Você sabe o que é LGPD (Lei Geral de Proteção de Dados) e quais os impactos que essa nova lei trará para diversas áreas das empresas, principalmente para o setor de Recursos Humanos?

Nesse artigo eu abordo um pouco sobre do que se trata essa nova lei, e como ela irá afetar a forma que lidamos com dados dos nossos clientes internos, no caso, os colaboradores.

Afinal, o que é a LGPD?

A sigla LGPD, como mencionei no início, significa Lei Geral de Proteção de Dados. No Brasil essa nova lei só entra em vigor em agosto de 2020, mas em outros países, principalmente na Europa, essa lei já está em vigência e é debatido pelos europeus desde 1995.

Antes de você achar que essa lei veio do governo para que todo mundo “gaste dinheiro”, preciso lhe avisar que essa é uma tendência, pois atualmente o mercado de hoje é altamente digital. Compramos pela internet, nos cadastramos em redes sociais, fazemos cadastros para obter descontos ou materiais e etc. Portanto, neste cenário, as empresas precisam se preocupar com a privacidade e segurança dos dados pessoais dos seus clientes.

Como mencionei, a União Europeia já possui essa lei desde 1995, bem mais extensa até do LGPD. A lei veio para regulamentar a forma como as empresas e as pessoas tem acesso a dados pessoais e a dados sensíveis de outras pessoas, e assim, respeitar e assegurar a privacidade dessas informações.

Seguindo as bases do regulamento geral de proteção de dados europeu (GDPR), a LGPD mudará a forma de funcionamento e operação das organizações e estabelecerá regras de coleta, armazenamento, tratamento e compartilhamento de dados pessoais, tornando a proteção de dados ainda mais relevante.

Dessa forma se a sua empresa mostra para os clientes internos e externos uma preocupação com os dados delas, você ganhará mais confiabilidade nas negociações.

Quanto mais a tecnologia avança, mais dados são armazenados

Estamos vivendo atualmente, na era da alta conectividade digital. Já imaginou que toda essa evolução tecnológica faz com que inúmeros dados pessoais de usuários que utilizam internet sejam coletados em grandes quantidades para as mais diversas finalidades?

Você lembra do escândalo que envolveu a empresa Facebook no ano passado? O nome da empresa foi envolvido em uma investigação que, apontava o vazamento de informações de mais de 50 milhões de usuários em março de 2018. A rede social de Mark Zuckerberg , permitiu que esses dados fossem utilizadas sem o consentimento dos usuários pela empresa americana Cambridge Analytica, o objetivo era fazer propaganda política.

A lei de proteção de dados tem sido uma tendência mundial e esse movimento começou em virtude dessa lei já existir nos países da união europeia, que além de já se preocuparem a bastante tempo com o assunto, resolveu instituir que toda as empresas que eles possam se relacionar precisam ter uma política clara quanto a preservação dos dados.

Ainda estamos engatinhando no entendimento e tratamento dos dados, e isso muda tudo, muda o relacionamento, os processos e a tecnologia na qual utilizamos para receber e preservar informações.

A partir da Medida Provisória 869/19, criada no dia 27 de dezembro de 2018, a lei passou por algumas mudanças, duas delas foram: a criação da Autoridade Nacional de Proteção de Dados (ANPD) e a alteração da data em que ela deverá entrar em vigor no Brasil.

Você também pode gostar destes conteúdos
???? Processo trabalhista: exemplos reais de dano moral
???? [Webinar] Saiba como evitar processos trabalhistas

Qual o impacto da LGPD para o RH?

Você pode estar ai se perguntando: o que o RH tem a ver com essa nova lei e quem ela impactará? A resposta é simples! Toda e qualquer empresa que trabalhe com dados pessoais de clientes (internos e externos) será impactada. Então sem mais delongas vamos falar sobre quais são esses impactos para o setor de recursos humanos!

Bem, é importante que eu te fale que na lei foram estabelecidos algumas estruturas e processos que visam ampliar a proteção desses dados. No art. 18 vemos as seguintes questões das quais as empresas precisarão se preocupar:

• Confirmar a existência de tratamento de dados
  Todas as empresas precisarão dispor de um DPO (Data Protection Officer) ou se preferir, Encarregado de Dados. Ele será a ponte entre empresa>os interesses dos clientes (internos e externo)>ANPD (Autoridade Nacional de Proteção de Dados). O encarregado de dados deverá receber as reclamações e comunicações, prestar esclarecimentos e adotar providências. Também deverá orientar os colaboradores sobre as práticas a serem adotadas para que todas as regras sejam cumpridas.
• Acesso e retificação dos dados
  Todo e qualquer cliente, seja ele interno ou externo, deverá ter acesso as suas informações caso seja solicitado.
• Portabilidade
  Assim como já acontece com operadoras de celular, os clientes poderão solicitar a portabilidade de seus dados para outra empresa. No caso de colaboradores, não haverá necessidade de se portar dados digitais para outra empresa.
• Eliminação
  O cliente externo, poderá solicitar a exclusão dos seus dados da base de dados da empresa. Vale ressaltar que isso não se aplica a empresas de proteção de crédito, como SERASA e SPC.
• Anonimização dos dados
  Em casos de pesquisa realizada pelo marketing ou internamente, ele poderá solicitar que deixe suas informações em anonimato.
• Revogação do consentimento
  Esse cliente pode assinar uma declaração de consentimento e se julgar necessário, posteriormente, ele poderá solicitar a revogação dessa autorização.

Nas relações trabalhistas, vale lembrar que as empresas poderão se valer do legítimo interesse do controlador, prevalecendo direitos fundamentais do titular, isso é, para contratar se faz necessário dados pessoais e dados sensíveis. Veja alguns exemplos!

Dados pessoais:

• informação relacionada a pessoa natural identificada ou identificável, por exemplo, nome, número de celular, RG, CPF e outros.

Dados sensíveis:

• dado pessoal sobre origem racial ou ética;
• convicção religiosa;
• opinião política;
• filiação a sindicato ou a organização de caráter religioso;
• filiação a organização de caráter filosófico ou político;
• dado referente à saúde ou à vida sexual;
• dado genético ou biométrico, quando vinculado a pessoal natural.

É importante saber que mesmo as empresas se valendo do legítimo interesse do controlador, continua sendo necessário o cuidado com os dados.

Quem são os principais atores desse cenário?

No ponto de vista da LGPD, há cinco atores mais importantes no tratamento de dados pessoais:

1. Titular
2. Controlador
3. Operador
4. Encarregado
5. Autoridade Nacional de Proteção de dados (ANPD)

Seu RH esta preparado para a LGPD?

O setor de RH de uma empresa, na maioria das vezes tende a solicitar e processar grandes quantidades de dados pessoais, não apenas de seus funcionários, mas também de candidatos a vagas, contratados e ex-funcionários.

A maior parte dessas informações que costumamos solicitar, incluem dados confidenciais, tais como: informações sobre saúde; registros médicos; se tem deficiência ou não; dados pessoais como endereço; telefone; em alguns casos orientação sexual e religiosa; números de documentos e vários outros.

Muitos de nós, profissionais da área de gestão de pessoas, devem estar pensando: mas nós já temos cuidado e dispúnhamos de ética profissional!

Pois é, se você já tem cuidado com a nova lei, você e a sua empresa precisará dispor de alguns mecanismos de segurança de dados que estejam de acordo com o novo regulamento para que tanto a conservação, quanto processamento desses dados, sejam realizados de maneira correta.

Quais as consequências para as empresas que não se adequarem a LGPD?

As empresas podem sofrer várias penalidades, inclusive ao pagamento de multas de milionárias. Elenquei as principais advertências que podem acontecer:

1. Advertências com indicação de prazos para adoção de medidas corretivas.
2. Multa simples de até 2% do faturamento da empresa no seu último exercício (excluindo os tributos) e limitada até o valor de R$ 50.000.000,00 por infração.
3. Multa diária (observando o limite anterior).
4. Publicização da infração após devidamente apurada e confirmada a sua ocorrência.
5. Bloqueio dos dados pessoais a que se refere a infração até a sua regularização.
6. Eliminação dos dados pessoais a que se refere infração.

Quais as principais exigências da LGPD?

Podemos dizer que a LGPD exigirá que as organizações tomem medidas para minimizar a quantidade de informações pessoais e identificáveis que armazenamos dos nossos colaboradores, bem como garantirá que elas não sejam guardadas por mais tempo do que o necessário.

Além disso, também estabelece que todo o processamento de dados tem que ter uma base legal, como o consentimento explícito do titular dos dados e o direito desse consentimento ser cancelado no momento em que o titular desejar.

A importância do consentimento

O consentimento é um pilar fundamental da nova legislação. Pois, a LGPD afirma que as empresas só podem usar dados pessoais para o propósito expresso para o qual foi dado.

Como a lei é nova, algumas perguntas ainda não têm respostas imediatas, mas para tentar traduzir um pouco sobre propósito expresso, imagine que você tenha um site para cadastro de currículos. Lá é preciso que esteja explícito que você utilizará as informações apenas para o propósito de triagem. Dessa forma você estará exercendo como empresa o seu propósito expresso.

O ideal é que as empresas criem também, um setor onde essa demanda oriunda dessa nova lei possam ser tratadas. Nesse processo, falamos da figura do DPO (Data Protection Officer), que é o profissional responsável por aconselhar e verificar os dados pessoais de terceiros, obedecendo a Lei Geral de Proteção de Dados.

As empresas também precisarão se preocupar em estruturar novos processos , as equipes de RH, deverão criar documentos ou etapas onde os funcionários devem optar explicitamente por permitir que seus empregadores usem seus dados pessoais e que estão cientes de como esses dados serão utilizados.

Seria o mesmo de quando vamos baixar algum aplicativo ou material, e marcamos aquele check box dizendo que estamos de acordo com a lei de privacidade de dados da empresa. Só que para o RH o colaborador precisará saber o que e como serão tratados os dados pessoais dele.

A transparência será outro fator importantíssimo para esse momento, todos precisarão saber quais dados estão sendo coletados e com que finalidade eles serão usados. 

Uma dica para se fazer isso, é por meio de uma declaração de privacidade de dados assinada pelos colaboradores. E se por acaso você precisar utilizar os dados para outra finalidade, será preciso realizar uma nova declaração contendo a descrição dessa nova permissão.

Como se Adaptar?

Uma das primeiras ações nesse sentido que o RH precisará se preocupar, será a de identificar sobre quais são as informações dos colaboradores que estão sob sua responsabilidade da área e de que forma estão armazenadas, além de saber por quanto tempo guardar esses dados e como protegê-los durante a permanência do colaborador na empresa.

É interessante fazer um checklist com simples questionamentos, tais como:

1. Quais são os dados que devem ser legalmente mantidos – para atendimento do eSocial, por exemplo?
2. Quais dados requerem o consentimento do candidato e colaboradores?
3. Quais são os dados imprescindíveis ao desenvolvimento da atividade laboral – formação, registro profissional, certidões negativas etc.
4. Por quanto tempo será necessário manter esses dados armazenados?
5. Como posso proteger os dados armazenados dos candidatos e colaboradores? Quais são os dados disponíveis e que podem ser descartados?
6. Quais são os dados que devem ser mantidos e dependem de autorização do colaborador titular para armazenamento e tratamento?

A lei terá impacto direto nos processos como recrutamento e seleção, pois será importante que os responsáveis pela TI e RH reestruturem as políticas e os acordos de confidencialidade.

Será preciso ter em mãos, desde a primeira entrevista, termos de consentimento de uso de dados que devem ser assinados pelos candidatos. Esse processo deverá deixar muito transparente como a empresa usará esses dados e quais serão mantidos em arquivo.

Os gestores de RH precisarão iniciar esse trabalho pelo “início”, que pode ser, por exemplo, avaliando o sistema de armazenamento de currículos no banco de dados da empresa.

Será preciso se certificar de que as políticas de acesso estejam implantadas e que a infraestrutura de TI conte com soluções de segurança que impeçam o vazamento de informações.

Em segundo lugar, todos os funcionários devem ter conhecimento de quais dados pessoais são necessários para cumprimento de obrigações legais e quais podem ser considerados sensíveis, como informações médicas que podem inclusive, ser compartilhadas com operadoras de planos de saúde.

Nesse caso, devem ser incluídas cláusulas específicas nos contratos de trabalho, onde o funcionário concorda com o tratamento que será dado aos seus dados pessoais para uma determinada finalidade – no caso inclusão no plano de saúde corporativo. E o contrato entre a empresa e a operadora de saúde também deve ser revisto, de modo a garantir a conformidade com a LGPD. O fornecedor deve incluir as suas obrigações de proteção de dados no contrato para refletir os novos requisitos de segurança.

As informações que os departamentos de RH possuem podem ser mantidas ou processadas por sistemas de terceiros, por exemplo, sistema de folha de pagamento ou sistemas de gerenciamento de RH baseadas em nuvem.

No entanto, mesmo você contratando um terceiro (sistemas, servidores em nuvem e etc), para a LGPD você como empresa será o responsável por um possível vazamento, se houver.

Para a nova lei existe o papel do operador, pessoal que irá se utilizar dos dados, por exemplo um assistente ou analista de RH, um controlador que é a pessoa que decidirá o que será feito com essas informações e o encarregado, indicado por atuar como canal de comunicação entre o controlador, os titulares dos dados (colaboradores) e a ANPD.

Principais dúvidas e situações

Para esclarecer algumas das principais dúvidas, vou apresentar 3 situações a seguir que podem ser questionadas por gestores e empresários.

1. Se eu contratar um servidor na nuvem e este, por algum motivo, permitir que os dados sejam acessado. De quem seria a responsabilidade já que eu só estou pagando a hospedagem?

Se você, inocentemente respondeu que seria a empresa que está armazenando os dados, você errou! Será você o responsável, pois nesse caso a empresa que armazena será apenas o operador e você o controlador. Ela pode ser co-responsabilizada, mas você como empresa responderá pelo vazamento.

As empresas e os profissionais de RH, são responsáveis por proteger os dados pessoais mesmo que usem serviços de terceiros para gerenciar dados em seu nome. É preciso garantir que esses serviços processem informações, apenas de maneira compatível com a base legal original.

Assim, os profissionais precisam entender todos os fluxos de dados em seus sistemas de TI e devem usar serviços que forneçam a mais alta proteção. Neste caso a escolha de um sistema ou serviço que garanta todo esse cuidado.

2. Na minha empresa eu uso catracas com coleta de biometria para identificação de entrada e saída de colaboradores. Mas em um belo dia, a catraca deu problema e a empresa que fabrica a referida catraca precisará levar o equipamento para manutenção. O que fazer com os cadastros de biometria dos meus colaboradores que foram realizadas?

A empresa que você contratou, também deverá ter internamente, mecanismos para garantir a eliminação de dados sensíveis dos colaboradores dos seus clientes. Dessa forma, a empresa da catraca deverá apagar todos os registros antes de levar para manutenção.

3. O colaborador deixou os dados pessoais dele e com informações de dados sensíveis na impressora, por puro esquecimento. O que fazer?

O ideal é capacitar todos sempre e continuamente com instruções e informações, para que haja conscientização e auto responsabilidade, pois nesse caso você pode responder por facilitar a “divulgação” de dados.

A obtenção da conformidade de privacidade de dados não é uma ação única. É um processo contínuo que exigirá atualizações para garantir que todos os colaboradores desempenhem seu papel na obtenção da conformidade. 

O RH vive em contínua transformação

O papel do RH tem mudado constantemente nos últimos anos, afastando-se do papel tradicional de apenas um mero administrador de recrutamento e seleção. 

Essas novas leis de privacidade de dados, fazem o papel do RH se transformar ainda mais. Para garantir a conformidade, portanto, os setores de RH precisam adotar a conversa interdepartamental, trabalhar mais de perto com a TI, abrindo um diálogo com os colegas sobre proteção de dados e adotando as tecnologias apropriadas. 

Por meio disso e do planejamento adequado, o RH pode ajudar a garantir que sua organização esteja em conformidade com o futuro previsível.

Espero que tenha gostado de entender sobre a LGPD e que tenha tirado suas principais dúvidas sobre o assunto. Se tiver alguma pergunta, é só deixar aqui nos comentários que em breve vou responder.