lgpd_lei_geral_de_protecao_de_dados_40

1. Introdução;
1.1 A LGPD na Esfera Trabalhista;
2. Vigência;
3. Princípios Norteadores;
4. Aplicabilidade;
5. Tratamento do Dados;
5.1. Tratamento de Dados Sensíveis;
5.2. Tratamento de Dados de Menores de Idade;
5.3. Transferência Internacional de Dados;
5.4. Dados com Terceiros;
6. Revogação do Consentimento;
7. Acesso aos Dados por Requisição do Titular;
8. Encerramento do Tratamento de Dados;
9. Relatório de Impacto à Proteção de Dados Pessoais (RIPD);
10. Responsabilidade;
11. Penalidades.

Com os avanços da tecnologia, o acesso a informação tem se difundido de forma muito rápida, e com isso, aumenta também o risco da divulgação de dados, bem como da possibilidade da manipulação destes.

Embora a proteção de dados já fosse tratada na Constituição Federal (artigo 5°, inciso X), bem como no Código Civil (artigo 21), não havia até então uma Lei específica sobre o assunto, razão pela qual foi publicada a Lei n° 13.709/2018, a qual foi chamada de LGPD (Lei Geral de Proteção de Dados), cujo objetivo foi atribuir obrigações e responsabilidade às pessoas envolvidas na colheita, guarda, propagação e uso destas informações.

A Lei n° 13.709/2018 se aplica a entes públicos, bem como a empresas e indivíduos do setor privado, visando controle no tratamento de suas informações pessoais.

Vale destacar ainda que, embora já publicada, a Lei n° 13.709/2018, começará a ser aplicada em sua integralidade somente a partir de 2021.

A norma em comento, não se aplica de forma direta às relações de trabalho, mas sim as relações jurídicas em geral, uma vez que pela facilidade de acesso aos dados e informações, aumenta-se a possibilidades dos riscos de lesão aos direitos individuais.

Dito isso, o impacto da LGPD na seara trabalhista, se dá no que se refere à solicitação de dados dos empregados e controle dos mesmo demais prestadores de serviço, já que o principal bem tutelado pela Lei são os direitos fundamentais, a liberdade e a privacidade.

Em que pese a LGPD ter sido publicada em 15 de agosto de 2018, a sua vigência não se deu de forma imediata, tendo sido escalonada em fases.
Vale destacar ainda que, por conta da pandemia, foi publicada a Medida Provisória n° 959/2020, cujo objetivo foi prorrogar a entrada em vigor dos demais artigos a partir de 03.05.2021, mas este assunto não foi abordado no projeto de lei de conversão (Lei n° 14.058/2020), deste modo os demais artigos da LGPD entraram em vigor no dia 18/09/2020, com a publicação da Lei n° 14.058/2020.

1ª FASE: 28/08/2018 - Normas referentes a infraestrutura que ficará responsável pela fiscalização, organização e elaboração de diretrizes sobre a matéria de proteção de dados;

3ª FASE: 01/08/2021 - Penalidades e Sanções Administrativas (artigos 52 até 54).

A Lei Geral de Proteção aos Dados é regida por alguns princípios, dispostos no artigo 6° da Lei citada, dentre estes os destaquem-se os de maior aplicabilidade ao que se refere a ao setor privado, sendo:

Com base neste princípio, temos que aqueles que acessam, manipulam ou coletam dados, devem atentar-se à finalidade com a qual o fazem, estando sempre pautados em boa fé, garantindo que serão utilizados de forma correta e com uma finalidade específica.

Vale destacar que os dados jamais poderão ser utilizados com caráter discriminatórios, ilícitos ou abusivos.

Este princípio impõe que aquele que realizar o tratamento dos dados, deverá utilizar medidas técnicas e administrativas que sejam capazes de prevenir a ocorrência de danos ao titular destas informações.

Assim, os dados pessoais devem ser protegidos, assim como toda e qualquer informação que não tenha sido autorizada a divulgação pelo titular.

Tanto entes públicos como privados estão sujeitos a aplicação da LGPD, tanto pessoa física quanto jurídica, seja qual for o meio de guarda e processamento desses dados.

Ainda que se trate de dados cujo tratamento ocorra no exterior, será aplicada a Lei em comento, desde que estes tenham sido coletados em território nacional. Nesse mesmo sentido, quando o tratamento for destinado a oferta, o fornecimento de bens e/ou serviços ou o tratamento de dados de indivíduos localizados no Brasil, de acordo com o artigo 3° da Lei n° 13.709/2018.

Para que sejam considerados coletados em território nacional, o titulas dos dados pessoais, deve encontrar-se no Brasil no ato da coleta.

No artigo 7° da Lei em análise, estão dispostas as hipóteses em que pode ser realizado o tratamento de dados pessoais:

III) Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

IV) Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V) Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI) Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei n° 9.307/96 (Lei de Arbitragem);

VII) Para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII) Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX) Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

X) Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Para que os dados pessoais do titular possam ser tratados ou utilizados, é importante que haja a autorização expressa do mesmo, devendo constar uma cláusula destacada das demais do documento, e vale destacar que esse consentimento deve ser específico, não sendo válidas autorizações genéricas.

Os dados pessoais se referem a nome, RG, CPF, data e local de nascimento, telefone, imagem, dentre outros.

Há contudo, alguns dados que são tornados públicos pelopróprio seu titular, e consequentemente não será exigido qualquer consentimento, o que não significa que tais dados podem ser manipulados indiscriminadamente, pois quem o fizer poderá ser responsabilizado.

No que tangem as alterações da destinação dos dado, só poderão ocorrer com a ciência prévia do titular, indicando inclusive quais mudanças pretende o agente realizar, nos moldes do artigo 9° da Lei n° 13.709/2018.

II) forma e duração do tratamento, observados os segredos comercial e industrial;

IV) informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

VI) direitos do titular, com menção explícita aos direitos contidos no artigo 18 da Lei n° 13.709/2018.

Acerca as utilização do interesse do controlador como indicação de finalidade para a utilização de dados pessoais do titular, esta depende de finalidades legítimas, de acordo com o caso concreto, observando o seguinte:

II) Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.

No âmbito das relações trabalhistas e de prestação de serviço em geral, com base no item II, a utilização deve se restringir somente aos dados pessoais estritamente necessários para a finalidade do contrato .

Outro requisito trazido no art 10 da LGPD, é de que o agente deve ter um RIPD (relatório de impacto à proteção de dados pessoais), este documento poderá vir a ser solicitado posteriormente por entidade fiscalizadora.

Inicialmente cumpre esclarecer que é considerado “dado pessoal sensível” aquele que trata da origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Assim, os documentos trabalhistas poderão conter informações de dados normais e dados sensíveis, pois por exemplo, a informação do nome dos pais, a indicação de filiação ou não a Sindicato, para fins de contribuição sindical, seria entendido como um dado sensível.

Esses dados pessoais sensíveis merecem ainda mais cautela quanto ao tratamento e uso, sendo imprescindível que haja consentimento do titular, que deve dar ciência de que conhece a finalidade do uso dos dados.

Contudo, como toda regra possui exceção, de acordo com artigo 11 da Lei n° 13.709/2018, há hipóteses que mesmo sem autorização, os dados poderão ser utilizados.
São elas:

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei de Arbitragem - Lei n° 9.307/96;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no artigo 9° da Lei n° 9.307/96 e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Quando se tratar de dados de menor de idade, deve sempre ser observado o melhor interesse deste, e sendo necessário da mesma forma o consentimento específico porum dos pais ou responsável legal, de acordo com artigo 14 da Lei n° 13.709/2018, e deverá constar ainda, de forma clara e acessível, quais os tipos de dados coletados e a finalidade para os quais serão utilizados.

No que se refere a transferência internacional de dados pessoais, esta só é possível mediante o consentimento expresso e específico do titular, bem como quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos deste e do regime de proteção de dados, de acordo com artigo 33 da Lei n° 13.709/2018, a qual traz que devem ser observados:

No que se refere a validação de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, esta será de competência da autoridade nacional, nos moldes do artigo 35 da Lei n° 13.709/2018.

Mesmo que os dados tenham sido informados com consentimento, caso haja necessidade de compartilhamento, o titular deverá ser seja novamente comunicado, ato no qual será obtido umnovo consentimento específico para tanto, de acordo com artigo 7°, § 5°, da Lei n° 13.709/2018.

Nas relações de trabalho, essa situação poderá ocorrer, quando por exemplo um empregador repassa os dados à contabilidade que fecha a folha de pagamento, ou ainda para as operadoras de benefício, como planos de saúde, alimentação, seguradoras, etc.

Uma vez dado o consentimento, nada impede que este seja revogado a qualquer momento pelo titular, o que deve ser feito de forma expressa.

Essa revogação não poder ser coagida, de modo que o agente não poderá requisitar valores ou criar procedimento a fim de dificultar tal ato, nos termos do artigo 8° da Lei n° 13.709/2018.

Caso o titular venha a solicitar a confirmação de existência ou o acesso a dados, tal requerimento deve ser atendido de forma imediata e simplificada ou, alternativamente, dentro de 15 dias contados do requerimento, caso a informação seja extensiva e completa, indicando a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, resguardados os segredos comercial e industrial, de acordo com artigo 19 da Lei n° 13.709/2018.

Esses dados poderão ainda ser fornecidos por meio eletrônico, desde que seja seguro, ou mesmo de forma impressa, e neste caso deve ser assinado pelo titular um recibo de entrega, para fins de eventual e futura comprovação.

O encerramento do tratamento de dados pessoais ocorrerá nas hipóteses previstas no artigo 15 da Lei n° 13.709/2018, são elas:

I) Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

III) Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público; ou

Encerrado o tratamento, os dados pessoais serão eliminados , observando uma das circunstâncias acima, no âmbito e nos limites técnicos das atividades.

Contudo, é permitido o armazenamento dos dados nas seguintes situações , descritas no artigo 16 da Lei n° 13.709/2018:

II) Estudo por órgão de pesquisa, garantida, sempr que possível, a anonimização dos dados pessoais;

III) Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

IV) Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

No que se refere a esfera trabalhista, orienta-se que os dados sejam mantidos seja empregado ou de prestador de serviços mesmo que o vínculo tenha se encerrado, pois estes podem ser necessários em caso de fiscalização ouação judicial.

Contudo, deve haver previsão específica no contrato, dispondo sobre o armazenamento pós contrato.

Outro aspectos a ser observado pelas empresa se dá quanto a guarda e segurança dos dados pessoais de seus empregados e prestadores de serviço, devendo manter um protocolo por meio do RIPD (Relatório de Impacto à Proteção de Dados Pessoais), nos termos do artigo 38 da Lei n° 13.709/2018.

Neste relatório devem constar os procedimentos de segurança adotados para o processamento dos dados, bem como :

II) O detalhamento da metodologia utilizada para a coleta e garantia da segurança das informações;

III) A análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados;

Vale destacar que este documento poderá vir a ser solicitado por entidade fiscalizadora, de acordo com artigo 10, § 3°, da Lei n° 13.709/2018, e a não apresentação pode gerar a aplicação de penalidade administrativa.

Caso ocorra dos dados serem utilizados indevidamente, sem que tenham sido observados os princípios de segurança pelo agente que realizou o tratamento, este deverá prestar contas, comprovando que medidas e cabíveis a fim de prevenir dados ao titular dos dados, bem como que cumpriu as normas de proteção de dados pessoais, por força do artigo 6°, inciso X, da Lei n° 13.709/2018.

Além disso, o agente terá ainda que comprovar o consentimento dado pelo titular para a utilização dos dados pessoais.

Na impossibilidade de tais comprovações, será considerado como infração e o agente será notificado para cessar com a violação ou adotar as medidas cabíveis de adequação. Ademais, poderão ser aplicadas multas administrativas, bem como estará sujeito a ações judiciaiscíveis, penais e trabalhistas cabíveis.

Caso sejam cometidas infrações por parte dos agentes de tratamento de dados, estes ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

Advertência	Com indicação de prazo para adoção de medidas corretivas
Multa Simples	Até 2% do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração
Multa Diária	Deve observar o limite total da multa simples (R$ 50 milhões), bem como a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela autoridade nacional.
Publicização da Infração	Após devidamente apurada e confirmada a sua ocorrência
Bloqueio dos dados	Refere aos dados pessoais objeto da infração, permanecendo o bloqueio até a sua regularização
Eliminação dos dados	Refere-se aos dados pessoais objeto da infração
* Suspensão parcial do funcionamento do banco de dados	Refere-se a suspensão do banco de dados cujo seja objeto da infração, podendo ser aplicada por no máximo 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador
* Suspensão do exercício da atividade de tratamento	Refere-se aos dados pessoais objeto da infração, podendo ser aplicada pelo período máximo de 6 meses, prorrogável por igual período.
* Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

* Serão aplicadas tais penalidades, caso já tenha sido alvo de uma das sanções acima indicadas, exceto, para o mesmo caso concreto e em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.

Todo procedimento fiscalizatório será pautado em ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com cada caso, conforme artigo 52, § 1°, da Lei n° 13.709/2018.

Reitera-se que, mesmo sendo aplicada uma penalidade e sanção acima, ainda estará sujeito aos processos civeis ou penais definidas em legislação específica.