LGPD nas relações de trabalho: riscos do consentimento para o tratamento de dados

Introdução
Em 18/7/2020, entrou em vigor em nosso país a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD).

Inicialmente, importante destacar a definição do conceito de tratamento.

Nos moldes do artigo 5º, X, da LGPD,  tratamento é "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração".

E, com objetivo de ampliar a proteção da intimidade dos titulares dos dados, a referida legislação estabeleceu hipóteses justificadoras do tratamento pelos agentes descritos na lei, denominadas, pela doutrina, como "bases de tratamento".

Além disso, foram previstos fundamentos, princípios e limitações para a realização de tais atividades.

A disciplina da proteção de dados em nosso país passou a ter como fundamentos: 1) o respeito à privacidade; 2) a autodeterminação informativa; 3) a liberdade de expressão, de informação, de comunicação e de opinião; 4) a inviolabilidade da intimidade, da honra e da imagem; 5) o desenvolvimento econômico e tecnológico e a inovação; 6) a livre iniciativa, a livre concorrência e a defesa do consumidor; e 7) os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais (artigo 2º).

A referida legislação é voltada, principalmente, para os aspectos de atuação das empresas e do poder público, seja em relação aos dados de consumidores, usuários, parceiros de negócios, seja em relação aos dados de seus empregados/servidores.

E, considerando-se que, em uma relação de emprego, diversos dados de trabalhadores são coletados, armazenados e transferidos a terceiros, em um primeiro momento, tornou-se necessário que fossem encontradas bases legais para justificar o tratamento, objetivando-se o cumprimento da legislação e a adequação de procedimentos.

Para que ocorra o tratamento, é imprescindível que esteja presente ao menos uma das hipóteses autorizadoras previstas no artigo 7º, para dados pessoais, ou no artigo 11º, para dados sensíveis.

Como o consentimento do titular é indicado, topograficamente, como a primeira base para tratamento de dados pessoais (artigo 7º, I) e dos dados sensíveis (artigo 11, I), por muitos, propagou-se a ideia de que, com a obtenção do mesmo, estar-se-ia resolvido o problema de justificação do tratamento dos dados nas relações de emprego.

Se bem analisadas, verifica-se que existem várias hipóteses, diversas do consentimento, que podem ser utilizadas para a fundamentação do tratamento de dados na relação de emprego.

No presente artigo, pretende-se demonstrar quais são os riscos advindos da referida postura e apresentar caminhos interpretativos que poderão permitir o tratamento dos dados.

A precedente discussão europeia
Muitos dizem que a LGPD foi inspirada no Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation-GDPR) de 2016, da União Europeia (Regulamento 2016/679).

Entretanto, destaca-se que, na verdade, a legislação brasileira teve início de tramitação em 2012 (PL 4060/12), bem antes da vigência do regulamento europeu.

Importante salientar que a influência inicial da LGPD decorreu das disposições constantes da Diretiva 95/46/CE, que, desde 1995, já regulamentava o tratamento de dados pessoais e a livre circulação desses dados no âmbito da Comunidade Europeia.

As bases de legais de tratamento dos dados pessoais previstas na LGPD, em diversos aspectos, possuem um paralelo com as disposições dos artigos 7º e 8º da Diretiva 95/46/CE.

Desde o advento da Diretiva 95/46/CE, já se discutia no continente europeu a viabilidade da utilização do consentimento como base para o tratamento dos dados pessoais no âmbito da relação de emprego.

Sobre a questão, destaco o posicionamento manifestado pelo Grupo de Trabalho do Artigo 29 (GT29), órgão consultivo criado em razão da Diretiva n. 95/46 da CE:

"Dada a dependência que resulta da relação empregador/empregado, é improvável que o titular dos dados seja capaz de negar ao seu o empregador o consentimento para o processamento de dados sem sentir medo ou risco real de efeitos prejudiciais como resultado de uma recusa. É improvável que um funcionário seja capaz de responder livremente a uma solicitação para consentimento de seu empregador para, por exemplo, ativar sistemas de monitoramento, como observação por câmera em um local de trabalho, ou para preencher formulários de avaliação, sem sentir qualquer pressão para consentimento".

Portanto, o GT29 já considerava problemático o processamento de dados pessoais de empregados ou de futuros empregados com base no consentimento, uma vez que seria improvável que esse consentimento fosse livremente manifestado.

Sobre a legislação europeia e portuguesa, assevera o jurista Nascimento, in verbis:

"Apesar de o consentimento poder ser a todo tempo revogado, ao abrigo do disposto no artigo 81º, nº 2 do Código Civil, temos muitas dúvidas quanto à eficácia desta norma no âmbito do ambiente laboral, onde os direitos de personalidade se encontram especialmente comprimidos. Talvez tivesse sido mais eficaz que o legislador se limitasse a elencar as situações em que o tratamento de dados dos trabalhadores era permitido, ao invés de colocar a questão exclusivamente dependente de consentimento dos trabalhadores, os quais encontram numa posição especialmente desconfortável para negar essa pretensão ao empregador" [1].

No mesmo sentido, é o posicionamento defendido por Lurdes Alves, professora da Universidade Autônoma de Lisboa:

"No contexto laboral, por norma, o consentimento do trabalhador não é considerado um fundamento válido para o tratamento de dados pessoais, face à finalidade em causa e considerando a posição de dependência e subordinação do trabalhador; entende-se, pois, que este poderá não estar em posição de conceder o seu consentimento nos termos exigidos pelo RGPD, onde se prevê que tal consentimento seja prestado livremente e que seja tão fácil de retirar como de conceder, sem que daí advenham quaisquer consequências para o trabalhador" [2].

Quanto ao consentimento, já se pronunciou a Autoridade Helênica de Proteção de Dados ao apresentar punição à empresa PricewaterhouseCoopers, em julho de 2019, já na vigência do GDPR, ao pagamento de uma multa de 150 mil euros pelo tratamento ilegal de dados pessoais dos seus empregados, sob o fundamento de que os funcionários da PWC teriam sido obrigados a consentir com o tratamento de dados pessoais.

Na referida autuação, ficou expressamente consignado que: "O consentimento dos titulares dos dados no contexto das relações de trabalho não pode ser considerado como dado livremente devido ao desequilíbrio evidente entre as partes" [3].

Portanto, pode-se verificar que a discussão já possui certo delineamento no velho continente.

A autodeterminação informativa e o consentimento
Importante salientar que as inovações promovidas pela LGPD foram concebidas para a defesa da autodeterminação informativa, implicando em verdadeira ressignificação do direito à privacidade em nosso país.

A autodeterminação informativa, nos dizeres de Canotilho e Moreira, pode ser definida como o direito conferido a cada pessoa de "controlar a informação disponível a seu respeito, impedindo-lhe que a pessoa se transforme em 'simples objeto de informação'" [4].

É também conhecida como privacidade decisional e informacional.

E, nesse contexto, o consentimento nada mais seria do que uma das formas de expressão legítima da autodeterminação informativa.

A LGPD define o consentimento como "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada" (artigo 5º, XII).

Tratando da legislação brasileira, afirma Maciel:

"O consentimento sempre é visto, por muitos, como a panaceia para tratamento de dados pessoais. Com consentimento pode-se quase tudo. Bem verdade, o consentimento é a autorização expressa dada pelo titular ao controlador para que ele possa tratar os dados da forma desejada. No entanto, o consentimento só é válido se atender inúmeros requisitos legais, o que o torna um ônus desnecessário caso o tratamento possa ser validado em uma das outras nove bases previstas no artigo 7º, sem falar que ao titular é garantido o direito de revogação a qualquer tempo" [5].

Assim, destaca-se que, quando obtido o consentimento, se o controlador necessitar comunicar ou compartilhar dados pessoais com outros controladores, deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento (artigo 7º, §5º).

O consentimento poderá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular (artigo 8º, caput), sendo que, se fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais (artigo 8º, §1º).

Além disso, cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com a lei (artigo 8º, §2º).

A LGPD estabelece expressamente que é vedado o tratamento de dados pessoais mediante vício de consentimento e que deverá se referir a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas (artigo 8º, §§3º e 4º).

Outro aspecto importante para a discussão é que o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular (artigo 8º, §5º).

E, se houver alguma alteração no tratamento, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração (artigos 8º, §6º e 9º, §2º).

Nas hipóteses em que o consentimento for requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca (artigo 9º, §1º).

Nesse contexto, verifica-se que diversos direitos são atribuídos ao titular e inúmeras condições são impostas para o uso regular do consentimento como base de tratamento, não sendo adequado o seu uso, como padrão, nas relações trabalhistas.

Seguindo o exemplo europeu, via de regra, o consentimento não deveria ser utilizado como fundamento para o tratamento de dados nas relações trabalhistas, considerando-se o desequilíbrio na relação entre empregador e empregado (imbalance of power).

Além disso, com já salientado, a maior parte dos dados coletados e armazenados em uma relação de emprego são necessários para a execução do contrato, para o cumprimento de obrigações legais ou para defesa em processo judicial ou administrativo.

Se solicitado o consentimento, mesmo quando existente outra hipótese legal de tratamento, poder-se-ia criar uma justa expectativa no trabalhador de que, se este for revogado, o tratamento deixaria de ser realizado.

Eventual modificação posterior da base de tratamento poderia ser considerada como violadora dos limites da boa-fé objetiva, em verdadeiro venire contra fatum proprium.

Considerações finais
Diante desse contexto, pode-se verificar que o novo sistema imposto pela LGPD, embora tenha trazido várias balizas para o tratamento dos dados pessoais, não impediu que tais dados continuassem sendo coletados e utilizados na seara trabalhista.

A nova legislação inaugurou um modelo de responsabilidade e de conscientização sobre novos parâmetros para proteção da privacidade em nosso país.

Assim, antes de se procurar obter o consentimento a qualquer custo, com a utilização de açodados aditivos contratuais, melhor seria que as empresas efetuassem um inventário dos dados tratados em suas atividades corriqueiras, procurando encontrar as bases legais justificadoras do tratamento.

E, se inexistente base legal diversa do consentimento, deveriam analisar, com  base na proporcionalidade, se existente a efetiva necessidade de tratamento e a adequação às finalidades apresentadas, diante da inexistência de outros meios menos intrusivos para consecução do mesmo objetivo. Se não preenchidos tais requisitos, o dado deveria ser eliminado.

Por fim, somente no caso de efetiva necessidade de tratamento, uma vez cumprido o teste de proporcionalidade, deveria ser obtido o consentimento do empregado, tomando todas as cautelas devidas para que a vontade seja manifestada livremente e com a devida documentação.