A preocupação com o tratamento dos dados pessoais e, também, sua consequente proteção, mostra-se cada vez mais presente, tanto no cenário global, como também no cenário nacional. Referida preocupação, como será mencionado abaixo, não está restrita apenas às disposições da denominada LGPD (Lei Geral de Proteção de Dados).
Tratando-se, especificamente, do cenário brasileiro, pode-se dizer que já há diversos registros de medidas protetivas capitaneadas pelo Ministério Público, Ministério Público do Trabalho, PROCONs e Poder Judiciário. Referidos órgãos estão sintonizados com a tendência protetiva que vem crescendo globalmente, e não estão aguardando a vigência da LGPD para atuar em prol da proteção dos dados pessoais.
Além da Constituição Federal, leis e regulamentos esparsos, que já protegem a privacidade e a pessoa humana como um todo, estão sendo utilizados pelos referidos órgãos, tanto para solicitar informações, como também para lastrear a aplicação de sanções às empresas que não tratem os dados pessoais com a necessária cautela.
Portanto, pode-se afirmar que a governança inadequada dos dados pessoais, incluindo falhas em medidas de proteção e informação ao titular dos dados, já está na mira das autoridades, sendo irrelevante, para esses fins, a data em que a LGPD entrará em vigor para as empresas.
De toda forma, ainda que já existam iniciativas que intentam regulamentar e proteger o tratamento dos dados pessoais, não há dúvidas que a vigência da LGPD representará um marco na proteção de tais dados, normatizando conceitos, facilitando a adesão e, principalmente, a fiscalização da já mencionada proteção.
Sendo assim, para melhor compreender o impacto que a LGPD terá nas empresas, é necessário pontuar que o termo “tratamento” de dados não se restringe apenas a atos que modificam um dado pessoal, mas todo ato que envolva “coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento; armazenamento, eliminação, avaliação ou controle de informações; modificação, comunicação, transferência, difusão ou extração”, como resta disposto, de forma exemplificativa, no inciso X do artigo 5º da Lei nº 13.709/2018.
Diante da abrangência do significado do termo “tratamento de dados pessoais”, pode-se afirmar que as empresas precisarão empreender esforços significativos para avaliar e implantar modificações em seus procedimentos internos.
No entanto, de forma surpreendente, algumas empresas, alheias à definição legal, insistem no argumento de que não tratam dados pessoais ou, ainda, que não precisarão investir recursos financeiros e humanos na adequação à lei – tal equívoco poderá gerar autuações e prejuízos que vão além do valor das multas e de eventuais ações judiciais, podendo atingir, também, a própria imagem da companhia.
Sob a ótica das relações de trabalho, é possível afirmar que a questão dos dados pessoais de empregados, terceiros, estagiários, aprendizes, prestadores de serviços, candidatos a emprego, terceirizados, ex-empregados precisa ser endereçada de forma adequada e, ainda, de modo individualizado, levando-se em consideração as diretrizes da LGPD e as singularidades de cada uma das operações empresariais.
É certo, ainda, que toda empresa faz tratamento de dados pessoais de seus colaboradores, prestadores de serviços ou terceirizados. Em relação aos empregados, por exemplo, há tratamento de dados desde o processo seletivo até o armazenamento de documentos após a extinção do vínculo contratual.
Além disso, questões envolvendo o uso de crachás, catracas, câmeras no ambiente de trabalho, controles de jornada por meio de biometria, atestados médicos, exames laborais e outros, igualmente, deverão ser devidamente avaliadas por cada empresa em seus respectivos segmentos.
Note-se, inclusive, que algumas das situações acima descritas tratam de dados pessoais sensíveis, os quais possuem tratamento diferenciado pela LGPD, como, por exemplo, origem racial ou étnica, dados sindicais e dados biométricos e, como tal, deverão ter uma análise jurídica diferenciada.
Não se pode deixar de mencionar, também, as inúmeras relações comerciais em que tais dados são compartilhados com outras empresas, sem o consentimento do colaborador e precisarão ser vistas sob o espeque da Lei.
Vale destacar ainda que, historicamente, algumas empresas mantêm uma cultura corporativa de arquivar o máximo possível de dados e informações sobre seus empregados e prestadores de serviços, seja para facilitar procedimentos internos, como também para se resguardar de eventuais ações judiciais.
No entanto, com a nova realidade normativa em torno da privacidade e da proteção de dados pessoais, esta cultura deverá ser transformada e as empresas, por sua vez, precisarão se adaptar as novas exigências legais, tratando apenas os dados que possuam finalidade certa para suas atividades ou, ainda, para cumprimento de uma obrigação legal/contratual, bem como adotando medidas de salvaguarda dos dados que serão mantidos sob sua tutela.
Dessa forma, fica claro que o tratamento de dados dentro de uma empresa, principalmente sob um enfoque trabalhista, é muito mais extenso do que se pode inicialmente imaginar, demandando considerável tempo para seu levantamento e necessária interpretação estratégica.
Para se ter uma ideia da tarefa árdua que existe pela frente, além da definição dos novos processos de tratamento de dados, é aconselhável que as empresas revisem seus documentos internos, desenvolvam políticas específicas, além de estabelecerem uma sistemática de Compliance rotineira sobre os procedimentos trabalhistas, para que toda a cadeia de gestão dos dados mantenha-se de acordo com as exigências da LGPD.
Note-se, por fim, que a LGPD não objetiva restringir a atuação das empresas no mercado, buscando tão somente a devida adequação e normatização quanto ao tratamento dos dados pessoais, que deverá ser realizado nos limites legais, sempre com observância a finalidade, necessidade e segurança dos referidos dados.
Portanto, é imprescindível que as empresas estejam atentas para o levantamento de todos dados pessoais tratados em suas operações, com o consequente delineamento de um plano de ação para adequação de todos os seus processos a normativa trazida pela Lei Geral de Proteção de Dados (LGPD).
São Paulo, 26 fevereiro de 2020.
Fabiana Maria Galego Cicchetto é advogada de Trigueiro Fontes Advogados em São Paulo.