A Lei nº 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados Pessoais ou apenas LGPD, é a legislação brasileira pertencente ao ramo de Governança e Controle, que regula as atividades de tratamento de dados pessoais e que também traz alterações nos artigos 7º e 16 do Marco Civil da Internet (Lei nº 12.965/2014).
Atualmente em vacatio legis, tal legislação iniciará sua vigência em agosto de 2020 e a preocupação dos mais diversos setores empresariais e da sociedade civil já se torna evidente, em meio à receios de possíveis judicializações decorrentes de erros no armazenamento e gerenciamento dos dados e de outras informações sensíveis.
O que se observa com o surgimento das discussões acerca da LGPD, é que a maioria das instituições, ao obter os dados pessoais de consumidor, esquece que a legislação em apreço alcança não somente os dados pessoais dos funcionários, mas também dos terceirizados atuantes no cotidiano das empresas. Daí surge a necessidade de as empresas serem transparentes em relação aos dados pessoais capturados para as relações de trabalho e de prestação de serviços, se preocupando ainda em estabelecer a finalidade de tratamento dos dados.
Outros países já aderiram a essa preocupação. Argentina e Uruguai já demonstram avanços na questão da gestão de dados pessoais e já se pode observar casos no judiciário trabalhista desses países, com funcionários questionando o uso de suas informações por ex-empregadores. É uma temática que precisa ser abordada preventivamente nas empresas e que pode ser objeto de questionamentos envolvendo o contencioso, e nesse ponto entra a questão do compliance trabalhista, que necessitará adaptar-se à mais essa nova discussão.
É inequívoco que o olhar das organizações em relação a esta matéria ainda esteja um pouco distante do ideal, ao menos na maioria das empresas. E nem sempre os setores das empresas responsáveis pela Gestão de Pessoas, incluindo neste campo a Gestão de terceiros, têm participado ativamente desse planejamento organizacional visando estar em compliance, ou seja, estar em conformidade com a legislação relativa à proteção de dados.
É importante destacar que não deve ser feita apenas uma simples adaptação de sistema, mas sim na cultura da empresa. Sem esquecer do ambiente offline com os papéis, minutas, currículos etc. Neste ponto é que reside o maior risco de judicialização. Uma visão estratégica é ter o cuidado para não reproduzir dados pessoais à toa.
Ou seja, deve-se empenhar-se para atingir uma mudança nos paradigmas e na cultura empresarial ao armazenar dados sensíveis, demonstrar uma postura ativa, visando despertar em relação a questões do dia-a-dia que serão efetivamente impactadas e que podem ser judicializadas. A tendência é de que esse tema passe a ser inserido nas reclamações trabalhistas a partir da entrada em vigor da Lei. Nesse sistema, busca-se proporcionar às empresas esse olhar, de levar essa parceria entre a legislação específica da proteção de dados e a abordagem do compliance trabalhista.
Para pequenas empresas ou startups, o risco é ainda maior, pois o comportamento é muito mais informal e digitalizado, como por exemplo, com o recebimento de informações pelo Whatsapp. O risco se potencializa com esta informalidade, podendo até ser fatal para a empresa e para o patrimônio familiar do sócio. Portanto, o controlador deverá ficar atento com a prática de governança corporativa em gestão e proteção de dados pessoais, a fim de que de se evite a ocorrência de danos, com sua consequente reparação e a responsabilização objetiva da empresa, como preceitua o art. 41 da nova lei.
Desse modo, a principal mudança trazida pela nova legislação é a da necessidade de uma nova cultura empresarial no que tange à gestão dos dados pessoais. Ou seja, é a empresa estabelecer uma cultura de conformidade, de regras da organização e na forma de externalizar isso em relação aos outros agentes, como os terceirizados, parceiros e até mesmo clientes. As empresas e outras instituições já se preocupam com a privacidade dos empregados, o limite das redes sociais e a utilização de ferramentas, porém, agora as empresas devem se lembrar que receber dados passivamente também enseja a obrigatoriedade do tratamento desses dados, utilizando os pilares da nova legislação como base, quais sejam: o consentimento, a transparência, e a segurança.