Por Célio Pereira Oliveira Neto e Ricardo Calcini
Introdução
Numa sociedade em que os dados são mundialmente reconhecidos como o recurso mais valioso[1], entre idas e vindas, após período de vacância e quase intermináveis discussões legislativas quanto ao início de vigência, no dia 18 de setembro entrou em vigor[2] a Lei 13.709/18 — Lei Geral de Proteção de Dados (LGPD) —, que visa a proteger os direitos da liberdade e da privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Os episódios envolvendo a Cambridge Analytica na eleição americana e no Brexit bem mostraram a força do uso dos dados quando de modo dirigido. Trata-se de um processo de informação massiva, mas que consegue ser personalizada, que desnuda o indivíduo quanto aos seus interesses, gostos, preferências e, o pior, ódios.
Nesse contexto, ainda que represente mais uma obrigação a ser cumprida pelas pessoas jurídicas públicas e privadas ou pessoa que desenvolva atividade econômica, a LGPD vem em boa hora. Isso porque, além de proteger dados que se relacionam à personalidade de cada um, coloca o país num cenário de maior competitividade, pois confere ao Brasil ambiente mais seguro de negócios.
- A proteção de dados no contexto laboral
Debruçar os olhares sobre o cenário europeu é salutar para indicar os primeiros passos. A um, porque a Europa possui diretiva desde 1995, sendo que em algumas nações[3] — tais como Alemanha, Suécia, Dinamarca e França, as primeiras leis são da década de 1970; a dois, porque aproximadamente 90% (noventa por cento) da LGPD toma por base o RGPD.
Pois bem, a Carta dos Direitos Fundamentais da União Europeia, em seu artigo 8º, enuncia a proteção de dados de caráter pessoal, disciplinando que eles devem ser objeto de tratamento legal, para fins específicos e com o consentimento da pessoa interessada ou outros fundamentos legítimos previstos por lei, dentre outras disposições[4].
A Convenção 108, do Conselho da Europa, trata da proteção dos direitos fundamentais dos indivíduos no processamento automático dos dados pessoais, enquanto a Carta de Direitos Humanos e Princípios para a Internet garante o direito de não ser vigiado, privacidade on line, criptografia e anonimato on line.
A Recomendação 89 (2), também do Conselho da Europa[5], ainda que sem caráter vinculativo aos Estados Membros, trata dos dados pessoais do empregado no ambiente de trabalho, indicando uma série de cuidados que se iniciam com a orientação de que o empregador deve informar os trabalhadores acerca dos dados da vida privada destes a serem inseridos em sistemas informatizados[6].
A Diretiva 95/46/CE do Parlamento Europeu e do Conselho tutelava o tratamento de dados pessoais e a circulação desses dados, até que foi revogada pelo Regulamento Geral de Proteção de Dados (RGPD), de 25.5.2018.
O artigo 88º do RGPD é dedicado exclusivamente ao tratamento de dados no contexto laboral, disciplinando que cabe aos Estados Membros estabelecer em seus ordenamentos, ou em convenções coletivas, normas mais específicas para garantir a defesa dos direitos e liberdades no tratamento de dados de trabalhadores para efeitos de recrutamento, execução do contrato, igualdade e diversidade, saúde e segurança e cessação contratual, dentre outros[7].
A Lei 13.709/18, no entanto, não possui dispositivo abordando expressamente do tratamento de dados no contexto das relações do trabalho, tal como o RGPD. Mas, se a LGPD não possui menção expressa quanto à essa aplicação, os contratos de emprego estariam “libertos” das “garras” da lei? A resposta é negativa, afinal, a Lei 13.709/18 possui aplicação geral, e como tal, representa fonte subsidiária do direito do trabalho, nem sequer se fazendo necessário o uso do artigo 8º da CLT ante a aplicação do método do diálogo das fontes.
Ademais, as relações de emprego não estão inseridas nas excludentes do artigo 4º da LGPD, sendo os fundamentos, princípios e bases legais da Lei 13.709/18 plenamente aplicáveis às relações de trabalho, até porque a norma constitucional enuncia como princípio maior a dignidade da pessoa humana (artigo 1º, III, CF), assim como garante a igualdade (artigo 5º, caput), a inviolabilidade da intimidade, vida privada, honra e imagem (artigo 5º, X), e o direito à livre expressão (artigo 5º, IX), dentre outros direitos expressamente previstos na Carta Maior e na legislação infraconstitucional – esta última com destaque para o artigo 20 e ss. do CC que elencam os direitos da personalidade -, sem olvidar da Lei 12.965/14 (Marco Civil da Internet).
Como se nota, antes mesmo da Lei 13.709/18 (LGPD), a responsabilidade da empresa para com os dados do trabalhador já tinha amparo na legislação, inclusive merecia aplicação das cláusulas gerais, dentre as quais a boa-fé objetiva e seus deveres colaterais, tais como de cuidado e proteção para com as informações e dados pessoais do empregado[8].
Ademais, nas relações de emprego são coletados dados pessoais diretos (que identificam a pessoa, tais como CPF, RG) e indiretos (que tornam a pessoa identificável, tais como CEP), e, mesmo sensíveis (passíveis de gerar discriminação, tais como filiação sindical, dados relativo à saúde ou biométricos).
Portanto, indene de dúvidas que a proteção de dados prevista pela LGPD se aplica às relações do trabalho, desde a fase pré-contratual, o que enseja adequação dos processos de recrutamento e seleção.
2.Recrutamento e seleção de candidatos
Os princípios da LGPD são 10 (dez), que possuem caráter transversal, dialogam e se complementam. Podem parecer complexos, mas não o são. É salutar conhecê-los, pois indicam o caminho a ser seguido no tratamento, a começar pelo princípio da finalidade, pelo qual deve haver um propósito explícito, específico e informado que justifique o tratamento do dado pessoal.
O princípio da adequação é simples, pois requer compatibilidade do tratamento com as finalidades informadas, ou seja, é necessária a existência de relação entre a informação solicitada e o fim à que se destina, ao passo que o da necessidade preconiza que a coleta deve ser limitada ao mínimo necessário para o alcance da finalidade, minimizando-se o uso de dados e o tempo de conservação.
Só pela leitura dos três primeiros princípios já se pode questionar: muda algo no processo de seleção de candidatos? Sim, a iniciar pela minimização da coleta de dados dos candidatos, especialmente no que se refere à vida privada ou mesmo passíveis de discriminação, passando pela necessidade de informação quanto à finalidade da coleta do dado e tempo de manutenção da informação.
Em outras palavras, o currículo não mais poderá adormecer em arquivos físicos ou digitais, pois tal procedimento, por si só, independente de vazamento, já representa desconformidade à LGPD[9].
Na abertura do processo de seleção já devem ser consignadas informações aos candidatos quanto à finalidade da coleta e tempo de manutenção do currículo, até mesmo em atendimento a outro princípio o da transparência, que enseja a garantia de informações claras, precisas e acessíveis, observados os segredos comercial e industrial.
Sem espaço para apreciação de todos os princípios, vale aqui tratar de mais um enunciado da LGPD, qual seja, o da não discriminação, que consiste na impossibilidade de tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos, impondo ao empregador a adoção de medidas que eliminem a possibilidade de discriminação[10].
Por falar em discriminação, se a seleção for levada a efeito por meio de inteligência artificial (IA) há alguma cautela a ser adotada? Sem dúvida que sim, pois o princípio da transparência aplica-se com ainda mais ênfase, tal como previsto no artigo 20 da LGPD, que prevê a revisão da decisão tomada unicamente com base no tratamento automatizado de dados que afetem os interesses do titular, fazendo menção àquelas destinadas à definição de perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
E mais, o parágrafo 1º do artigo 20 prevê que o controlador (nas relações do trabalho, em regra leia-se empresa) deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
A questão é que se a decisão for tomada por algoritmo — diante da opacidade dos algoritmos, verdadeiras caixas pretas — muitas vezes nem sequer o programador conseguirá decifrar como se deu o processo decisório, ficando complexa a tarefa de atender ao princípio da transparência incrustado no dispositivo legal supra.
Ademais, a leitura adotada pelo algoritmo possivelmente adotará um padrão, que poderá ser discriminatório, se não observada igualdade de oportunidades em razão de raça, sexo e outros dados passíveis de discriminação, que a LGPD nomeia como sensíveis. Exemplo prático é o caso da Amazon, que com base no histórico de contratações levou à discriminação de mulheres na seleção pela ferramenta utilizada[11].
Vê-se, pois, a cautela que se deve adotar na tomada de decisões automatizadas, mormente quando assim o for por meio da inteligência artificial, o que desde logo faz recomendar a elaboração de Relatório de Impacto – não obrigatório em geral, mas imprescindível à medida em que aumenta o potencial de o algoritmo tomar decisões que possam violar a LGPD.
Por sinal, cumpre observar que a nossa legislação não prevê a revisão humana da decisão automatizada, diferentemente do RGPD, o que amplifica o desafio no uso de uma inteligência artificial ética, num cenário em que a IA pode ser usada para mapear as emoções do candidato ao emprego quando das entrevistas.
E terminado o processo seletivo, em caso de não contratação devo eliminar o currículo de imediato? Absolutamente não, dada a possibilidade de propositura de ações trabalhistas pleiteando indenização pela perda de uma chance ou alegação de procedimento discriminatório na contratação.
A recomendação, portanto, é manter o currículo pelo período determinado no programa (sugeridos 2 anos), utilizando-se para tanto da base legal exercício regular de direitos em processo judicial, administrativo ou arbitral. Por sinal, essa é a base legal que autoriza a manutenção de documentos relativos ao contrato de emprego pós rescisão pelo período prescricional diante do risco de demanda judicial.
Como não há tempo para tratar de todas as bases legais é mais fácil usar o consentimento do trabalhador em todas as situações, certo? Nada pode ser mais temerário, pois com a revogação do consentimento, o controlador (no caso, empregador) terá de excluir todas as informações que possui, ficando sem documentos caso venha a enfrentar uma demanda.
Ademais, o consentimento deve ser manifestado de forma livre e inequívoca pelo trabalhador. E isso após o empregador ter dado ciência acerca da finalidade da coleta do dado, forma e duração do tratamento, contato do controlador, e se haverá compartilhamento e com qual finalidade, além das responsabilidades dos agentes de tratamentos, direitos do empregado como titular dos dados (v.g., acesso, atualização, revogação), isso fora os riscos e medidas adequadas – sempre observada a regra da granularidade, ou seja, o consentimento não deve ser geral, mas sim item a item.
Acresça-se que é necessário ter cautela diferenciada quando se trata do uso do consentimento em relações de desigualdade de poder, tal como na relação de emprego,[12] mas este é um tema para uma próxima oportunidade.
Fechamento
É salutar na coleta de dados se questionar quanto ao cumprimento dos princípios da LGPD, a iniciar pelos apresentados. Assim, devo perguntar: necessito deste dado? Para quê? Há informação em demasia? É necessário que todas essas pessoas tenham acesso a tais dados ou posso minimizar o acesso? Estou limitando o tempo de guarda do dado?
O recrutamento e a seleção de candidatos devem ser levados a efeito com base no programa de adequação à LGPD adotado pela empresa ou organização, na fase da governança, onde serão inseridas as diversas políticas e tratativas para os diferentes fluxos de dados.
Há muito a ser feito e o recrutamento e seleção representam somente uma pequena fatia, inserida na etapa da governança, que não deve vir divorciada das demais fases próprias de um processo de adequação à LGPD, ou data compliance, como queiram.
[1] https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data. Acesso em set/2020.
[2] com a sanção da Lei 14.058, fruto da conversão da MP 959.
[3]http://www.lex.com.br/doutrina_24316822_A_DIRETIVA_EUROPEIA_SOBRE_PROTECAO_DE_DADOS_PESSOAIS__UMA_ANALISE_DE_SEUS_ASPECTOS_GERAIS.aspx#:~:text=Em%201970%2C%20o%20Estado%20alem%C3%A3o,primeira%20lei%20sobre%20essa%20mat%C3%A9ria.&text=Desde%201977%2C%20a%20Alemanha%20tem,uso%20il%C3%ADcito%20de%20dados%20pessoais. Acesso em: set/20.
[4] Disponível em: http://www.europarl.europa.eu/charter/pdf/text_pt.pdf. Acesso em: set/20.
[5] ITALIA. Raccomandazione. Disponível em: http://194.242.234.211/documents/10160/10704/Consiglio+UE+Raccomandazione+%2889%29+2.pdf. Acesso em: set/20.
[6] OLIVEIRA NETO, Célio Pereira. Trabalho em ambiente virtual: causas, efeitos e conformação. São Paulo: LTr, 2018.
[7] https://eur-lex.europa.eu/eli/reg/2016/679/oj. Acesso em: set/20.
[8] OLIVEIRA NETO, Célio Pereira. Trabalho em ambiente virtual: causas, efeitos e conformação. São Paulo: LTr, 2018.
[9] Em que pese não deva ser descartado de imediato, consoante será adiante exposto.
[10] Como se sabe, no Brasil, o artigo 373-A da CLT procura evitar a discriminação no mercado de trabalho, desde o momento da fase de recrutamento, bem como para efeitos de promoção ou manutenção no emprego. De igual sorte, a Lei 9.029/95 proíbe a exigência de atestados de gravidez e esterilização, além de outras práticas discriminatórias, para efeitos admissionais ou de manutenção do contrato.
[11] https://tecnoblog.net/meiobit/391571/ferramenta-de-recrutamento-amazon-ai-discriminava-mulheres/. Acesso em: set/20.
[12] Nesse sentido, embora referindo-se ao desequilíbrio manifesto entre a autoridade pública e o titular de dados, o Considerando 43 do Working Party 29
