DIREITO DO TRABALHO

Boletim Trabalhista n° 16 - 2ª Quinzena. Publicado em: 24/08/2020

 Matéria elaborada conforme a legislação vigente à época de sua publicação, sujeita a mudanças em decorrência das alterações legais.

LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ASPECTOS

TRABALHISTAS
Vigência, Conceitos, Aplicação, Requisitos, Responsabilidade, Boas Práticas

Roteiro 

1. Introdução
1.1. Aplicabilidade na Seara Trabalhista
2. Vigência
3. Conceitos
4. Princípios
5. Aplicação
6. Requisitos
6.1. Requisitos para Tratamento dos Dados Sensíveis
6.2. Requisitos para Tratamento de Dados de Menores de Idade
6.3.Transferência Internacional de Dados
6.4.Compartilhamento de Dados com Terceiros
7. Revogação do Consentimento
8. Acesso aos Dados por Requisição do Titular
9. Do Término do Tratamento de Dados
10. Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
11. Responsabilidade
12. Recomendações e Boas Práticas - Reflexos na Prática Trabalhista
12.1. Práticas na Fase Pré-contratual - Seleção de Candidatos
13. Penalidades
14. Modelo

1. Introdução
A evolução da tecnologia aplicada na sociedade moderna fez com que o acesso à informação se tornasse cada vez mais amplo e fácil para a população em geral, o que,
consequentemente, aumenta o risco destes dados serem propagados e manipulados indevidamente por terceiros.

Em razão disto foi criada a Lei n° 13.709/2018, mais conhecida como LGPD (Lei Geral de Proteção de Dados), com o intuito de atribuir obrigações e responsabilidade às
pessoas diretamente envolvidas na colheita, guarda, propagação e uso destas informações.

É importante esclarecer que a ideia de proteção de informações pessoais em si não é algo novo. Na verdade, este tópico já vem sendo debatido em diversos países por
anos e, inclusive, consta no ordenamento jurídico brasileiro antes mesmo da publicação da Lei n° 13.709/2018.

Entretanto, anteriormente, os dispositivos legais existentes eram esparsos e genéricos, como ocorre com o artigo 5°, inciso X, da CF/88 e o artigo 21 do Código Civil -
Lei
n° 10.406/2002, que abordam a questão do direito à privacidade.

A Lei n° 13.709/2018 vem com o intuito de suprir esta lacuna, claramente inspirada nos diplomas legais já existentes na Europa GDPR (General Data Protection
Regulation), buscando conciliar a ideia de proteção pessoal de dados com o interesse público, instituindo um sistema de proteção contra abusos, sem desencorajar o
desenvolvimento tecnológico.

Em outras palavras, a
Lei n° 13.709/2018 impõe uma série de regras que devem ser observadas não só por entes públicos, mas também por empresas e indivíduos do
setor privado, permitindo assim aos cidadãos mais controle sobre o tratamento de suas informações pessoais.

Apesar de a Lei n° 13.709/2018 ser um passo importante, é imprescindível ressaltar que neste momento alguns de seus aspectos e repercussões ainda são muito
debatidos e estão apenas no âmbito teórico. Isto porque a norma legal começará a ser aplicada em sua integralidade somente a partir de 2021, razão pela qual não se
tem jurisprudência nacional ampla sobre a matéria.

1.1. Aplicabilidade na Seara Trabalhista

As normas legais referentes à proteção de dados não se destinam originalmente às relações trabalhistas, mas sim às relações jurídicas como um todo, eis que
atualmente a utilização de dados e informações em massa, impulsionado pela informatização e meios telemáticos, amplia em muito o campo de possibilidades dos
indivíduos, maximizando a possível utilização indevida destas informações e, consequentemente, o risco de lesão aos direitos fundamentais de seus titulares.


Assim, a questão afeta não só a seara pública, mas também a privada, pois repercute na sistemática até hoje aplicável na esfera trabalhista no que tange à requisição e
controle de dados pessoais dos empregados e demais prestadores de serviço, interferindo diretamente nas rotinas administrativas.
DIREITO DO TRABALHO
Boletim Trabalhista n° 16 - 2ª Quinzena. Publicado em: 24/08/2020

 Matéria elaborada conforme a legislação vigente à época de sua publicação, sujeita a mudanças em decorrência das alterações legais.

Lembrando que a ideia central da LGPD é a proteção dos direitos fundamentais, a liberdade e a privacidade, razão pela qual o ideal é que haja a implementação de
condutas para tanto, devendo os empregadores se adaptarem as novas rotinas, implementando os procedimentos de controle necessários, independentemente de seu
porte.

No mais, tem-se que a LGPD não se sobrepõe as leis trabalhistas já existentes, eis que indica tão somente procedimentos específicos para a guarda e repasse de
informações pessoais. Em outras palavras, os documentos trabalhistas ainda devem ser mantidos, com suas devidas cautelas.

Nesse sentido, para o período de guarda das documentações relativas aos contratos de trabalho, sugere-se a verificação da tabela
Guarda de Documentos Trabalhistas,
Previdenciários e FGTS disponível em
Tabelas Praticas Trabalhista.

Partindo-se destas premissas, passa-se a analisar ao longo dos demais tópicos abaixo, pontualmente os aspectos da referida lei e seus reflexos na seara trabalhista.

2. Vigência
A Lei Geral de Proteção de Dados (Lei n° 13.709/2018), publicada no dia 15.08.2018, não entrou em vigor imediatamente, tendo sua vigência dividida em fases,
conforme abaixo:

FASES MATÉRIA/ARTIGOS VIGÊNCIA

1ª Normas referentes à infraestrutura que ficará responsável pela fiscalização, organização e elaboração de
28.12.2018
Fase diretrizes sobre a matéria de proteção de dados (artigos 55-A ao 55-L; artigos 58-A e 58-B)

2ª
Demais artigos que tratam de direitos e deveres 18.09.2020
Fase

3ª
Penalidades e Sanções Administrativas (artigos 52 ao 54) 01.08.2021
Fase

Destaca-se que a Lei Geral de Proteção de Dados -

Lei n° 13.709/2018 (DOU de 15.08.2018) tinha inicialmente previsão para entrar em vigor no dia 18.02.2020, conforme
estabeleceu a redação original do seu
artigo 65.

Posteriormente, a
Medida Provisória n° 869/2018 (DOU de 28.12.2018), convertida na
Lei n° 13.853/2019 (DOU de 09.07.2019), alterou esse dispositivo para acrescentar
os incisos I e II, os quais passaram a prever as seguintes vigências:

I - 28.12.2018, para os artigos que tratam das partes integrantes da fiscalização, organização e elaboração das diretrizes sobre a proteção de dados, ou seja, a ANPD
(Autoridade Nacional de Proteção de Dados) e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; e

II - 15.08.2020, quanto aos demais artigos da

LGPD.

Neste contexto, as disposições que tratam da estrutura fiscalizatória, de fato, entraram em vigor no dia 28.12.2018, conforme previsto pelo inciso II do artigo 65 da
LGPD, com a nova redação dada pela Lei n° 13.853/2019.

Já a vigência dos demais artigos da

LGPD, prevista no
inciso II do
artigo 65, foi subdividida e novamente alterada pelas seguintes normas:

- Lei n° 14.010/2020 (DOU de 12.06.2020): estabeleceu vigência em 01.08.2021 para os artigos que tratam das penalidades, acrescentando o
inciso I-A ao
artigo 65 da
LGPD;

- Medida Provisória n° 959/2020 (DOU de 29.04.2020): fixou em 03.05.2021 a entrada em vigor dos demais artigos, alterando o
inciso II do
artigo 65 da
LGPD.

Entretanto, quando a
MP n° 959/2020 foi convertida na Lei n° 14.058/2020 (DOU de 18.09.2020), a previsão para o dia 03.05.2021 não foi mantida, gerando alguns
efeitos jurídicos importantes:

1°) Deixou de existir base legal que determinasse o início de vigência em 03.05.2021. Consequentemente, a
Lei n° 13.853/2019, que teve sua eficácia suspensa pela
MP
n° 959/2020, voltou a ser a norma aplicável, uma vez que já trazia anteriormente a previsão de vigência da LGPD;

2°) Entretanto, a
Lei n° 13.853/2019 apenas produziu efeitos, em relação ao início de vigência dos demais artigos da
LGPD, na data da sanção presidencial da Lei n°
14.058/2020, que ocorreu em 18.09.2020. Isto porque, apenas nessa data, a MP n° 959/2020 deixou de produzir seus efeitos, conforme estabelece o
§ 12 do artigo 62
da Constituição Federal, que dispõe:

Art. 62. (...)

§ 12. Aprovado projeto de lei de conversão alterando o texto original da medida provisória, esta manter-se-á integralmente em vigor até que seja
sancionado ou vetado o projeto.

Em razão dessas alterações legislativas, as disposições da

LGPD tiveram seu início de vigência fracionado conforme exposto acima.


3. Conceitos
DIREITO DO TRABALHO
Boletim Trabalhista n° 16 - 2ª Quinzena. Publicado em: 24/08/2020

 Matéria elaborada conforme a legislação vigente à época de sua publicação, sujeita a mudanças em decorrência das alterações legais.

O artigo 5° da Lei n° 13.709/2018 traz os seguintes conceitos em relação à proteção de dados:

Dado Pessoal = informação relacionada a pessoa natural identificada ou identificável;

Dado Pessoal Sensível = dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso,
filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Dado Anonimizado = dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu
tratamento;

Banco de dados = conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

Titular = pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

No caso tratado, o empregado ou mesmo o prestador de serviço poderia vir a ser entendido como titular no caso em tela, eis que em razão do contrato de trabalho é
obrigado a fornecer seus dados pessoais ao empregador.

Controlador = pessoa natural ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento de dados pessoais. Aqui poderia se
entender que o empregador é o controlador, pois recebe os dados do empregado ou do prestador de serviços para formalização do contrato de trabalho;

Operador = pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Encarregado = pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. O encarregado
é também conhecido como DPO, sigla para Data Protection Officer, nome utilizado no Regulamento Europeu de Proteção de Dados;

Agentes de tratamento = o controlador e o operador;

Tratamento = toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência,
difusão ou extração;

Anonimização = utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação,
direta ou indireta, a um indivíduo;

Consentimento = manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

Bloqueio = suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

Eliminação = exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

Transferência internacional de dados = transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

Uso compartilhado de dados = comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados
pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica,
para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

Relatório de impacto à proteção de dados pessoais = documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que
podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

Órgão de pesquisa = órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob
as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter
histórico, científico, tecnológico ou estatístico.

Autoridade nacional = órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

Eis um exemplo de um fluxo de dados pessoais que pode existir da empresa e as partes envolvidas neste processo:


DIREITO DO TRABALHO
Boletim Trabalhista n° 16 - 2ª Quinzena. Publicado em: 24/08/2020

 Matéria elaborada conforme a legislação vigente à época de sua publicação, sujeita a mudanças em decorrência das alterações legais.

4. Princípios
Os princípios que regem a matéria estão citados no artigo 6° da
Lei n° 13.709/2018, sendo que dentre estes os mais relevantes para o setor privado são, em um primeiro
momento, o Princípio da Finalidade, da Adequação e da Necessidade.

Isto porque, de uma forma geral, tais princípios indicam que os envolvidos devem agir de boa-fé, tendo propósitos legítimos, específicos e explícitos, os quais devem ser
devidamente informados ao titular dos dados; limitando-se a abranger e utilizar o mínimo necessário para que se alcance a finalidade estipulada previamente entre as
partes, não a desvirtuando ou recaindo em excessos.

Em razão justamente destes princípios que resta vedada qualquer utilização de dados para fins discriminatórios, ilícitos ou abusivos.

Em um segundo momento, ganham destaque os Princípios da Segurança e da Prevenção, na qual o agente que efetuar o tratamento dos dados fica responsável por
aplicar medidas técnicas e administrativas aptas a prevenir a ocorrência de danos ao titular destas informações; devem-se, portanto, serem estipulados procedimentos
para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

5. Aplicação
Como dito previamente, as normas referentes à proteção de dados são aplicáveis não só na esfera pública, como também na privada, por pessoas jurídicas e físicas,
independentemente do meio utilizado para a guarda e processamento de dados, ou seja, seja por meios físicos ou eletrônicos.

O tratamento dos dados, inclusive, deve ser observado independentemente do local em que se encontra a sede da empresa e do país em que estejam localizados estes
dados respectivamente, desde que a realização da operação de tratamento ou os dados tenham sido coletados no território nacional.

O procedimento da lei aplica-se ainda quando a atividade de tratamento tenha por objetivo a oferta, o fornecimento de bens e/ou serviços ou o tratamento de dados de
indivíduos localizados no Brasil (artigo 3° da
Lei n° 13.709/2018).

Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.

Eis as hipóteses nas quais pode ser realizado o tratamento de dados pessoais (artigo 7° da Lei n° 13.709/2018):

I) Mediante o fornecimento de consentimento pelo titular;

II) Para o cumprimento de obrigação legal ou regulatória pelo controlador;

III) Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou
respaldadas em contratos, convênios ou instrumentos congêneres.

IV) Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V) Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI) Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei n° 9.307/96 (Lei de Arbitragem);

VII) Para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII) Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX) Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular
que exijam a proteção dos dados pessoais;

X) Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
DIREITO DO TRABALHO
Boletim Trabalhista n° 16 - 2ª Quinzena. Publicado em: 24/08/2020

 Matéria elaborada conforme a legislação vigente à época de sua publicação, sujeita a mudanças em decorrência das alterações legais.

6. Requisitos
É extremamente importante ressaltar que a utilização e tratamento de dados pessoais só poderá ser realizado mediante fornecimento de consentimento escrito do
titular, o qual deve constar em cláusula destacada das demais do contrato, de modo que os documentos da empresa devem ser atualizados para que haja disposição
neste sentido.

Pode se citar aqui informações gerais do titular como: nome, RG, CPF, data e local de nascimento, telefone, imagem/fotos, dentre outros.

O consentimento deverá se referir a finalidade determinada e específica, pois eventuais autorizações genéricas podem vir a ser consideradas nulas posteriormente.

Uma exceção, contudo, são os dados tornados manifestamente públicos pelo seu titular, sobre os quais é dispensada a exigência de consentimento expresso. Não
obstante, ainda é importante que a destinação destes dados, mesmo que já tenham se tornado públicos, seja lícita, sob pena de responsabilização do agente que os
utilizou de forma indevida.

Posteriores alterações de finalidade ou dos dados devem ser informados ao titular de forma prévia, com indicação específica do teor destas mudanças, pois também é
necessário o consentimento para que assim seja procedido.

Isto porque é direito do titular ter acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizados de forma clara, adequada e
ostensiva no que tange os seguintes pontos (artigo 9° da Lei n° 13.709/2018):

I) finalidade específica do tratamento;

II) forma e duração do tratamento, observados os segredos comercial e industrial;

III) identificação e informações de contato do controlador;

IV) informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

V) responsabilidades dos agentes que realizarão o tratamento;

VI) direitos do titular, com menção explícita aos direitos contidos no artigo 18 da Lei n° 13.709/2018.

No que se refere a utilização do interesse do controlador como indicação de finalidade para a utilização de dados pessoais do titular, isto somente poderá ser realizado
para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I) Apoio e promoção de atividades do controlador; e

II) Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os
direitos e liberdades fundamentais.

Pode-se entender que as relações de trabalho e de prestação de serviços em geral se enquadrariam no segundo tópico acima transcrito, mas lembrando que neste caso
a utilização deve se restringir somente aos dados pessoais estritamente necessários para a finalidade em questão.

Nestes casos é importante que o agente tenha um RIPD (relatório de impacto à proteção de dados pessoais), pois este documento poderá vir a ser solicitado
posteriormente por entidade fiscalizadora, nos termos do artigo 10, § 3°, da
Lei n° 13.709/2018.

Com relação a este relatório, tem-se que ele será explicado nos itens abaixo.

6.1. Requisitos para o Tratamento de Dados Sensíveis

Cumpre lembrar que se entende por “dado pessoal sensível” aquele que trata da origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a
organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Nota-se, portanto, que grande parte dos documentos trabalhistas terão uma mescla de informações entendidas como dados normais e dados sensíveis, pois a própria
indicação de filiação ou não a Sindicato, para fins de contribuição sindical, seria entendido como um dado sensível.

Os dados pessoais sensíveis somente podem ser utilizados quando houver consentimento pelo titular, de forma específica e destacada, devendo ser indicada a
finalidade específica para o qual será utilizado.

Entretanto, conforme
artigo 11 da
Lei n° 13.709/2018, neste ponto existem exceções a serem consideradas, pois ainda que não haja autorização do titular tais dados
podem ser utilizações em situações que se faça indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei de Arbitragem - Lei n° 9.307/96;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;
DIREITO DO TRABALHO
Boletim Trabalhista n° 16 - 2ª Quinzena. Publicado em: 24/08/2020

 Matéria elaborada conforme a legislação vigente à época de sua publicação, sujeita a mudanças em decorrência das alterações legais.

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos
mencionados no artigo 9° da Lei n° 9.307/96 e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

6.2. Requisitos para Tratamento de Dados de Menores de Idade

Caso se trate de um menor de idade é importante que o tratamento dos dados seja realizado seguindo os seus melhores interesses, devendo ser buscado pela empresa
contratante consentimento específico por, no mínimo, um dos pais ou responsável legal (artigo 14 da Lei n° 13.709/2018). Deve-se informar ainda, de forma clara e
acessível, quais os tipos de dados coletados e a forma/finalidade para os quais serão utilizados.

Interessante destacar neste ponto que o empregador deverá realizar todos os esforços razoáveis para verificar que o consentimento foi dado efetivamente pelo
responsável do menor, consideradas as tecnologias disponíveis.

6.3. Transferência Internacional de Dados

Na esfera privada, é importante destacar que a transferência internacional de dados pessoais somente é permitida quando, além de colher o consentimento expresso e
específico do titular, o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos deste e do regime de proteção de dados.

Para tanto, deve-se observar (artigo 33 da Lei n° 13.709/2018):

a) cláusulas contratuais específicas para determinada transferência;

b) cláusulas-padrão contratuais;

c) normas corporativas globais;

d) selos, certificados e códigos de conduta regularmente emitidos;

A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas
corporativas globais ou selos, certificados e códigos de conduta, será realizada pela autoridade nacional (artigo 35 da Lei n° 13.709/2018).

Poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário, pela autoridade
nacional.

6.4. Compartilhamento de Dados com Terceiros

Ainda que tenha conseguido o consentimento do titular dos dados, é imprescindível que em havendo a necessidade de compartilhamento destes com terceiros o titular
seja novamente comunicado, obtendo-se novo consentimento específico para tanto, conforme determina o artigo 7°, § 5°, da
Lei n° 13.709/2018.

Isto pode vir a ocorrer na seara trabalhista quando da concessão dos dados do empregado para contabilidades terceirizadas, planos de saúde, empresas de vale-
refeição, etc.

7. Revogação do Consentimento
O consentimento pode ser revogado a qualquer momento pelo titular dos dados, mediante manifestação expressa deste, momento após o qual deve ocorrer a sua
eliminação, ressalvadas as hipóteses do
artigo 16 da
Lei n° 13.709/2018.

O agente não poderá requisitar valores ou criar procedimento a fim de dificultar o exercício deste direito pelo titular, nos termos do artigo 8° da Lei n° 13.709/2018.

8. Acesso aos Dados por Requisição do Titular

A confirmação de existência ou o acesso a dados podem vir a ser requisitado pelo titular, devendo ser fornecido de forma imediata e simplificada ou, alternativamente,
dentro de 15 dias contados do requerimento, mas neste último caso de forma clara e completa, indicando a origem dos dados, a inexistência de registro, os critérios
utilizados e a finalidade do tratamento, observados os segredos comercial e industrial (artigo 19 da Lei n° 13.709/2018).

A critério do titular poderão ser fornecidos por meio eletrônico desde que este se mostre seguro e idôneo, ou mesmo de forma impressa. Neste último caso, orienta-se
que pelo menos seja assinado pelo empregado um recibo de entrega, para fins de eventual e futura comprovação, caso se faça necessário.

Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, em formato que
permita a sua utilização subsequente, inclusive em outras operações de tratamento.

9. Do Término do Tratamento de Dados

O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses (artigo 15 da Lei n° 13.709/2018):

I) Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

II) Fim do período de tratamento;


III) Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público; ou
DIREITO DO TRABALHO
Boletim Trabalhista n° 16 - 2ª Quinzena. Publicado em: 24/08/2020

 Matéria elaborada conforme a legislação vigente à época de sua publicação, sujeita a mudanças em decorrência das alterações legais.

IV) Determinação da autoridade nacional, quando houver violação constatada.

Em regra, os dados pessoais serão eliminados após o término de seu tratamento quando da ocorrência de uma das circunstâncias acima, no âmbito e nos limites
técnicos das atividades.

Ocorre que é autorizada a conservação dos dados excepcionalmente para as seguintes finalidades (artigo 16 da Lei n° 13.709/2018):

I) Cumprimento de obrigação legal ou regulatória pelo controlador;

II) Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III) Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

IV) Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

No caso de contrato de trabalho, entretanto, o ideal é se realizar a manutenção dos dados do empregado ou do prestador de serviços mesmo que o vínculo tenha se
encerrado, eis que podem ser necessários futuramente em caso de fiscalização ou mesmo ação judicial.

Para tanto deve-se, contudo, haver previsão específica no contrato.

10. Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

Orienta-se que a empresa mantenha um protocolo para a guarda e segurança dos dados pessoais de seus empregados e prestadores de serviço, o que pode vir a ser
formalizado por meio do RIPD (Relatório de Impacto à Proteção de Dados Pessoais), nos termos do
artigo 38 da
Lei n° 13.709/2018.

Este é um relatório no qual se indica especificamente os procedimentos de segurança adotados para o processamento dos dados. É um importante aspecto de
governança corporativa, que pode vir a ser utilizado posteriormente para comprovar o cumprimento das normas da Lei Geral de Proteção de Dados.

O RIPD deve conter, no mínimo:

I) Descrição dos tipos de dados coletados;

II) O detalhamento da metodologia utilizada para a coleta e garantia da segurança das informações;

III) A análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados;

Lembrando que este documento poderá vir a ser solicitado posteriormente por entidade fiscalizadora, nos termos do artigo 10, § 3°, da
Lei n° 13.709/2018, sendo que a
sua ausência pode vir a gerar a aplicação de penalidade administrativa.

11. Responsabilidade
Cumpre esclarecer que em caso de alegação de utilização indevida de dados, conduta ilícita ou inobservância dos princípios de segurança pelo agente que realizou o
tratamento, cumprira a este a prestação de contas, ou seja, a demonstração de que adotou medidas eficazes e capazes de prevenir dados ao titular dos dados, bem
como que cumpriu as normas de proteção de dados pessoais, por força do
artigo 6°,
inciso X, da
Lei n° 13.709/2018.

Caberá ainda ao agente a obrigação de comprovar que o titular concedeu o seu consentimento previamente para a utilização dos dados pessoais.

Em sendo efetivamente constatadas tais infrações, o agente poderá ser notificado para cessar com a violação ou adotar as medidas cabíveis para se adequar. Pode-se
ter ainda a aplicação de multas administrativas, sem prejuízo a eventuais repercussões civis, penais e trabalhistas cabíveis.

12. Recomendações e Boas Práticas - Reflexos na Prática Trabalhista

Diante de todo o exposto, orienta-se que antes da entrada em vigência da LGPD, seja observado pela empregadora os seguintes pontos:

1° Primeiramente seja realizado um diagnóstico e mapeamento das informações que regularmente transitam pela empresa, bem como as partes interessadas externas
que podem vir a ter acesso a estes dados, como consultorias, escritórios de contabilidade, etc.

2° Verificar os dados efetivamente essenciais para a regulamentação do vínculo empregatício ou prestação de serviços, simplificando as rotinas administrativas a fim de
requisitar apenas as informações necessárias. Ou seja, o ideal é que se busque fazer a revisão dos procedimentos e documentos utilizados pela empresa, a fim de
verificar a existência de dados desnecessários que possam subtrair a finalidade ou lesar algum dos dispositivos da Lei de Proteção de Dados.

3° Indicar um profissional que ficará encarregado pelo tratamento de dados pessoais, devendo divulgar a sua identidade e informações de contato publicamente, de
forma clara e objetiva, preferencialmente no sítio eletrônico do receptor das informações, conforme dispõe o artigo 41 da Lei n° 13.709/2018.

4° Formalizar protocolos de condutas para que os dados sejam mantidos em sigilo, somente tendo acesso a estes às pessoas específicas que deles necessitem para a
administração do vínculo empregatícios (Exemplo: Recursos Humanos e setor Financeiro).

5° Formular um “relatório de impacto à proteção de dados pessoais” (RIPD), conforme já explicado no item 10 desta matéria.


6° Seja inserida uma cláusula nos contratos de trabalho utilizados pelos empregadores nos quais os empregados autorizam a manutenção de seus dados pessoais para
fins de administração interna da empresa. Sugere-se a seguinte redação, a qual deve ser adaptada caso necessário:
DIREITO DO TRABALHO
Boletim Trabalhista n° 16 - 2ª Quinzena. Publicado em: 24/08/2020

 Matéria elaborada conforme a legislação vigente à época de sua publicação, sujeita a mudanças em decorrência das alterações legais.

CLÁUSULA X - Tenho conhecimento e autorizo que meus dados pessoais sejam mantidos pela contratante para os fins deste contrato de trabalho,
escrituração digital e cumprimento da legislação trabalhista e previdenciária, o que perdurará mesmo após o vínculo trabalhista ser finalizado diante de
eventual necessidade apresentação judicial ou administrativa por requisição de órgão fiscalizador.

CLÁUSULA X.1- O eventual compartilhamento dos meus dados pessoais com terceiros, com exceção das questões já autorizadas acima, fica condicionada
a autorização expressa do contratado, sob pena de responsabilização em caso de uso indevido, diante da observância dos direitos instituídos no
art. 18 da
Lei n° 13.709/2018.

7° Caso o empregador precise repassar informações pessoais de seus empregados para terceiros (Exemplo: contabilidade, plano de saúde, seguro de vida, convênios,
etc), orienta-se que seja inserido no contrato de trabalho uma cláusula na qual o empregado autorize o tratamento dos dados por estes. No mais, o ideal é que sejam
fiscalizados os protocolos de proteção instituídos por estes terceiros, pois com o advento da Lei n° 13.709/2018 cabe ao empregador a responsabilidade sobre estes
dados.

8° Caso trate-se de um menor de 18 anos, deve constar no contrato firmado (ou termo de estágio) uma cláusula sobre a matéria, devendo a empresa deixá-la em
destaque e buscar a assinatura de, no mínimo, um dos pais do menor ou seu responsável legal. Deve-se informar ainda quais os tipos de dados coletados e a
forma/finalidade para os quais serão utilizados.

Lembrando que para este fim não basta requisitar que o menor peça ao seu responsável para assinar o contrato, eis que segundo o artigo 14, § 5°, da
Lei n°
13.709/2018, o empregador deverá realizar todos os esforços razoáveis para verificar que o consentimento foi dado efetivamente pelo responsável pelo menor,
consideradas as tecnologias disponíveis.

9° Para os empregados que já se encontram na empresa, o ideal é formular um termo específico de consentimento no que tange aos dados fornecidos que devem ser
mantidos no registro da empresa.

Esta, dentre outras condutas, podem ser aplicadas pelos empregadores, eis que nos termos do
artigo 50 da
Lei n° 13.709/2018, estas se prestam a criação de um
sistema de controle e gerência de dados, tendo sido expressamente consignado que “os controladores e operadores, no âmbito de suas competências, pelo tratamento
de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança corporativa que estabeleçam as condições
de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as
obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros
aspectos relacionados ao tratamento de dados pessoais”.

O ideal é que estas práticas de governança observem pelo menos os seguintes pontos:

a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas
práticas relativas à proteção de dados pessoais;

b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

12.1. Práticas na Fase Pré-contratual - Seleção de Candidatos

Este é um ponto extremamente debatido, que vem gerando controvérsia, eis que na prática quando as empresas recebem currículos com dados pessoais para seleção
não se tem o costume de requisitar a assinatura de um termo específico com a autorização para manutenção de dados.

Diante disto, o ideal é que as empregadoras se restrinjam a requisitar informações efetivamente essenciais de seus candidatos e, quando for o caso, principalmente
quando o intuito for manter uma base de dados (banco de currículos) para contratações futuras, que seja colhida a autorização específica deste.

Pode-se requisitar dos candidatos que já enviem os currículos com esta autorização em seu bojo ou realizar a colheita desta autorização logo depois do envio dos
dados pelo candidato, a depender do caso em concreto.

No mais, deve-se restringir o acesso a estes dados não repassando-os a terceiros sem autorização expressa e específica do candidato.

13. Penalidades
Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na LGPD, ficam sujeitos às seguintes sanções administrativas aplicáveis

pela autoridade nacional (artigo 52 da Lei n° 13.709/18):
DIREITO DO TRABALHO
Boletim Trabalhista n° 16 - 2ª Quinzena. Publicado em: 24/08/2020

 Matéria elaborada conforme a legislação vigente à época de sua publicação, sujeita a mudanças em decorrência das alterações legais.

Advertência Com indicação de prazo para adoção de medidas corretivas

Até 2% do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos,
Multa Simples
limitada, no total, a R$ 50 milhões por infração

Deve observar o limite total da multa simples (R$ 50 milhões), bem como a gravidade da falta e a extensão do dano ou
Multa Diária
prejuízo causado e ser fundamentado pela autoridade nacional.

Publicização da Infração Após devidamente apurada e confirmada a sua ocorrência

Bloqueio dos dados Refere aos dados pessoais objeto da infração, permanecendo o bloqueio até a sua regularização

Eliminação dos dados Refere-se aos dados pessoais objeto da infração

* Suspensão parcial do
Refere-se a suspensão do banco de dados cujo seja objeto da infração, podendo ser aplicada por no máximo 6 meses,
funcionamento do banco de
prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador
dados

* Suspensão do exercício da Refere-se aos dados pessoais objeto da infração, podendo ser aplicada pelo período máximo de 6 meses, prorrogável
atividade de tratamento por igual período.

* Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

* Estas penalidades serão aplicadas somente após já ter sido imposta ao menos uma das demais sanções acima indicadas, com exceção da advertência, para o mesmo
caso concreto e em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.

As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo
com as peculiaridades do caso concreto (artigo 52, § 1°, da
Lei n° 13.709/2018).

Os vazamentos individuais ou os acessos não autorizados poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador
estará sujeito à aplicação das penalidades acima indicadas (artigo 52, § 7°, da
Lei n° 13.709/2018).

A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações que deverá ser objeto de consulta pública, as metodologias
que orientarão o cálculo do valor-base das sanções de multa (artigo 53 da
Lei n° 13.709/2018).

Evidencia-se, entretanto, que a aplicação destas penalidades não substitui a aplicação de sanções administrativas, civis ou penais definidas em legislação específica.

14. Modelo
MODELO - TERMO DE CONSENTIMENTO PARA TRATAMENTO DE DADOS PESSOAIS

LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS - LGPD

Através do presente instrumento, eu________________________________, inscrito (a) no CPF sob n°____________, aqui denominado (a) como TITULAR, venho por meio deste,
autorizar que a empresa _______________________________, aqui denominada como CONTROLADORA, inscrita no CNPJ sob n° __________- ____, em razão do contrato de
trabalho, disponha dos meus dados pessoais e dados pessoais sensíveis, de acordo com os
artigos 7º e
11 da
Lei nº 13.709/2018, conforme disposto neste termo:

Cláusula Primeira: Dados Pessoais

O Titular autoriza a Controladora a realizar o tratamento, ou seja, a utilizar os seguintes dados pessoais, para os fins que serão relacionados na cláusula segunda:

- Nome completo

- Data de nascimento;

- Número e imagem da Carteira de Identidade (RG);

- Número e imagem do Cadastro de Pessoas Físicas (CPF);

- Número e imagem do Título de Eleitor;



- Número e imagem do Certificado de Reservista;

DIREITO DO TRABALHO
Boletim Trabalhista n° 16 - 2ª Quinzena. Publicado em: 24/08/2020

 Matéria elaborada conforme a legislação vigente à época de sua publicação, sujeita a mudanças em decorrência das alterações legais.

- Número e imagem da Carteira Nacional de Habilitação (CNH) (quando necessário para a função contratada);

- Número e Imagem do cartão de vale transporte (quando utilizado pelo empregado);

- Número e imagem do Programa de Integração Social (PIS);

- CTPS física e/ou digital;

- Fotografia 3x4;

- Imagem da Certidão de Casamento ou Declaração de União Estável;

- Imagem do Diploma de _________ (Nível de instrução ou escolaridade);

- Endereço completo;

- Números de telefone, WhatsApp e endereços de e-mail;

- Banco, agência e número de contas bancárias;

- Nome de usuário e senha específicos para uso dos serviços da Controladora;

- Comunicação, verbal e escrita, mantida entre o Titular e o Controlador;

- Exames e atestados médicos, especialmente admissionais, periódicos, incluídos de retorno por afastamento superior a 30 dias em caso de doença, acidente ou parto,
de mudança de função, demissionais e ainda aqueles que atestem doença ou acidente;

- Certidão de nascimento dos filhos menores de 14 anos, Carteira de vacinação dos menores de 7 anos, e atestado de matrícula e frequência escolar semestral dos
maiores de 4 anos;

- __________________ (relacionar outros documentos específicos para a função, por exemplo: Documento de filiação a Sindicato; Número e Imagem da Carteira
Profissional, etc.).

Cláusula Segunda: Finalidade do Tratamento dos Dados

O Titular autoriza que a Controladora utilize os dados pessoais e dados pessoais sensíveis listados neste termo para as seguintes finalidades:

- Permitir que a Controladora identifique e entre em contato com o titular, em razão do contrato de trabalho;

- Para cumprimento de obrigações decorrentes da legislação, principalmente trabalhista e previdenciária, incluindo o disposto em Acordo ou Convenção Coletiva da
categoria da Controladora;

- Para procedimentos de admissão e execução do contrato de trabalho, inclusive após seu término;

- Para cumprimento, pela Controladora, de obrigações impostas por órgãos de fiscalização;

- Quando necessário para a executar um contrato, no qual seja parte o titular;

- A pedido do titular dos dados;

- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

- Para a proteção da vida ou da incolumidade física do titular ou de terceiros;

- Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

- Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular
que exijam a proteção dos dados pessoais;

- Para contratação de serviços de ____________________ (por exemplo: vale alimentação, com a Empresa XXXX, de modo que somente serão repassados para a empresa
contratada os dados pessoais de identificação do titular);

- Permitir que a Controladora utilize esses dados para a contratação e prestação de serviços diversos dos inicialmente ajustados, desde que o Titular também
demonstre interesse em contratar novos serviços.

Nota ECONET: Caso o empregador identifique hipótese não prevista acima, será necessário acrescentá-la nesta cláusula. Exemplos: fornecimento de dados pessoais do
empregado para o fornecimento de plano de saúde e odontológico, vale alimentação, seguro de vida, plano de previdência privada, dentre outros.

Parágrafo Primeiro: Caso seja necessário o compartilhamento de dados com terceiros que não tenham sido relacionados nesse termo ou qualquer alteração contratual
posterior, será ajustado novo termo de consentimento para este fim (§ 6º do artigo 8° e
§ 2° do
artigo 9° da
Lei n° 13.709/2018).

DIREITO DO TRABALHO
Boletim Trabalhista n° 16 - 2ª Quinzena. Publicado em: 24/08/2020

 Matéria elaborada conforme a legislação vigente à época de sua publicação, sujeita a mudanças em decorrência das alterações legais.

Parágrafo Segundo: Em caso de alteração na finalidade, que esteja em desacordo com o consentimento original, a Controladora deverá comunicar o Titular, que poderá
revogar o consentimento, conforme previsto na cláusula sexta.

Cláusula Terceira - Compartilhamento de Dados

A Controladora fica autorizada a compartilhar os dados pessoais do Titular com outros agentes de tratamento de dados, caso seja necessário para as finalidades
listadas neste instrumento, desde que, sejam respeitados os princípios da boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência,
segurança, prevenção, não discriminação e responsabilização e prestação de contas.

Cláusula Quarta - Responsabilidade pela Segurança dos Dados

A Controladora se responsabiliza por manter medidas de segurança, técnicas e administrativas suficientes a proteger os dados pessoais do Titular e à Autoridade
Nacional de Proteção de Dados (ANPD), comunicando ao Titular, caso ocorra algum incidente de segurança que possa acarretar risco ou dano relevante, conforme
artigo 48 da
Lei nº 13.709/2020.

Cláusula Quinta - Término do Tratamento dos Dados

À Controladora, é permitido manter e utilizar os dados pessoais do Titular durante todo o período contratualmente firmado para as finalidades relacionadas nesse termo
e ainda após o término da contratação para cumprimento de obrigação legal ou impostas por órgãos de fiscalização, nos termos do
artigo 16 da
Lei n° 13.709/2018.

Cláusula Sexta - Direito de Revogação do Consentimento

O Titular poderá revogar seu consentimento, a qualquer tempo, por e-mail ou por carta escrita, conforme o
artigo 8°,
§ 5º, da
Lei nº 13.709/2020.

O Titular fica ciente de que a Controladora poderá permanecer utilizando os dados para as seguintes finalidades:

- Para cumprimento de obrigações decorrentes da legislação trabalhista e previdenciária, incluindo o disposto em Acordo ou Convenção Coletiva da categoria da
Controladora;

- Para procedimentos de admissão e execução do contrato de trabalho, inclusive após seu término;

- Para cumprimento, pela Controladora, de obrigações impostas por órgãos de fiscalização;

- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

- Para a proteção da vida ou da incolumidade física do titular ou de terceiros;

- Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

- Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular
que exijam a proteção dos dados pessoais.

Cláusula Sétima - Tempo de Permanência dos Dados Recolhidos

O titular fica ciente de que a Controladora deverá permanecer com os seus dados pelo período mínimo de guarda de documentos trabalhistas, previdenciários, bem
como os relacionados à segurança e saúde no trabalho, mesmo após o encerramento do vínculo empregatício.

Cláusula Oitava - Vazamento de Dados ou Acessos Não Autorizados - Penalidades

As partes poderão entrar em acordo, quanto aos eventuais danos causados, caso exista o vazamento de dados pessoais ou acessos não autorizados, e caso não haja
acordo, a Controladora tem ciência que estará sujeita às penalidades previstas no
artigo 52 da
Lei nº 13.709/2018:

Cidade, dia, mês e ano.

Assinatura:

________________________________________

Nome do Empregado (Titular)

______________________________________________

Nome do Empregador (Controlador)

Autor: Equipe Técnica Econet Editora

TODOS OS DIREITOS RESERVADOS


Nos termos da Lei n° 9.610, de 19 de fevereiro de 1998, que regula os direitos autorais, é proibida a reprodução total ou parcial, bem como a produção de apostilas a
partir desta obra, por qualquer forma, meio eletrônico ou mecânico, inclusive através de processos reprográficos, fotocópias ou gravações - sem permissão por escrito,
DIREITO DO TRABALHO
Boletim Trabalhista n° 16 - 2ª Quinzena. Publicado em: 24/08/2020

 Matéria elaborada conforme a legislação vigente à época de sua publicação, sujeita a mudanças em decorrência das alterações legais.

dos Autores. A reprodução não autorizada, além das sanções civis (apreensão e indenização), está sujeita as penalidades que trata artigo 184 do Código Penal.

Essa informação foi útil?

Deixe um comentário sobre esse boletim

O seu endereço de e-mail não será divulgado. Campos obrigatórios são mercados com *

Nome *
Seu comentário
Seu nome

Email *

Seu email

Enviar Comentário