1. É possível ter uma Política sobre Atestados?
Quando falamos sobre relação de trabalho, uma das preocupações dos empreendedores são os atestados. Primeiramente, há a questão do abono do desconto salarial devido a esta falta. Contudo, neste caso, uma sugestão do que pode ser implementado para que se tenha um bom controle é uma Política de Atestados, na qual vão constar as regras sobre e entrega deste documento pelo colaborador à empresa.
Com relação aos atestados relacionados ao próprio colaborador, seja por casos de doença, seja por exames ou consultas médicas, a Política se torna ainda mais essencial para a segurança de ambas as partes. Mas, há os casos em que o colaborador está como acompanhante. Aqui, segundo a legislação, há dois casos em que o empregador é obrigado a abonar a falta, que seria para levar o filho de até 06 (seis) anos ao médico ou acompanhar a parceira em consultas médicas e/ou exames. Além disso, é possível a Convenção Coletiva estipular outras situações.
Um ponto de atenção que a empresa precisa ao tratar esses atestados é com relação aos dados pessoais dos colaboradores e os terceiros relacionados à ele, principalmente quanto aos dados pessoais sensíveis.
2. Atestados e Dados Pessoais
Segundo a Lei Geral de Proteção de Dados Pessoais, Lei n.º 13.709/2018, dado pessoal é todo dado que identifica ou torna identificável uma pessoa. Importante ressaltar que muito embora a LGPD trate sobre dados pessoais de pessoas físicas, como nome, e-mail, CPF, telefone, que são os chamados “dados diretos”, há também dados que, a depender do contexto em que se encontram podem vir a identificar uma pessoa física. Por exemplo: razão social ou CNPJ.
A princípio, são dados pertinentes à pessoa jurídica e por isso não estariam protegidos pela LGPD mas, dependendo do contexto e de outros dados com os quais estejam combinados, podem identificar o sócio da empresa ou um colaborador e, neste caso, podem ser considerados dados pessoais. Chama-se, nesta situação, de dados pessoais indiretos. Vale o lembrete que: cada caso é um caso e é importante o auxílio de um especialista para analisar a situação específica e verificar o enquadramento da informação como dado pessoal ou não.
Outro conceito que precisa de atenção e está atrelado à proteção de dados pessoais, é o conceito de dado pessoal sensível. Segundo a LGPD, dado pessoal sensível é todo “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Aqui, é possível verificar que dado referente à saúde é considerado dado pessoal sensível. Pela legislação trabalhista e segundo o entendimento dos tribunais, não é obrigatório que o colaborador informe o que está lhe acometendo ao empregador. O “CID”, que é a Classificação Estatística Internacional de Doenças e Problemas relacionados à Saúde, não precisa vir identificado no Atestado, muito embora seja uma prática até comum dos médicos e dos próprios colaboradores, que muitas vezes pedem para que seja inserido.
O ponto é, nos casos que o empregador passa a ter acesso à este dado, ele está tratando-o, haja vista que por “tratamento”, segundo LGPD, entende-se “toda operação realizada com dados pessoais, como as que se referem a coleta, (...) acesso, (...) arquivamento, armazenamento, (...)”. Diante disso, é importante ter atenção ao que será feito com este dado, de que forma será armazenado, para que não cause nenhuma situação desconfortável ou até mesmo prejudicial ao empregado, pensando também em boas práticas de segurança da informação.
O dado pessoal sensível possui essa nomenclatura porque, a depender da forma como for utilizado, pode vir a causar situações discriminatórias ou vexatórias ao seu titular, causando-lhe transtornos e até mesmo prejuízos, e não apenas de ordem material, mas principalmente moral.
Pela LGPD, as bases legais, ou seja, as hipóteses que permitem o tratamento de dados pessoais, em se tratando de dado pessoal sensível, diminuem de 10 (dez) para 08 (oito), sendo que o legítimo interesse do controlador não se encaixa nestes casos, e tendo em vista que todo dado pessoal precisa ser enquadrado em uma, estes dados de saúdes também devem ser. Muitas vezes, há o questionamento sobre ser realmente necessário ainda que o dado só vá ser armazenado. Conforme mencionado acima, armazenar dado é tratamento, logo, não apenas precisa ser enquadrado em uma base legal, como também devem ser respeitados todos os princípios previstos na LGPD, dentre eles, a transparência, a finalidade e a necessidade.
3. Medidas de segurança que podem ser adotadas
Dito isso, a empresa, ao receber um atestado e constatar que nele constam dados pessoais sensíveis, precisa identificar primeiramente a necessidade do tratamento destes dados, pensando também na finalidade deste tratamento e se há um balanceamento entre finalidade x necessidade.
Em sequência, precisa incluir a atividade pertinente a este tratamento em seu ROPA - Registro de Operação de Tratamento de Dados Pessoais, especificando os dados tratados, quem tem acesso, medidas de segurança, terceiros envolvidos, dentre outras informações.
Com isso, se torna mais fácil verificar todo o “caminho” do dado dentro do negócio e as formas de protegê-lo. Quando falamos sobre “Quem tem acesso”, é importante que apenas as pessoas realmente envolvidas na atividade tenham acesso. Um dos princípios da segurança da informação é a confidencialidade, que diz que apenas as pessoas que precisam ter acesso ao dado devem fazê-lo. Isso mitiga os riscos e, caso haja algum incidente, é mais fácil entrar em contato com os envolvidos para identificar o que houve e resolver o caso.
Quando falamos de terceiros, estamos mencionando desde uma possível contabilidade externa, prestadores de serviços, até mesmo um servidor de armazenamento. Estes terceiros possuem boas práticas quando a segurança da informação e proteção de dados? Como está a adequação deles a LGPD e qual o nível de preocupação e atenção com este assunto? Esta investigação é importante porque, caso este terceiro não esteja adequado ou atento, ele pode ser uma vítima de um incidente de segurança de forma mais fácil e isso pode, ainda que indiretamente, prejudicar o seu negócio.
Por fim, dentre tantos pontos que precisam ser analisados, outro é com relação às medidas de segurança adotadas. A empresa, com esse panorama, consegue identificar a necessidade de trazer mais robustez, de pensar em mais camadas de segurança, ou até mesmo se for o caso, de trocar o terceiro envolvido por outro com mais meios de garantir a segurança dos dados pessoais tratados.
4. Conclusão
Há pesquisas que indicam que hoje, mais de 90% (noventa por cento) dos incidentes de segurança que ocorrem são por falha humana, ou seja, um ato praticado sem intenção. Contudo, ainda que não haja o objetivo de lesionar a empresa ou o titular, uma falha pode comprometer o negócio, expondo-o perante o mercado de modo a prejudicar sua reputação, assim como os titulares dos dados pessoais.
Ainda, é visível que, por ser multidisciplinar, todas as áreas da empresa estarão envolvidas quando o assunto é privacidade e proteção de dados.
Diante disso, a adequação de um negócio à LGPD é constante. Ou seja, além da empresa realizar a elaboração de políticas e aprimoramento ou alteração de processos internos para estar adequada a esta lei, é importante que ela permaneça atenta e conte com profissionais especializados no assunto para que a auxilie nas ações práticas do dia a dia, com o intuito de que riscos de segurança sejam evitadas.
Por Ana Luiza Silveira