Confira o estudo produzido pela FIEMG
https://www.fiemg.com.br
A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei 13.709/2018) entrou em vigor no dia 18/09/2020, a partir da sanção, pelo Presidente da Republica, do Projeto de Lei de Conversão n° 34/2020, oriundo da MP 959/2020, que tinha como objetivo adiar a vigência da LGPD para maio de 2021, mas tal ato não foi aprovado pelo Senado Federal.
Cabe ressaltar que, apesar das disposições da LGPD já estarem em vigor, o início do prazo para aplicação de sanções administrativas será a partir de agosto de 2021, conforme disposto na Lei 14.020/2020.
A LGPD tem como objetivo proteger os dados pessoais, em meios físicos ou digitais, das pessoas físicas e a sua entrada em vigor impõe às empresas obrigações que dizem respeito à forma tratar estes dados.
Considerando que o empregado é um titular de dados pessoais e que o empregador realiza o manuseio dos dados (tratamento) fornecidos pelo trabalhador por força do contrato individual de trabalho, a LGPD é aplicável às relações laborais, devendo o empregador observar as regras sobre proteção de dados pessoais de seus empregados e adotar as medidas de segurança, técnicas e administrativas para a proteção dos mesmos.
Também é importante ter em mente que a Lei não trata somente dos dados pessoais dos empregados, mas também de pessoas de fora da empresa. No exercício das suas funções, os empregados terão acesso, por exemplo, a dados pessoais de clientes, parceiros, empregados e fornecedores. O tratamento destes dados também precisam estar de acordo com a LGPD.
Nesse sentido, ante os diversos regramentos previstos pela LGPD, além de ter controle sobre todo e qualquer dado pessoal que esteja relacionado às pessoas físicas, empregados ou prestadores de serviços, o empregador deve garantir o tratamento adequado.
Os desafios são muitos e, com o objetivo de apoiar as indústrias, parceiros e associados, a FIEMG preparou uma lista de boas práticas relacionadas à privacidade e a gestão dos dados pessoais no ambiente de trabalho que podem ser adotadas no projeto de adequação imediata à LGPD.
REVISÃO DOS DOCUMENTOS INTERNOS
Ressalta-se a necessidade da revisão dos documentos internos das empresas para garantir a informação e conscientização dos empregados sobre dados pessoais.
Aditivos contratuais, Códigos de Conduta, Políticas de Segurança da Informação e Privacidade; Políticas de Privacidade Externa, entre outros, deverão prever não só as questões trabalhistas, mas também as obrigações a serem cumpridas pelo trabalhador para resguardar os dados cuja responsabilidade de proteção ficam a cargo do empregador. A melhor prática indica até mesmo punições aos empregados que descumprirem tais normas.
TREINAMENTO DE EMPREGADOS E TERCEIRIZADOS
O treinamento permanente e constante sobre a LGPD é fundamental para garantir a governança e a segurança da informação. Com a conscientização de todos, as más práticas de segurança da informação e de proteção de dados podem ser evitadas ou minimizadas.
A documentação da aplicação dos treinamentos é recomendável assim como a realização de auditorias periódicas para uniformizar o nível de informação e treinamento.
Sugere-se a realização de um treinamento que gere documentação comprobatória da sua realização. Deve haver reciclagem do treinamento (a cada 6 meses, por exemplo).
TERMO DE RESPONSABILIDADE
Fornecer ao empregado um termo de responsabilidade em que ele se compromete a seguir todas as instruções a respeito da LGPD que lhe foram fornecidas em relação aos dados pessoais de terceiros que são, de alguma forma, tratados pelo empregado. Cópia deste termo com assinatura deverá ser arquivada.
QUESTÕES RELATIVAS AOS EQUIPAMENTOS TECNOLÓGICOS E INFRAESTRUTURA NO TELETRABALHO
É responsabilidade das empresas buscar procedimentos, meios e tecnologias que garantam a proteção dos dados pessoais de acessos por terceiros, ainda que não sejam autorizados, como nos casos de invasões por hackers. Cabe à empresa, portanto, garantir que os dados transitarão por uma conexão segura e que atende os requisitos da LGPD.
Além disso, devem ser tomadas medidas para solucionar situações acidentais, como destruição, perda, alteração, comunicação ou difusão dos dados pessoais de suas bases.
Entre as medidas de proteção, cabe indicar o bloqueio automático da tela do computador após período de tempo sem uso; o bloqueio de informações para que não sejam salvas no computador; deve-se criptografar dados confidenciais; deve-se realizar backup das informações; pode-se utilizar serviços de nuvem ou VPN – rede virtual privada.
Com relação a VPN, o departamento de TI pode configurar o monitoramento do dispositivo, incluir a verificação de invasão de dispositivo e bloquear as informações para que não possam ser transferidas para outro local. Destaca-se que deve ser aprimorada a segurança com senhas e acessos.
É importante sempre utilizar meios de comunicação e transferência de arquivos que garantam a segurança de todos dados que transitarem nesses ambientes.
Independemente do meio escolhido, é importante que seja utilizados meios oficiais de comunicação e transferência de dados, ou seja, que todos os empregados estejam cientes da obrigação de utilizá-lo.
Entretanto, embora a oficialização dos meios seja um passo importante, não deve deixar de lado a verificação periódica dos mecanismos de segurança de tais ferramentas, já que esta é uma das principais obrigações da empresa segundo a LGPD.
REGRAS ESPECÍFICAS PARA DOWNLOAD E UPLOAD DE ARQUIVOS
A realização de download e upload de arquivos é um dos principais motivos geradores de incidentes envolvendo dados pessoais. Por esta razão, é importante que a empresa crie regras para realização dessas ações e divulgue para todos os seus empregados.
Além da necessidade de regras claras, é importante que sejam implementados mecanismos tecnológicos que viabilizem essas normas.
BLOQUEIO DE CONTEÚDOS
Um dos princípios da LGPD é a necessidade da coleta de dados pessoais. Tal princípio estipula que a coleta de dados deve se dar de maneira restritiva, prezando sempre pelo tratamento de dados pessoais estritamente necessários ao atendimento da finalidade pretendida, dispensada a coleta excessiva.
Apegada a este princípio, a empresa deve usar o recurso de permissões de acesso para restringir as ações de cada usuário e limitar o conteúdo a ser acessado de acordo com os dados necessários para a realização do trabalho que compete a cada trabalhador. Se determinado conteúdo não é relevante para o desempenho da sua função, o acesso a este dado pessoal deve ser negado ao empregado.
O ideal é adotar uma medida mais efetiva, já que determinados acessos podem expor os dados e informações utilizados pelo empregado à acessos indevidos e incidentes, aumentando desnecessariamente o risco.
Também é recomendável implementar um conjunto de medidas restritivas que impedem práticas como prints da tela de sistemas para envio por chats, envio de banco de dados em planilhas para trabalho em computadores pessoais ou em modo offline; o bloqueio de informações para que não sejam salvas no computador.
Deve-se, ainda, criptografar dados confidenciais, realizar backup das informações e permitir o acesso apenas por dispositivos devidamente seguros.
COMPARTILHAMENTO DE DADOS COM TERCEIROS
Em diversas situações, a empresa precisará compartilhar dados pessoais com terceiros, como órgãos públicos, parceiros, prestadores de serviço ou clientes. O compartilhamento de dados com órgãos públicos geralmente ocorre em função de alguma obrigação legal da empresa, que por si só fundamenta o tratamento, como a prestação de contas pela plataforma do eSocial, por exemplo.
Quando o compartilhamento é feito com parceiros e prestadores de serviço, como operadoras de seguros ou planos de saúde, contadores, etc., pode ser interessante incluir nos contratos cláusulas referentes ao tratamento de dados pessoais, que exigem a adoção de determinado nível de segurança da informação ou atribuem responsabilidades em casos de incidentes de segurança ou descumprimento da legislação, por exemplo.
TELETRABALHO
Somado ao avanço da regulamentação da proteção de dados pessoais, com o surgimento da pandemia de Covid-19 e, consequentemente, da necessidade de adoção de práticas de distanciamento social, grande parte das empresas se viram forçadas à adotar o trabalho remoto (teletrabalho/home office) em larga escala.
É justamente neste contexto, de crescente demanda para adoção do home office e vigência da LGPD, que surgem dúvidas sobre como proceder em relação aos dados pessoais que são submetidos a alguma atividade de tratamento fora das dependências da empresa.
Primeiramente, é importante ter em mente que mesmo durante o trabalho remoto as medidas de segurança em relação aos dados pessoais devem ser mantidas.
Ao implementar a modalidade de teletrabalho, empregadores devem dar condições para que os trabalhadores possam desempenhar a sua função e tratar os dados pessoais de forma segura fora da empresa, observando-se todas as medidas já mencionadas acima.
MONITORANDO OS EMPREGADOS
Além de orientar os seus empregados e estabelecer medidas de proteção, fornecer meios tecnológicos seguros, etc., há a necessidade de adotar mecanismos de monitoramento do trabalho com o intuito precaver o vazamento de dados.
A relação estabelecida entre a empresa e seus empregados deve ser baseada na confiança mútua e, para que essa relação funcione, o empregado deve trabalhar conforme as ordens da empresa e aquilo que foi estabelecido no contrato, podendo ela empregar certos métodos de fiscalização para verificar se o trabalho está sendo desenvolvido conforme o combinado.
No entanto, o monitoramento do empregado é um assunto que deve ser abordado com cuidado. Independente da forma de fiscalização, a empresa deve observar sempre as regras da necessidade, proporcionalidade e informação.
Isso signfica dizer que só devem ser implementadas medidas realmente necessárias para o desenvolvimento das atividades da empresa e que deve ser priorizada a aplicação de medidas que causem um impacto menor na privacidade dos empregados. Além disso, a fiscalização deve ser imparcial, realizada de maneira homogênea perante toda a equipe.
É importante que o empregado tenha pleno conhecimento sobre a postura da empresa em relação aos limites do que é permitido no ambiente de trabalho, assim como as medidas de fiscalização adotadas. Essas informações devem ser organizadas de maneira clara e acessível desde antes do início do tratamento dos dados pessoais, constando no próprio contrato ou no regulamento da empresa.
Vale ressaltar que o monitoramento pelo empregador não se estende ao correio eletrônico e utensílios pessoais do empregado, uma vez que o poder fiscalizatório viabiliza apenas o controle sobre instrumentos vinculados ao trabalho.
Como qualquer outro sigilo protegido constitucionalmente, o acesso ao e-mail pessoal de um empregado ou ex-empregado, depende de autorização prévia judicial, em decisão fundamentada, não podendo ser feito arbitrariamente pelo empregador, sob pena de violação do art. 5º, X, da CF/88.
O e-mail pessoal está abrangido pela proteção da privacidade e da intimidade, não possuindo os mesmos efeitos jurídicos do e-mail corporativo, cuja verificação é colocada a diposição do empregado para a execução das suas tarefas. Em nenhum momento, o empregador poderá monitorar o conteúdo das mensagens enviadas ou recebidas por intermédio do e-mail pessoal do empregado.
O empregador poderá estabelecer, através do exercício do seu poder regulamentar, limites quanto ao uso do computador da empresa, ao restringir, ou até proibir, a utilização do e-mail pessoal quando em horário de trabalho conforme o art. 483, alínea e da CLT.
Especificamente em relação ao controle de jornada, cumpre esclarecer que, segundo o inciso III, do artigo 62, da CLT, os empregados que estejam em regime de teletrabalho estão excluídos do Capítulo II – Da Duração do Trabalho. Assim, não estão sujeitos ao controle de jornada e, consequentemente, ao recebimento de horas extras.
A empresa poderá decidir se o empregado em regime de teletrabalho estará ou não sujeito ao controle de jornada, lembrando que o controle não é obrigatório.
Se optar por controlar a jornada do teletrabalhador, a empresa deverá observar o que dispõe a Portaria 373/Ministério do Trabalho sobre controle de ponto alternativo (ex. Sistema informático que registra ao ligar o computador; aplicativo; celular; etc).
Alternativamente, a empresa poderá optar por adotar o ponto por exceção, nos termos do §4º, art. 74, CLT. Não registra o início e o fim da jornada regular, mas tão somente a exceção, ou seja, quando realizar horas extras.
Também é permitido a configuração para que os sistemas deixem de funcionar ou se tornem inacessíveis fora do horário de trabalho do empregado.
Em qualquer destas hipóteses, deverá registrar a condição no termo aditivo ao contrato de trabalho com a assinatura do empregado e pagar as horas extras eventualmente realizadas com os percentuais previstos na legislação ou no instrumento coletivo ou computá-las no banco de horas previsto no instrumento coletivo ou acordo individual.
Para atender à LGPD, a empresa também deve garantir que os meios tecnológicos de registro de ponto são capazes de garantir proteção dos dados pessoais dos empregados.
Em contrapartida, se a empresa optar por não controlar a jornada de seus empregados, recomendamos que formalize expressamente a adoção do regime de teletrabalho, sem controle de jornada, nos termos do inciso III, do art. 62, da CLT, em termo aditivo ao contrato de trabalho com a assinatura do empregado.
Também é importante capacitar a liderança acerca da impossibilidade de controlar a jornada dos empregados não sujeitos ao registro de ponto. A liderança deve ser orientada a cobrar a tarefa e não o horário para evitar risco de passivo trabalhista (denúncias, autuações, condenações judiciais, etc).
FORMALIZAÇÃO DAS MEDIDAS ADOTADAS
Além de se preocuparem em cumprir integralmente a Lei, as empresas devem ter provas e evidências de todas as medidas adotadas, para demonstrarem a sua boa-fé e a sua diligência.
_______________________________