Sabendo que cada colaborador é responsável por suas ações e comportamentos ao utilizar a internet ou serviços digitais inseridos no ambiente empresarial e do trabalho, a integridade da informação precisa estar segura de modo que a confidencialidade dos dados só esteja exposta a quem está autorizado a conhecê-la.
Alguns dados precisam estar protegidos: Identidade, CPF, número de cartão de crédito, etc.. Se estes dados caírem na rede é aí que o colaborador precisa estar preparado para protegê-los.
De acordo com a LGPD os seus sujeitos são, à princípio:
As exceções nos são dadas pelos dados que são manipulados por pessoa natural para fins particulares, jornalísticos, acadêmicos e de segurança nacional.
Os princípios da LGPD são:
O tratamento dos dados só será permitido quando o titular permite. Em qualquer contrato a autorização tem que ser destacada das demais cláusulas. E o titular pode a qualquer momento exigir a confirmação ou retificação dos dados.
Sempre caberá ao controlador o ônus de provar que o consentimento foi adquirido conforme a Lei. E com a finalidade definida. A autorização nunca poderá ser genérica, sob pena de nulidade. A revogação e a portabilidade podem ser dadas a qualquer tempo.
A transferência internacional dos dados só será possível em países que tiverem leis de proteção de dados, o encarregado de proteção de dados é que faz a comunicação com os estados estrangeiros.
Se causar dano tem que ser ressarcido e o operador responde solidariamente com o controlador por qualquer dano. E se houver hipossuficiência comprovada o Juiz poderá inverter o ônus da prova.
Só não serão responsabilizados os que comprovarem que não trataram os dados ou os que os danos sejam decorrentes de culpa exclusiva do titular de dados. O tratamento de dados será considerado irregular quando deixa de observar a legislação e os riscos que dela se esperam.
Frise-se, por oportuno que nas relações de consumo o direito aplicado é o CDC. O controlador deverá comunicar a autoridade nacional a ocorrência de incidente de segurança que possa acarretar danos relevantes.
A ocorrência de incidente de segurança que possa acarretar danos relevantes estão sujeitas a penalidades que vão de advertência a multas sobre o faturamento, dentre outras, sempre após procedimento administrativo, garantida a ampla defesa com parâmetros de gravidade da infração, boa-fé, , proporcionalidade e reincidência.
A Autoridade Nacional de Proteção de Dados verificará a gravidade do incidente, divulgando na mídia ou adotando medidas para reverter ou mitigar os efeitos do incidente. Pode haver inclusive conciliação junta a ANPD (Autoridade Nacional de Proteção de Dados).
A ANPD é vinculada a Presidência da República podendo ter natureza jurídica transitória e ser futuramente transformada em ente da administração pública federal indireta.
O tratamento de dados se encerra com o atingimento da finalidade e também poderá ser realizado para cumprimento de obrigação legal, pesquisa de execução de contratos e execução regular dos direitos processuais.
Por fim, em sites comerciais, o usuário precisa ter acesso a explicações para entender o que está sendo tratado e utilizado. Um bom contrato, a meu ver, deve conter obrigações, direitos e deveres com operador de dados, colaboradores e entidades, por exemplo:
CLÁUSULA (EXPRESSA QUANTO AO TRATAMENTO DOS DADOS):
A TEOR DO QUE PRECEITUA O ARTIGO 7° DA LEI 13.709/2018(LGPD), O CONTRATANTE AUTORIZA EXPRESSAMENTE AO CONTRATADO O TRATAMENTO E COMPARTILHAMENTO DE TODOS OS DADOS (SENSÍVEIS OU NÃO) FORNECIDOS PARA O FIEL E BOM CUMPRIMENTO DESTE CONTRATO DE PRESTAÇÃO DE SERVIÇOS JURÍDICOS.
Vários são os contratos que terão imediato impacto com a LGPD. Quanto ao contrato de trabalho, os dados solicitados para o início da relação empregatícia são aqueles decorrentes da obrigação legal a que se refere ao artigo 16 da CLT.: Carteira de Trabalho e CPF., sempre tendo em mente que nenhuma anotação desabonadora poderá ser feita nas carteiras de trabalho.
Ponto também importante diz respeito a manutenção de dados de candidatos à vaga de emprego. É autorizado o descarte por perda de finalidade , já se for banco de currículos tem que estar expresso e bem específico quais empresas terão acesso, em caso de grupo econômico, em quais vagas poderão ser utilizados e o candidato ao futuro emprego tem o direito de a qualquer momento solicitar a exclusão do seu currículo do banco de dados.
Já a ficha de registro do empregado, possui dados sensíveis que deverão ser protegidos. E a empresa empregadora vai precisar mapear os dados que efetivamente precisarão ser tratados.
É recomendável que o empregador se comprometa com a correta conservação dos dados pertinentes ao contrato de trabalho. Por exemplo: o plano de saúde que é fornecido pela empresa (agente operador) permitirá o compartilhamento com a empresa de saúde dos dados do empregado.
Dados pessoais sensíveis como: origem étnica, opiniões políticas, convicções religiosas, filiação sindical, dados biométricos, orientação sexual etc., tem que haver a autorização expressa de coleta, tratamento e compartilhamento. Se esse futuro empregado for menor o consentimento precisa ser granular e bem específico.
É vedado o compartilhamento de quaisquer dados com o intuito de receber vantagem econômica. Depois de contratado o empregado vai demandar dados biométricos, que são dados fisiológicos que precisam ser tratados.
O empregado precisa estar ciente que os dados serão acessados, pelo princípio da transparência. As normas em relação ao acesso precisam estar regulamentadas senão o empregado não poderá ser punido. Inclusive o empregado precisará estar alertado que a utilização das redes sociais e internet, estão sendo monitorados porque senão o poder disciplinar não poderá ser utilizado.
Referências bibliográficas:
Resumo extraído pela participação no TREINAMENTO LGPD NAS RELAÇÕES DE TRABALHO TEORIA E PRÁTICA de Rodrigo Marques e
Rafaela Sionek 2020.