Monitoramento no home office levanta alerta jurídico sobre privacidade

Antonielle Freitas e Jessica Rocha*

Nos últimos anos, especialmente após a pandemia, empresas de diversos setores passaram a adotar mecanismos de monitoramento eletrônico para acompanhar a produtividade de trabalhadores em regime de home office e híbrido. Ferramentas capazes de rastrear cliques, registrar períodos de inatividade, capturar imagens de webcam, fazer logs completos do que é digitado no teclado (keylogging) e até mesmo analisar padrões de comportamento emergiram em escala global.

Riscos jurídicos do Monitoramento e Posicionamentos de Autoridades

Embora a transformação digital permita ganhos legítimos de organização, segurança e eficiência, o uso desproporcional ou abusivo dessas tecnologias pode gerar riscos significativos, desde danos à saúde mental e à autonomia do trabalhador, bem como violações à Lei Geral de Proteção de Dados (LGPD). No Brasil, esse debate ganha contornos ainda mais relevantes diante da atuação da ANPD e das diretrizes trazidas pelo PL 2338/2023 (quando tais técnicas são baseadas em IA), considerando a classificação de sistemas utilizados para fins de gestão laboral no parâmetro de "alto risco” e demandando robustas medidas de governança.

A Autoridade Nacional de Proteção de Dados (ANPD), no Guia Orientativo das Hipóteses Legais de Tratamento de Dados Pessoais: Legítimo Interesse, reconheceu expressamente que determinadas práticas de monitoramento são incompatíveis com os princípios da LGPD. Um exemplo emblemático trazido pela Autoridade envolve a instalação de software que rastreia a atividade dos empregados por meio de webcam e do registro integral de tudo o que é digitado no teclado para fins de medir produtividade.

A análise concluiu que, mesmo que o uso da ferramenta fosse informado previamente e incluído em política de privacidade, a coleta seria excessiva, desproporcional e contrária às legítimas expectativas dos trabalhadores. Além disso, reforçou-se que, no contexto laboral, o empregado encontra-se em posição de vulnerabilidade, sem meios efetivos de oposição ao tratamento, de modo que, no caso concreto, o recurso ao legítimo interesse seria inadmissível.

Autoridades internacionais têm consolidado entendimentos convergentes. A Information Commissioner’s Office (ICO), autoridade britânica, estabelece que o empregador deve sempre optar por meios menos invasivos para alcançar a mesma finalidade. Em um de seus exemplos, após descobrir inconsistências nos horários registrados por um pequeno grupo de trabalhadores remotos, um empregador optou por implementar monitoramento de dispositivos com captura automática de imagens de webcam para confirmar a presença durante a jornada.

A ICO pontuou que tal prática provavelmente violaria a lei de proteção de dados, justamente por ser desproporcional e existirem meios menos intrusivos para alcançar o objetivo, como a verificação dos horários de login no sistema seguida de uma comunicação transparente com o trabalhador.

Por outro lado, a mesma autoridade apresentou exemplo inverso, em que o uso de rastreamento geolocalizado seria juridicamente amparado: trabalhadores atuando em minas subterrâneas, sujeitos a alto risco de acidentes, poderiam razoavelmente esperar a implementação desse tipo de monitoramento para fins de segurança — entendimento que não se aplicaria, evidentemente, a um trabalhador administrativo atuando em ambiente de baixo risco.

No Brasil, a classificação de sistemas baseados em inteligência artificial para monitoramento de trabalhadores como “alto risco” pelo PL 2338/2023 (Marco Regulatório da IA) é alinhada a marcos regulatórios internacionais, como o EU AI Act, que também considera ferramentas para fins de “Employment, workers management and access to self-employment” na categoria “High-Risk” sujeitas a obrigações de governança robustas, dado o potencial impacto sobre os direitos fundamentais dos trabalhadores.

Assim, sempre que decisões envolvendo desempenho, produtividade ou desligamento são apoiadas por sistemas automatizados, o cenário demanda transparência ampliada, auditorias frequentes e canais eficazes de contestação e revisão.

Outro fator que vale ser brevemente abordado está no uso inadequado do consentimento para amparar tratamentos de dados pessoais de funcionários. Isso porque, no ambiente de trabalho, devido à assimetria da relação empregatícia, marcada por fatores como subordinação jurídica e dependência econômica, dificilmente o consentimento pode ser considerado livre, informado e inequívoco, como exige o artigo 5º, XII, da LGPD.

As autoridades mais atuantes em proteção de dados reiteradamente pontuam que a base legal do consentimento é fragilizada no âmbito das relações de trabalho, em que há probabilidades expressivas de que o titular se sinta compelido a consentir.

Medidas de Governança Conexas

Nesse contexto, a adoção de algumas medidas de governança, especialmente aquelas voltadas à transparência, bem como à avaliação e mitigação de riscos, tornam-se cruciais. É recomendável que as empresas desenvolvam políticas claras de monitoramento, com linguagem acessível e orientadas à transparência. Deve-se informar aos trabalhadores, enquanto titulares de dados pessoais, quais dados são coletados, por quais meios, para quais finalidades e quais são os possíveis impactos.

Adicionalmente, as instituições devem oferecer meios efetivos de contestação e revisão, especialmente quando decisões automatizadas são utilizadas. Sempre que possível, a organização deve preferir métodos menos intrusivos, garantindo que a coleta seja pertinente, proporcional e limitada ao mínimo necessário, conforme exige o artigo 6º, III, da LGPD.

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) também assume papel estratégico para assegurar conformidade, porque exatamente esse tipo de tratamento tende a se enquadrar nos cenários de alto risco delineados pela ANPD. 6 De acordo com as orientações da Autoridade, o RIPD é a documentação que descreve as operações de tratamento potencialmente capazes de gerar alto risco aos princípios da LGPD e aos direitos fundamentais, bem como as medidas e salvaguardas para mitigá-los. A ANPD recomenda a sua elaboração sempre que houver alto risco.

É preciso considerar que, no monitoramento de trabalhadores, os elementos de risco geralmente estão presentes tanto nos critérios gerais quanto nos específicos indicados pela ANPD. Isso porque frequentemente há tratamentos em larga escala, envolvendo número significativo de trabalhadores, com potenciais impactos sobre seus direitos e liberdades (especialmente questões relacionadas à carreira e preservação do emprego), além do uso de tecnologias emergentes ou inovadoras, incluindo mecanismos de vigilância contínua, de apoio algorítmico à tomada de decisão com efeitos potencialmente adversos.

Por sua estrutura robusta, o RIPD permite mapear os fluxos de tratamento, analisar riscos aos direitos fundamentais, documentar medidas mitigadoras e, sempre que aplicável, incorporar o teste de balanceamento exigido nas hipóteses de legítimo interesse e prevenção à fraude.

A própria ANPD poderá exigir a apresentação desse documento quando houver indícios de tratamento de alto risco, especialmente no caso de monitoramento sistemático, coleta massiva de dados e decisões automatizadas ou com apoio significativo de sistemas automatizados, com potencial de impacto relevante sobre o trabalhador.

A conciliação entre inovação tecnológica e proteção dos direitos fundamentais, no âmbito das relações laborais, exige, além da governança consistente, a compreensão dos próprios institutos que regem as relações de trabalho.

Isso significa estruturar o monitoramento como medida excepcional, proporcional e transparente, com preferência por meios menos intrusivos, mecanismos de revisão efetivos, documentação auditável e Relatório de Impacto como eixo integrador que mapeia o fluxo de dados, incorpora o teste de balanceamento, conforme aplicável, identifica riscos psicossociais e define salvaguardas verificáveis.

As instituições, alinhadas aos entendimentos da ANPD e outras autoridades atuantes de proteção de dados, considerando os reiterados critérios de necessidade e proporcionalidade, reduzem riscos regulatórios, reputacionais e elevam a qualidade das decisões sobre gestão de pessoas. 

*Antonielle Freitas é sócia da área de Proteção de Dados e DPO no Viseu Advogados. Membro da Comissão Especial de Privacidade e Proteção de Dados da OAB-SP.
Jessica Rocha é advogada sênior de Privacidade e Proteção de Dados no Viseu Advogados. AIGP (Artificial Intelligence Governance Professional) pela IAPP. Mestre em Direito pela UFMG, com ênfase em governança algorítmica. Membro das Comissões de Inteligência Artificial e de Proteção de Dados da OAB-MG.

https://lexlegal.com.br/monitoramento-no-home-office-levanta-alerta-juridico-sobre-privacidade/