Paulo Perrotti*
A Proteção de Dados tem sido uma tendência mundial e esse movimento se intensificou em virtude da proteção ter sido regulamentada nos países da União Europeia, que, além de já se preocuparem há muito tempo com o assunto, resolveram instituir que todas as empresas precisariam ter uma política clara quanto a preservação dos dados.
A Lei nº 13. 709/2018, conhecida como Lei Geral da Proteção de Dados (LGPD), que entrou em vigor em 18 de setembro de 2020, veio para aderir o Brasil ao movimento mundial e modificar a relação entre usuários e detentores de dados, impondo maior atenção ao sigilo das informações pessoais coletadas do indivíduo, principalmente pelas empresas e pelas Autoridades Governamentais.
Neste contexto, o departamento de recursos humanos (RH) lida com dados pessoais e dados pessoais sensíveis para executar seu trabalho e gerenciar toda a jornada do colaborador desde sua contratação até o seu desligamento. Portanto, a LGPD para recursos humanos trará grande impacto ao setor, uma vez que influenciará os seus sistemas e cadastros, que contêm informações pessoais em geral, agravados pelos dados sensíveis, de todos os colaboradores da organização.
LGPD para recursos humanos: quais informações são coletadas?
A maioria das informações que o setor de RH costuma coletar são dados confidenciais, tais como:
- Dados pessoais (nome, endereço, telefone, e-mail, histórico escolar e atividades profissionais);
- Dados de menores (se o colaborador possuir filhos); dados sensíveis (se tem deficiência ou não),
- Informações biométricas;
- Dados sobre a saúde;
- Em alguns casos, orientação sexual e religiosa;
- Algumas organizações, no entanto, vão além, pesquisando, por exemplo, histórico de crédito e antecedentes criminais.
É importante destacar que o RH utiliza dados pessoais desde a gestão estratégica como processo de recrutamento e seleção, avaliação e desempenho, pesquisa de clima organizacional, plano de cargos e salários, treinamentos, até a gestão operacional como admissão, cálculo de folha, férias, controle de jornada, desligamento e gestão de benefícios.
Dentre os dados coletados e armazenados pelo RH, destacam-se os que irão exigir atenção redobrada da empresa no cumprimento da LGPD para recursos humanos, quais sejam: banco de dados dos colaboradores e candidatos; banco de currículos; dados fornecidos à seguradora do plano de saúde; dados compartilhados com a empresa responsável por fechar folha de pagamento; envio de dados para o sindicato e órgãos públicos; exames admissionais.
Importância da LGPD para recursos humanos
O departamento de recursos humanos precisará se adequar aos procedimentos da LGPD, visando o melhor uso e preservação dos dados dos colaboradores e candidatos. Inclusive, assegurar e exigir que os sistemas de consultas a currículos, muito difundidos no mercado, estejam adequados às demandas da LGDP.
E um dos pontos iniciais é a elaboração de uma documentação para obter o consentimento do uso dos dados do colaborador ou candidato, em que conste qual a finalidade da utilização e por quanto tempo será armazenado. Ou seja, devem ser incluídas cláusulas específicas nos termos de entrevista e contratos de trabalho, em que os colaboradores concordem com o tratamento que será dado aos seus dados pessoais para uma determinada finalidade.
Será preciso também, desde a primeira entrevista, que o RH disponha de termos de consentimento de uso de dados pessoais para serem assinados pelos candidatos. Esse processo deverá deixar muito transparente como a empresa usará esses dados e quais serão mantidos em arquivo.
As empresas precisam ser capazes de zelar e proteger os dados pessoais coletados, informando quais dados são armazenados e qual o percurso desses dados.
Além disso, ao compartilhar os dados com fornecedores, tal ato deve ser de forma responsável, recomendando-se a revisão dos contratos dos prestadores de serviços, com o intuito de incluir as obrigações da LGPD para recursos humanos no âmbito da proteção dos dados transferidos, assim como as responsabilidades no caso de infração ou vazamento.
Dicas de mapeamento de privacidade
Sendo assim, é importante que as mudanças ocorram desde o processo seletivo, admissional até o processo de desligamento do colaborador, bem como nas relações com empresas terceirizadas que possuem acesso às informações.
Desta forma, é necessário realizar o mapeamento de todas as fases do processo do departamento para garantia de:
- Preservação dos dados dos colaboradores e candidatos;
- Adequação do processo de admissão;
- Proteção de dados sensíveis;
- Transparência para o uso e coleta do dado;
- Harmonização técnica e jurídica perante terceirizados;
- Concordância do uso das informações pessoais;
- Manutenção da conformidade na gestão de documentos do RH.
As empresas irão precisar comprovar a relevância das informações coletadas, informar aos candidatos e pedir autorização a eles sobre o uso de seus dados, além de assegurar a proteção contra qualquer vazamento.
Salienta-se que o departamento de recursos humanos deve evitar solicitar dados que não sejam realmente necessários. Neste sentido, por exemplo, em um processo de recrutamento e seleção, ao criar a documentação, verifique a real necessidade do pedido de tantos dados, tais como gênero, estado civil, religião, orientação sexual, dentre outros tipos de informações, que não estejam ligadas diretamente ao propósito de seleção, ou sejam desnecessárias.
Com os colaboradores que já fazem parte do quadro da empresa, tenha ainda mais cautela com dados sensíveis, tais como atestados médicos, licenças por motivos de doença e informações da utilização do plano de saúde.
Como aplicar a LGPD para recursos humanos
As atividades que envolvem os dados pessoais em posse da empresa deverão ser reestruturadas e o acesso a eles deverá estar restrito somente a pessoas autorizadas. Para tanto, recomenda-se reunir os responsáveis pelo departamento de recursos humanos, assim como o setor jurídico e a tecnologia, e realizar um diagnóstico preciso da situação atual, desenvolvendo um plano com as mudanças necessárias.
Enumere as situações de risco e mapeie as fragilidades de cada setor envolvido com o tráfego de dados. Busque ter ciência de como os dados são coletados, tratados e armazenados, e qual colaborador é o responsável direto a cada etapa do tráfego de dados.
Depois, verifique a existência de sistemas de proteção e rastreabilidade, como senhas e criptografia. Redefina todos os processos que envolvem dados pessoais e sensíveis dos colaboradores, assegurando que o fluxo informacional esteja seguro e monitorado.
Tenha a tecnologia como aliada, uma vez que diversos recursos digitais oferecem sistemas de proteção eficientes, que podem assegurar a confidencialidade e a rastreabilidade dos dados armazenados.
E, por fim, eduque a equipe envolvida, ao realizar constantes treinamentos, bem como crie regras claras sobre a disseminação de informações confidenciais.
Requisitos da LGPD
Ademais, a LGPD exige que toda empresa tenha um Encarregado, que responderá hierarquicamente à diretoria, e terá autonomia para garantir o funcionamento da aplicação das normas legais junto aos procedimentos internos. Suas responsabilidades incluem monitorar o uso dos dados pessoais e ter uma interação direta com a Autoridade Nacional de Proteção de Dados (ANPD), para reportar possíveis falhas ou infrações, bem como aplicar as alterações que forem solicitadas pela autoridade em questão.
É de fundamental importância que o departamento de recursos humanos esteja em conformidade com a nova Lei Geral de Proteção de Dados – LGPD, evitando os riscos das implicações administrativas e/ou jurídicas previstas no regulamento, com a devida observação aos princípios da boa-fé, finalidade, qualidade, adequação, necessidade, livre acesso e transparência. Ou seja, coletar, tratar e arquivar apenas o que é necessário.
Certamente que o descumprimento das medidas determinadas na LGPD imputará à empresa infratora sanções administrativas, conforme estabelece o artigo 52 e, dentre as multas estabelecidas, destaca-se a do inciso II, em que se prevê a aplicação de multa simples de 2% do faturamento da empresa, sendo limitada até R$ 50.000.000,00 (cinquenta milhões de reais) por infração cometida, além da publicização da infração cometida até sua regularização, bloqueio ou eliminação dos dados pessoais.
Cultura de responsabilidade na empresa
Além da conscientização geral sobre a importância das mudanças quanto aos dados na aplicação da LGPD para recursos humanos, o RH deve identificar potenciais falhas de governança (compliance), avaliar quais informações sobre os colaboradores deve manter e por quanto tempo. Por meio de planejamento adequado, o RH poderá ser um importante aliado da instituição para garantir que esteja em conformidade com a regulação.
Toda a empresa deve estar ciente que proteger e prevenir qualquer tipo de infração aos dados pessoais é responsabilidade de todos. E, neste contexto, um dos papéis mais relevantes do RH é inserir na cultura da empresa essa responsabilidade, disseminar as normas e criar práticas diárias com os colaboradores para evitar a exposição de dados.
Leia mais artigos do autor:
- A Privacidade de Dados e o Impacto na Arquitetura
- Quais os impactos e benefícios do Behavior-Based Cybersecurity para a Segurança de Dados Corporativa?
Paulo Salvador Ribeiro Perrotti: Advogado da LGPDSolution, Presidente da Câmara de Comércio Brasil-Canadá, Professor de Cyber Security na Pós Graduação da Faculdade de Engenharia de Sorocaba (FACENS), com especialização em Direito Canadense e de Québec pela Université de Québec à Montreal – UQÀM, possuindo Pós Graduação em Administração de Empresas pela Fundação Getúlio Vargas de São Paulo, especialização em Direito de Informática (LLM) pelo IBMEC/SP, Mercado Financeiro pelo Instituto Finance, Responsabilidade Social pela ESPM/SP, Certified Secure Computer User (CSCU) pela EC-Council e membro da Comissão Especial de Relações Internacionais da OAB/SP.