A Lei no 13.709/18 também denominada Lei Geral de Proteção de Dados Pessoais (“LGPD”) foi sancionada pelo Presidente da República em 15 de agosto de 2018 e entrará em vigor após 24 meses a contar da sua publicação, ou seja, a partir de agosto de 2020. Esta nova lei brasileira estabelece normas similares as encontradas na lei europeia de proteção de dados pessoais (“GDPR”), que entrou em vigor em 25 de maio de 2018.
As novas regras afetarão tanto as entidades públicas quanto as empresas privadas. No caso de não observância de referidas normas poderão ser aplicadas multas no importe de até 2% do faturamento da empresa limitado ao montante de R$50 milhões de reais por violação. Interessante observar, neste sentido, que as autoridades brasileiras ainda não definiram o que seria “por violação” para efeito de referida lei.
A LGPD será aplicável mesmo para as empresas sediadas no exterior, desde que realizem o tratamento de dados pessoais ou de dados pessoais sensíveis em território brasileiro, que o objeto das atividades empresariais seja o fornecimento ou oferecimento de bens e serviços para indivíduos localizados no Brasil ou se os dados pessoais processados foram coletados no Brasil.
Mas qual seria o impacto desta nova lei nas relações de trabalho?
Em primeiro lugar, todo aquele contratar um trabalhador pessoa natural para lhe prestar um serviço estará sujeito à aplicação da norma. Afinal, sempre haverá a necessidade de coletar, armazenar e transferir os dados pessoais do contratado, no mínimo, para redigir o seu contrato e estabelecer a relação entre as partes.
Haverá a necessidade de coletar o consentimento expresso do empregado para transferir seus dados pessoais para terceiros, como planos médicos, odontológicos, INSS, CEF e Receita Federal.
Deverão ser implementados códigos e políticas claras para o uso dos recursos tecnológicos oferecidos pelo empregador, realização de Home Office e do “Bring Your Own Device” (“BYOD”), se aplicáveis ao caso. O trabalhador deverá ter ciência acerca de eventual monitoramento por parte da empresa tanto dos equipamentos oferecidos como pela análise do firewall na rede wifi. A ausência de expectativa de privacidade, nestes casos, deverá ser inequívoca e a empresa sempre deverá ter em mente que poderá ter que fazer prova em juízo de que, efetivamente, notificou o trabalhador sobre o monitoramento, o tratamento dos seus dados pessoais e, em alguns casos, requerer o seu consentimento expresso a tanto.
Esta nova lei de proteção de dados trará a necessidade de reformulação de toda uma cultura empresarial. Afinal, para que a empresa não venha a sofrer as penalidades impostas em lei, ainda que não haja o vazamento de qualquer dado pessoal, deverá ter todo o apoio e engajamento dos seus empregados e colaboradores.
Observe-se, ainda, que não basta a “blindagem” de apenas alguns setores da empresa. Todos deverão estar comprometidos em realizar boas práticas para a preservação dos dados pessoais existentes na empresa. A questão do compliance com as normas de proteção de dados deverá ser observada, ainda, em relação aos parceiros, fornecedores, empresas terceirizadas, etc. Afinal, dependendo da natureza do dado pessoal compartilhado, poderá haver solidariedade entre a empresa contratante e a contratada por eventual vazamento de dados ou não cumprimento da lei.
Observa-se, ainda, que apesar da LGPD entrar em vigor somente em agosto de 2020, dependendo do setor no qual atua a empresa, há mais de 30 normas de proteção de dados atualmente aplicáveis. Portanto, as medidas para a proteção de dados pessoais deverão ser implementadas o quanto antes pois estima-se, no mínimo, 12 meses para a adequação de uma empresa a todas as normas em vigor e à LGPD.
