A LGPD nas Relações de Trabalho: Os principais efeitos negativos da não conformidade à LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD) é extremamente relevante no cenário trabalhista devido aos sujeitos envolvidos nos tratamentos dos dados pessoais. E, por conta da responsabilidade social e legal das organizações, optou-se por abordar os efeitos negativos da não conformidade com a LGPD na esfera laboral, em especial, nas relações de trabalho.

1.   Introdução

A Lei Geral de Proteção de Dados Pessoais (LGPD, Lei n.° 13.709, de 14 de agosto de 2018), dispõe sobre requisitos, sanções, boas práticas, governança e outras providências para o tratamento de dados pessoais, nos ambientes físico e digital, adotadas pelos agentes de tratamento.

Ao analisar a estrutura de uma empresa, nota-se que a sua base é formada primordialmente por pessoas naturais. Veja, a empregadora na maioria dos casos é uma pessoa jurídica, mas os seus administradores são pessoas físicas, assim como os seus colaboradores (administrativos e operacionais), líderes (diretos e indiretos), coordenadores e gerentes.

Partindo dessa premissa e do conceito de tratamento previsto na LGPD, verifica-se que todas as organizações realizam diariamente diversos tratamentos de dados de pessoas naturais. Neste ponto, cabe esclarecer que o tratamento é decorrente da relação com os seus stakeholders (internos e externos), como por exemplo, funcionários, fornecedores, parceiros, clientes, dentre outros.

Assim, discutir sobre a LGPD nas relações de trabalho justifica-se pelo cenário atual envolvendo a privacidade e proteção dos dados pessoais, com a expansão dos ambientes digitais (pessoais e profissionais) e aumento dos crimes cibernéticos, que intensificam as lutas das organizações na busca pela conformidade. Além disso, pelas responsabilidades social e legal das empresas.

Desta forma, é importante discorrer sobre os principais efeitos negativos da não conformidade à legislação brasileira de privacidade e proteção de dados pessoais, enfatizando os impactos nas relações de trabalho, sendo este o objetivo central deste artigo. Optou-se, para alcançá-lo: (a) estabelecer a aproximação entre a LGPD e as relações de trabalho; e (b) abordar a LGPD como uma das principais etapas dentro do Compliance Trabalhista.

2.    A LGPD nas relações de trabalho

A LGPD possui como objetivo proteger direitos fundamentais das pessoas físicas, quais sejam, (1) liberdade, (2) privacidade, (3) dignidade da pessoa humana e (3) livre desenvolvimento da personalidade.

Na busca pela preservação dos direitos dos titulares de dados, a LGPD estabelece princípios[1] que devem ser observados durante o tratamento de dados pessoais, dentre eles, a transparência, finalidade e necessidade. Em suma, seguindo esses princípios, haverá a operação dos dados somente quando existir um motivo legítimo, através de procedimentos transparentes, limitando-se o tratamento à coleta mínima de dados pessoais, suficientes para atingir a finalidade pretendida pelo controlador.

Deste ponto, analisando a estrutura societária de uma empresa privada, por exemplo, não obstante seja uma pessoa jurídica, sua composição social compreende a existência de um ou mais sócios pessoas físicas, além da estrutura organizacional contemplar a presença indispensável de colaboradores, organizados por departamentos ou atividades desempenhadas. Assim, os stakeholders internos de uma organização são fundamentais no processo de adequação e conformidade à LGPD, bem como na implantação do aculturamento da privacidade e proteção de dados. Ainda, existe a responsabilidade social e legal das empresas para que se preocupem com os impactos das suas decisões na sociedade e respeitem os direitos de seus empregados e prestadores de serviços, sejam os líderes ou liderados.

De acordo com a LGPD, as pessoas jurídicas de direito público ou privado, devem atender os requisitos previstos na legislação pertinente quando o tratamento de dados envolver pessoa natural, porém, neste artigo, serão analisados os aspectos envolvendo as relações de trabalho. Assim, cabe identificar que no Direito do Trabalho, em especial nas relações entre empregador e os seus empregados, existem três fases principais de tratamentos de dados, quais sejam, (1) fase pré-contratual, (2) fase contratual, iniciando após a admissão e (3) fase pós-contratual.

Na fase pré-contratual, existe o primeiro contato com candidatos a colaboradores (recrutamento e seleção). Dependendo da empresa, pode acontecer através do LinkedIn, plataforma de recrutamento, correio eletrônico (e-mail) e/ou meios off-line, por exemplo, através de entrega do currículo na portaria da empresa. Nesse contato já existe um tratamento de dados[2], pois conforme a LGPD, o simples “acesso” aos dados já caracteriza situação passível de ser observada pela lei.

Assim, caso o candidato conquiste a vaga, existe a formação do vínculo empregatício (início da fase contratual), com novos tratamentos de dados, sendo que a maioria são necessários para a execução do contrato e cumprimento de obrigação legal ou regulatória. Por fim, com o encerramento da relação contratual (fase pós-contratual), independentemente da motivação[3], existe a necessidade da manutenção de determinados dados do empregado pelo empregador, inclusive, por prazo indeterminado, como é o caso do contrato de trabalho e a ficha registro do colaborador, estendendo o período de responsabilidade do empregador pelo armazenamento e guarda dos dados enquanto perdurar a finalidade para o seu tratamento.

A LGPD possui aplicação direta nas relações de trabalho, tendo em vista a quantidade de dados pessoais e dados pessoais sensíveis que transitam pelos diversos departamentos da empresa, sendo necessária a conformidade em todas as fases existentes de relacionamento do empregador com os seus empregados. Por isso, é essencial o estabelecimento de um plano de ação desenvolvido juntamente com a equipe do Departamento de Recursos Humanos, iniciando-se pelo mapeamento de dados, levantamento das hipóteses legais de tratamento, execução dos ajustes necessários identificados, confecção de novas versões de contratos, aditivos, termos de responsabilidade, ciência, autorização e consentimento quando necessário, que compreendem os instrumentos que contém os direcionamentos técnicos e administrativos para garantir o grau de maturidade em privacidade e proteção de dados exigidos pela LGPD.

3.    A LGPD como etapa do compliance trabalhista

A LGPD e o Compliance, voltado à área trabalhista são dispositivos legais que devem coexistir durante o programa de implantação da LGPD no Departamento de Recursos Humanos das empresas. Por isso, cabe ressaltar que de acordo com Negrão e Pontelo (2017, p. 129) o objetivo dos programas de conformidade dentro das organizações é o comprometimento dos colaboradores das instituições para o cumprimento permanente das suas atividades de forma correta e ética, ou seja, ocorre uma mudança de cultura. Assim, são necessárias ações que visam a integridade e a conformidade com normas internas e externas (como a LGPD), por exemplo, controles, auditorias, treinamentos, políticas e uma comunicação clara e objetiva.

Para que uma empresa conclua o seu programa de adequação e permaneça em constante conformidade com a legislação supra referenciada, não poderá renunciar ao processo de monitoramento e fiscalização dos procedimentos implantados, tendo em vista que a matéria é mutável, precisa estabelecer um plano de ação que inclua, além de análises jurídicas e de segurança da informação, também treinamentos, controles e auditorias contínuas.

Portanto, ressalta-se que a conformidade à LGPD na esfera trabalhista busca a implantação e cumprimento das políticas internas e externas da empresa, em alinhamento com todas as legislações correlatas que, de forma direta ou indireta, resvalam na esfera laboral.

Neste ponto, é importante frisar que a depender da estrutura ou da quantidade de dados pessoais tratados pela empresa, na figura de controladora dos dados, é recomendado a criação de um departamento específico de privacidade e proteção de dados, liderado pelo Encarregado de Proteção de Dados Pessoais ou, ainda, direcionar essa responsabilidade para outros setores, por exemplo, Jurídico, Tecnologia da Informação, Recursos Humanos, Marketing, dentre outros, desde que as atividades sejam desempenhadas por um ou mais profissionais capacitados para aplicação da lei, sob o comando do encarregado supracitado.

Ressalta-se que a participação desse profissional (mais conhecido como data protection officer – DPO) junto ao setor de Compliance e demais áreas é essencial para a conformidade nos níveis exigidos pela lei. Neste ponto, frisa-se que independentemente da sua localização dentro da empresa, deve ter autonomia para exercer as funções previstas na LGPD.

4.    Efeitos negativos da não conformidade à LGPD

Quando não existe conformidade à LGPD pelas empresas ou programa de Compliance que não é efetivo, há consequências que podem trazer grandes impactos financeiros e reputacionais. Jobim (2018, p. 40 a 42) destaca: (a) passivo trabalhista – administrativo, ações individuais e coletivas, podendo gerar uma condenação indenizatória, obrigação de fazer e/ou não fazer; (b) responsabilização criminal dos gestores, administradores e empregados envolvidos na ação irregular que tenha causado prejuízos a terceiros (apud ANDRADE, 2017, p. 81); (c) sanções previstas na Lei Anticorrupção; e (d) prejuízo à imagem empresarial, podendo ocorrer protestos, ações judiciais diversas (com base na LGPD, por exemplo) ou boicotes (apud  NINIO, 2016).

No âmbito da proteção dos dados, os riscos aumentam. Segundo a LGPD, em seu artigo 52, a Autoridade Nacional de Proteção de Dados (ANPD) deverá aplicar sanções administrativas quando constatar uma infração à LGPD. Dentre elas, destaca-se: (a) multa simples, de até 2% do faturamento da empresa, grupo ou conglomerado, limitada a R$ 50 milhões por infração; (b) publicização da infração, que pode ser pior do que a multa na prática; (c) bloqueio do uso dos dados até a regularização da infração; e (d) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Quando se analisa a não conformidade com a LGPD sobre a perspectiva laboral, além das consequências referenciadas, é importante frisar (rol exemplificativo e não taxativo):

  1. Abalo reputacional à imagem da empresa, perante os clientes, empregados e sociedade, podendo inclusive impactar em processos de recrutamento e seleção;
  2. Quebra de confiança entre os envolvidos na relação de emprego, que poderá reduzir a produtividade e a motivação, causando um sentimento de frustração, bem como aumento na rotatividade no quadro de colaboradores;
  3. Indenizações judiciais por danos em razão de incidente com dados pessoais e dados pessoais sensíveis;
  4. Prejuízos administrativos e financeiros com o uso incorreto de base legal no tratamento de dados.

Portanto, a aplicação de uma “adequação de fachada” poderá prejudicar a organização, a curto ou médio prazo. E, o principal, as consequências poderão ser irreversíveis, como a sobrevivência da empresa no mercado. Nos dias atuais, os clientes e colaboradores, procuram mais do que produtos ou empregos em uma organização, buscam uma instituição alinhada aos seus valores e que tenha uma cultura que resulte em benefícios à sociedade. Por isso, as ações empresariais precisam estar alinhadas com a missão da organização.

Neste ponto, enfatiza-se a importância do investimento nas atividades e projetos de Compliance e Governança de Dados Pessoais, bem como na contratação do Encarregado pelo Tratamento de Dados Pessoais e na criação de um comitê multidisciplinar interno que atue no processo de aculturamento e nos debates relacionados ao tema.

5.    Considerações finais

Ao longo deste artigo foi possível analisar os principais aspectos sobre a LGPD nas relações de trabalho, devido à grande quantidade de dados pessoais de colaboradores e terceiros, que as organizações tratam. Desta forma, é necessário reforçar a importância do assunto abordado, visto que a não conformidade impactará fortemente na sobrevivência das empresas no mercado.

Durante o desenvolvimento identificam-se três fases de tratamento de dados nas relações de trabalho, iniciando na fase pré-contratual, consolidando na contratual e finalizando com a pós-contratual. Ou seja, desde o primeiro contato até após o encerramento do vínculo laboral existe tratamento de dados pessoais que são protegidos pela LGPD. Ainda, que o início da adequação à lei referenciada possa ser visto como uma etapa/ferramenta do Compliance Trabalhista, sendo que haverá a necessidade de um monitoramento contínuo devido às mudanças que ocorrerão nesta área, bem como a importância da conformidade no cotidiano. Para isso, será necessário a implementação de auditorias periódicas.

Sendo assim, como existe a necessidade da conformidade à LGPD mesmo sem existir um programa de integridade, as organizações precisam elaborar um plano de ação visando o cumprimento da legislação relativa à proteção de dados pessoais. Caso contrário, deverá arcar com as consequências, que poderão gerar danos financeiros, produtivos, reputacionais e outros.

Na esfera laboral, o risco de vazamento de dados pessoais e dados pessoais sensíveis é o fator mais alarmante, visto que as consequências danosas ainda que indenizáveis, não apagarão os impactos negativos ocasionados nas vidas dos titulares de dados.

Em uma empresa, a produção e o gerenciamento do negócio dependem das pessoas naturais, seja na operação de máquinas ou na participação em reuniões para compra de matéria prima. Assim, investindo em um programa de conformidade que foque nos colaboradores, adicione a LGPD como uma das suas etapas, crie um setor específico de privacidade e proteção de dados, liderado por um Encarregado de Proteção de Dados Pessoais interno ou externo, ou inclua este profissional em outro setor, desde que a sua atuação independente não seja comprometida, os riscos serão minimizados e a empresa receberá diversos benefícios, como por exemplo, valorização da marca, em razão do aumento do nível reputacional, minimização dos riscos de incidentes, redução de passivo trabalhista e colaboradores motivados por trabalhar em uma organização que respeita os direitos fundamentais.

Referências

BRASIL. Decreto-lei nº 5.452, de 1º de maio de 1943. Aprova a Consolidação das Leis do Trabalho. Disponível em: <http://www.planalto.gov.br/ccivil_03/decreto-lei/Del5452compilado.htm>. Acesso em: 09 jun. 2021.

BRASIL. Lei n.º 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: 04 jun. 2021.

JOBIM, Rosana Kim. Compliance e trabalho: entre o poder diretivo do empregador e os direitos inespecíficos do empregado. 1. ed. Florianópolis: Tirant Lo Blanch, 2018.

NEGRÃO, Célia Lima; PONTELO, Juliana de Fátima. Compliance, controles internos e riscos: a importância da área de gestão de pessoas. 2 ed. Brasília: Editora Senac, 2017.

CLASSIFICAÇÃO DESTE DOCUMENTO – PÚBLICO  (Data da publicação: Agosto de 2021)

Elaborado por: Elizeu Miguel Campos Melo (Membro do Comitê de Conteúdo da ANPPD)

Revisado por:  Andréa Cavalcante Gouveia / Samila Ariana A. Machado (Coordenadoras do Comitê de Conteúdo da ANPPD) e Mirian Esquarcio Jabur (Vice-Diretora do Comitê de Conteúdo da ANPPD)

Anielle Martinelli

Diretora do Comitê de Conteúdo da ANPPD

Davis Alves, Ph.D

Presidente da ANPPD

[1] Boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

[2] Segundo a LGPD, em seu artigo 5, inciso X tratamento é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

[3] Pedido de demissão, término de contrato, por justa causa, dentre outras formas previstas na legislação trabalhista.

Convite EXIN: Conheça  Workbook Gratuito sobre LGPD, base para preparação do exame EXIN PDPE (LGPD)