As sanções administrativas por descumprimento da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018) passarão a vigorar em 1º.08.2021, por expressa determinação da Lei nº 14.010/2020.
Nas relações de emprego, os empregados são posicionados como titulares de dados pessoais, ao passo que o empregador é chamado de “controlador de dados”, a este último competindo as decisões referentes ao tratamento de dados de seus colaboradores com vista ao atingimento de fins econômicos.
Neste seguimento, é perfeitamente possível – e, em muitos casos, viável – que o controlador realize o tratamento dos dados por meio de um terceiro, que a lei denomina “operador”, figura que tem a sua disposição mecanismos específicos de coleta, armazenamento e compartilhamento de dados.
Como atua o operador de dados pessoais?
Um possível exemplo da atuação do operador de dados pessoais é de uma empresa terceirizada contratada para o escopo de prestação de serviços de gestão da área de Recursos Humanos de outra companhia. Para a realização dessas atividades, inúmeras informações pessoais dos empregados da contratante poderão ser consultadas pela contratada, por acesso a folhas de pagamento, cópias de documentos pessoais, etc.
Um segundo exemplo, mais próximo das inovações tecnológicas correntes, é o do terceiro que fornece um aplicativo/ferramenta de logística para controle de frequência e horários de trabalho dos funcionários ou acompanhamento/monitoramento individualizado de tarefas em determinada empresa.
O empregador pode ser responsabilizado pelo tratamento indevido pelo terceiro operador dos dados?
Embora o tratamento de dados pessoais se torne indispensável ao empregador na gestão do negócio, eventual manipulação indevida tem a potencialidade de causar danos, os quais, por sua vez, implicam na responsabilidade solidária, do controlador e do operador, pela reparação.
Essa responsabilidade, assim como a penalização, será modulada conforme a natureza dos dados indevidamente manipulados. Caso se trate de uma grande violação de dados sensíveis, isto é, daqueles dados mais próximos à vida íntima, as sanções administrativas podem chegar ao nível da suspensão do funcionamento ou, até mesmo, da proibição do exercício de atividades relacionadas ao tratamento de dados (artigo 52 da LGPD).
Quais são as hipóteses de tratamento permitidas pela lei e quando é possível utilizar ferramentas de terceiros?
A LGPD autoriza o tratamento dos dados pessoais para o cumprimento de obrigações legais ou regulatórias pelo controlador. Também concede a mesma autorização quando o tratamento for necessário para a execução de contrato do qual seja parte o titular dos dados, sendo esta última a exata situação do empregador que controla dados pessoais de seus empregados.
Do mesmo modo, o empregador tem o direito e o dever de fiscalizar o andamento das atividades desenvolvidas em sua empresa, tanto para verificação da produtividade, como para resguardar a integridade e o cumprimento das normas. Ultrapassadas essas duas autorizações mais amplas, é possível utilizar o permissivo que tem por base o “legítimo interesse” do controlador ou de terceiro.
O apoio e a promoção das atividades do empregador são desdobramentos do legítimo interesse, sobretudo por ser ele quem assume os riscos da atividade econômica desenvolvida (art. 2º, caput, da CLT). Neste sentido, permite-se que se utilize de mecanismos, inicialmente não previstos e informados, com o intuito de verificação de produtividade, para gerir riscos ou investigar fraudes.
Contudo, se a empresa pretende contratar uma ferramenta para aprimoramento da organização de suas operações internas, fundamental que tenha prévio conhecimento sobre o seu desenvolvedor, funcionamento e os procedimentos adotados, bem como a quais dados pessoais dos empregados terá acesso. Mas não para por aí. Tais informações devem ser também repassadas, de forma clara, a seus colaboradores, por meio de um Termo de Consentimento para o Tratamento de Dados Pessoais, documento na forma de aditivo contratual a ser assinado pelos trabalhadores, que especifica as finalidades do fornecimento dos dados.
Deste modo, garante-se maior segurança à empresa, pela redução dos riscos de eventual responsabilização por violação da privacidade e/ou do sigilo dos dados.
Por meio de quais dispositivos podem ser implementadas tais operações?
Para implementação dessas aplicações, o mais recomendado é que sejam utilizados aparelhos corporativos, como celulares ou computadores fornecidos aos funcionários pela empresa e reservados ao desempenho de suas funções.
Contudo, caso não exista a possibilidade concreta de fornecimento dos aparelhos, recomenda-se que o Termo de Consentimento discorra expressamente sobre a autorização de instalação em aparelho próprio.
