Lições da Justiça do Trabalho sob a ótica de proteção de dados em processos de seleção

Recentemente, o Tribunal Regional do Trabalho da 15ª Região (TRT-15) condenou empresas ao pagamento de R$ 200 mil por danos morais coletivos, decisão que ganhou intensa repercussão por ilustrar consequências concretas do descumprimento da legislação de proteção de dados no âmbito de processos seletivos. A decisão, envolvendo o uso de plataforma de recrutamento amplamente utilizada no mercado, reforça um alerta fundamental para as organizações: a necessidade de adequação dos fluxos internos à LGPD (Lei Geral de Proteção de Dados Pessoais), especialmente aqueles tratados no âmbito das relações de trabalho, que possuem particularidades a serem observadas.

No caso mencionado, candidatos foram submetidos a questionários com perguntas como “muitas vezes tenho dificuldade para dormir”, “tenho variações de humor com frequência”, dentre outras, extrapolando expressivamente o limite do que seria necessário para fins de recrutamento. A coleta de informações excessivas, como aquelas relacionadas à saúde ou vieses políticos dos candidatos conflitaria com direitos fundamentais de privacidade e liberdade de expressão, bem como com os princípios da finalidade, adequação e necessidade, previstos na LGPD, em seu artigo 6º, incisos I, II e III, respectivamente. Isso porque esses dados, além de dispensáveis para avaliar a aptidão do candidato, teriam o potencial de revelar informações sensíveis, cujo tratamento só é admitido em hipóteses estritamente delimitadas pelo artigo 11 da LGPD, sem possibilidade de validação com base em legítimo interesse.

Vale observar, inclusive, que para além do amparo da atividade de tratamento de dados pessoais dentre as hipóteses previstas nos artigos 7º e 11 da LGPD, a organização também deve observar os princípios fundamentais da proteção de dados, dispostos no artigo 6º. No caso em tela, ganhou protagonismo o princípio da necessidade, no sentido de que o tratamento deve se limitar aos dados realmente indispensáveis para alcançar a finalidade pretendida — no caso, a seleção do candidato mais adequado à oportunidade de trabalho disponibilizada. Assim, exigir informações como endereço completo, nome dos pais, estado civil, naturalidade ou número do CPF na fase inicial do processo seletivo, sem justificativa clara, também conflitaria com as previsões da LGPD.

As diretrizes contidas no The Employment Practices Code, emitido pela Information Commissioner’s Office (ICO), autoridade de proteção de dados do Reino Unido, também são úteis para interpretar a questão. O documento orienta que, quando uma instituição pretende coletar dados pessoais para finalidade de recrutamento e seleção, não deve estender a abrangência deste fluxo, incluindo, por exemplo, dados que seriam necessários apenas na fase admissional, englobando apenas o(s) indivíduo(s) selecionado(s).

Antes mesmo da vigência da LGPD, a jurisprudência trabalhista já reconhecia que a coleta de dados excessivos, como a exigência indevida de certidão de antecedentes criminais, já configurava violação à intimidade, ensejando indenização por dano moral. Neste sentido, em julgamento de incidente de recurso repetitivo TST-IRR-243000-58.2013.5.13.0023, o tribunal fixou a tese de que “não é legítima e caracteriza lesão moral a exigência de Certidão de Antecedentes Criminais de candidato a emprego quando traduzir tratamento discriminatório ou não se justificar em razão de previsão em lei, da natureza do ofício ou do grau especial de fidúcia exigido“.

Dever de diligência

Muitas vezes, empresas tentam justificar a coleta excessiva de dados alegando que o candidato teria dado seu consentimento. Essa estratégia, contudo, não afasta a ilicitude da prática. O consentimento, como base legal, não substitui o cumprimento de outras disposições e princípios da lei, especialmente o da necessidade, zelando para que o tratamento seja limitado ao mínimo necessário, pertinente e proporcional para o alcance de finalidades específicas e informadas ao titular. Além disso, nas relações de trabalho, o consentimento é visto com reservas, justamente porque a relação entre pessoas que trabalham e instituições que contratam é, por natureza, assimétrica, fator hábil a comprometer aspectos relevantes para que se obtenha um consentimento juridicamente válido.

Ademais, na mencionada decisão do TRT-15, ilustra-se bem como o fato de o tratamento de dados ter sido conduzido por uma plataforma parceira não isenta as empresas empregadoras da responsabilização. Estas, enquanto controladoras, também devem adotar medidas diligentes para assegurar que o tratamento esteja em conformidade com a legislação, inclusive exigindo da plataforma práticas adequadas de privacidade e segurança. Nesta toada, a Justiça reconheceu o dever das contratantes de fiscalizar como os dados pessoais estavam sendo tratados para os fins de seus recrutamentos. Assim, a utilização de plataformas digitais para estes propósitos, mesmo com potencial de agregar eficiência e otimizar determinados processos, não afasta das empresas contratantes a obrigação de garantir que todo tratamento de dados pessoais observe a legislação de privacidade.

Além da condenação financeira, as rés foram obrigadas a implementar medidas de governança específicas, como a nomeação de um DPO (data protection officer), a manutenção de registros de tratamento (ROPA) e a revisão de suas políticas de privacidade, devendo indicar as bases de tratamento que utiliza para o tratamento de dados pessoais de candidatos ao emprego e de empregados. Interessante refletir que, sendo estas obrigações típicas do regime fiscalizatório da LGPD, o adequado encaminhamento seria, em tese, a comunicação à Autoridade Nacional de Proteção de Dados (ANPD) para que instaurasse procedimento sancionatório próprio.

Ainda assim, a decisão reflete a tendência do Judiciário de adotar uma postura mais ativa em temas envolvendo proteção de dados pessoais, sobretudo quando envolvem direitos fundamentais dos trabalhadores. Por fim, é importante observar também que para caracterizar a infração à legislação de privacidade, basta o mero tratamento indevido dos dados — seja a coleta, o armazenamento ou qualquer outra forma de uso. Não se exige que o dado tenha sido usado de forma prejudicial ao candidato. A simples violação dos princípios da LGPD já se faz suficiente para responsabilizar a instituição, atraindo danos materiais e reputacionais conexos.