*Rafael Castro Alves
A crise econômica causada pela Covid-19 está causando enormes prejuízos às empresas, apesar das medidas provisórias governamentais tentarem frear o impacto financeiro da pandemia no setor empresarial.
Mesmo diante desse cenário, é importante que os empreendedores estejam atentos às mudanças legislativas, pois algumas delas poderão alterar significativamente as rotinas internas das empresas. É o caso da Lei Geral de Proteção de Dados (LGPD), que ainda é desconhecida por muitos empreendedores brasileiros.
Inicialmente, a LGPD entraria em vigor em agosto de 2020. Todavia, diante dos impactos e incertezas econômicas gerados pela Covid-19 nas empresas, o governo federal adiou a vigência para maio de 2021, conforme consta da Medida Provisória 959[1], publicado no dia 29 de abril de 2020. Existem projetos de lei para alterar o início da vigência da LGPD, mas até esse momento não houve aprovação do Congresso Nacional de nenhuma delas.
Em suma, a Lei tem como objetivo regulamentar o tratamento de dados pessoais pelas empresas, com o intuito de proteger a privacidade e intimidade dos indivíduos.
Embora a LGPD não se destine especificamente às relações de emprego, é de conhecimento geral que nas empresas, independentemente do porte, circula um grande volume dados dos empregados, prestadores de serviços, terceirizados, entre outros. Patente, pois, que esses dados deverão ser cuidadosamente armazenados e manuseados.
Nas empresas, existe um intenso fluxo da dados pessoais entre o empregado (titular dos dados) e o empregador (controlador desses dados), inclusive, antes mesmo da contratação.
Para facilitar a compreensão e a dimensão dos reflexos da LGPD nas rotinas trabalhistas, é necessário separar em quatro períodos ou fases: (i) período pré-contratual; (ii) período contratual; (iii)período durante a execução do contrato e (iv) período pós-contratual.
No (i) período pré-contratual, a empresa coleta diversos dados no processo de recrutamento e seleção, como, por exemplo, currículos, filiação, e-mail, telefone, endereço, escolaridade, idade, tipo sanguíneo, nome dos filhos, pedido de referência e bons antecedentes funcionais (a depender do empregador), etc.
Nessa fase, é de suma importância que a empresa tome os devidos cuidados na adequada coleta desses dados pessoais (não sensíveis e sensíveis). O empregador deve, então, possuir formulários claros e objetivos, cujo consentimento do candidato deve estar expresso, anuindo que seus dados pessoais sejam utilizados para determinada finalidade, com específica adequação, inclusive estando ciente de como esses dados serão tratados, caso não seja contratado pelo empregador.
No período da (ii)celebração de contrato de trabalho, a empresa precisa ter cautela no tratamento de dados inseridos nos Atestados de Saúde Ocupacional (ASO) admissionais. Deve possuir procedimento adequado na coleta de fotografia do empregado para confecção do crachá, bem como na coletas de impressão digital, geometria da mão, reconhecimento facial, leitura biométrica de íris e retina, além dos dados exigidos legalmente para a contratação, como por exemplo número de CPF, PIS, CTPS, filiação sindical etc.
Alguns dados acima exemplificados são consideráveis dados sensíveis, que implicam diretamente na intimidade e privacidade do empregado. Um eventual vazamento de dados sensíveis poderia gerar consequências morais irreparáveis ao empregado, fazendo com que legitime judicialmente um pedido de Danos Morais contra a empresa que não realizou o devido tratamento desses dados.
De igual modo, no (iii) período da execução do contrato, a empresa coleta diversos dados, como por exemplo, motivos das faltas, doenças, acidentes de trabalho, situações conjugais que podem ter reflexos em alguma providência da empresa, como pagamento de pensão, inclusão de dependente no plano de saúde, etc.
No caso de dados sensíveis, tais como CID nos atestados médicos, teste antidoping e de gravidez, monitoramento de e-mail, internet etc., a empresa deverá adotar procedimentos adequados, com consentimentos expressos e com manifestação livre, informada e inequívoca.
Já no (iv) período pós-contratual, o empregador precisará tratar outros dados, como por exemplo: motivos de desligamento, valor das verbas rescisórias, saber se comportar em relação aos pedidos de referência realizados por outros empregadores, tratar dados de trabalhadores falecidos, etc.
Cabe ressaltar ainda que o empregador precisará agir adequadamente no compartilhamento de dados dos prestadores de serviços que trabalham diretamente na sua empresa, ou seja, compartilhamento de dados com terceirizados, escritórios de contabilidade, advocacia e com poder público.
Para empresas que terceirizam mão de obra, tais como vigilância armada, porteiros, serventes de limpeza, técnicos de TI etc., devem tomar as cautelas e trabalharem em conjunto com o tomador de serviço no tratamento dos dados, pois, necessariamente, estarão compartilhando informações, dados pessoais e sensíveis desses colaboradores.
Cabe ressaltar que a Lei prevê aplicação de penalidades e multas altíssimas, que podem alcançar até 2% do faturamento da empresa, no limite de R$ 50 milhões por infração.
Deste modo, percebe-se que a Lei de proteção de dados implicará em uma ampla adequação da empresa com o tratamento dos dados dos seus empregados, motivo pelo qual as empresas não podem ficar alheias a todas essas mudanças.O objetivo aqui não é causar pânico para os empreendedores e sim alertá-los sobre a necessidade de adequação da LGPD em seus negócios. Ainda há bom tempo até a vigência da lei para a implementação das medidas de proteção de dados.
Considerando esse período de tempo, os empreendedores podem iniciar o (i) mapeamento das informações-dados que transitam pela empresa, envolvendo empregados, prestadores de serviços e terceirizados, (ii) mapeamento da natureza e o tipo de informações-dados (quais são dados pessoais e sensíveis), (iii) mapeamento do tipo de tratamento que esses dados recebem atualmente, (iv) mapeamento quais dados precisam de consentimento e (v) verificação se os programas de armazenamento de dados (software) já estão adequados a lei.
Com esse mapeamento prévio, será necessário que empregador reveja os procedimentos, iniciando a elaboração dos termos de consentimento específicos para as finalidades de cada tratamento, reveja os procedimentos internos, altere contratos, ficha de registro e demais documentos.
É necessário, também, elaborar um bom relatório de impacto à proteção de dados pessoais, contendo toda as descrições dos processos de tratamento de dados pessoais e sensíveis, bem como medidas para mitigar os riscos e os mecanismos adotados para tanto.
Assim, é necessário que as empresas fiquem atentas às mudanças e já iniciem a devida adequação de suas práticas e rotinas de acordo com a LGPD. Ignorar a lei significará assumir riscos dispensáveis, que poderão atingir a saúde financeira da sua empresa.
*Rafael Castro Alves é advogado, possui L.L.M em Direito Empresarial pela FGV/RJ e pós-graduação em Direito do Trabalho pela Universidade Cândido de Mendes/RJ.
[1]http://www.in.gov.br/en/web/dou/-/medida-provisoria-n-959-de-29-de-abril-de-2020-254499639
