Demócrito Reinaldo Filho*
Existe hoje um consenso absoluto sobre a importância da questão do processamento de dados pessoais no contexto do ambiente de trabalho. Esse tema, em seus variados aspectos, vem sendo atualmente objeto de ativas discussões, negociações, regulamentações e pesquisas a nível internacional. Isso se deve não somente à específica natureza da relação de trabalho, mas, sobretudo, devido às recentes e profundas transformações sócio-econômicas promovidas pela revolução tecnológica.
De fato, um grande número de atividades executadas rotineiramente no curso da relação de trabalho resulta na coleta de informações pessoais dos empregados. Para proporcionar seleção, treinamento e promoção dos trabalhadores, bem como controle de qualidade e aumento da produção, além de inúmeros outros objetivos ligados à produção de bens e serviços, as empresas constantemente processam dados de seus empregados. A coleta de dados pessoais pode ocorrer antes da contratação, para efeito de recrutamento; continua durante toda a relação empregatícia e pode se estender até mesmo depois de extinta. O processamento de informações pessoais dos empregados é feito não somente em benefício do empregador, mas também em proveito dos próprios empregados, como ocorre em muitas situações em que seus dados são coletados para efeito de planejamento de políticas de saúde e segurança nas empresas. O fato é que o recolhimento de dados pessoais dos empregados é uma constante no ambiente de trabalho, e isso gera um grande risco de afronta a direitos fundamentais, em especial os direitos ligados à privacidade.
Esse risco tem aumentado na medida em que as novas tecnologias facilitam a coleta de dados. O uso de tecnologias de comunicação nos locais de trabalho tem intensificado o processamento de dados dos empregados e ampliado sua extensão. A automação do processamento de dados, a generalização do uso da Internet e serviços de e-mail no ambiente de trabalho e o aparecimento de novos dispositivos tecnológicos para monitoração e vigilância facilitaram e ampliaram a coleta de dados pessoais dos trabalhadores. Toda essa realidade desperta novas preocupações, no sentido de que um novo equilíbrio há de ser encontrado entre os direitos fundamentais dos empregados (em particular, o direito à privacidade) e os legítimos interesses das empresas. Em outras palavras, vislumbra-se um novo conjunto de normas e diretrizes para regular especificamente o processamento de informações pessoais no ambiente de trabalho.
Com esse propósito, de avaliar a necessidade de uma nova regulamentação, a Comissão Européia [1] lançou no dia 27 de agosto do ano passado (2002) uma consulta sobre a proteção de dados pessoais de empregados. Já existe atualmente, a nível do Direito Comunitário da União Européia, duas diretivas no campo da proteção de dados pessoais: a Diretiva 95/96/EC, relativa à proteção dos indivíduos em respeito ao processamento de dados pessoais e sua livre circulação [2]; e a Diretiva 97/66/EC, que trata do processamento de dados pessoais e proteção da privacidade no setor das telecomunicações. Nenhuma delas, no entanto, contém disposições específicas sobre a coleta e o processamento de dados pessoais no contexto do ambiente de trabalho. A consulta teve por objetivo, portanto, analisar a conveniência de se criar um novo conjunto de diretrizes legais e regras específicas, possivelmente em forma de nova diretiva. As diretivas já existentes, conforme consenso geral, se aplicam integralmente à proteção dos dados pessoais dos trabalhadores, mas como possuem uma natureza genérica e não contêm, em princípio, regras específicas sobre o processamento de informações pessoais no contexto da relação empregatícia, a Comissão quis saber se ainda persiste uma necessidade de particularizá-las ou emendá-las [3].
Ficou demonstrada uma evidente divergência nas respostas que foram enviadas à Comissão em atenção à consulta pública. As organizações patronais [4] não enxergaram necessidade de nova legislação comunitária. A já existente, notadamente a Diretiva 95/46/EC, foi considerada adequada e suficiente para garantir alto nível de proteção aos dados dos empregados. Foi enfatizada a conveniência nesse campo da flexibilidade das legislações dos países que compõem a União Européia, dadas as diferentes realidades sociais, além da necessidade de se evitar adicionais deveres aos empregadores. As entidades patronais também salientaram sua posição de defesa de regulamentação não-estatal nessa matéria, a exemplo de códigos de conduta. As organizações representativas dos empregados [5], por sua vez, se posicionaram em favor de uma nova diretiva. Acentuaram que as atuais diretivas relativas à proteção de dados pessoais são úteis, mas não suficientes quando se trata do problema sob o prisma da relação trabalhista. Elas não cobrem todos os aspectos por não terem sido elaboradas com o propósito específico de se oferecer proteção dos dados de empregados, lembraram ainda.
Depois de analisar as respostas oferecidas pelas diferentes instituições, além de apreciar estudos especialmente preparados para esse tema e de realizar uma série de encontros com especialistas de todo o mundo, a Comissão chegou à conclusão de que uma ação legislativa, indo além dos princípios genéricos de proteção de dados pessoais, era necessária, de forma a estabelecer um conjunto específico de regras de proteção para o campo da relação de emprego. Vários motivos pesaram na decisão da Comissão, entre os quais: a necessidade de se conferir maior clareza às leis de proteção de dados e menos incerteza quanto à sua aplicação; a especificidade da relação de trabalho, que determina o escopo e a apropriada extensão da proteção de dados no seu âmbito; e os recentes avanços tecnológicos e sua aplicação ao ambiente de trabalho, que alteraram o então equilíbrio entre os interesses empresariais e os direitos dos trabalhadores.
Na visão da Comissão, o novo framework legal específico para proteção de dados pessoais no ambiente de trabalho deve ser orientado pelas seguintes proposições genéricas:
a-) deve ter como objetivo a explicitação e complementação dos princípios estabelecidos na Diretiva 95/46/CE, em particular o princípio da finalidade [6], que obriga a pessoa que processa dados de outra a especificar os propósitos de sua atividade; o da legitimidade do processamento, o da proporcionalidade, o da transparência, o da acuidade e o da segurança [7];
b-) deve abranger o processamento de todo e qualquer tipo de informação, sem consideração à natureza do meio envolvido, incluindo som e imagem;
c-) deve alcançar o processamento de dados não apenas durante a relação de trabalho, mas também durante o processo de recrutamento e até mesmo, onde se fizer necessário, após o término da relação;
d-) deve proteger a coleta de dados por qualquer meio, equipamento ou dispositivo tecnológico, como computadores, câmeras, equipamento de vídeo e som, telefones e outros meios de comunicação;
e-) o consentimento dado por um empregado (ou seu representante) não é um meio absoluto para a legitimização do processo de coleta e processamento de sua informação pessoal, por causa da situação de dependência e subordinação; dada a natureza da relação de trabalho, o consentimento somente será decisivo quando o empregado tenha realmente uma livre escolha quanto ao processamento. O consentimento, por si só, pode não ser suficiente para legitimar o processamento, p. ex., de informações sensíveis, relativas a histórico médico ou criminal do empregado.
f-) onde houver um legítimo propósito para a coleta de dados pessoais, o consentimento, em princípio, deve ser obtido diretamente do empregado, somente se admitindo que a autorização seja dada por pessoa ou órgão representativo em casos onde isso não for possível;
g-) os dados pessoais devem ser coletados para fins diretamente relevantes e necessários ao trabalho do empregado;
h-) os dados pessoais dos empregados devem ser usados somente para a finalidade para a qual foram coletados; não devem ser processados de uma maneira incompatível com esses fins. No contexto da relação de trabalho, pode ser aconselhável, em alguns casos, a exigência de prévia autorização de autoridade supervisora;
i-) os dados pessoais devem ser coletados de uma maneira justa. No contexto da relação de trabalho, isso significa que devem ser solicitados da pessoa a quem se referem. Se for necessário coletá-los de uma terceira pessoa, o trabalhador deve ser informado com antecedência e dar seu consentimento;
j-) a pessoa tem o direito de ter acesso a seus dados sem sofrer qualquer constrangimento. Os empregadores não podem exigir que os empregados se utilizem desse direito com o propósito de repassar-lhes dados pessoais (p. ex., os registros médicos e criminais);
l-) os empregadores devem evitar se fundamentar exclusivamente no consentimento do empregado como meio para legitimar a coleta de seus dados, devendo procurar justificar sua atividade pelos motivos elencados no artigo 7o. da Diretiva 95/46/EC, respeitando, em todo caso, os outros princípios gerais de proteção de dados pessoais, em particular o da relevância, necessidade e proporcionalidade;
m-) os dados pessoais devem ser processados legalmente. No contexto da relação de trabalho, isso significa que os dados pessoais coletados de um trabalhador não podem ser utilizados para discriminá-lo;
n-) uma nova regulamentação deve indicar se dados coletados irregularmente podem ser usados contra o trabalhador (p. ex., em juízo);
o-) de maneira a atender os princípios da relevância, necessidade e proporcionalidade, as informações pessoais de uma candidato a emprego só devem ser coletadas depois de ele haver sido selecionado (com base em suas habilidades e qualificações) no último estágio antes de sua contratação;
p-) de modo a obedecer ao princípio da segurança do processamento automatizado de dados pessoais, a nova legislação deve indicar quais as medidas que devem ser tomadas para evitar que pessoas desautorizadas tenham acesso a eles. O status, tarefas e poderes das pessoas autorizadas devem ser especificados; especialmente em relação a dados sensíveis, o número de pessoas autorizadas deve ser limitado.
Além de proposições genéricas sobre o processamento de dados dos empregados, a Comissão elaborou regras específicas para a coleta de determinadas categoriais de informações pessoais. Com efeito, a Diretiva 95/46/EC elegeu certas categorias de dados sensíveis, tais como os referentes à origem étnica ou racial de uma pessoa, às suas opiniões políticas, convicções religiosas e filosóficas, à sua vida sexual e ao seu passado criminal, entre outros, estabelecendo como regra geral a proibição do processamento desse tipo de informações, salvo algumas exceções, em face do risco de discriminação que o conhecimento delas pode provocar. No contexto da relação de trabalho, esse risco é aumentado, devido ao grande prejuízo que os empregados podem sofrer se tiverem informações desse tipo em poder do empregador. Somente se admite sua coleta e processamento em alguns casos excepcionais, justificados por leis anti-discriminação racial, em particular para permitir políticas de “ação positiva” [8] ou em função de requisitos ocupacionais especiais. Nesses casos excepcionais, a lei deve prover os limites do processamento, estabelecendo as salvaguardas apropriadas.
Em atenção aos princípios da finalidade (especificação de propósitos), limitação, legitimidade e proporcionalidade, algumas exigências devem ser adicionadas ao processamento de dados sensíveis no contexto do ambiente de trabalho, como abaixo se sugere:
1) Informações sobre preferências e hábitos sexuais do empregado só devem ser coletadas para dirimir responsabilidades do empregador acusado de assédio sexual.
2) O processamento de informações sobre histórico e registros criminais somente se justifica em razão da natureza das funções do cargo ou emprego em questão e depois de uma avaliação da autoridade supervisora, levando-se em consideração todas as circunstâncias relevantes. Em qualquer caso, a requisição de informações sobre o passado criminal de um empregado sem especificação de quais registros são relevantes para o emprego em tela, deve ser proibida, mesmo que o empregado aceda em fornecê-las.
3) dados referentes a filiações a sindicatos e associações de classe podem ser coletados dentro dos limites estabelecidos em lei ou em acordo coletivo, onde se estabeleçam as devidas salvaguardas, como, p. ex., a exigência de prévio consentimento do empregado.
4) dados referentes a origem étnica ou racial, crenças religiosas, convicções políticas e ideológicas somente devem ser coletados nas hipóteses em que a lei prevê tratamento diferente para os empregados, justificado pelas características especiais das ocupações profissionais ou em caso de “ação positiva”.
5) Os registros e dados médicos e hospitalares (health data) em princípio não podem ser coletados. Contudo, tendo em vista que no contexto da relação de emprego a coleta pode ser justificada não somente em benefício do empregador mas também do próprio empregado, como ocorre para a melhoria das suas condições de saúde e segurança do local de trabalho, algumas exceções podem ser abertas a esse princípio. Assim, algumas regras específicas podem ser alinhavadas:
a-) a coleta de dados médicos pode ser processada somente quando: se justifique para determinar a aptidão do empregado para as funções essenciais do cargo perseguido [9]; para proporcionar o atendimento de normas de segurança e saúde ocupacionais; e para determinar a titulação (ou não) ao empregado de certos benefícios sociais e previdenciários;
b-) os dados médicos devem ser processados somente por profissionais da área de saúde submetidos a regras de confidencialidade, devendo ser mantidos separadamente de outros tipos de informações pessoais;
c-) no caso de exames médicos, o empregador deve ser informado somente quanto às conclusões relevantes para o processo de decisão acerca do emprego em vista.
6) Outro tipo de dados sensíveis, cuja manipulação deve ser regulada por regras específicas, são os resultantes de testes de detecção de drogas (drug testing). Não somente o método em si da coleta pode ser extremamente invasivo ao direito à privacidade individual, mas também os resultados desse tipo de teste (drug testing data) podem conter dados pessoais altamente sensíveis. Por essa razão, sua realização de forma sistemática, generalizada ou aleatória, sem uma razão específica, é altamente questionada. Sob a rubrica dos testes de drogas incluem-se não somente os que detectam drogas ilícitas (entorpecentes em geral), mas também os que indicam o uso de álcool. Aqui uma distinção necessita ser feita. Enquanto que o resultado positivo do uso de álcool pode indicar uma inadaptação para o trabalho, o teste de drogas específico, salvo se for tecnologicamente sofisticado, não é em regra suficiente a revelar risco de vício ou de comprometimento da capacidade laboral do empregado; ele somente é capaz de revelar que a pessoa fez uso de drogas em algum momento passado.
A principal questão em torno dos testes de drogas, portanto, é definir em quais circunstâncias sua utilização é justificável. Não se pode negar que os empregadores têm um legítimo interesse em precisar a capacidade individual do empregado, na condução de suas tarefas de modo seguro. Não se pode negar também que os testes de drogas são um mecanismo de políticas públicas de saúde e segurança no ambiente de trabalho. Mas sua utilização indiscriminada não pode ser a regra. Eles somente se justificam diante de programas voluntários, de prevenção, tratamento e reabilitação de trabalhadores, ou em caso de medidas de segurança relacionadas com o tipo específico de atividade, como ocorre, p. ex., com o setor de transportes, onde testes de drogas realizados de forma aleatória podem se justificar. Em um espectro mais amplo, onde não haja uma razoável suspeita de que o uso de drogas por um determinado empregado pode comprometer a saúde e segurança dos demais ou do público, o teste de detecção pode não se apresentar como um recurso legítimo e admissível.
Levando-se em consideração essas peculiaridades e a natureza extremamente sensível dos dados resultantes do teste de drogas, algumas diretrizes podem ser estabelecidas em relação a esse tema:
a-) teste de drogas (incluindo o uso de álcool) somente pode ser realizado com o propósito de determinar se o trabalhador está habilitado para desempenhar suas atividades em segurança em relação a si próprio e aos outros;
b-) testes sistemáticos e generalizados somente se justificam para empregados que desempenham atividades particularmente perigosas ou que coloquem em risco a segurança e saúde de outras pessoas (como os do setor de transportes, p. ex.);
c-) testes individuais somente se justificam onde haja uma razoável suspeita de que um determinado trabalhador faz uso de drogas colocando em risco seus colegas ou o público em geral;
d-) testes podem ser realizados no contexto de um programa voluntário voltado a combater a dependência ou o abuso no uso de drogas;
e-) testes de drogas somente devem ser processados por profissionais qualificados da área de saúde, sujeitos a regras do sigilo médico;
f-) os testes de drogas devem ser confiáveis, acurados e sujeitos a um rigoroso procedimento de controle de qualidade.
7) Uma última categoria de dados sensíveis ainda está a exigir regulamentação mais estrita e uma maior proteção que os dados médicos. Trata-se da relativa aos dados genéticos (genetic testing data), provenientes de testes e exames da estrutura genética de uma pessoa. Isso porque o risco de invasão à privacidade é muito maior, pois pode atingir não somente a pessoa de quem são coletados, mas outras integrantes de sua família e linha genética. Além disso, como podem revelar suscetibilidades e predisposições a doenças, o risco de preconceito e discriminação individual também aumenta consideravelmente, particularmente no setor de trabalho. Acrescente-se também que, em relação a essa classe específica de dados, um outro e importante princípio está em jogo, que é o “direito de não saber” (right not to know). Como os testes genéticos podem revelar doenças (ou predisposição a elas) cuja cura a ciência ainda não tenha encontrado, para a pessoa pode ser preferível não ter conhecimento do resultado deles. A tensão psicológica implicada nos prognósticos genéticos, particularmente no caso de doenças graves para as quais não exista tratamento disponível na atualidade, é uma circunstância que não pode ser desprezada.
Os altos custos da realização de testes genéticos vinha funcionando como fator de contenção de sua expansão no contexto da relação de emprego. Recentes avanços tecnológicos, no entanto, têm modificado essa situação, tornando os testes um expediente mais acessível em termos de custos operacionais. Aliado ao pesado marketing das empresas que realizam esses testes, a perspectiva da sua disseminação desenfreada é algo preocupante, que chega a alarmar alguns estudiosos do assunto.
Como a monitoração genética pode servir para a proteção da saúde e segurança dos empregados, particularmente em trabalhos que envolvam alto risco de contaminação ambiental, é preciso se encontrar um perfeito equilíbrio entre seus direitos fundamentais, os interesses do empregador e do público relacionado. Nesse sentido, alguns princípios foram alinhavados como parte de um futuro framework legal europeu em matéria de proteção a dados genéticos. O princípio maior é de que o processamento de dados genéticos que possam indicar a predisposição a certas doenças (predictive genetic data) somente se justifica em face de uma necessidade excepcional, com propósitos de proteção da saúde e segurança do trabalhador ou de terceiros, e desde que seja autorizado por lei nacional que preveja as seguintes salvaguardas:
a-) respeito estrito ao princípio da proporcionalidade, significando, em cada hipótese concreta, a inexistência de outros meios menos invasivos para se alcançar o mesmo resultado do teste genético;
b-) a implementação de melhores condições de trabalho por meio dos testes genéticos não deve resultar em preconceito individual;
c-) supervisão prévia dos testes por autoridade governamental deve ser considerada e deve abranger a qualidade dos testes, as circunstâncias particulares de cada caso e a acuidade dos resultados;
d-) a lei e a atuação dos agentes governamentais deve ter como diretriz o essencial balanceamento entre os direitos fundamentais do empregado, de um lado, e os interesses da sociedade, de outro, em função da potencialidade de riscos à saúde e segurança de terceiros (companheiros de trabalho e o público em geral), notadamente em atividades de alta periculosidade;
e-) deve ser considerado o direito da pessoa objeto do teste de não ter conhecimento de seu resultado (“right not to know”), particularmente no caso de doenças sérias e para as quais ainda não exista tratamento.
A Comissão também ofereceu indicações para a criação de regras específicas para o problema do monitoramento e vigilância do empregado no ambiente de trabalho. O monitoramento do comportamento dos empregados e mesmo sobre sua correspondência é um assunto de aceso e constante debate, que tem aumentado de intensidade na medida em que os meios tradicionais de controle, como a escuta telefônica e a vigilância por meio de câmeras, vêm sendo complementados por outros tecnologicamente mais intrusivos, como a própria ferramenta de trabalho – o computador – para efeito de vasculhar a correspondência e o acesso à Internet. Nesse sentido, fica clara a necessidade de um corpo específico de regras para esse assunto. Por isso, a Comissão resolveu oferecer um contributo para sua criação, a partir da especificação dos princípios genéricos da justeza e legalidade do processamento, da finalidade (especificação de propósitos), da limitação, necessidade e proporcionalidade, previamente contidos na Diretiva 95/46/EC (nos seus arts. 6o. e 7o.). Levou em conta o papel limitado do consentimento como meio para legitimar a coleta e processamento dos dados pessoais, no sentido de que anuência dos empregados não exclui a aplicação desses princípios quando se trate de realizar a operação de monitoramento e vigilância no ambiente de trabalho. Sopesando tudo isso, sugeriu os seguintes princípios para a formação de um arcabouço legal:
a-) que os órgãos representativos dos trabalhadores devem ser informados e consultados antes da introdução, modificação ou avaliação de qualquer sistema utilizado para o monitoramento e vigilância;
b-) a supervisão prévia pela autoridade nacional de proteção de dados – os países mais desenvolvidos possuem a figura do comissário para proteção de dados (privacy comissioner) – deve ser considerada;
c-) o monitoramento continuado deve ser permitido somente se necessário por motivos de saúde, segurança e proteção da propriedade;
d-) monitoração secreta deve ser permitida somente em conformidade com as salvaguardas contidas na legislação nacional ou se houver uma razoável suspeita de atividade criminal ou outro fato de grave disfunção;
e-) dados pessoais coletados para garantir a segurança, o controle ou o adequado funcionamento do sistema de processamento não devem ser usados para controlar o comportamento individual dos empregados, salvo quando relacionado com a própria operação do sistema;
f-) dados pessoais coletados pelo sistema de monitoração eletrônica não deve ser o único fator levado em consideração na avaliação da performance do empregado;
g-) salvo casos particulares, como a vigilância para propósitos de segurança e adequada operação do sistema, a monitoração rotineira de do uso do e-mail ou Internet do empregado deve ser proibida. O monitoramento individual pode ser realizado onde exista uma razoável suspeita da prática de atividade criminal ou grave desvio de conduta, contanto que não haja outro meio menos invasivo para se atingir o objetivo desejado;
h-) proibição em princípio de o empregador abrir e-mails e arquivos privados do empregado, notadamente quando contenham alguma indicação dessa natureza, independentemente de os equipamentos de trabalho terem sido ou não permitidos (pelo empregador) para uso particular (do empregado). E-mails e arquivos privados devem ser tratados como correspondência; não se deve permitir que o sigilo da correspondência seja dispensado pelo empregado através de um consentimento genérico, em particular quando da conclusão do contrato de trabalho;
i-) as comunicações para profissionais de saúde e representantes dos empregados devem receber especial proteção.
Essas são, em síntese, as propostas da Comissão para a implementação de um arcabouço legal da proteção da privacidade do empregado no ambiente de trabalho. É claro que não se trata de tarefa de fácil realização. A alteração da legislação existente sobre o tema é um empreendimento de difícil execução, pois envolve normas constitucionais (direitos individuais), leis e regulamentos de proteção de dados pessoais e a legislação trabalhista. Além das leis sobre proteção de dados, a matéria relativa ao processamento de informações pessoais de trabalhadores também sofre reflexo de normas constitucionais e da legislação trabalhista. Há uma verdadeira interação entre esses conjuntos de normas [10]. Os princípios e regras constitucionais e trabalhistas desempenham um importante papel nesse campo da proteção dos dados pessoais do trabalhador, mas, pela sua própria natureza, têm conteúdo genérico, não descendo às especificidades próprias do tema. A resolução dos casos específicos é papel que tem sobrado para a jurisprudência, que, em razão da falta de uma clara, consistente e ampla legislação, tem deixado margem para a permanência de incertezas e controvérsias nessa área. O que se nos parece claro é que alguma iniciativa legal tem de ser tomada no sentido de resolver esse quadro de incertezas.
Notas de rodapé:
[1] A Comissão Européia é uma instituição da União Européia, da qual encarna o interesse geral e atua como motor do processo de integração. Tem sede em Bruxelas e é constituída por um colégio de 20 membros. O Presidente é designado pelos governos dos Estados-Membros e, seguidamente, sujeito à aprovação do Parlamento Europeu. De comum acordo com os governos dos Estados-Membros, o Presidente designa os outros membros da Comissão, que estão sujeitos, em conjunto, a um voto de aprovação do Parlamento Europeu. A Comissão tem um mandato de cinco anos, sendo renovada nos seis meses subseqüentes às eleições para o Parlamento Europeu. Exerce quatro funções essenciais;
– propõe textos legislativos ao Parlamento e ao Conselho;
– administra e executa as políticas comunitárias;
– vela pela observância do direito comunitário (juntamente com o Tribunal de Justiça);
– constitui um porta-voz importante da União Européia e negocia os acordos internacionais, principalmente de comércio e de cooperação.
Para maiores informações sobre a Comissão, recomendamos uma visita ao seu sítio na Web: http://europa.eu.int/comm/index_pt.htm
[2] A Diretiva 95/96/EC é de 24.10.95 e foi publicada no Jornal Oficial nº L 281 de 23/11/1995 p. 0031 – 0050.
[3] Na verdade, a própria Diretiva 97/66/EC já serve como um precedente de particularização dos princípios genéricos da Diretiva 95/46/EC, que, em seu item 68, admitiu que eles poderiam ser suplementados ou esclarecidos em normas posteriores, notadamente em campos específicos.
[4] UNICE, UEAPME e BDI.
[5] ETUC, CEC e EUROCADRES.
[6] O artigo 6º, item 1, alínea b, da Diretiva estabelece que os dados devem ser “Recolhidos para finalidades determinadas, explícitas e legítimas, e que não serão posteriormente tratados de forma incompatível com essas finalidades. O tratamento posterior para fins históricos, estatísticos ou científicos não é considerado incompatível desde que os Estados-membros estabeleçam garantias adequadas”.
[7] Esses princípios, relativos à qualidade dos dados e à legitimidade do seu processamento estão delineados, em essência, nos arts. 6o. e 7o da Diretiva, que têm a seguinte redação:
Artigo 6º
1. Os Estados-membros devem estabelecer que os dados pessoais serão:
a) Objecto de um tratamento leal e lícito;
b) Recolhidos para finalidades determinadas, explícitas e legítimas, e que não serão posteriormente tratados de forma incompatível com essas finalidades. O tratamento posterior para fins históricos, estatísticos ou científicos não é considerado incompatível desde que os Estados-membros estabeleçam garantias adequadas;
c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente;
d) Exactos e, se necessário, actualizados; devem ser tomadas todas as medidas razoáveis para assegurar que os dados inexactos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente, sejam apagados ou rectificados;
e) Conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para a prossecução das finalidades para que foram recolhidos ou para que são tratados posteriormente. Os Estados-membros estabelecerão garantias apropriadas para os dados pessoais conservados durante períodos mais longos do que o referido, para fins históricos, estatísticos ou científicos.
2. Incumbe ao responsável pelo tratamento assegurar a observância do disposto no nº 1.
Artigo 7º
Os Estados-membros estabelecerão que o tratamento de dados pessoais só poderá ser efectuado se:
a) A pessoa em causa tiver dado de forma inequívoca o seu consentimento; ou
b) O tratamento for necessário para a execução de um contrato no qual a pessoa em causa é parte ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; ou
c) O tratamento for necessário para cumprir uma obrigação legal à qual o responsável pelo tratamento esteja sujeito; ou
d) O tratamento for necessário para a protecção de interesses vitais da pessoa em causa; ou
e) O tratamento for necessário para a execução de uma missão de interesse público ou o exercício da autoridade pública de que é investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados; ou
f) O tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao abrigo do nº 1 do artigo 1º.
[8] Assim entendidas as políticas e ações voltadas a proteger a pessoa hipossuficiente; no caso da relação de emprego, o trabalhador.
[9] É de se registrar aqui que o processamento de dados médicos não pode resultar em discriminação ilegal e somente pode ser realizado visando a uma “ação positiva”, como, p. ex., para beneficiar portadores de deficiência física.
[10] Um ilustrativo exemplo dessa interação de leis de proteção de dados, princípios constitucionais (sigilo da correspondência) e leis trabalhistas (poder de controle da atividade laboral) ocorre em relação à utilização da Internet e e-mail no ambiente de trabalho. A resolução de casos em torno desse problema tem sido feita com base nesses três conjuntos de leis.
Demócrito Reinaldo Filho é juiz de Direito em Recife/PE, presidente do Instituto Brasileiro da Política e do Direito da Informática (IBDI), coordenador do livro “Direito da Informática – Aspectos Polêmicos” (Edipro, 2002) e responsável pelo site InfoJus.