A EC nº 115/2022 E A PROTEÇÃO DE DADOS PESSOAIS NO ÂMBITO DAS RELAÇÕES TRABALHISTAS [1]

RESUMO: A proteção de dados pessoais, no Brasil, começou a ser discutida com vistas a uma Lei Geral somente no final de 2010. Desde então, passos importantes foram dados: em abril de 2014 foi promulgada a Lei nº 12.965/14, conhecida como Marco Civil da Internet; em agosto de 2018, foi publicada a Lei nº 13.709/18, denominada Lei Geral de Proteção de Dados - LGPD; mais recentemente, em fevereiro de 2022, passou a vigorar a Emenda Constitucional nº 115, que consagrou, em sede constitucional, o direito fundamental à proteção de dados pessoais. Esse importante arcabouço normativo é aplicável às relações trabalhistas, embora sem previsão expressa: como a CLT e legislação esparsa não regulam proteção de dados pessoais, aplicam-se as mesmas regras tanto às relações contratuais comuns, quanto às de consumo, às trabalhistas ou de qualquer outra natureza. Desde a fase de recrutamento e seleção, o empregador ocupa a posição de controlador de dados pessoais, não apenas daqueles que efetivamente se tornarão seus empregados, mas também dos demais candidatos não contratados e dos dispensados depois. E não tem como ser diferente. A coleta de certos dados pessoais é inerente ao próprio processo decisório que culminará ou não na admissão do trabalhador.

PALAVRAS-CHAVE: Dados pessoais. LGPD. EC nº 115/2022.

ABSTRACT: The discussion on a General Law for the protection of personal data in Brazil only began at the end of 2010. Since then, important steps have been taken: in April 2014, Law No. 12,965/14, known as the Internet Act, was enacted; in August 2018, Law No. 13,709/18 (General Data Protection Law - LGPD) was published; more recently, in February 2022, Constitutional Amendment No. 115 came into force, which enshrined the fundamental right to the protection of personal data. This important regulatory framework is applicable to labor relations, although there is no express provision for this: as the CLT and sparse labor legislation do not regulate the protection of personal data, the same rules apply to common contractual relations, as well as to those of consumer, labor or any other nature. It is worth remembering that, from the recruitment and selection phase, until the effective employment contract, the employer acts as a controller of personal data, not only of those who will effectively become their employees, but also of the other non-hired candidates. And it can't be any different. The collection of certain personal data is inherent in the decision-making process itself that will culminate or not in the admission of the worker.

Keywords: Personal data. LGPD. Constitutional Amendment No. 115/2022.

INTRODUÇÃO

A Emenda Constitucional nº 115, de 10 de fevereiro de 2022, alterou a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e fixar a competência privativa da União para legislar sobre o tema. Acrescentou o inciso LXXIX ao artigo 5º, bem como o inciso XXVI, ao artigo 21, e o inciso XXX, ao artigo 22.

Com isso, o direito à proteção de dados pessoais assumiu status de direito fundamental autônomo, sem vinculação normativa com o direito à privacidade ou ao sigilo das comunicações (incisos X e XII, respectivamente, do artigo 5º, da Constituição Federal).

A trajetória que culminou na constitucionalização do direito à proteção de dados pessoais teve início muito antes. Na legislação infraconstitucional, podem ser mencionados o Marco Civil da Internet e a Lei Geral de Proteção de Dados - LGPD (Leis nº 12.965/2014 e 13.709/18, respectivamente). Em âmbito internacional, aponta-se, ainda antes, a Carta dos Direitos Fundamentais da União Europeia, de 2012, o Regulamento 2016/679 e a Diretiva 2016/680, do Parlamento Europeu e do Conselho.

Esse arcabouço normativo se apresenta com expressiva relevância no âmbito das relações trabalhistas. Isso porque o empregador ou tomador de serviços deverá inevitavelmente coletar uma série de dados pessoais do trabalhador - e, conforme o caso, de seus dependentes e terceiros.

EVOLUÇÃO NORMATIVA NO BRASIL: DO PL Nº 4.060/2012 À LGPD

Vivemos tempos de grandes transformações e estamos em meio a uma nova revolução - a chamada Quarta Revolução Industrial, notadamente em função da robótica e inteligência artificial, bem como das novas tecnologias da informação e comunicação, onde novos sistemas inteligentes e novas formas de trabalho determinam o surgimento da chamada economia colaborativa. Chama a atenção a espetacular base de dados coletados - big data - e seu tratamento quase simultâneo.

Essa questão da coleta e tratamento de dados pessoais leva o Direito do Trabalho a se repensar em novas dimensões e escancara terrível paradoxo: ao mesmo tempo em que se reforçam e se revisitam os princípios que dão sustentação à dignidade do trabalhador como pessoa humana, sua intimidade e vida privada se apresentam mais vulneráveis do que nunca, como se fosse mera mercadoria. São cada vez mais opacas as fronteiras entre vida pessoal e profissional.

As discussões acadêmicas sobre proteção de dados pessoais não são recentes, mas o debate sobre uma lei geral, no Brasil, somente teve início no final de 2010. O primeiro anteprojeto de lei do Poder Executivo (Ministério da Justiça) oferecido à consulta pública pode ser considerado o marco inicial.

Segundo Mariana Marques Rielli, a falta de regulação geral de proteção de dados pessoais deixava o Brasil em descompasso com outros países, causando duplo efeito: "a um só tempo, desprotegia o cidadão contra o uso abusivo de seus dados pessoais e criava um cenário de insegurança jurídica pela ausência de regras padronizadas para os mais diversos setores que tratam dados"[4].

Por isso mesmo, o anteprojeto de lei buscou estruturar-se sobre rol de princípios de proteção de dados pessoais compatível com a regulação internacional sobre o tema: finalidade, necessidade, proporcionalidade, qualidade, transparência, segurança e livre acesso. A base legal do consentimento recebeu grande ênfase.

Em julho de 2012, foi proposto novo projeto pelo Legislativo (PL nº 4.060/2012). Em 2013, na esteira do escândalo de espionagem revelado pelo ex-analista da Agência de Segurança Nacional Americana, Edward Snowden, as discussões sobre proteção de dados pessoais se acentuaram. Foi instituída a CPI - Comissão Parlamentar de Inquérito da Espionagem e dois novos projetos de lei foram apresentados no Senado: o PL nº 131/2014 e o PL nº 330/2013. O primeiro, decorrente da CPI, estabelecia regras e restrições à circulação de dados pessoais; o segundo, introduzia regras mais abrangentes[5].

Aprovado em 2014, o Marco Civil da Internet (Lei nº 12.965/2014) estabeleceu um "microssistema" de proteção de dados pessoais no ambiente virtual.

Quase um ano depois, o Ministério da Justiça conduziu nova consulta pública sobre seu anteprojeto de lei. Com isso, ganharam novo fôlego os debates sobre as propostas ainda em tramitação na Câmara e no Senado. Em 2016, a então Presidente da República, Dilma Rousseff, encaminhou ao Congresso Nacional o PL nº 5.276/2016, que passou a tramitar junto com o PL nº 4.060/12.

Em 14 de agosto de 2018, foi promulgada a Lei Geral de Proteção de Dados, conhecida como LGPD (Lei nº 13.709/18). Publicada no DOU (Diário Oficial da União) em 15 de agosto, a lei estava inicialmente prevista para entrar em vigor 18 meses depois, ou seja, em fevereiro de 2020. Entretanto, a Medida Provisória (MP) nº 869/18 (convertida na Lei nº 13.853/2019) alterou a redação do art. 65, da LGPD, para postergar a data de entrada em vigor de parte dos seus dispositivos[6]. Posteriormente, a MP 959/20 (convertida na Lei nº 14.058/20) e a Lei nº 14.010/20 modificaram novamente a redação desse artigo. Conforme redação final do artigo 65, abaixo transcrito, a LGPD entrou em vigor em 3 datas distintas, a depender da matéria:

Art. 65. Esta Lei entra em vigor: (Redação dada pela Lei nº 13.853, de 2019)

I - dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; e (Incluído pela Lei nº 13.853, de 2019)

I-A - dia 1º de agosto de 2021, quanto aos arts. 52, 53 e 54; (Incluído pela Lei nº 14.010, de 2020)

II - 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos. (Incluído pela Lei nº 13.853, de 2019)

Segundo esclarece Patricia Peck Pinheiro, em termos de realidade brasileira, pode-se considerar curto o prazo previsto pela LGPD para que empresas, governo e sociedade civil tomassem conhecimento e implementassem medidas necessárias ao cumprimento de suas disposições[7]. Isso explica os sucessivos adiamentos da data de entrada em vigor de dispositivos da lei, ao contrário do que ocorreu com a o RGPD, da União Europeia[8].

A LGPD brasileira tem como fundamentos: "o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais" (art. 2º).

A norma se aplica a qualquer operação de tratamento realizada por pessoa natural ou pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: a operação de tratamento seja realizada no território brasileiro; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território brasileiro; ou os dados pessoais objeto do tratamento tenham sido coletados no território brasileiro[9] (art. 3º).

Não é alcançado pela lei, contudo, o tratamento de dados pessoais (i) realizado por pessoa natural, para fins exclusivamente particulares e não econômicos; (ii) realizado para fins exclusivamente jornalísticos, artísticos, acadêmicos, de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais; (iii) provenientes de fora do território brasileiro e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD (art. 4º).

Como se vê, a LGPD alcança o tratamento de dados pessoais realizado no contexto das relações de trabalho. Deve, portanto, observar os seguintes princípios: boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas (art. 6º).

A lei limita as hipóteses autorizadoras do tratamento de dados pessoais. Para fins de relações de trabalho, interessam-nos as seguintes situações de tratamento de dados[10]: (a) mediante consentimento do titular, fornecido por escrito ou por outro meio que demonstre sua manifestação de vontade; (b) para cumprimento de obrigação legal ou regulatória pelo controlador; (c) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; (d) para exercício regular de direitos em processo judicial, administrativo ou arbitral; (e) para proteção da vida ou da incolumidade física do titular ou de terceiro; e (f) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

EC Nº 115/2022: O DIREITO CONSTITUCIONAL À PROTEÇÃO DE DADOS

Ante a relevância do tema, em fevereiro de 2019, foi apresentada no Senado Federal a Proposta de Emenda Constitucional (PEC) nº 17/2019, de iniciativa do Senador Eduardo Gomes. O projeto inicial previa a inclusão de um inciso XII-A, no artigo 5º, e de um inciso XXX, no artigo 22, da Constituição Federal, com a seguinte redação:

Art. 5°, XII-A - é assegurado, nos termos da lei, o direito à proteção de dados pessoais, inclusive nos meios digitais.

Art. 22, XXX - proteção e tratamento de dados pessoais.

Na justificação, a PEC ressaltou que se, por um lado, o avanço da tecnologia proporciona empregabilidade, prosperidade e maior qualidade de vida, por outro, quando mal utilizada, pode gerar imensuráveis prejuízos aos indivíduos e à sociedade, "dando margem, inclusive, à concentração de mercados"[11].

É bem verdade que a privacidade tem sido o ponto de partida para discussões sobre o assunto. Mas, consideradas as peculiaridades da proteção dos dados pessoais, constata-se "autonomia valorativa [...] a merecer tornar-se um direito constitucionalmente assegurado" [12]. Diante disso, em que pese a envergadura jurídica da LGPD, foi proposta a Emenda Constitucional para instituir o direito fundamental à proteção de dados. Mas, como se observa, o texto inicial da PEC trazia a proteção de dados pessoais como desdobramento do direito ao sigilo das comunicações, estabelecido no inciso XII, do artigo 5º, da Constituição Federal.

Quanto à fixação da competência constitucional para legislar sobre o tema, a justificação da PEC destacou que existem diversos projetos de lei estaduais e municipais sobre o tema, e argumentou:

Não há racionalização nisso: a fragmentação e pulverização de assunto tão caro à sociedade deve ser evitada. O ideal, tanto quanto se dá com outros direitos fundamentais e temas gerais relevantes, é que a União detenha a competência central legislativa. Do contrário, pode -se correr o risco de, inclusive de forma inconstitucional, haver dezenas - talvez milhares- de conceitos legais sobre o que é "dado pessoal" ou sobre quem são os "agentes de tratamento" sujeitos à norma legal.[13]

Assim, em vista das vantagens de uma legislação uniforme, a PEC propôs a competência exclusiva da União para legislar sobre proteção de dados.

Em maio de 2019, a Comissão de Constituição, Justiça e Cidadania, do Senado Federal, apresentou o Parecer nº 45[14], sobre a PEC nº 17.

De acordo com o parecer, o direito à proteção de dados já encontra proteção reflexa na Constituição Federal, notadamente pela interpretação conjunta dos artigos 1º, inciso III[15]; 3º, incisos I e IV[16]; e 5º, incisos X, XII e LXXII[17]. Apesar disso, ressalvou:

Todavia, devido à constante evolução dos assuntos ligados à proteção e tratamento dos dados pessoais e a natureza desse tipo de relação em um cenário onde as desigualdades não se situam apenas na relação Estado/particular, mas também entre os próprios particulares, nas relações privadas, se faz imperioso acrescentar, de forma inequívoca, a proteção dos dados pessoais no rol das garantias individuais, ao lado de direitos fundamentais consagrados.[18]

De acordo ainda com o Parecer, ao incluir a proteção dos dados pessoais no rol de direitos fundamentais, a PEC nº 17 recepciona, em âmbito constitucional, o espírito das Leis nº 12.965/2014 (Marco Civil da Internet) e 3.709/2018 (Lei Geral de Proteção de Dados).

Diante disso, o Parecer opinou pela admissibilidade e aprovação da PEC, com a seguinte redação:

Art. 5º, XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal, bem como é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.

Em agosto de 2019, parecer da Comissão de Constituição e Justiça e de Cidadania da Câmara dos Deputados[19] considerou adequada a inserção da proteção dos dados pessoais como direito fundamental, "embora possa ser considerada abrangida pelo princípio de proteção à intimidade expresso também em diferentes dispositivos (arts. 5º, X e LV; 93, IX da Constituição)". Também reputou necessária a atribuição à União, da competência para legislar privativamente sobre o tema, como meio de evitar conflitos normativos e insegurança jurídica.

Em dezembro de 2019, foi publicado o parecer da Comissão Especial, da Câmara dos Deputados. O documento ressaltou a participação da sociedade civil e de autoridades públicas em cada uma das seis audiências públicas realizadas[20].

Destaca-se a audiência realizada em 22 de outubro daquele ano, que contou com a participação de Sergio Paulo Gallindo[21] e Laura Schertel Mendes[22], além de outros representantes da sociedade civil.

Na ocasião, Sérgio Gallindo sugeriu a inserção do direito à proteção de dados no texto constitucional por meio de inciso apartado, argumentando que a proteção de dados independe do sigilo da comunicação estabelecido pelo inciso XII, do artigo 5º. Para Laura Schertel, nesse mesmo caminho, o direito à privacidade é insuficiente: enquanto este possui natureza individual, aquele é de caráter coletivo. Assim, também recomendou sua inserção constitucional por inciso separado, em razão de sua autonomia.

Seguindo nessa direção, o Relator ponderou, em seu voto, que o direito à proteção de dados pessoais reúne as características principais dos direitos fundamentais: "é um direito universal, aplicável a toda e qualquer pessoa e é um direito inalienável ou indisponível", além de "essencial à formação da personalidade"[23]. É, portanto, imprescindível à dignidade da pessoa: "a fundamentalização do direito à proteção de dados é não apenas possível, como indispensável para a autodeterminação informativa, limitando as possibilidades e as formas de ação do indivíduo nos tempos atuais" [24].

Entretanto, o Parecer da Comissão Especial reconheceu que o direito à proteção de dados transcende o direito à privacidade e não se confunde, simplesmente, com o direito ao sigilo das comunicações. Assim, considerou conveniente que a proteção de dados pessoais tivesse status de direito fundamental mediante previsão constitucional em inciso próprio, desvinculado do inciso XII, do artigo 5º. Propôs a inserção de dispositivo autônomo ao final do art. 5º, aprimorando tão-somente a redação do texto aprovado pelo Senado Federal, sem alteração de conteúdo. O primeiro substitutivo do Relator foi apresentado nos seguintes termos:

Art. 5º, LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais;

Art. 21, XXVI - organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei, que disporá sobre a criação de um órgão regulador e outros aspectos institucionais.

Art. 22, XXX - proteção e tratamento de dados pessoais.

Segundo o texto, ainda, para os efeitos do inciso XXVI, do art. 21, o órgão regulador deveria ser entidade independente, integrante da administração pública federal indireta, submetida a regime autárquico especial.

Após a leitura do voto do Relator, a Comissão Especial ofereceu diversas contribuições, que levaram ao segundo substitutivo do Relator, alterando a redação proposta para o inciso XXVI, do art. 21: "organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei, que disporá sobre a criação de um órgão regulador independente".

Em 10 de dezembro de 2019, a Comissão Especial opinou pela aprovação, com Substitutivo, da Proposta de Emenda à Constituição nº 17/2019, nos seguintes termos:

Art. 5º, LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais;

Art. 21, XXVI - organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei, que disporá sobre a criação de um órgão regulador independente.

Art. 22, XXX - proteção e tratamento de dados pessoais.

No dia 31 de agosto de 2021, o Plenário da Câmara dos Deputados aprovou, em primeiro turno, o Substitutivo à PEC da Comissão Especial. Foi ressalvado o destaque proposto pelo Partido Novo, para votação em separado da expressão "que disporá sobre a criação de um órgão regulador independente", constante do inciso XXVI, do artigo 21, e, por decorrência, do artigo 4º do Substitutivo, com vistas à sua supressão.

O deputado Vinícius Poit criticou a inclusão, no texto constitucional, de uma autoridade independente de gestão. Para ele, engessaria o modelo e eventual mudança futura demandaria nova PEC. Além disso, se mantida no texto referida expressão, a Agência Nacional de Proteção de Dados teria statussuperior às outras Agências Reguladoras, criadas por normas infraconstitucionais.

Na mesma sessão plenária, foi aprovado o Requerimento nº 1760/2021, dispensando o interstício regimental entre primeiro e segundo turnos de deliberação da PEC na Câmara dos Deputados. Em segundo turno, foi aprovada a redação final, com supressão do texto destacado, determinando-se o retorno da PEC nº 17-C ao Senado Federal, com a seguinte redação:

Art. 5º, LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais;

Art. 21, XXVI - organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei.

Art. 22, XXX - proteção e tratamento de dados pessoais.

O artigo 4º do texto original - segundo o qual, para os efeitos do inciso XXVI, do art. 21, o órgão regulador seria entidade independente, integrante da administração pública federal indireta, submetida a regime autárquico especial - foi suprimido da redação final.

No Senado Federal, o Parecer Plenário nº 242/2021 foi pela constitucionalidade, juridicidade e regimentalidade da PEC nº 17-C, e, no mérito, pela sua aprovação. Assim, foi promulgada a Emenda Constitucional nº 115, de 10 de fevereiro de 2022[25], acrescentando o inciso LXXIX ao art. 5º, o inciso XXVI, ao art. 21, e o inciso XXX, ao art. 22:

Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: [...]

LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.

Art. 21. Compete à União: [...]

XXVI - organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei.

Art. 22. Compete privativamente à União legislar sobre: [...]

XXX - proteção e tratamento de dados pessoais.

Dessa forma, a proteção de dados pessoais alcançou status de direito fundamental, material e formalmente constitucional[26].

A PROTEÇÃO DE DADOS PESSOAIS NAS RELAÇÕES TRABALHISTAS

O Constituinte derivado andou bem ao incluir na Constituição Federal a proteção de dados pessoais por meio de inciso autônomo. Ainda que referido direito possa ser compreendido como uma dimensão do direito à privacidade, partilhando dos mesmos fundamentos - a tutela da personalidade e da dignidade do indivíduo - seu âmbito é mais abrangente.

Segundo Laura Mendes, a proteção de dados pessoais passa a ser compreendida como fenômeno coletivo. Isso porque eventuais danos causados pelo seu processamento impróprio são, por natureza, difusos, e exigem tutela jurídica coletiva. Além disso, a privacidade, que até então era compreendida como "o direito negativo de ser deixado em paz (right to be let alone)", passa a ter uma acepção positiva, significando também "o controle dos dados pessoais pelo próprio indivíduo, que decide quando, como e onde os seus dados pessoais devem circular"[27].

A autora ainda ressalta outra questão importante sobre a proteção de dados pessoais: o problema da igualdade. Para Laura Mendes, a vigilância perpetrada por entes públicos e privados, a partir de informações obtidas em bancos de dados, pode ensejar seleção, classificação e até discriminação - indevida, evidentemente - dos indivíduos, afetando suas oportunidades de vida na sociedade. Os dados pessoas muitas vezes são "determinantes para ‘abrir ou fechar as portas de oportunidades e acessos’"[28].

Portanto, na perspectiva das relações trabalhistas, a proteção de dados pessoais vai além da tutela da vida privada dos trabalhadores. Alcança também a igualdade de oportunidades e salvaguarda contra condutas discriminatórias com base em informações pessoais de cada indivíduo.

Essa garantia se observa em outros sistemas jurídicos. Na União Europeia, há diversos documentos sobre a matéria: Carta dos Direitos Fundamentais da UE[29], Regulamento Geral sobre a Proteção de Dados (RGPD - Regulamento nº 2016/679[30] [31], Diretiva sobre a proteção de dados na aplicação da lei (ou Diretiva JAI)[32] e Regulamento nº 2018/1725[33].

No Brasil, a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/18) vai além da garantia da privacidade. Assegura a autodeterminação informativa, a liberdade de informação e a inviolabilidade da intimidade, honra e imagem, entre outros direitos (art. 2º).

Mesmo sem previsão expressa, a lei alcança as relações de trabalho e de emprego. Como a Consolidação das Leis do Trabalho (CLT) e legislação esparsa não regulam a proteção de dados pessoais, aplicam-se as mesmas regras tanto às relações contratuais comuns, quanto às de consumo, trabalhistas ou de qualquer outra natureza.

Desde a fase de recrutamento e seleção, o empregador ocupa a posição de controlador[34] de dados pessoais, não apenas daqueles que efetivamente se tornarão seus empregados, mas também dos demais não contratados, inclusive de trabalhadores de terceiros. E não tem como ser diferente. A coleta de certos dados pessoais é inerente ao próprio processo decisório que culminará ou não na admissão do trabalhador ou decorrente de relações com outros empregadores.

No curso da relação contratual, o empregador também tratará necessariamente dos dados pessoais do empregado. Para celebrar contrato ou preencher o eSocial[35], a lei exige, no mínimo, nome completo, data de nascimento, número do RG, CPF e número da CTPS do empregado. Para concessão de vantagens como vale-transporte e salário-família, também deverá fornecer seu endereço residencial, além de informações de seus dependentes ou familiares, tais como número de filhos e respectivas idades. Para atender obrigações como realização de exames médicos admissionais, periódicos e demissionais, entre outros, o empregador terá acesso a dados relativos à saúde ocupacional de seus trabalhadores. E não termina por aí: biometria e imagem são dados corriqueiramente coletados para fins de acesso ao local de trabalho e/ou controle de jornada, e mesmo para fins de segurança do patrimônio e de terceiros, colhidos por meio de câmeras e outros instrumentos de vigilância.

Como se vê, o tratamento de dados pessoais do empregado, pelo empregador, é necessário e inevitável. Isso deverá ser feito em conformidade com a LGPD e em observância ao direito fundamental à proteção de dados pessoais. São cautelas altamente recomendáveis: coletar apenas os dados estritamente necessários, evitar obter dados sensíveis[36], adotar as melhores práticas de segurança da informação, restringir o acesso interno aos dados e providenciar seu descarte adequado, quando não mais forem necessários[37].

O aspecto mais delicado dessa dinâmica repousa sobre as hipóteses legais autorizadoras do tratamento de dados. Em que pese o protagonismo do consentimento, na LGPD, esse elemento enseja fragilidades no âmbito das relações de emprego.

Isso porque, notadamente, observa-se, nas relações de emprego, desigualdade entre os sujeitos contratantes. Ressalvada a figura do empregado hipersuficiente, prevista no artigo 444, parágrafo único, da CLT[38], o Direito do Trabalho brasileiro presume de forma irrestrita a condição de hipossuficiência do trabalhador[39].

O artigo 5º, XII, da LGPD, conceitua consentimento como a "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada". No âmbito da relação de emprego, considerada a hipossuficiência do empregado, é bastante questionável o quão livre, informado e inequívoco é seu consentimento para tratamento de dados pessoais.

Selma Carloto e Livia Clozel esclarecem: "o consentimento deverá constituir uma livre escolha, um ato positivo do titular. Desta forma, se o trabalhador não tiver a possibilidade de recusar, o consentimento não será válido, principalmente se este for condição da contratação"[40].

Todavia, conforme já mencionado, inexistem no ordenamento jurídico brasileiro normas de proteção de dados específicas para relações de emprego. Aplicam-se, portanto, as regras gerais da LGPD - e, nos termos do artigo 7º, I, da lei, é legítimo o tratamento de dados mediante consentimento de seu titular.

Por isso mesmo são cada vez mais frequentes, nos contratos de trabalho, cláusulas por meio das quais o empregado manifesta sua concordância com o tratamento de seus dados pessoais pelo empregador. Nos termos do artigo 8º, caput e §1º, o consentimento deverá ser fornecido por escrito, em cláusula destacada, ou por outro meio que demonstre manifestação de vontade do titular.

Mas, buscando maior segurança jurídica, as empresas devem procurar outras fontes legitimadoras do tratamento de dados pessoais, além do consentimento. Há hipóteses, previstas na lei, em que o tratamento de dados poderá ocorrer independentemente de consentimento. Destacam-se, pela sua relevância à presente análise: para cumprimento de obrigação legal ou regulatória pelo controlador; quando necessários para a execução de contrato ou de procedimentos preliminares relacionados ao contrato do qual seja parte o titular, a pedido do titular dos dados; e quando necessários para atender aos interesses legítimos do controlador (artigo 7º, incisos II, V e IX)[41]. Não há como negar que o empregador tem legítimos interesses econômicos e sociais a justificar o tratamento de dados pessoais de seus empregados.

Isso significa que o tratamento dos dados pessoais não sensíveis coletados durante o processo de recrutamento e seleção, na fase de contratação ou no curso do contrato, quando necessários ao cumprimento de deveres legais impostos ao empregador, independem de consentimento expresso e específico do empregado.

Para Silvia Vale e Rosangela Lacerda, essa autorização legal não deverá servir de oportunidade para violar o direito à autodeterminação informativa do titular dos dados. A coleta de dados deverá, de todo modo, ater-se ao estritamente necessário à execução do contrato e cumprimento das obrigações legais do empregador, não podendo se distanciar dessas finalidades. "Por óbvio, o empregador não pode utilizar os dados pessoais do empregado para desideratos estranhos à relação laboral".[42]

Em prol da segurança jurídica, recomenda-se a cautela de formalizar a concordância do titular sempre que possível, mas sua falta não implica violação legal do empregador[43].

Em relação aos dados pessoais sensíveis, a empresa deverá redobrar cuidados, inclusive no que se refere a possíveis práticas discriminatórias. Isso porque, em grande medida, envolvem dados relacionados à origem racial ou étnica, convicção religiosa, opinião política, vida sexual e filiação a organização de caráter religioso, filosófico ou político, entre outros. Exceção são os dados sensíveis que efetivamente necessitarão de tratamento pelo empregador, para os quais o consentimento é exigido, ressalvadas as hipóteses do art. 11, inciso II, da Lei nº 13.709/2018[44].

Nos termos do artigo 18, § 2º, da LGPD, o titular dos dados pessoais poderá se opor ao respectivo tratamento, com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na Lei nº 13.709/2018. [45]

Após o término do contrato de trabalho, as empresas também deverão agir em conformidade com a LGPD, providenciando o descarte dos dados dos ex-empregados. A lei não fixa prazo para isso, mas a interpretação do seu artigo 16, inciso I, autoriza as empresas a mantê-los no curso do prazo prescricional, para fins de eventual produção de prova[46].

Fabiano Zavanella et al. reconhecem que o descarte de dados pessoais na fase pós-contratual pode encontrar desafios, inclusive culturais: "o descarte [...] gera desconforto e receio, principalmente para os advogados, mas o não descarte após certo período, esgotado, por exemplo, o prazo prescricional, também poderá causar, não apenas desconforto, mas a aplicação de sanções e multas pelo armazenamento indevido ou desnecessário"[47]. De qualquer forma, há fundamento legal para se manter os dados pelo menos no período prescricional. Não há posicionamento jurisprudencial a respeito, mesmo porque a legislação é recente.

A EC nº 115 e a LGPD são marcos importantes na construção da cultura de proteção dos dados pessoais dos trabalhadores. Além de exigir as melhores práticas empresariais, contribui para a segurança jurídica.

CONSIDERAÇÕES FINAIS

O tratamento de dados pessoais atinge em cheio as relações trabalhistas. Sua regulação jurídica possui dupla finalidade: assegurar proteção ao titular dos dados e conferir segurança jurídica aos controladores, na medida em que esclarecem as regras que regem essa dinâmica.

Por não existir qualquer regramento específico sobre proteção de dados na legislação trabalhista, aplica-se às relações de emprego o disposto na Lei Geral de Proteção de Dados - LGPD (Lei nº 13.809/18). Embora a lei tenha sido promulgada em 2018, o início da sua vigência foi sucessivas vezes prorrogado. Com isso, parte de seus dispositivos só entrou em vigor em 01 de agosto de 2021. Trata-se, portanto, de regulação bastante recente, ainda sujeita a interpretação jurisprudencial e acomodações, por parte do empregador.

A recente Emenda Constitucional nº 115, de 10 de fevereiro de 2022, por sua vez, conferiu a essa matéria status de direito formalmente fundamental. Por essa razão, não poderá ser limitado ou extinto nem mesmo por nova Emenda Constituição (conforme art. 60, §4º, IV, da Constituição Federal) - ressalvada, evidentemente, a ponderação em caso de colisão com outro direito fundamental.

Em se tratando de dados pessoais necessários à execução do contrato (ou de procedimentos preliminares com ele relacionados) ou ao atendimento de interesses legítimos do controlador - no caso, o empregador - a LGPD dispensa a necessidade de consentimento do titular dos dados. Portanto, quanto aos dados estritamente necessários ao andamento contratual e ao cumprimento das obrigações legais do empregador, não pairam grandes controvérsias. A empresa está autorizada a tratá-los, desde que em conformidade com as exigências legais.

Dificuldade maior recai sobre dados que extrapolam essa esfera, ou, ainda, sobre dados sensíveis, mesmo quando necessários ao andamento contratual - tais como filiação sindical e informações sobre saúde ocupacional. Nessas hipóteses, deve haver consentimento livre, informado e inequívoco do titular dos dados. Entretanto, em relações tipicamente desiguais, como as empregatícias, apresenta-se como verdadeiro desafio.

Em qualquer caso, as empresas deverão coletar apenas dados estritamente necessários, evitar obter dados sensíveis, adotar as melhores práticas de segurança da informação, restringir o acesso interno aos dados e providenciar seu descarte adequado, quando não mais forem necessários.

Não há dúvidas de que, mesmo após o encerramento do vínculo empregatício, o empregador está autorizado a manter os dados do empregado por todo o prazo prescricional. Não há clareza, contudo, sobre a segurança jurídica do descarte ou da manutenção dos dados após referido prazo.

De qualquer forma, o recente inciso LXXIX, do artigo 5º, da Constituição da República, e a LGPD representam importantes avanços na construção de um código de proteção da privacidade dos trabalhadores, definição de boas práticas empresariais e promoção de segurança jurídica.

Em tempos em que a tecnologia sinaliza dominar a sociedade e submetê-la ao império da máquina, inclusive por meio da inteligência artificial, cada vez mais o homem firmará sua supremacia na defesa de sua dignidade. A proteção de seus dados pessoais sinaliza nesse sentido, quando a ética parece esmorecer.

[1] Artigo originalmente publicado em: MANNRICH, Nelson; BOSKOVIC, Alessandra Barichello. A EC nº 115/2022 e a proteção de dados pessoais no âmbito das relações trabalhistas. In: CAVALCANTE, Jouberto de Quadros Pessoa; GUNTHER, Luiz Eduardo; VILLATORE, Marco Antonio Cesar; MANNRICH, Nelson. (Org.). 35 anos da CRFB: a Constituição da República Federativa do Brasil, os direitos sociais e econômicos e o desenvolvimento sustentável. 1ed.Curitiba: Instituto Memória, 2023, p. 57-67.

[2] Mestre, Doutor e Livre-Docente em Direito pela Universidade de São Paulo (USP). Professor Titular de Direito do Trabalho na Faculdade de Direito da USP (aposentado). Presidente honorário e membro da Academia Brasileira de Direito do Trabalho. Presidente da Academia Iberoamericana de Direito do Trabalho. Coordenador do GETRAB-USP. Advogado sócio do escritório Mannrich e Vasconcelos Advogados.

[3] Mestre e Doutora em Direito pela Pontifícia Universidade Católica do Paraná (PUCPR), com estágio de doutoramento na Fordham University School of Law. Professora de Direito do Trabalho no curso de Direito da Universidade Presbiteriana Mackenzie. Pesquisadora do GETRAB-USP. Advogada sócia do escritório Mannrich e Vasconcelos Advogados.

[4] RIELLI, Mariana Marques. O processo de construção e aprovação da Lei Geral de Dados Pessoais: bases legais para tratamento de dados em um debate multissetorial. Revista do Advogado, São Paulo, SP, ano XXXIX, nº 144, p. 7-14, nov. 2019.

[5] RIELLI, Mariana Marques. Ob. cit.

[6] Art. 65. Esta Lei entra em vigor: (Redação dada pela Medida Provisória nº 869, de 2018)

I - dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; e (Incluído pela Medida Provisória nº 869, de 2018)

II - 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos. (Incluído pela Medida Provisória nº 869, de 2018)

[7] PINHEIRO, Patricia Peck. Proteção de Dados Pessoais: Comentários à Lei n. 13.709/2018 (LGPD). 3. ed. São Paulo: Saraiva Educação, 2021. p. 52

[8] O Parlamento europeu e o Conselho Europeu aprovaram o Regulamento Geral de Proteção de Dados (RGPD) no dia 27 de abril de 2016, depois de quatro anos de debates. O regulamento somente entrou em vigor dois anos depois, em 25 de maio de 2018. Trata-se de prazo razoável para que as instituições encarregadas de tratamento de dados se adequassem ao novo marco regulatório.

[9] Consideram-se coletados no território brasileiro os dados pessoais cujo titular nele se encontre no momento da coleta.

[10] A LGPD traz também outras hipóteses, que não foram aqui mencionadas porque não guardam relação com o Direito do Trabalho. Para acesso ao rol completo, ver artigo 7º, da Lei nº 13.709/2018.

[11] SENADO FEDERAL. Proposta de Emenda Constitucional nº 17, de 2019 - Justificação. p. 4.

[12] Idem.

[13] Idem.

[14] Relatoria da Senadora Simone Tebet.

[15] Constituição Federal, art. 1º. "A República Federativa do Brasil, formada pela união indissolúvel dos Estados e Municípios e do Distrito Federal, constitui-se em Estado Democrático de Direito e tem como fundamentos: [...] III - a dignidade da pessoa humana; [...]".

[16] Constituição Federal, art. 3º. "Constituem objetivos fundamentais da República Federativa do Brasil: I - construir uma sociedade livre, justa e solidária; [...] IV - promover o bem de todos, sem preconceitos de origem, raça, sexo, cor, idade e quaisquer outras formas de discriminação".

[17] Constituição Federal, art. 5º. "Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: [...] X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação; [...] XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal; [...] LXXII - conceder-se-á "habeas-data": a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público; b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo; [...]".

[18] SENADO FEDERAL. Parecer CCJ nº 45/2019. p. 6.

[19] CÂMARA DOS DEPUTADOS. Parecer da Comissão de Constituição e Justiça e de Cidadania à PEC nº 17-A, do Senado Federal. p. 2.

[20] As audiências públicas ocorreram no ano de 2019, nos dias 22 e 29, de outubro, e 05, 12, 19 e 26, de novembro.

[21] Presidente Executivo da Associação Brasileira de Empresas de Tecnologia da Informação e Comunicação - BRASSCOM.

[22] Professora Adjunta da Universidade de Brasília - UnB.

[23] CÂMARA DOS DEPUTADOS. Parecer da Comissão Especial à PEC nº 17-B, do Senado Federal - Ofício nº 521/19-SF. p. 6.

[24] CÂMARA DOS DEPUTADOS. Parecer da Comissão Especial à PEC nº 17-B, do Senado Federal - Ofício nº 521/19-SF. p. 6.

[25] D.O.U de 11/02/2022. Disponível em: <Página 2 do Diário Oficial da União - Seção 1, número 30, de 11/02/2022 - Imprensa Nacional>. Acesso em: 13 jun. 2022.

[26] Sobre o conceito de direitos fundamentais formal e materialmente constitucionais, George Marmelstein esclarece: "Além do conteúdo ético (aspecto material), os direitos fundamentais também possuem um conteúdo normativo ou institucional (aspecto formal). Do ponto de vista jurídico, não é qualquer valor que pode ser enquadrado no conceito de direitos fundamentais. Juridicamente, somente são direitos fundamentais aqueles valores que o povo (leia-se: o poder constituinte) formalmente reconheceu como merecedores de uma proteção normativa especial, ainda que implicitamente. Esse reconhecimento formal ocorre através da positivação desses valores por meio de normas jurídicas. Para ser ainda mais preciso, pode-se dizer que, sob o aspecto jurídico-normativo, somente podem ser considerados como direitos fundamentais aqueles valores que foram incorporados ao ordenamento constitucional de determinado país. Dentro dessa concepção, pode-se dizer que não há direitos fundamentais decorrentes da lei. A fonte primária dos direitos fundamentais é a Constituição. A lei, quando muito, irá densificar, ou seja, disciplinar o exercício do direito fundamental, nunca criá-lo diretamente". (MARMELSTEIN, George. Curso de Direitos Fundamentais. 8. ed. São Paulo: Atlas, 2019. p.17).

[27] MENDES, Laura S. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014. p. 35-37

[28] MENDES, Laura S. Ob. cit. p. 35-37

[29] Artigo 8° - Proteção de dados pessoais. "1. Todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. 2. Esses dados devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respetiva retificação. 3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade independente."

[30] Com retificação publicada no Jornal Oficial de 23 de maio de 2018.

[31] Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (incluindo a retificação publicada no Jornal Oficial de 23 de maio de 2018). Entrou em vigor em 24 de maio de 2016 e é aplicável desde 25 de maio de 2018.

[32] Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais para efeitos de prevenção, investigação, detecção ou repressão de infrações penais ou execução de sanções penais. Em outras palavras, a Diretiva visa garantir que os dados pessoais das vítimas, testemunhas e suspeitos de crimes sejam devidamente protegidos e facilitar a cooperação transnacional na luta contra a criminalidade e o terrorismo. Entrou em vigor em 5 de maio de 2016.

[33] Estabelece as regras aplicáveis ao tratamento de dados pessoais pelas instituições, organismos e agências da União Europeia, em consonância com o disposto no Regulamento Geral sobre a Proteção de Dados e Diretiva sobre a Proteção de Dados na Aplicação da lei. Estabelece, ainda, a Autoridade Europeia para a Proteção de Dados (AEPD). Esta autoridade é um organismo independente da UE, responsável por acompanhar a aplicação das regras em matéria de proteção de dados nas instituições europeias e por dar seguimento às reclamações. Entrou em vigor em 11 de dezembro de 2018.

[34] De acordo com o artigo 5º, VI, da LGPD, controlador é a "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais".

[35] O eSocial é um sistema informatizado da Administração Pública, por meio do qual devem ser reportadas informações sobre todas as relações de emprego mantidas por pessoas físicas ou jurídicas.

[36] Segundo dispõe o artigo 5º, II, da LGPD, dado pessoal sensível é o "dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural". A esse respeito, Luciano Martinez esclarece: "Durante a negociação preliminar não se deveria colher dados pessoais sensíveis do entrevistado [...]. Se a coleta de dados dessa natureza for imprescindível à contratação — o que pode ocorrer por tratar-se o empregador de uma instituição de tendência, por exemplo — o tratamento, sob as penas e sob as responsabilidades previstas na referida Lei n. 13.709/2018, somente se dará mediante o fornecimento de consentimento por escrito do titular, em cláusula destacada, ou por outro meio que demonstre a manifestação de sua vontade". (MARTINEZ, Luciano. Curso de Direito do Trabalho. 12. ed. São Paulo: Editora Saraiva, 2021. p. 116.)

[37] "Em termos práticos, suas obrigações se traduzem em práticas, processos, procedimentos e treinamentos internos que envolvem os departamentos que participarão do processo de seleção. Estabelecer um processo de seleção sério, criterioso, detalhado e, principalmente, fundamentado, antes mesmo de divulgar a vaga para o mercado, é essencial para o atendimento das disposições da LGPD nessa fase. Ressalta-se que tais cuidados devem ser redobrados em caso de criação de "banco de currículos" interno, utilização de ferramentas tecnológicas para seleção de candidatos - que já foram alvo de diversas críticas nos meios sociais, além de objeto de demandas judiciais nos últimos tempos - assim como tratamento dos dados de outros candidatos que nem sequer foram escolhidos para uma determinada posição. Em linhas gerais, entre as recomendações feitas às empresas no que diz respeito à LGPD, destacam-se: (i) solicitação de informações exclusiva e estritamente necessárias para a avaliação e seleção do candidato para uma determinada vaga e função; (ii) definição de processo interno para acesso a arquivos de currículos; (iii) informações claras e transparentes ao candidato a respeito do tratamento que os dados pessoais que constam dos currículos apresentados receberão; (iv) questionamento a respeito da intenção e autorização para manutenção do currículo enviado em bancos de dados para futuras oportunidades; entre outras". (SILVA, Airton José; ZAVANELLA, Fabiano; KRUG, Pamela; CASTRO E SERPA, Patricia Oliveira; RIBEIRO, Viviane Licia. Impactos da Lei Geral de Proteção de Dados nas Relações de Trabalho. In: TOMASEVICIUS FILHO, Eduardo. A Lei Geral de Proteção de Dados Brasileira: Análise Setorial (Volume II). São Paulo: Almedina, 2021. p. 113-114.)

[38] Considera-se "hipersuficiente" o empregado que possui diploma de nível superior e recebe "salário mensal igual ou superior a duas vezes o limite máximo dos benefícios do Regime Geral de Previdência Social" (conforme art. 444, parágrafo único, da CLT). Em julho de 2022, momento de elaboração do presente artigo, o teto no RGPS é de R$ 7.087,22. Logo, para ser enquadrado como hipersuficiente, o empregado deve receber salário igual ou maior do que R$ 14.174,44.

[39] A esse respeito, menciona-se a doutrina de Guilherme Guimarães Feliciano: "O princípio da proteção atende, portanto, a uma função geral de cariz constitucional (derivada, no Brasil, do art. 7º da CRFB), que é a de reequilibrar materialmente as posições jurídicas das partes geralmente antagônicas nos conflitos laborais (empregado e empregador). Pelo especial amparo jurídico, minimiza-se a vulnerabilidade dos trabalhadores, decorrente da chamada "hipossuficiência econômica", que no continente jurídico manifesta-se como subordinação". (FELICIANO, Guilherme Guimarães. Curso Crítico de Direito do Trabalho: Teoria Geral do Direito do Trabalho. São Paulo: Editora Saraiva, 2013. p. 245.)

[40] CARLOTO, Selma; CLOZEL, Livia. LGPD e o Direito à Privacidade dos Trabalhadores. In: FILHO, Eduardo Tomasevicius. A Lei Geral de Proteção de Dados Brasileira: Análise Setorial (Volume I). São Paulo: Almedina, 2021. p. 254-257.

[41] Nesse sentido, menciona-se Flávia Alcassa: "Nas relações de trabalho, de acordo com a Lei Geral de Proteção de Dados (LGPD) o empregado figura como o titular dos dados e o empregador como o controlador dos dados [...]. O consentimento do titular (empregado) pode ser excepcionalmente dispensado na hipótese da relação de empresa, desde que para obrigação de cumprimento legal, conforme ordena a própria LGPD no seu art. 7º, V e IX [...]. Embora o consentimento seja dispensado nas hipóteses de "execução de contrato ou de procedimentos relacionados a contrato do qual seja parte o titular dos dados do empregado" o seu tratamento merece ainda mais cautela, para não ferir a privacidade do trabalhador, ocasionando danos à imagem, danos de natureza moral, além de prejuízos de ordem material ao empregador". (ALCASSA, Flávia. A Lei Geral de Proteção de Dados Pessoais (LGPD) e a exposição de dados sensíveis nas relações de trabalho. Revista do TRT - 10ª Região, Brasília, DF, v. 24, n. 2, p. 145-151, jul./dez. 2020.)

[42] VALE, Silvia Isabelle Ribeiro Teixeira do; LACERDA, Rosangela Rodrigues Dias de. Lei Geral de Proteção de Dados e relação de emprego: controvérsias. Revista Magister de Direito do Trabalho, Porto Alegre, a. 17, n. 99, p. 125-147, nov./dez. 2020.

[43] Essa é a lição de Carlos Henrique Bezerra Leite: "[...] ad cautelam, especialmente pelo fato de o consentimento nas relações de trabalho ainda ser alvo de discussões quanto a sua validade, recomenda-se a coleta do consentimento mesmo se fundamentada nas demais bases legais, caso o seu tratamento possa comportar risco ao titular dos danos, seja na esfera material, seja na extrapatrimonial, já que a própria legislação busca proteger os direitos fundamentais de liberdade e de privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural. É claro que a utilização do consentimento nas relações de trabalho, por si só, não é vedada e pode ser utilizada como fundamento para o tratamento dos dados pessoais de empregados, desde que: o consentimento seja realmente livre; a recusa não implicar qualquer consequência negativa para o titular; haja imperiosa necessidade do consentimento para a execução do contrato de trabalho ou para garantia de algum benefício ao titular". (LEITE, Carlos Henrique Bezerra. Curso de Direito do Trabalho. 14. ed. São Paulo: Editora Saraiva, 2022. p. 38.)

[44] LGPD, art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: [...] II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou (Redação dada pela Lei nº 13.853, de 2019)

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

[45] Nesse sentido, a lição de VALE, Silvia Isabelle Ribeiro Teixeira do; LACERDA, Rosangela Rodrigues Dias de. Ob. Cit.

[46] Nesse sentido, Silvia Vale e Rosangela Lacerda: "Os dados pessoais, uma vez alcançada a sua finalidade ou extinta a sua necessidade, devem ser prontamente eliminados, consoante dispõe o art. 15, inciso I c/c o art. 16, caput, ambos da Lei nº 13.709/2018. Existem, contudo, exceções a essa regra geral, disciplinadas nos incisos do art. 16, dentre as quais se verifica a possibilidade de manutenção das informações pessoais para cumprimento de obrigação legal, como para emissão de recibos e termos de rescisão de contrato de trabalho, por exemplo. De outra parte, se houver a judicialização de algum conflito acerca da relação de trabalho, também há a necessidade de produção de provas por parte do empregador, sendo admissível a conclusão de que esses dados poderão ficar armazenados, minimamente, durante o prazo de prescrição bienal, na fase pós-contratual, mesmo sem o consentimento do titular, ressaltando-se, mais uma vez, a possibilidade de sua oposição quanto ao tratamento, em caso de descumprimento da lei". (VALE, Silvia Isabelle Ribeiro Teixeira do; LACERDA, Rosangela Rodrigues Dias de. RIELLI, Mariana Marques. Ob. Cit.)

[47] SILVA, Airton José; ZAVANELLA, Fabiano; KRUG, Pamela; CASTRO E SERPA, Patricia Oliveira; RIBEIRO, Viviane Licia. Ob. Cit.