A contratação de serviços terceirizados é prática comum em diversos setores da economia, sobretudo em áreas como segurança, limpeza, tecnologia e logística. Para cumprir as obrigações previstas na legislação trabalhista e nos próprios contratos firmados, é comum que a empresa tomadora de serviços solicite à prestadora documentos como folhas de pagamento, comprovantes de quitação do INSS, FGTS, entre outros, referentes aos colaboradores envolvidos na execução do contrato.
Contudo, com a vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), essa prática exige uma análise mais cuidadosa, especialmente no que se refere à legalidade do compartilhamento desses dados pessoais e à adoção de medidas técnicas e administrativas que garantam sua segurança e confidencialidade.
1. Compartilhamento de dados: Quando é permitido?
A LGPD estabelece que o tratamento de dados pessoais o que inclui a coleta, uso, transmissão, arquivamento e eliminação de dados deve observar fundamentos, princípios e uma base legal (hipótese de tratamento) clara e legítima.
No contexto da terceirização, o compartilhamento de dados dos funcionários da prestadora para a tomadora pode ocorrer quando for necessário para o cumprimento de obrigação legal ou regulatória (art. 7º, II), ou ainda para a execução de contrato (art. 7º, V), desde que observados os princípios da necessidade, finalidade, adequação e segurança.
Importante: o compartilhamento deve restringir-se aos dados estritamente necessários para a comprovação da execução contratual e quitação das obrigações trabalhistas e previdenciárias, sendo vedado o envio de documentos que exponham informações excessivas, sensíveis ou desnecessárias.
2. Alternativas viáveis e seguras
Para reduzir riscos jurídicos e operacionais, recomenda-se substituir o envio direto de folhas de pagamento ou guias com informações individualizadas por:
Declaração de cumprimento das obrigações trabalhistas e previdenciárias, emitida pela empresa prestadora;
Listagem nominal dos colaboradores efetivamente alocados no mês, com identificação mínima e sem exposição de dados sensíveis (evitando, por exemplo, salários, CPF ou números de documentos);
Apresentação de certidões negativas emitidas por órgãos públicos competentes, como INSS e FGTS;
Auditorias periódicas ou mecanismos de verificação contratual, desde que previstos no contrato.
Essas alternativas cumprem a finalidade de verificação pela tomadora e reduzem a exposição desnecessária de dados.
3. Mapeamento de atividades e hipóteses de tratamento
Para justificar o compartilhamento e se proteger de sanções, ambas as empresas devem mapear suas atividades de tratamento de dados (conforme artigo 37 da LGPD) e identificar claramente:
Quais dados são tratados e compartilhados?
Para que finalidade?
Qual a base legal que justifica esse tratamento?
Quais os riscos associados?
Como os dados são protegidos?
Esse exercício deve constar de documentos como o ROPA (Registro de Operações de Tratamento de Dados Pessoais) e alimentar o processo de gestão de riscos e conformidade da organização.
4. Importância de cláusulas contratuais bem definidas
O contrato de prestação de serviços precisa refletir os requisitos da LGPD. É fundamental incluir cláusulas que:
Definam as responsabilidades das partes quanto ao tratamento de dados pessoais;
Exijam o cumprimento de medidas de segurança e confidencialidade;
Prevejam a comunicação de incidentes de segurança e o suporte mútuo em caso de requisições de titulares;
Detalhem as hipóteses de compartilhamento e os limites dessa atividade.
Essa abordagem contribui para uma relação transparente, segura e juridicamente sólida entre as partes.
5. Capacitação de pessoas e cultura de proteção de dados
Por fim, não basta ter boas práticas e contratos adequados se as equipes que lidam com esses documentos não estiverem treinadas. A formação contínua dos profissionais envolvidos no RH, jurídico, compliance e gestão de contratos é um dos pilares para a conformidade com a LGPD.
O compartilhamento de dados pessoais entre empresas não é, por si só, proibido pela LGPD mas exige critérios, documentação e limites bem definidos. A relação entre tomadora e prestadora de serviços deve ser regida não apenas por obrigações contratuais, mas também por princípios de segurança e privacidade.
Nesse contexto, a HDPO se coloca como parceira estratégica para empresas que desejam avaliar, revisar e documentar seus processos, adequar contratos, desenvolver cláusulas específicas e capacitar pessoas para o tratamento responsável de dados pessoais.
Com mais de 100 projetos entregues no Brasil, especialmente no setor da saúde, a HDPO oferece consultoria completa para implementação e manutenção de Programas de Privacidade e Proteção de Dados. Fale com nossos especialistas e entenda como podemos apoiar sua organização a garantir conformidade, segurança e confiança.
Autor: João Gonçalves Advogado em Direito Digital, e Gestor em Saúde com mais de 25 anos de experiência em saúde, compliance e proteção de dados. CEO da HDPO LGPD em Saúde e Diretor da PROTEGON, lidera projetos estratégicos de governança, segurança da informação e adequação à LGPD em hospitais, operadoras de planos de saúde e empresas de tecnologia. Com forte atuação na implementação de programas de privacidade, João também ministra treinamentos e palestras sobre cibersegurança, inteligência artificial e privacidade de dados, sendo referência na área.
