de cláusulas específicas nos contratos de trabalho. É o caso, por exemplo, de empresas que transmitem dados de seus empregados a terceiros, tais como operadoras de planos de saúde e empresas de gestão de folha de pagamento.

Nessas hipóteses, é recomendável também a revisão dos contratos com esses prestadores de serviços, a fim de incluir obrigações sobre a forma de tratamento e proteção dos dados transferidos, bem como as responsabilidades em caso de eventual vazamento. Há que se ter cautela também no envio de informações de empregados aos sindicatos, sendo necessário verificar se há obrigação prevista em lei ou norma coletiva para tanto, ou, ainda, concordância dos empregados, desde que haja uma finalidade específica.

Por outro lado, a transmissão de dados a órgãos públicos, tais como o envio de CAGED, RAIS e GFIP, não exige o consentimento dos empregados, tendo em vista se tratar de hipótese de cumprimento de obrigação legal.

Ainda, muitas empresas coletam os dados biométricos de seus empregados, prestadores de serviços e até mesmo parceiros para controle de acesso às suas dependências. Tais dados são considerados sensíveis e por essa razão, nas relações de trabalho, somente podem ser coletados mediante consentimento do titular para uma finalidade específica ou quando forem indispensáveis para cumprimento de obrigação legal – como é o caso do registro da jornada de trabalho por meio do REP (Registro Eletrônico do Ponto).

As informações relacionadas à saúde dos trabalhadores também são dados sensíveis e, embora já protegidas em grande parte pelo sigilo médico, merecem especial atenção quanto ao armazenamento e divulgação de atestados e exames médicos, compra de medicamentos por meio de convênios e utilização do plano de saúde.

Além disso, é comum que, em casos de terceirização de atividades, empresas solicitem às prestadoras de serviços documentos comprobatórios de cumprimento das obrigações trabalhistas, os quais, via de regra, possuem dados pessoais dos trabalhadores terceirizados. Esses dados também devem ser protegidos.

As empresas devem também estar atentas à elaboração ou revisão de suas políticas internas, definindo de forma bastante clara os setores que poderão ter acesso a dados de candidatos, empregados e terceiros, bem como a forma de utilização de tais informações, inclusive estabelecendo penalidades em caso de uso indevido de dados, tais como o envio a e-mails particulares ou empregados e terceiros sem autorização de acesso aos dados. Há que se ter também políticas próprias relacionadas à forma de coleta, atualização e acesso dos dados pelos empregados.

Por fim, o titular do dado (empregado, terceiro ou candidato) pode, a qualquer momento, revogar o consentimento previamente dado para coleta de seus dados, quando deverá ocorrer, então, sua eliminação, ressalvada a necessidade de guarda de tais informações para cumprimento de obrigação legal pelo prazo prescricional aplicável.

Não há dúvidas que a LGPD trouxe uma série de obrigações para as empresas, que precisarão adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais e sensíveis obtidos em suas relações de trabalho. O prazo de dezoito meses para o início da vigência deve ser utilizado para mapeamento de todas as situações internas atingidas pela nova lei, inclusive na área de recursos humanos, e endereçamento das adequações necessárias a fim de evitar sanções administrativas ou ações de responsabilização civil por eventuais danos causados.

*Patrícia Mota Alves, especialista em direito do trabalho, sócia de Souto Correa, Cesa, Lummertz e Amaral