Lei Geral de Proteção de Dados: tudo o que o RH precisa saber

Lei Geral de Proteção de Dados: tudo o que o RH precisa saber
10 minutos de leitura

A Lei Geral de Proteção de dados entrou em vigência no país em agosto de 2020. Agora, as empresas que coletam informações pessoais de seus clientes e proponentes devem observar as rigorosas normas impostas pela Lei. As penalizações para quem cometer infrações são pesadas e podem colocar em risco a sobrevivência da empresa.

Nesse sentido, trouxemos até você este artigo. Nele, será abordada a questão central de como o setor de recursos humanos de uma organização empresarial deve agir para se adaptar às novas regras vigentes no país. Você conhecerá melhor a LGPD e como ela alcança a atuação de um RH. Por fim, saberá como esse setor pode se adaptar da melhor forma possível. Acompanhe!

O que é a Lei Geral de Proteção de Dados?

A LGPD (sigla pela qual é conhecida a Lei) foi sancionada no Brasil no ano de 2018. Ela diz respeito à forma como pessoas físicas ou jurídicas devem tratar os dados pessoais que porventura tenham coletado de quaisquer pessoas. Ela se aplica tanto ao ambiente corporativo de empresas privadas quanto de empresas públicas.

Com isso, as atividades de coleta, de uso e de armazenamento de dados pessoais entra em uma nova fase no país. A preocupação com o tema é objeto de discussões já há algum tempo e o Brasil segue o exemplo da comunidade europeia que regulamentou o assunto no passado. Dessa forma, as empresas nacionais precisam se adequar, sob o prejuízo de sofrer fortes sanções que podem englobar multas multimilionárias.

Para que o objetivo da Lei seja atingido, ela é baseada em quatro pilares centrais. São eles: o direito do cidadão à privacidade aplicado como um direito civil, a proteção por parte das empresas dos bancos de dados que contém essas informações, a facilidade de compreensão dos termos de consentimento quanto aos dados pessoais e as multas aplicáveis em caso de descumprimento das regras. Vejamos cada tópico com mais detalhes a seguir.

Privacidade como direito civil

Por meio desse pressuposto, a Lei Geral de Proteção de Dados diz que as informações pessoais acerca de um indivíduo só podem ser utilizadas mediante sua autorização. Significa dizer que nenhum dado adquirido pode ser compartilhado ou utilizado para qualquer fim sem que o titular dessa informação conceda permissão.

Além disso, fica proibido o uso desse dado de forma cruzada, ou seja, que façam com que determinada pessoa possa ser eventualmente identificada. Vale ressaltar também que as informações sensíveis de um indivíduo devem ser estritamente protegidas, para evitar discriminação e constrangimento caso fossem divulgadas.

Proteção de banco de dados que contenham informações sensíveis

A Lei diz que quem detém informações sobre outros indivíduos (após tácita autorização) deve implementar meios para que elas fiquem protegidas. Ou seja, não basta ter a permissão de armazenamento. As organizações (e isso inclui o setor de recursos humanos) devem dispor de mecanismos que impeçam o acesso indevido a tais informações.

Isso quer dizer que recursos tecnológicos devem ser empregados junto ao setor de T.I. da empresa para que nenhum agente externo malicioso possa roubar esses dados. Isso causaria tanto prejuízo quanto se a empresa compartilhasse os dados de forma não permitida. Certamente a exposição prejudicaria todos aqueles que confiaram na referida organização ao fornecer os seus dados pessoais.

Facilidade de compreensão dos termos de privacidade

Para conceder a autorização referente a suas informações pessoais, uma pessoa precisa obrigatoriamente concordar com um termo de privacidade fornecido pela empresa requisitante. A Lei diz que esse termo não pode ser de uma linguagem de difícil compreensão, pois dessa forma o usuário poderia conceder uma autorização que sequer tenha entendido.

Para contornar esse problema, os termos consensuais devem contemplar uma linguagem simples e de fácil entendimento. Ao ler o termo, o usuário deve identificar de forma clara e simples quais são os objetivos da empresa ao requisitar seus dados pessoais. Deve saber para quais fins se destina.

Aplicação de sanções em caso de descumprimento da Lei

Nenhuma prerrogativa da nova Lei Geral de Proteção de Dados é facultativa, todas são obrigatórias. Isso quer dizer que existem penas e sanções aplicáveis para quem as descumprir — e elas não são nada amigáveis, tenha plena certeza disso.

As punições legais envolvem a aplicação de multas severas. Em valores monetários, elas podem chegar a um limite de R$ 50 milhões. Certamente deve ser motivo de preocupação, pois facilmente uma organização pode fechar as portas pela ocorrência de uma penalidade dessas. Não obstante, caso seja reincidente, a Lei pode obrigar a empresa a suspender suas atividades. Portanto, todo cuidado é pouco quanto à observância da Lei.

Para que serve a LGPD?

Com a escalada global do mundo digital, cada vez mais as empresas estão usando informações pessoais para desenhar seus produtos e serviços voltados a uma cultura data driven. Isso faz sentido do ponto de vista comercial, mas no momento que dados pessoais são compartilhados pode haver quebra de princípios tangentes à privacidade individual. Isso faz completo sentido, pois quando um usuário fornece seus dados pessoais está confiando exclusivamente na empresa que os solicitou.

Aliado a isso, conceitos modernos ganharam cada vez mais força: big data, mineração de dados, business intelligence, entre outros. O ponto em comum de tudo isso é que estamos falando de grandes conjuntos de dados. A grande questão é que esses bancos de dados gigantescos são compostos (em sua maioria) de informações pessoais, ou seja: nome, idade, sexo e preferências das mais diversas acerca das pessoas.

De forma a proteger os donos dessas informações, vários países se preocupam com a proteção da individualidade já há bastante tempo. Pelo menos nos países em que a liberdade individual é respeitada. Exemplo disso é a comunidade europeia, que discute o tema de forma mais contundente desde o fim da Segunda Grande Guerra.

Naquele continente se fazem presente as normativas a esse respeito, como a Convenção 108 da década de 80 advinda do Conselho Europeu e a Diretiva 95/46/EC proveniente do Parlamento Europeu.

Assim, em caráter mais amplo, a Lei Geral de Proteção de Dados brasileira tem como serventia a proteção da privacidade e o desenvolvimento de qualquer pessoa natural. Ela busca atingir esse objetivo através da regulamentação na coleta, tratamento, armazenamento e compartilhamento de qualquer informação de cunho pessoal.

Vale ressaltar que as informações impressas também estão incluídas no regulamento. Além disso, a Lei vale para empresas estrangeiras que realizarem captura de dados de pessoas residentes no Brasil.

Qual é a diferença entre dados pessoais e dados sensíveis?

Diante das imensas possibilidades em relação aos tipos de informações passíveis de captura, a LGPD faz uma distinção entre dois grandes grupos: os dados pessoais e os dados sensíveis. De fato, a separação se mostra bastante oportuna, pois algumas informações não são necessárias a um processo seletivo, por exemplo, ao mesmo tempo que podem colocar uma pessoa em situação de constrangimento, caso fossem divulgadas.

Como dados pessoais, entendem-se informações a título de caracterização de um indivíduo de forma única, como nome, idade, endereço e e-mail. A Lei não elenca quais são esses dados em forma de uma lista, mas dá uma direção conforme explicitada agora (identificação individual única).

Além disso, esse tipo de abordagem acaba fazendo com que a Lei possa atuar durante mais tempo e precise de menos atualizações conforme os anos avançam. Cabem ainda interpretações a operadores do direito e ao regulador, a respeito do que seria um dado pessoal.

Já as informações sensíveis abordam majoritariamente um conceito mais amplo, ligado essencialmente a opiniões e preferências. Englobam esse grupo os dados referentes a posicionamentos políticos, preferências sexuais, orientação religiosa e origens étnicas.

Perceba que nenhum desses dados seria necessário obrigatoriamente a um processo de contratação, mas, em contrapartida, poderiam expor alguém de forma agressiva até. Para lidar com a infração desses casos, a LGPD trata a questão com ainda mais rigor, inclusive sendo estritamente vedado o tratamento de informações desse tipo.

O que dispõe a Lei?

Antes da atual LGPD, a regulamentação a respeito do tratamento de dados pessoais coletados por empresas era feita pelo chamado Marco Civil da Internet. Ou seja, a Lei 12.965, com data de 23 do mês de abril do ano de 2014. Porém, as diretrizes relativas à privacidade das informações não tinham um direcionamento com grande preocupação com o usuário.

Dessa forma, a LGPD altera exatamente essa antiga Lei, e tem princípios bem mais específicos. A LGPD baseou-se nas normativas europeias de proteção a dados. A principal referência adotada foi a Lei General Data Protection Regulation, conhecida por sua sigla GDPR.

Em agosto de 2018 foi sancionada a Lei n° 13.709, a qual foi dada o nome de Lei Geral de Proteção de Dados. Foi dado um prazo de adequação de dois anos para as organizações e, portanto, a Lei teve sua entrada em vigor no mês de agosto último, em 2020. Uma das novidades da Lei é a criação de uma autarquia especial responsável pela fiscalização de alguns objetivos da LGPD. Trata-se da Autoridade Nacional de Proteção de Dados (ANPD).

Entre as atribuições da ANPD está a tarefa de zelar para que os dados pessoais de indivíduos estejam sempre protegidos, realizar a promoção das informações a respeito das políticas acerca da preservação e integridade de informações pessoais, bem como realizar a fiscalização e aplicação de punições administrativas a quem descumprir a Lei.

Além da ANPD, a Lei instituiu também um Conselho formado por representantes dos três poderes: Legislativo, Executivo e Judiciário. Seu nome é Conselho Nacional de Proteção de Dados Pessoais e ele tem por função propor orientações estratégicas a respeito do tema. Além da confecção de relatórios que verificam o andamento da execução da Política Nacional de Proteção de Dados a cada ano.

Quais são as punições para quem infringir a Lei Geral de Proteção de Dados?

Em relação às sanções, a Lei elenca penalidades severas para quem a descumprir. O agente que assim o fizer poderá receber uma multa, e ela pode ser bastante pesada. Seu valor tem o limite estipulado pela Lei de até 2% do faturamento da empresa, com teto de R$ 50 milhões. Além disso, é previsto que a infração possa ser publicizada, e isso deve causar bastante reflexão por parte das organizações. Um fato desse tipo pode ser bem mais grave para a reputação de uma companhia do que a aplicação de multas com lastro monetário.

E não é só isso: o infrator pode também perder todo o banco de dados acumulado até então. Imagine uma instituição financeira, por exemplo, sendo proibida de acessar os dados sigilosos de seus clientes. Isso pode significar o fim de uma empresa. Portanto, todo o cuidado é pouco no momento de observar a nova Lei Geral de Proteção de Dados.

Aliado a isso, a Lei também traz a necessidade de ressarcimento de dano moral, patrimonial, coletivo ou individual que venha a ser causado por ocorrência de descumprimento de suas obrigações legais. Para que isso não ocorra, o agente participante desse processo deverá provar que não houve nenhum tipo de violação à Lei, que não realizou nenhum tipo de tratamento dos dados pessoais ou que o dano ocorrido foi de responsabilidade do próprio titular das informações em questão.

Como a Lei Geral de Proteção de Dados impactará o setor de Recursos Humanos?

O setor de RH tem profunda intimidade com os dados pessoais de colaboradores e de candidatos a eventuais vagas de emprego em uma companhia. Ou seja, a necessidade de adequação é ainda mais incipiente a esse departamento.

Dessa forma, vários processos precisam de ajustes para atender a nova Lei. Entre eles podem ser citados os exames referentes à admissão de novos funcionários, o envio de dados para as companhias seguradoras e de planos de saúde, além de informações pessoais dos colaboradores já ativos. O banco de currículos também entra na conta (sim, até isso).

Novas responsabilidades devem ser inevitavelmente atribuídas ao pessoal de RH. Uma delas é referente ao termo de consentimento. Para cada situação de coleta de dados pessoais, o indivíduo em questão (seja funcionário ou candidato) precisa concordar com tal ação mediante assinatura de um termo. Nesse documento, deve constar a finalidade de uso das informações e o tempo que se dará o armazenamento.

Além disso, pode ser necessário reavaliar determinados processos já executados pelo setor de recursos humanos. A razão para isso é que somente as informações realmente necessárias devem ser exigidas. Nada que não for utilizado deve ser requerido. Os formulários para esse fim precisam ser revistos e adequados à nova realidade imposta pela LGPD.

Não obstante, a segurança em relação ao compartilhamento de dados precisa ser reforçada. O RH frequentemente tem que enviar informações dos funcionários da empresa para parceiros de negócios, em especial no que concerne a benefícios oferecidos aos colaboradores. São exemplos disso os planos de saúde em coparticipação, seguros de vida, descontos em farmácias e auxílio com alimentação.

Quais ações devem ser tomadas pelo RH em relação à Lei Geral de Proteção de Dados?

O setor de RH precisa estar bastante atento a toda tratativa relacionada às informações pessoais que precisar coletar. Isso se aplica tanto aos colaboradores já pertencentes ao quadro efetivo da empresa quanto aos processos que envolvem novos contratados. No entanto, vale frisar que em relação aos primeiros, não existe nenhuma preocupação (ou adequação) quanto ao compartilhamento dos dados junto aos órgãos oficiais. As informações que são cedidas ao INSS, Caixa Econômica Federal, CAGED e E-Social, por exemplo, são garantidos pela própria Lei.

No entanto, vários cuidados adicionais precisam ser tomados com a entrada em vigor da LGPD em relação aos processos de seleção. O principal cuidado diz respeito ao termo de consentimento para coleta, utilização e armazenamento de dados pessoais. Sem tal permissão, as informações não poderão ser guardadas e, portanto, devem ser descartadas assim que o procedimento de contratação for encerrado.

Nesse sentido, o candidato deverá assinar um documento que expresse sua autorização em relação a tudo que já foi mencionado aqui para tratativas com seus dados pessoais. O ponto de destaque nesse tópico diz respeito a empresas que ainda trabalham majoritariamente com impressões em papel, como os currículos impressos. O trabalho tende a ser maior, assim como o risco associado, pois pode haver perdas desse material e isso se enquadra na Lei como divulgação das informações pessoais.

Essa situação não é passível de ocorrência em organizações que utilizam sistemas informatizados em seu setor de recursos humanos. É claro que outras tratativas deverão ser tomadas a respeito, mas todas elas serão via sistema com a implementação de camadas lógicas de segurança e controle de acesso aos dados empresariais. Isso é mais facilmente controlado do que uma sala de arquivo repleta de informações pessoais escritas em papel.

Como a tecnologia pode ajudar nesse sentido?

Um dos maiores pontos de atenção diz respeito à segurança da informação. Isso faz referência às invasões e vazamento das informações pessoais, que devem estar completamente protegidas.

Essa segurança é necessária para atender aos quatro princípios básicos de armazenamento de dados. Esses critérios dizem respeito ao caráter de confidencialidade (os dados não serão divulgados externamente), integridade (eles permanecerão sem qualquer alteração) e disponibilidade (todos que forem de direito devem ter livre acesso dentro da organização).

Entre os benefícios alcançados, pode ser citado o aumento na eficiência da equipe do RH, pois as rotinas costumam ser extremamente volumosas e estar inserido em um sistema informatizado que oferece segurança aumenta a velocidade no uso e no arquivamento de informações. Além disso, ao trabalhar com sistemas informatizados seguros, a empresa afasta a possibilidade de invasões e de vazamento de dados.

Esse tipo de situação pode colocar a organização em situação de embates judiciais, e isso pode custar caro. Além disso, se o sistema trabalhar com backup de segurança, a organização não precisa se preocupar com perdas de documentos ou grandes banco de dados de informações de seu setor, pois haverá a segurança de dados na nuvem.

Usar a tecnologia no setor de RH pode proporcionar grande ajuda nas decisões estratégicas da empresa. Isso pode ocorrer através da análise do banco de dados formado ao longo do tempo por conta do armazenamento de informações. O conceito de big data e business intelligence pode ser aplicado a um grande conjunto de dados.

Para uma correta adequação, sua organização pode contar com a Fortes Tecnologia, empresa que oferece um sistema de gestão para RH há mais de 30 anos ao mercado.

Gostou do artigo? Então, entre em contato e conheça melhor a solução informatizada que oferecemos por meio de nosso sistema de gestão!