O tratamento dos dados pessoais dos empregados no setor dos recursos humanos possui dois aspectos relevantes, que deixam nítida a importância da conformidade do RH com a normas de privacidade e proteção de dados pessoais.
Em primeiro lugar, se a organização instituiu um cultura de privacidade e proteção de dados pessoais, é necessário que os dados pessoais dos seus empregados sejam tratados de forma correta, para que seja possível difundir a cultura: como pode a empresa exigir que os seus empregados adotem condutas determinadas para garantir a proteção dos dados pessoais dos seus clientes, por exemplo, se ela mesma, em seus controles e processos internos, não respeita os dados pessoais dos seus próprios empregados? Não parece razoável.
Assim, fazer o trabalho dentro de casa bem-feito, envolvendo o RH na cultura de proteção de dados pessoais da organização, é essencial para que sejam exigidas dos empregados as condutas instituídas em decorrência da adequação do negócio à LGPD.
Segundo, não é possível afirmar que a empresa possui uma governança de dados e está em conformidade com a norma, se os dados dos seus empregados não forem tratados dentro dos parâmetros estabelecidos pela LGPD. Ora, no contexto da relação de emprego há o tratamento de um número considerável de dados dos empregados, que são submetidos a diversas operações de tratamento, inclusive dados sensíveis.
A importância da conformidade do RH com a LGPD é evidente, porém, nem sempre tão simples, e, muitas vezes, desafiadora. É necessário que a norma de proteção de dados pessoais seja aplicada em conjunto com as normas trabalhistas.
Há três momentos em que o tratamento dos dados dos empregados é realizado: na fase pré-contratual, contratual e pós-contratual. Deve-se adotar condutas/controles/processos internos em todos esses momentos, que respeitem as disposições normativas.
Na fase pré-contratual verifica-se o seguinte desafio: a identificação dos dados que podem ser objeto de tratamento. Devem então ser feitos alguns questionamentos: quais são os dados pessoais do candidato à vaga de emprego que, de fato, são adequados e necessários àquela finalidade, ou seja, quais são os dados do candidato que são pertinentes naquele contexto?
Algumas empresas realizam a fase de recrutamento e seleção de forma direta, através de processos internos, outras contratam empresa especializada para este momento - a empresa contratada para realizar o recrutamento será a operadora de dados, contratada pela futura empregadora - controladora dos dados.
O "background check" deve ser feito em respeito aos parâmetros impostos pelas normas de privacidade e pela legislação trabalhista - a empresa, na qualidade de controladora dos dados, deverá tomar as decisões principais sobre o tratamento de dados, como: definir a base legal que será utilizada e quais serão os dados adequados e necessários ao preenchimento daquela vaga - que é a finalidade do tratamento.
Além de definir quais dados são adequados e necessários ao preenchimento da vaga, devem ser observados os parâmetros legais trabalhistas existentes, que preservam a dignidade, intimidade e privacidade dos candidatos, impedindo que sejam usados critérios discriminatórios na contratação. Portanto, as informações devem ser pertinentes com a vaga e para que isso aconteça, o ideal é adotar um procedimento padrão, de forma a repelir a coleta de dados de forma excessiva e o uso de critérios discriminatórios.
Após a contratação do empregado, as bases legais normalmente utilizadas para o tratamento dos dados são o cumprimento de obrigação legal, a execução de contrato e defesa em processos judiciais, administrativos e arbitrais.
Há uma série de normas que devem ser obedecidas pelo empregador, que impõem a coleta de dados dos empregados para finalidades diversas, como o envio de informações ao e-social, pagamento de verbas e benefícios trabalhistas, recolhimentos fiscais e previdenciários, cumprimento de normas de saúde e segurança do trabalho, entre tantas outras. Também serão necessárias atividades de tratamento de dados pessoais diversos em decorrência da execução do próprio contrato de trabalho e somente deverão ser coletados dados dos empregados que tenham pertinência com o contrato de trabalho.
Caso surja a possibilidade de tratamento de dados dos empregados que não se encaixem nas bases legais destacadas, deverá ser analisada a validade do uso de outra hipótese legal prevista na LGPD. Assim, a escolha da base legal a ser utilizada no tratamento dos dados pessoais dos empregados nos recursos humanos não pode apenas levar em consideração as disposições da LGPD; ao contrário, é necessário que de fato a transversalidade da lei seja colocada em prática, de forma a adequar as bases legais às normas trabalhistas em vigência.
Na fase pós-contratual o tratamento dos dados pessoais continuará a acontecer, tendo em vista que há a possibilidade de tratamento de dados na defesa de eventuais ações judiciais, arbitrais ou administrativas, além de situações que envolvem o cumprimento de obrigações legais.
Portanto, a organização deverá ser capaz de responder quais dados foram coletados para a admissão ou para a entrevista, por exemplo; quais são as finalidades e base legal de cada dado coletado: anotação da CTPS e elaboração do contrato de trabalho ou fornecimento de plano de saúde, por exemplo; qual foi a forma de coleta: o próprio empregado forneceu; onde esses dados estão armazenados: no banco de dados físico do RH; com quem esses dados são compartilhados: com o sindicato, contador, empresa que fornece o cartão de vale-refeição; por quanto tempo esses dados ficarão no banco de dados do controlador e/ou quando esses dados serão excluídos do banco de dados.
Após a tomada de decisões e criação das novas práticas/processos/controles/políticas, que demandem a adoção de novos comportamentos em decorrência do novo contexto legal, é primordial que o empregador as tenha implementado, de fato, com a sua publicização e envolvimento dos empregados em treinamentos, exigindo e fiscalizando a implementação das novas condutas. Apenas nesta hipótese será possível aplicar penalidades aos empregados em decorrência do descumprimento das novas condutas.
Importante destacar que os empregados do setor de recursos humanos terão acesso aos dados pessoais dos empregados da organização, o que torna o envolvimento destes empregados na conformidade com a LGPD ainda mais importante.
O encontro das normas de privacidade e proteção de dados pessoais com as normas trabalhistas é inevitável: não há relação de emprego sem tratamento de dados pessoais dos empregados, o caminho viável é encontrar soluções harmônicas, que privilegiem o direito à privacidade e proteção de dados pessoais dos empregados e o desenvolvimento da prestação dos serviços de forma eficiente e saudável, com uma governança de dados que potencialize os negócios.
Tatiana Bhering Roxo, advogada e professora nas áreas trabalhista e de proteção de dados. Sócia do Tatiana Roxo Sociedade de Advogados.
Os artigos e reportagens assinadas não refletem necessariamente a opinião da editora, sendo de responsabilidade exclusiva dos respectivos autores.