Escolar Documentos
Profissional Documentos
Cultura Documentos
I. INTRODUÇÃO
1
Marcio Eduardo Tenorio da Costa Fernandes é advogado empresarial, com experiência no mercado privado
internacional de tabaco, bem como para empresas do ramo de engenharia industrial. É graduado pela Universidade
do Estado do Rio de Janeiro (UERJ) e Membro-Presidente da Comissão de Direito do Comércio Internacional no
Instituto dos Advogados Brasileiros. É especialista em direito internacional e já foi conselheiro federal da OAB
no Rio de Janeiro.
2
Rodrigo Marinho Crespo é sócio fundador do Marinho & Lima Advogados. Possui ampla experiência em Direito
Civil Empresarial com ênfase em Contratos e Direito Processual Civil. Formou-se em 2005 pela Pontifícia
Universidade Católica do Rio de Janeiro (PUC-RJ) e cursou pós-graduação em Direito Civil Empresarial
(Contratos) pela FGV em 2008.
3
Igor Rosa Cezário de Lima é advogado, graduado em 2022 pela Universidade Federal Fluminense (UFF), com
especialização em andamento (2023) na Pontifícia Universidade Católica do Rio Grande do Sul (PUC-RS) em
Direito e Processo do Trabalho.
4
Apud VERBICARO, SANTOS, MOTTA, BISMARCK et VIEIRA, 2022. Direitos da vulnerabilidade na era do
capitalismo de plataforma: perspectivas consumerista e trabalhista / coordenação Dennis Verbicaro, 1ª Ed. Brasilia,
DF: Editora Venturoli 2022.
Nesse sentido, a Lei nº. 13.709/2018 (LGPD) qualifica o consentimento com finalidade
determinada, a qual deverá ser demonstrada, apontada ou indicada no instrumento que prevê a
coleta de dados pessoais. A explicação da finalidade do tratamento de dados é, portanto,
condição que visa suprir a vulnerabilidade informacional e permitir o tratamento em condições
de adequação à norma vigente, ressalvada, nos termos da Lei, a garantia de segredo industrial.
Para prosseguir à análise da tutela dos dados pessoais nas relações de trabalho, é preciso
dirimir uma falsa identidade atribuída aos direitos de proteção de dados, à privacidade e à
intimidade (FERREIRA, KOURY, JACOB, 20225). Isso porque o conceito de intimidade,
abarcado no cerne da privacidade do indivíduo, é mais restrito do que a privacidade, uma vez
que intimidade não inclui todos os considerados dados pessoais de um indivíduo.
São considerados íntimos os dados pessoais sensíveis: dado pessoal sobre origem racial
ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural (BRASIL, 2018, itálico nosso).
A proteção dos dados pessoais nas relações de trabalho é de suma relevância, uma vez
que as partes devem ajustar toda e qualquer forma de coleta e armazenamento de dados pessoais
de forma específica no curso do contrato de trabalho, desde as mais simples até as mais
complexas.
É válido destacar que o consentimento não pode ser fornecido de forma esvaziada, mas
sempre para uma finalidade determinada, sendo imperativo observar o prazo de duração da
guarda e armazenamento de dados pessoais.
5 FERREIRA, Otávio. KOURY, Suzy. JACOB, Valena. “Da tutela da privacidade à proteção autônoma de
dados: parâmetros para a proteção dos dados do trabalhador”.
Isto é, o consentimento para obtenção de informações bancárias com a finalidade
determinada de realizar o pagamento de salário em conta corrente ou pagamento não prevê
autorização para o compartilhamento de informações bancárias com terceiros, seja para fins de
mera consulta ou obtenção de proveito econômico, sob pena de violação à LGPD. Além disso,
a permissão para realização de estudos é assegurada aos órgãos de pesquisa, não sendo
recomendável a interpretação ampliativa dessa prerrogativa para terceiros, especialmente se não
for possível cumprir a recomendação de anonimização dos dados pessoais.
Da mesma forma, as avaliações de risco e exames médicos periódicos, para fins legais
de saúde e segurança do trabalho, não merecem compartilhamento indevido com terceiros, nem
acesso indiscriminado dentro da própria hierarquia organizacional. Caso um empregado
requeira acesso a sua documentação, esses dados deverão estar localizados e armazenados em
departamentos específicos, que não deverão compartilhar informações sem que haja expressa
previsão contratual ou lei específica que o permita.
Sanções disciplinares, por exemplo, deverão ter prazo de guarda e vedação de uso
compartilhado, independentemente de se tratar de conteúdo sensível, uma vez que a sua
exposição é capaz de provocar prejuízo (lesão a direito da personalidade) ao empregado perante
terceiros.
Observe-se, ainda, que alguns dados pessoais, embora privados, não são sensíveis. A
título de exemplo, a localização do empregado requer o consentimento da coleta desse dado
pessoal, que não é sensível, porque não diz respeito ao rol do artigo 5º, II da Lei 13.709/20186.
6
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política,
filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; (BRASIL, 2018)
Por isso, a gestão e o armazenamento de dados pessoais devem atender aos crescentes
níveis de confidencialidade em uma cadeia organizacional, sempre mediante o consentimento
do trabalhador acerca dos dados que estão sendo coletados, ao mesmo tempo em que devem
estar disponíveis para o titular nos termos do artigo 18 da Lei Geral de Proteção de Dados (“Lei
13.709/2018”).
Muito utilizado na linguagem corporativa, o próprio termo head hunting intui uma
avaliação primária do candidato pelo empregador ou recrutador, que busca preencher as
melhores vagas com os melhores profissionais possíveis, por vezes, investigando situações de
7
LX - a lei só poderá restringir a publicidade dos atos processuais quando a defesa da intimidade ou o interesse
social o exigirem;
emprego anteriores dos candidatos – seja por meio de ligações telefônicas ao local de trabalho
ou questionamentos informais off the record.
Com a vigência da LGPD, esse tipo de prática deve ser coibida, uma vez que há formas
lícitas de obter o consentimento informado de pessoas físicas para avaliação de experiências
anteriores sem incorrer ao risco de uma lesão a direito da personalidade ou imposição de
penalidade pela Autoridade Nacional de Proteção de Dados Pessoais.
Trata-se de uma situação em que o Tribunal verificou ofensa à privacidade, “uma vez
que, nos dias atuais, o resguardo do nome e do número de celular consubstancia aspecto
crucial da proteção da personalidade humana”.
O fato, que pode ser lido como mero equívoco do empregador, caracterizou lesão à
esfera pessoal do titular de dados pessoais – entendimento que fora mantido pelo Tribunal
Superior do Trabalho. A sanção aplicada foi tarifada como “de natureza leve”, contudo, nos
leva a considerar qual seria o entendimento da Justiça do Trabalho em relação a uma
investigação prévia à admissão no emprego, como o histórico de trabalho de um ex-empregado.
A situação hipotética de um contato telefônico, por exemplo, para troca de informações
pessoais acerca do trabalho de um possível funcionário a ser contratado constituiria igual
violação? De acordo com o artigo 7º, incisos I, V e §5º, a utilização pré contratual e o uso
compartilhado de dados devem observar as seguintes diretrizes:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular; (...)
§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que
necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter
consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do
consentimento previstas nesta Lei.
O encadeamento lógico previsto pela lei exige que o titular dos dados forneça
consentimento (manifestação livre, informada e inequívoca) para tratamento de seus dados com
a finalidade específica de compartilhar seus dados para fins de recrutamento, avaliação e
seleção ou, se houver outra finalidade, especificá-la.
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou
por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua
sede ou do país onde estejam localizados os dados, desde que:
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
A contraposição que diz respeito o inciso IX chama atenção para os dados pessoais
sensíveis, uma vez que abre exceção para a prevalência de direitos e liberdades fundamentais
do titular que exijam a proteção de dados pessoais. FALCÃO e BIZZOCHI (2022) destacam a
questão do trabalho remoto ou home office, que aventa dificuldades no tratamento na garantia
dos requisitos de segurança de dados previstos na LGPD.
Essa quebra da proteção dos dados pessoais pode ocorrer de forma virtual ou
sistemática, por meio de ataques em rede ou mesmo por acidente de percurso, perda, roubo,
negligência ou imperícia do agente de tratamento responsável pelos dados e/ou equipamentos
vulnerados. Nos termos do artigo 43 da LGPD, os agentes de tratamento só não serão
responsabilizados quando provarem que não realizaram o tratamento de dados pessoais que lhes
é atribuído, que embora tenham realizado o tratamento, não houve violação à LGPD ou, ainda,
que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
Observa-se, ainda, que a lei determina aos agentes de tratamento a adoção de medidas
de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou
qualquer forma de tratamento inadequado ou ilícito. Consoante parágrafo único do artigo 44 da
LGPD, são responsáveis pelos danos decorrentes de violação de segurança o controlador ou o
operador que, ao deixar de adotar as medidas de segurança previstas, derem causa ao dano.
8
Nota dos autores: a saber, possuem especial relevância as alíneas “b”, “e”, “g”, “j” e “k” em relação aos deveres
e obrigações relativos a proteção de dados nas relações de trabalho, com o fito de responsabilização trabalhista do
empregado por justa causa no contrato de trabalho.
a observância das “técnicas de tratamento de dados pessoais disponíveis à época em que foi
realizado” como medida de segurança que o titular de dados pessoais pode esperar.
Em outras palavras, o tratamento que não obedeça aos melhores critérios de boas
práticas e segurança da informação, seja em relação ao modo pelo qual é realizado ou aos
resultados e riscos que deles se esperam, incorrerá na hipótese de tratamento irregular de dados,
consoante artigo 44 da LGPD.
Merecem destaque os critérios dos incisos VIII a X, quais sejam a adoção reiterada e
demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados
ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do §2º
do artigo 48 da LGPD, bem como a adoção de políticas de boas práticas, governança e a pronta
adoção de medidas corretivas.
O legislador elencou medidas sancionatórias de impacto gradativo, partindo desde a
advertência simples, com praz para indicação de medidas corretivas às infrações cometidas às
normas previstas na LGPD, até medidas que determinam a eliminação de dados pessoais,
suspensão parcial ou total do exercício de atividades relacionadas a tratamento de dados e multa
simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado
no Brasil em seu último exercício, limitada, no total, a R$50.000.000,00 (cinquenta milhões de
reais) por infração.
9
https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria
Além disso, trata-se de uma norma que possui larga correspondência com o GDPR
Europeu, o que demonstra seu avanço na proteção dos dados pessoais e compromisso com os
padrões internacionais de segurança e boas práticas de tratamento de dados.