Olá Anne, bom dia!
Vamos lá então. A questão é sempre saber a finalidade do tratamento dos dados pessoais.
Por exemplo, você poderá tratar o nome da pessoa (o empregado) porque você precisa inserir este nome no crachá do funcionário. Mas também precisa tratar o nome do funcionário para indicar ao banco a quem pagar o salário. E ainda precisa do nome para fins de comprovação de aposentadoria.
Neste exemplo hipotético são três finalidades, certo? 1) Nome no crachá para identificação interna; 2) Nome para o banco para identificação externa; 3) Nome para o INSS gerenciar a aposentadoria.
Portanto, se você tem 3 finalidades, em princípio terá de utilizar 3 bases legais – porque para cada finalidade deverá haver uma base legal.
Agora pergunto a você: você vai identificar uma pessoa se ela não for funcionária da empresa? Claro que não. Você vai enviar o nome de uma pessoa a um banco para pagar salário se ela não for funcionária da empresa? Claro que não. Você vai enviar o nome de uma pessoa para o INSS se ela não for funcionária da empresa? Claro que não.
Em síntese, você vai tratar o nome do funcionário porque ele é funcionário da empresa, correto? Então neste caso você irá utilizar a base legal "execução de contrato" para estas finalidades, correto?
Bom, quase correto. Isto porque a última finalidade (enviar para o INSS) você faz não apenas porque a pessoa é funcionária da empresa, mas porque há uma lei que obriga este envio. Então aqui você tem duas bases legais à sua disposição ("execução de contrato" e "obrigação legal"). Qual escolher? Na prática, aquela que vai te trazer menos "dor de cabeça" em relação ao titular (funcionário). Portanto, para as duas primeiras finalidades a base legal é "execução de contrato" e para a última será "obrigação legal" (ainda que, conforme vimos, você só envie o nome da pessoa para o INSS porque ela é sua funcionária, portanto há um contrato de trabalho).
Tudo isto para responder à sua pergunta: o contrato de trabalho fará uma referência à política de privacidade dos colaboradores – e será nesta política de privacidade que todo este raciocínio acima identificado será feito. Ou seja, é neste documento interno – que deve claramente estar disponível a todos os colaboradores de maneira facilmente acessível – que isto que indiquei acima será escrito (talvez com menos detalhes, mas esta lógica deverá estar lá). Então sim, no contrato haverá uma indicação de que os dados serão inicialmente tratados com base legal "execução do contrato", mas que poderão ser tratados com ouras bases legais para outras finalidades.
E o legítimo interesse? Bom, ele entra a depender das finalidades. Nada impede a empresa de tratar dados pessoais dos funcionários com base no legítimo interesse para manter a segurança da rede, por exemplo. Novamente, vai depender da finalidade que você identificou durante o mapeamento de processos – antes mesmo do mapeamento dos dados.
Você já deve ter percebido, portanto, que o ideal é ter feito o mapeamento de processos e o mapeamento de dados antes do ajuste no contrato, até mesmo pelo princípio da boa-fé. Imagina você indicar um contrato com cláusulas dizendo "ABC" para o funcionário, aí depois fazer o mapeamento de processos e de dados e, em seguida, dizer "olha funcionário, na verdade as cláusulas são XYZ, mas como você já assinou tá tudo bem..." Não, não está tudo bem. Isto quer dizer que a politica de privacidade dos funcionários não poderá nunca ser alterada? Claro que sim, mas dentro das expectativas dos titulares.
Por fim, o consentimento. Bom, você vai esquecer que existe consentimento nas relações trabalhistas, porque ele só será válido em 5% das atividades de tratamento (e olhe lá). Por exemplo, uma situação válida de pedir consentimento é aquela em que você (empresa) quer filmar uma área da empresa em que estão alguns funcionários para colocar no Instagram e alguns concordam, outros não. Neste caso você (empresa) simplesmente move os funcionários que não concordam para outra sala e eles não sofrem represália alguma por não terem aparecido na filmagem. Aqui o consentimento foi válido perante a LGPD. Mas isto é exceção, pois o desequilíbrio de poder entre empregador e empregados fará com que em 95% dos casos (ou mais) o consentimento seja inválido. Portanto, pense bem antes de usar consentimento para fundamentar atividades de tratamento de funcionários.
Espero ter deixado claro. Um abraço!