A Lei Geral de Proteção de Dados entrou em vigor em setembro deste ano, com o objetivo de devolver aos titulares de dados o controle sobre o que é feito com suas informações. Sendo certo que os dados dos empregados tratados por empregadores estão dentro dessa proteção.

Uma startup, em seu processo de admissão e durante a relação de emprego pode realizar a coleta e armazenamento de inúmeros dados sobre seus empregados, desde dados pessoais comuns, como: nome, telefone, PIS/PASEP, endereço; até mesmo dados sensíveis como: relatórios de exames admissionais, fotos, biometrias para acesso às instalações e sistemas da empresa, e filiações sindicais. Todo o tratamento dessas informações deve ser realizado em observância à LGPD.

1. Princípios da LGPD

Uma das medidas mais importantes de adequação à legislação, é o cumprimento dos princípios da lei. No caso dos empregados (CLT), os empresários devem se atentar, principalmente, aos seguintes:

Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Aqui, a Startup precisa, após o mapeamento de todas as informações que realiza o tratamento referente aos seus empregados, atribuir as finalidades para as quais são utilizadas as informações.

Adequação e Necessidade: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento e limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. Após a atribuição de finalidades, é importante que seja avaliado se realmente aquele dado é necessário para as finalidades informadas. Caso seja verificado a negativa, é importante que o tratamento seja reavaliado e, não sendo possível a atribuição de nenhuma outra finalidade legítima e proporcional, é importante que esse dado seja permanentemente excluído dos servidores e bancos de dados da empresa.

Livre acesso e Transparência: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; bem como, deve-se garantir aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial. Para se adequar à estes princípios, é importante que a Startup crie documentos internos, como uma política interna de proteção de dados, de fácil acesso ao empregado, informando sobre o tratamento de dados e suas finalidades.

Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Da mesma forma que os dados pessoais de terceiros e clientes, os dados pessoais dos empregados devem ser mantidos em ambientes seguros, de preferência com restrição de acesso aos colaboradores que realmente necessitem destas informações (Recursos Humanos), e com todas as medidas necessárias para evitar incidentes de segurança.

2. Bases legais

Outro passo importante para a adequação à LGPD é a escolha, com a ajuda de um time jurídico especializado, das bases legais que justificam o tratamento de dados de seus empregados, uma vez que a legislação traz uma lista de situações às quais o tratamento de dados pessoais é permitido.

Em matéria de tratamento de dados de empregados sob o regime da CLT, as bases mais usadas, são: i. Cumprimento de obrigação legal ou regulatória pelo controlador e ii. Execução de contrato ou de procedimentos preliminares relacionados a contrato, do qual seja parte o titular, a pedido do titular dos dados.

Como exemplo, separamos um dado pessoal comum e outro dado pessoal sensível, para explicar de um modo simples como funciona a escolha das bases legais:

3. Direitos do Titular

Ainda, uma das garantias mais importantes que a legislação traz são os direitos do titular, que devem ser respeitados pelas Startups, aplicável inclusive em relação aos dados pessoais do empregado, fornecendo a estes colaboradores, a confirmação da existência de tratamento; o acesso aos dados, entre outros direitos, descritos na lei:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I - confirmação da existência de tratamento;

II - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;   

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

Dessa forma, a criação de ferramentas e canais para que estes direitos sejam exercidos pelos empregados é um passo importante na jornada de adequação da sua Startup.

4. Adequação de contratos e elaboração de termos aditivos

Outro ponto, é a adequação dos novos contratos de trabalho da empresa, e a elaboração de termos aditivos para aqueles já em vigor. Essa medida traz duas proteções à Startup, a primeira delas é em relação ao princípio da transparência, uma vez que informa ao titular dos dados sobre o tratamento de dados pessoais que a empresa poderá realizar após a assinatura do contrato. A segunda proteção, refere-se aos dados de terceiros que o empregado pode ter contato durante a relação de emprego, conferindo o direito da empresa de cobrar do empregado qualquer dano que este causar decorrente de condutas violadoras por sua exclusiva culpa ou dolo, nos moldes definidos pela CLT.

Ainda, é importante mencionar que a adequação à nova legislação de proteção de dados deve ser realizada em vários níveis dentro da empresa, e deve ser, como qualquer outro procedimento de compliance, algo contínuo que faz parte da cultura e dia a dia da Startup e sua equipe. Dessa forma, é importante que contem com um time jurídico especializado, para avaliar quais são os melhores caminhos de adequação para sua empresa, diminuindo os riscos e evitando passivos.

Por Laís Arduini