A LGPD, ou Lei Geral de Proteção de Dados, é a lei que estabelece regras de segurança para o armazenamento, tratamento e compartilhamento de dados coletados por empresas públicas e privadas por todo e qualquer meio, não apenas os digitais. Foi criada em 2018 e entrou em vigor em agosto de 2020.
Suas normas são aplicáveis a todas as organizações que realizam coletas de dados pessoais, como os contatos e currículos para entrevistas de emprego, por exemplo. As empresas deverão se adequar às novas normas até 2021.
O RH está diretamente afetado. Os profissionais deverão se atualizar e se adequar às regras constituídas nesta lei, sob pena de poderem submeter seus empregadores a pesadas penalidades.
É necessário que as organizações, neste momento, mapeiem todas as atividades que exercem, revisem seus processos e contratos e capacitem seus colaboradores, para que não infrinjam essas novas normas. Abaixo abordarei as mudanças mais significativas da LGPD para a área de Recursos Humanos.
1. CONSENTIMENTO
O RH sempre teve muita responsabilidade com os dados pessoais com os quais lida diariamente, mas, com o advento desta lei, esta responsabilidade está ampliada.
O espírito da lei é proteger os direitos fundamentais de liberdade e privacidade dos indivíduos. Sua função maior é conceder aos titulares o direito de propriedade absoluta sobre seus dados, devendo ter meios efetivos para:
- Decidirem se vão submetê-los às empresas ou não;
- Serem informados claramente para quais propósitos os dados serão necessários, bem como por quanto tempo ficarão armazenados;
- Saberem, a qualquer momento, que dados seus estão armazenados;
- Requererem a eliminação desses dados dos registros da empresa.
Com estes princípios em mente, fica mais fácil entendermos as aplicações específicas da lei. Neste contexto, todos os processos de RH são impactados pelas normas estipuladas pela Lei de Dados, desde o recrutamento e seleção de novos talentos até o desligamento dos profissionais.
Logo, uns dos primeiros pontos de mudanças está no recrutamento e seleção. Neste processo, o empregador deve ter cuidado ao requer dados pessoais, especificando claramente a finalidade dos dados coletados e por quanto tempo pretende mantê-los nos arquivos da empresa. Os formulários de cadastramento desses dados, sejam físicos ou digitais, devem conter um campo adicional no qual deve constar o consentimento explícito dos candidatos em submeter os dados à empresa para as finalidades ali expressas. Caso a empresa armazene os currículos em um Banco de Talentos, isso deve ser declarado explicitamente neste campo, senão pode sofrer penalidades ao fazer isso.
Além disso, os candidatos têm o direito de requerer que seus dados sejam apagados dos arquivos da empresa, uma vez que forem dispensados.
2. DADOS SENSÍVEIS
Os dados que devem receber a maior atenção e proteção são os dados sensíveis.
O que se entende por “dados sensíveis” são informações pessoais que permitem a identificação dos indivíduos e submetidas à esfera do segredo e/ou da confiança, ou seja, são informações que, caso sejam vazadas, possibilitariam a discriminação dos titulares em processos seletivos e em ambientes sociais e de trabalho.
Exemplos de dados sensíveis:
- 📋 Antecedentes criminais;
- 👨🏽⚕️ Histórico de saúde;
- 💳 Restrições de crédito;
- 🤲🏾 Origem étnica;
- ⛪️ Filiação religiosa;
- 🌐 Opinião política;
- 💝 Orientação sexual.
Este diagrama facilita o entendimento. Imagine os dados como uma série de esferas concêntricas, sendo a menor e mais restrita a referente aos dados sensíveis:
Uma atenção especial deve ser dada às pessoas que se identificam com seus nomes sociais, que podem ser diferentes dos nomes de registro. Uma pessoa, por exemplo, pode preencher a ficha contratual com um nome social feminino, apesar de, em seus documentos de identificação, apresentar um nome masculino. Neste caso, o empregador deverá usar apenas o nome social.
3. TRANSPARÊNCIA
A empresa deverá deixar explícito por quanto tempo deterá os dados coletadas e quais são as finalidades da coleta. A LGPD visa monitorar toda e qualquer utilização indevida de dados coletados, por isso a transparência é essencial.
Depois de cumprir suas finalidades expressas, os dados devem ser totalmente descartados. Práticas nebulosas que, até então, não geravam consequências graves, como aproveitar currículos de candidatos como papel rascunho, devem ser abolidas das organizações, pois, de agora em diante, é uma “economia” que pode custar muito caro.
Caso a companhia utilize câmeras internas em seu local de trabalho e/ou solicite o uso de crachás com dados dos empregados, deverá, nos contratos de trabalho, apresentar cláusulas destacadas com suas finalidades legítimas.
Contudo, nem sempre as organizações precisarão de consentimento explícito dos titulares para o tratamento dos dados coletados — o artigo sétimo da LGPD estabelece as hipóteses de dispensa de consentimento:
1. para o cumprimento de obrigação legal ou regulatória;
2. pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
3. para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
4. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
5. para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
6. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
7. para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
8. quando necessário para atender aos interesses legítimos do controlador ou de terceiro;
9. para a proteção do crédito.
4. SEGURANÇA
Outro fator importantíssimo sobre o tratamento de dados pessoais é a necessidade de reforço na segurança, tanto de acesso físico a escritórios e arquivos quanto de tecnologia da informação. Cabe às organizações investirem em consultorias e tecnologias de segurança, bem como treinarem os profissionais responsáveis pela coleta de dados sobre a nova lei, reforçando a necessidade de zelar pelas informações que tratam nas suas rotinas de trabalho, tendo consciência da dimensão de suas responsabilidades.
O mesmo deve acontecer com as empresas responsáveis pelos benefícios dos empregados, como planos de saúde. Em caso de vazamento, a responsabilidade solidária é da organização, portanto ela deve escolher fornecedores alinhados com esta nova cultura.
5. NOVOS PAPÉIS
A LGPD criou novos papéis que devem ser exercidos nas organizações, tanto como funções acumuladas, consultorias terceirizadas ou como cargos dedicados, dependendo do porte das empresas. São eles:
Controlador. Quem tem autoridade e responsabilidade finais sobre as questões referentes a tratamentos de dados pessoais. Pode ser a organização em si ou encarnada em um de seus funcionários, diretores ou sócios.
Operadores. Pessoas físicas ou jurídicas que realizam o tratamento de dados pessoais cumprindo ordens do controlador. Respondem solidariamente com o controlador.
Encarregado (DPO – Data Protection Officer). Pessoa física indicada pelo controlador que atua como canal de comunicação entre o controlador e os titulares e a autoridade fiscal. É o responsável pela supervisão do cumprimento das regras previstas na lei. Toda entidade que trate dados pessoais é obrigada a indicar um Encarregado, cuja identidade e contatos devem ser divulgados publicamente, preferencialmente no site do controlador.
6. CONSEQUÊNCIAS DO DESCUMPRIMENTO DA LEI
As penalidades por descumprimentos da LGPD dependem da gravidade dos incidentes e dos antecedentes da empresa. Podem ser:
- Advertências;
- Ordens de suspensão no processamento de dados;
- Ordens de suspensão das atividades da empresa;
- Multas de até 2% do faturamento bruto, limitadas a até cinquenta milhões de reais por cada infração cometida.
Ou seja, as sanções previstas são pesadas e é melhor prevenir do que remediar. Neste sentido, despontam como tendências de alta a mediação e a arbitragem, como instrumentos para reduzir o custo de resolução de conflitos.
7. LGPD NA PRÁTICA
A seguir proponho um Plano de Ação que pode ser adaptado para qualquer organização que deseja se adequar à LGPD:
1. Realizar treinamentos in-company sobre a LGPD, para introduzir e fomentar uma cultura de proteção de dados na empresa;
2. Definir, dentro da organização, os titulares das responsabilidades estabelecidas pela lei – Controlador, Operadores e Encarregado (DPO);
3. Revisar contratos de trabalho;
4. Revisar contratos com parceiros estratégicos e fornecedores, certificando-se de que eles também estão comprometidos com o compliance;
5. Redigir uma Política de Privacidade, estabelecendo as finalidades e as bases legais para coleta, tratamento e armazenamento de dados dos sites corporativos e demais canais de contato com clientes, fornecedores e colaboradores;
6. Redigir Termos E Condições De Uso dos sites corporativos e demais canais de contato com clientes, fornecedores e colaboradores, com cláusula compromissória de mediação, para mitigar o contencioso judicial;
7. Redigir Políticas e Procedimentos para compliance do staff e diretoria, prevendo penalidades em caso de inadequações por parte dos colaboradores;
8. Traduzir os Termos e Políticas para todas as línguas de atuação da empresa;
9. A cada coleta de dados, deve-se solicitar aos usuários que preencham um consentimento para coleta e utilização das informações (importante, principalmente, para Recrutamento e Seleção);
10. Zelar por um maior controle e organização dos dados, principalmente para possibilitar a rápida edição e descarte, caso os titulares solicitem;
11. Zelar pela segurança no armazenamento de dados digitais, através de profissionais especializados em segurança informática;
12. Destacar, nos sites corporativos, as seguintes informações:
a) meios de contato oficiais;
b) quais cookies estão em funcionamento;
c) se o site tem conteúdos “embedados” de outros sites;
d) quais analytics estão instalados e como funcionam;
e) com quem a organização compartilha os dados;
f) verificar se a organização compartilha seu banco de dados com outras empresas para fins econômicos. Caso positivo, colocar isso em cláusulas explícitas;
g) por quanto tempo os dados são armazenados;
h) como a organização protege os dados;
i) que planos de contingência estão preparados para eventuais vazamentos de dados;
j) que dados são recebidos de terceiros;
k) que decisões automáticas são tomadas por ferramentas de automação de marketing;
l) quem são os Operadores, Controlador e Encarregado (DPO).