A transferência de informações de empregados e candidatos para plataformas online, visando ao gerenciamento centralizado dos recursos humanos, tem sido cada vez mais comum por empresas multinacionais. Obviamente, a criação de um cadastro único e global viabiliza uma melhor gestão de RH e padroniza os procedimentos pelas diversas empresas que compõem o grupo econômico. Porém, o uso de plataformas online para essa finalidade requer cuidados no que se refere à privacidade e proteção de dados pessoais dos profissionais.
Mesmo no contexto da relação de emprego, a Constituição Federal (artigo 5º, X) garante a inviolabilidade da intimidade, a vida privada, a honra e a imagem, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. Outras leis esparsas, como Código Civil (artigo 20), Código de Defesa do Consumidor (artigo 43) e Marco Civil da Internet (Lei 12.965/2014) também podem ser aplicadas diante do tratamento de dados pessoais no contexto da relação de emprego.
No entanto, esse quadro legislativo não é suficiente para oferecer um nível adequado de proteção de dados pessoais, tampouco garante segurança jurídica à utilização de plataformas online para gerenciamento de recursos humanos. O Projeto de Lei 5.276/2016, atualmente em trâmite na Câmara dos Deputados, pretende mudar esse cenário, de forma a regulamentar o tratamento de dados pessoais dos cidadãos brasileiros, inclusive no contexto da relação de trabalho. O PL foi inspirado na Diretiva Europeia 95/46/CE e no General Data Protection Regulation, novo regulamento da União Europeia para proteção de dados pessoais, que entrará em vigor em meio de 2018.
Embora não haja previsão para aprovação do PL, vale destacar alguns princípios que regem o tratamento de dados pessoais, os quais estão previstos no artigo 6º da atual redação do PL, e são amplamente adotados pela legislação estrangeira: (i) finalidade, (ii) necessidade, (iii) transparência, (iv) segurança e (v) não discriminação. A observância de tais princípios é essencial para dar legitimidade ao uso de plataformas online de gerenciamento de recursos humanos, além de evitar que essas informações sejam utilizadas por terceiros não autorizados e para finalidades não relacionadas à relação de trabalho.
Finalidade. O tratamento de informações pessoais deve ser realizado para finalidades legítimas, específicas e informadas. No contexto da relação de emprego, as informações de empregados devem ser tratadas com a única finalidade de gerenciar recursos humanos. Isso significa que o uso informações de forma incompatível com as finalidades específicas pode gerando um risco trabalhista de ações judiciais questionamento dano moral.
Necessidade. As informações pessoais devem se limitar ao mínimo necessário para a realização das finalidades do tratamento. Ou seja, devem ser coletadas informações suficientes para gerenciamento dos recursos humanos, tais como aquelas essenciais à relação de emprego – nome, data de admissão, cargo, nacionalidade, e-mail profissional, número de matrícula, local de trabalho, superior hierárquico e jornada de trabalho –, bem como informações que digam respeito à pessoa do profissional e não à relação de trabalho em si, como gênero, endereço residencial, telefone residencial, CPF, RG e filiação.
Informações sobre salários, embora seja conteúdo inerente ao contrato de trabalho, deve ser tratada de forma cautelosa com acesso restrito a determinadas pessoas de recursos humanos, impedindo, assim, a divulgação de salários de empregados a demais colegas de trabalho.
Por outro lado, dados excessivos, que podem ensejar qualquer forma de discriminação do empregado, não podem ser coletados e, tampouco, são passíveis de transferência para plataformas online. É o caso dos dados de performance e/ou produtividade, ou ainda, com informações relativas à eventuais ações criminais, situação financeira (por exemplo, situações de inadimplemento, cadastro do empregado em instituições de proteção ao crédito e empréstimos), bem como dados relativos ao prontuário médico (estado de saúde e doenças).
Transparência. O profissional deve ser adequadamente informado sobre as finalidades do tratamento de suas informações, quais dados serão tratados, como serão usados, quem são os responsáveis pelo tratamento e, o mais importante, estar ciente sobre seus direitos de acesso, retificação e supressão dos dados. Caso haja necessidade de divulgação de informações pessoais a terceiros, sejam os responsáveis pela plataforma online, sejam empresas do mesmo grupo econômico, é indispensável que se obtenha prévio consentimento do profissional, por meio de documentação clara e precisa.
Segurança. As informações pessoais do profissional devem ser mantidas em ambiente seguro e seu acesso deve estar restrito ao pessoal autorizado. No contexto da relação de emprego, o acesso deve se restrito preferencialmente do departamento de recursos humanos. Além disso, devem ser adotadas medidas técnicas e administrativas aptas a conferir proteção de acessos não autorizados e de situações acidentais e ilícitas de destruição, perda, alteração e divulgação a terceiros sem consentimento do titular. Para fiscalização dessa regra, o PL 5.276/2016 prevê a criação de um órgão regulador para proteção de dados pessoais, que, dentre suas competências, está determinar padrões técnicos de segurança, bem como a adoção de providências diante de incidentes, como notificação aos titulares e ao órgão regulador, ampla divulgação na imprensa, e adoção de medidas para reverter ou mitigar efeitos destes incidentes.
Mas vale lembrar que o Decreto 8.771/2016, que regulamenta o Marco Civil da Internet, trouxe diretrizes acerca sobre padrões de segurança a serem adotados na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, quais sejam: (i) o estabelecimento de controle estrito sobre o acesso aos dados; (ii) a previsão de mecanismos de autenticação de acesso aos registros; (iii) a criação de inventário detalhado dos acessos aos registros de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso; e (iv) o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como criptografia ou medidas de proteção equivalentes.
Não discriminação. O tratamento dados pessoais não pode ser realizado para fins discriminatórios. No contexto da relação de emprego, este princípio significa que informações de profissionais não podem ser usadas para finalidades tais que venham a alterar a igualdade de oportunidades ou tratamento. E não são raros os casos em que candidatos e empregados são tratados de forma distinta em razão do gênero, da cor da pele, da idade, da orientação sexual, política e religiosa. Por isso, a preocupação com a discriminação no ambiente de trabalho foi objeto da Convenção nº 111 da Organização Internacional do Trabalho, que obriga os países subscritores a “formular e aplicar uma política nacional que tenha por fim promover, por métodos adequados às circunstâncias e aos usos nacionais, a igualdade de oportunidades e de tratamento em matéria de emprego e profissão, com o objetivo de eliminar toda discriminação nessa matéria”. O Brasil, signatário da Convenção, editou a Lei 9.029/1995, que proíbe a “adoção de qualquer prática discriminatória e limitativa para efeito de acesso à emprego relação de emprego, ou sua manutenção, por motivo de sexo, origem, etnia, cor, estado civil, situação familiar ou idade”.
Diante disso, vale reforçar que informações sobre performance e/ou produtividade do profissional, assim como dados sensíveis – tais como origem racial ou étnica, convicções religiosas, filosóficas e políticas, filiação a sindicatos, dados referentes à saúde e dados genéticos e biométricos –, não devem ser tratados, pois tal situação poderá caracterizar um banco de dados de avaliação negativa com acesso para terceiros, gerando uma situação risco trabalhista de ações judiciais pleiteando danos morais.
Inclusive, a criação de banco de dados com essas informações tem sido objeto de investigação pelo Ministério Público do Trabalho – MPT, que, por meio de denúncias anônimas, tem instaurado procedimentos administrativos para investigação, bem como ações judiciais impedindo a continuidade do banco de dados, além de condenação da empresa em dano moral coletivo.