Quando podemos tratar dados dos empregados?

A Lei Geral de Proteção de Dados prevê algumas bases legais, algumas justificativas jurídicas para o tratamento de dados, para além do dever geral da finalidade, adequação e necessidade. A seguir estão as hipóteses em que o agente está autorizado a tratar dados pessoais.

  1. Mediante o consentimento do titular: Essa base legal demanda certo cuidado no âmbito do Direito do Trabalho, mas este ponto será tratado de forma mais específica na próxima aula.
  2. Para o cumprimento de obrigação legal ou regulatória pelo controlador: em alguns casos, o agente trata determinados dados não por uma vontade própria, mas sim porque existe uma lei ou uma normativa própria do seu setor que o impõe. Por exemplo, o empregador é obrigado pelo artigo 911A da CLT a recolher o INSS dos empregados.
  3. Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
  4. Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.
  5. Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular: tendo em vista que a relação de trabalho está definida dentro dos termos do contrato individual do trabalho, qualquer processo com tratamento de dados que decorra deste pacto está justificado por ele.
  6. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral: o agente de tratamento tem a prerrogativa legal da LGPD para armazenar dados que possam resguardá-lo no caso de uma ação judicial. No caso trabalhista, como a prescrição se dá por até 5 anos na constância do contrato ou até 2 anos após sua rescisão, este é o prazo de retenção para documentos e dados que comprovem a jornada do empregado ou as férias aproveitadas, por exemplo.
  7. Para a proteção da vida ou da incolumidade física do titular ou de terceiro: é importante dizer que o tratamento com essa base legal se restringe apenas para tratamentos em caso de emergência, como acidentes, em que o titular não pode por ele mesmo escolher como vai resguardar sua saúde.
  8. Para a tutela da saúde, em procedimento realizado por profissionais da área ou por entidades sanitárias: em tempos em que se discute a possibilidade de obrigar os funcionários a tomar vacina contra a Covid-19, é possível fazer uma interface entre o uso dessa base legal no âmbito do direito do trabalho. Ocorre, no entanto, que via de regra ela será usada no âmbito da área da saúde.
  9. Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
  10. Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Aqui vale mencionar que, pela doutrina, não há uma hierarquia entre as bases legais, existem apenas justificativas que são mais adequadas que outras para determinados contextos. Levando em consideração que se deve sempre privilegiar a base mais “forte”, que melhor demonstra a finalidade, adequação e necessidade do tratamento, se houver um tratamento baseado ao mesmo tempo em uma obrigação legal e um consentimento, é recomendável ter a primeira como embasamento. Isso porque o consentimento é revogável a qualquer tempo, o que poderia prejudicar os processos internos do agente. Uma base legal adequada garante, portanto, a estabilidade do tratamento.

Além disso, no caso de dados pessoais sensíveis, o tratamento não pode ser justificado no legítimo interesse, mas pode pautar, além das outras bases legais, também na hipótese de garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos