Dados de Empregados: Tratamento pela Empresa Empregadora
O tratamento de dados pessoais de empregados pelas empresas empregadoras exige conformidade rigorosa com a LGPD, sob pena de sanções administrativas, ações judiciais e danos reputacionais significativos.
A Relação de Emprego como Fonte Contínua de Dados Pessoais
Desde o momento da candidatura a uma vaga até o desligamento (e mesmo após ele), a empresa empregadora coleta, armazena, utiliza e compartilha um volume expressivo de dados pessoais de seus empregados. Nomes completos, números de documentos, endereços, informações bancárias, dados de saúde ocupacional, registros biométricos de ponto, avaliações de desempenho e até mesmo imagens captadas por câmeras de segurança compõem esse universo de informações que, à luz da Lei Geral de Proteção de Dados (Lei 13.709/2018), demandam tratamento cuidadoso e fundamentado em bases legais adequadas.
Verificamos que muitas empresas ainda tratam esses dados de maneira informal, sem políticas internas estruturadas e sem a devida consciência de que a relação trabalhista não confere ao empregador um direito irrestrito sobre as informações de seus colaboradores. A subordinação jurídica inerente ao contrato de trabalho, inclusive, torna essa relação ainda mais sensível do ponto de vista da proteção de dados, pois o empregado se encontra em posição de vulnerabilidade e assimetria de poder perante o empregador.
Entendemos que a adequação à LGPD no contexto trabalhista não é apenas uma obrigação legal, mas também uma oportunidade de fortalecer a confiança entre empresa e colaboradores, promovendo um ambiente de trabalho mais transparente e ético. A negligência nesse aspecto pode resultar em fiscalizações da Autoridade Nacional de Proteção de Dados (ANPD), reclamações trabalhistas com pedidos indenizatórios e prejuízos à imagem corporativa.
Bases Legais Aplicáveis ao Tratamento de Dados de Empregados
Um dos equívocos mais comuns que observamos na prática empresarial é a crença de que o consentimento do empregado seria a base legal adequada para todo e qualquer tratamento de dados na relação de trabalho. Ocorre que, justamente pela assimetria de poder entre empregador e empregado, o consentimento obtido nesse contexto pode ser questionado quanto à sua efetiva liberdade, o que compromete sua validade nos termos da LGPD.
Analisamos que as bases legais mais frequentemente aplicáveis ao tratamento de dados de empregados são: o cumprimento de obrigação legal ou regulatória (como o envio de informações ao eSocial, recolhimento de FGTS e contribuições previdenciárias), a execução de contrato (o próprio contrato de trabalho que demanda processamento de dados para pagamento de salários, concessão de benefícios e gestão de férias) e o legítimo interesse do controlador (aplicável, por exemplo, ao monitoramento de e-mails corporativos ou à realização de auditorias internas, desde que respeitados os limites da razoabilidade e da proporcionalidade).
Quando se trata de dados sensíveis, como informações de saúde coletadas em exames admissionais, periódicos e demissionais, ou dados biométricos utilizados para controle de acesso e registro de ponto, a atenção deve ser redobrada. A LGPD estabelece um rol mais restrito de bases legais para o tratamento de dados sensíveis, e a empresa precisa demonstrar de forma clara a necessidade e a proporcionalidade do uso dessas informações. Exames toxicológicos, atestados médicos e laudos de medicina do trabalho, por exemplo, devem ser armazenados com acesso restrito e por período estritamente necessário ao cumprimento de obrigações legais.
O Papel do Consentimento em Situações Específicas
Embora não seja a base legal preferencial na relação de emprego, o consentimento pode ser necessário em situações pontuais, como o uso da imagem do empregado em materiais de marketing da empresa, a inclusão de dados em programas de benefícios voluntários ou o compartilhamento de informações com parceiros comerciais para fins que extrapolam a relação contratual. Nesses casos, recomendamos que o consentimento seja obtido de forma específica, destacada e com linguagem clara, assegurando ao empregado a possibilidade de recusa sem qualquer tipo de retaliação.
A subordinação jurídica na relação de emprego torna o tratamento de dados pessoais dos colaboradores uma questão especialmente sensível, exigindo do empregador transparência, proporcionalidade e bases legais sólidas que vão muito além do simples consentimento.
Boas Práticas e Governança de Dados no Ambiente de Trabalho
Consideramos que a implementação de um programa efetivo de governança de dados no contexto trabalhista deve contemplar diversas frentes de atuação. O primeiro passo é o mapeamento completo do ciclo de vida dos dados pessoais dos empregados, identificando quais informações são coletadas, para quais finalidades, com quem são compartilhadas, onde são armazenadas e por quanto tempo são mantidas. Esse inventário permite identificar tratamentos desnecessários, excessivos ou desproporcionais que devem ser eliminados.
A elaboração de políticas internas de privacidade voltadas especificamente para o contexto laboral é fundamental. Essas políticas devem ser comunicadas de forma clara aos colaboradores, preferencialmente durante o processo de integração (onboarding), e devem abordar temas como monitoramento de ferramentas corporativas, uso de câmeras de vigilância, controle de acesso biométrico, regras para uso de dispositivos pessoais no ambiente de trabalho (BYOD) e procedimentos para o exercício dos direitos dos titulares.
Recomendamos também a realização de treinamentos periódicos para gestores e equipes de recursos humanos, departamento pessoal e tecnologia da informação, áreas que lidam diretamente com grande volume de dados de empregados. A cultura de proteção de dados precisa ser incorporada ao cotidiano da organização, e não tratada como um projeto pontual de adequação.
Retenção e Descarte de Dados Trabalhistas
Um aspecto que merece atenção especial é a definição de prazos de retenção para os dados de empregados. A legislação trabalhista e previdenciária estabelece prazos prescricionais que influenciam diretamente o período pelo qual determinadas informações devem ser mantidas. Documentos relacionados ao FGTS, por exemplo, devem ser guardados por 30 anos. Registros do contrato de trabalho precisam ser mantidos por pelo menos 5 anos após o término do vínculo (respeitando o prazo prescricional trabalhista de 2 anos para ajuizamento de ação, com pretensões limitadas aos últimos 5 anos). Já dados coletados durante processos seletivos de candidatos não admitidos devem ser eliminados em prazo razoável, salvo consentimento para manutenção em banco de talentos.
Ao término do período de retenção, os dados devem ser descartados de forma segura, garantindo que não possam ser recuperados ou acessados indevidamente. A adoção de uma tabela de temporalidade, que associe cada categoria de dado ao seu respectivo prazo de guarda e à base legal que justifica a retenção, é uma ferramenta essencial para a gestão adequada desse processo.
Riscos e Consequências do Tratamento Inadequado
Identificamos que os riscos associados ao tratamento inadequado de dados de empregados se manifestam em múltiplas esferas. No âmbito administrativo, a ANPD pode aplicar advertências, multas que chegam a 2% do faturamento da pessoa jurídica (limitadas a R$ 50 milhões por infração), bloqueio ou eliminação dos dados pessoais e publicização da infração. Na esfera trabalhista, cresce o número de reclamações que incluem pedidos de indenização por danos morais decorrentes de violações à privacidade e à proteção de dados dos empregados.
Situações como o compartilhamento indevido de dados de saúde de empregados com seguradoras ou planos de saúde sem a devida base legal, a exposição de informações salariais ou avaliações de desempenho a pessoas não autorizadas, o monitoramento excessivo e desproporcional de atividades dos colaboradores e a manutenção de bancos de dados com informações desatualizadas ou inexatas são exemplos concretos de práticas que podem gerar responsabilização.
Analisamos ainda que incidentes de segurança envolvendo dados de empregados (como vazamentos decorrentes de ataques cibernéticos ou de falhas em sistemas de gestão de recursos humanos) impõem à empresa a obrigação de comunicação à ANPD e, em determinados casos, aos próprios titulares afetados. A ausência de medidas técnicas e administrativas de segurança adequadas agrava a responsabilidade do empregador nesses cenários.
Due Diligence de Dados na Prática Empresarial
O conceito de due diligence aplicado à proteção de dados de empregados envolve uma análise sistemática e preventiva das práticas de tratamento adotadas pela empresa. Esse processo é particularmente relevante em contextos de fusões, aquisições, reestruturações societárias e contratação de fornecedores que terão acesso a dados de colaboradores (como empresas de folha de pagamento, planos de saúde, consultorias de recrutamento e plataformas de gestão de pessoas).
Recomendamos que a due diligence de dados trabalhistas contemple a verificação da existência de registros de operações de tratamento (conforme exigido pela LGPD), a análise dos contratos com operadores de dados (terceiros que processam dados em nome da empresa), a avaliação das medidas técnicas de segurança implementadas (criptografia, controle de acesso, logs de auditoria), a revisão das políticas de privacidade e dos termos de uso de ferramentas corporativas, e a verificação do atendimento aos direitos dos titulares previstos na legislação.
Observamos que empresas que conduzem esse tipo de diligência de forma regular e documentada não apenas reduzem sua exposição a riscos jurídicos, mas também demonstram boa-fé e diligência perante autoridades reguladoras e o Poder Judiciário, o que pode ser determinante na dosimetria de eventuais sanções.
A nomeação de um Encarregado de Proteção de Dados (DPO) com conhecimento das peculiaridades da legislação trabalhista é outro elemento que fortalece a governança. Esse profissional atua como ponto de contato entre a empresa, os empregados titulares de dados e a ANPD, além de orientar a organização na implementação de medidas preventivas e na resposta a incidentes.
Perguntas Frequentes
A empresa pode monitorar os e-mails corporativos dos empregados?
O monitoramento de e-mails corporativos é admissível, desde que os empregados sejam previamente informados sobre essa prática por meio de política interna clara e acessível. A empresa deve limitar o monitoramento às ferramentas corporativas, respeitar o princípio da proporcionalidade e jamais acessar contas pessoais dos colaboradores, mesmo quando utilizadas em dispositivos da empresa.
Por quanto tempo a empresa deve guardar os dados de um empregado após o desligamento?
Os prazos variam conforme a natureza do dado e a obrigação legal associada. Documentos relacionados ao contrato de trabalho devem ser mantidos por pelo menos 5 anos após o término do vínculo (respeitando prazos prescricionais), enquanto registros ligados ao FGTS possuem prazo de guarda de 30 anos. Dados que não tenham base legal para retenção após o desligamento devem ser eliminados de forma segura.
O consentimento do empregado é sempre necessário para o tratamento de seus dados?
Não. Na relação de emprego, o consentimento raramente é a base legal mais adequada, pois a subordinação jurídica pode comprometer sua validade. A maioria dos tratamentos de dados no contexto trabalhista se fundamenta no cumprimento de obrigação legal, na execução do contrato de trabalho ou no legítimo interesse do empregador, sendo o consentimento reservado para situações específicas como uso de imagem em campanhas de marketing.
As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
