A Lei Geral de Proteção de Dados entrou em vigor em setembro deste ano, com o objetivo de devolver aos titulares de dados o controle sobre o que é feito com suas informações. Sendo certo que os dados dos empregados tratados por empregadores estão dentro dessa proteção.
Uma startup, em seu processo de admissão e durante a relação de emprego pode realizar a coleta e armazenamento de inúmeros dados sobre seus empregados, desde dados pessoais comuns, como: nome, telefone, PIS/PASEP, endereço; até mesmo dados sensíveis como: relatórios de exames admissionais, fotos, biometrias para acesso às instalações e sistemas da empresa, e filiações sindicais. Todo o tratamento dessas informações deve ser realizado em observância à LGPD.
1. Princípios da LGPD
Uma das medidas mais importantes de adequação à legislação, é o cumprimento dos princípios da lei. No caso dos empregados (CLT), os empresários devem se atentar, principalmente, aos seguintes:
Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Aqui, a Startup precisa, após o mapeamento de todas as informações que realiza o tratamento referente aos seus empregados, atribuir as finalidades para as quais são utilizadas as informações.
Adequação e Necessidade: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento e limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. Após a atribuição de finalidades, é importante que seja avaliado se realmente aquele dado é necessário para as finalidades informadas. Caso seja verificado a negativa, é importante que o tratamento seja reavaliado e, não sendo possível a atribuição de nenhuma outra finalidade legítima e proporcional, é importante que esse dado seja permanentemente excluído dos servidores e bancos de dados da empresa.
Livre acesso e Transparência: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; bem como, deve-se garantir aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial. Para se adequar à estes princípios, é importante que a Startup crie documentos internos, como uma política interna de proteção de dados, de fácil acesso ao empregado, informando sobre o tratamento de dados e suas finalidades.
Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Da mesma forma que os dados pessoais de terceiros e clientes, os dados pessoais dos empregados devem ser mantidos em ambientes seguros, de preferência com restrição de acesso aos colaboradores que realmente necessitem destas informações (Recursos Humanos), e com todas as medidas necessárias para evitar incidentes de segurança.
2. Bases legais
Outro passo importante para a adequação à LGPD é a escolha, com a ajuda de um time jurídico especializado, das bases legais que justificam o tratamento de dados de seus empregados, uma vez que a legislação traz uma lista de situações às quais o tratamento de dados pessoais é permitido.
Em matéria de tratamento de dados de empregados sob o regime da CLT, as bases mais usadas, são: i. Cumprimento de obrigação legal ou regulatória pelo controlador e ii. Execução de contrato ou de procedimentos preliminares relacionados a contrato, do qual seja parte o titular, a pedido do titular dos dados.
Como exemplo, separamos um dado pessoal comum e outro dado pessoal sensível, para explicar de um modo simples como funciona a escolha das bases legais:
3. Direitos do Titular
Ainda, uma das garantias mais importantes que a legislação traz são os direitos do titular, que devem ser respeitados pelas Startups, aplicável inclusive em relação aos dados pessoais do empregado, fornecendo a estes colaboradores, a confirmação da existência de tratamento; o acesso aos dados, entre outros direitos, descritos na lei:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Dessa forma, a criação de ferramentas e canais para que estes direitos sejam exercidos pelos empregados é um passo importante na jornada de adequação da sua Startup.
4. Adequação de contratos e elaboração de termos aditivos
Outro ponto, é a adequação dos novos contratos de trabalho da empresa, e a elaboração de termos aditivos para aqueles já em vigor. Essa medida traz duas proteções à Startup, a primeira delas é em relação ao princípio da transparência, uma vez que informa ao titular dos dados sobre o tratamento de dados pessoais que a empresa poderá realizar após a assinatura do contrato. A segunda proteção, refere-se aos dados de terceiros que o empregado pode ter contato durante a relação de emprego, conferindo o direito da empresa de cobrar do empregado qualquer dano que este causar decorrente de condutas violadoras por sua exclusiva culpa ou dolo, nos moldes definidos pela CLT.
Ainda, é importante mencionar que a adequação à nova legislação de proteção de dados deve ser realizada em vários níveis dentro da empresa, e deve ser, como qualquer outro procedimento de compliance, algo contínuo que faz parte da cultura e dia a dia da Startup e sua equipe. Dessa forma, é importante que contem com um time jurídico especializado, para avaliar quais são os melhores caminhos de adequação para sua empresa, diminuindo os riscos e evitando passivos.
Por Laís Arduini