LEI GERAL DE PROTEÇÃO DE DADOS (LGPD): o que o departamento de Recursos Humanos precisa saber

Em votação ocorrida ontem (26.08), o Senado Federal não aprovou a proposição da Câmara dos Deputados para que a LGPD (Lei Geral de Proteção de Dados) entrasse em vigor em 31.12.2020. Assim, a princípio a Lei já estaria vigorando a partir desta quinta-feira. No entanto, em nota de esclarecimento emitida ainda na noite de ontem, o próprio Senado manifestou-se no sentido de que LGPD não entrará em vigor imediatamente, mas apenas após sanção ou veto presidencial ao PLV (Projeto de Lei de Conversão) nº 34/2020, o que deve ocorrer em até 15 dias úteis.

Portanto, seja a partir de hoje ou daqui a 15 dias, o fato é que não há mais como fugir. A LGPD CHEGOU E SUA EMPRESA PRECISA ESTAR ADAPTADA!

A entrada em vigor da LGPD atinge diretamente todas as empresas, as quais deverão se adaptar a nova lei, a fim de garantir a segurança e a proteção dos dados das pessoas físicas com as quais se relaciona, evitando a imposição de pesadas multas, bem como, visando a preservação da sua reputação no mercado em que está inserida.

E um dos departamentos mais afetados é o de Recursos Humanos. As rotinas de coleta, tratamento e proteção de dados serão profundamente alteradas. Afinal, qualquer informação que possa levar à identificação de uma pessoa, direta ou indiretamente, por referência a um nome, a um número de identificação ou a qualquer outro elemento específico de sua identidade física, fisiológica, psíquica, econômica, cultural ou social, são considerados pela lei como dados pessoais, e, como tal, devem ser tratados e preservados de forma adequada.

Há ainda, os chamados dados pessoais sensíveis, classificados pela LGPD como os dados relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, a saúde ou vida sexual e os dados genéticos ou biométricos, os quais, justamente por estarem relacionados intimamente ao titular, merecem tratamento e proteção ainda mais responsáveis.

O setor de Recursos Humanos, nele também compreendido o Departamento de Pessoal, tem como atribuições a gestão estratégica e operacional relacionada aos empregados e prestadores de serviços de uma empresa. Dentre suas rotinas diárias, portanto, está a coleta e o tratamento de dados pessoais, inclusive os de natureza sensível, seja nos processos de recrutamento e seleção, de avaliação e desempenho, de treinamento e desenvolvimento, de elaboração de plano de cargos e salários, seja nos procedimentos corriqueiros, como admissão e demissão de empregados, cálculo de folha de pagamento, controle de jornada de trabalho e gestão de benefícios.

Com a entrada em vigor desta legislação específica em matéria de proteção de dados, a coleta e o tratamento destes dados deverá se operacionalizar de forma que atenda aos comandos legais, sob pena de responsabilização do controlador e do operador.

Ou seja, a LGPD não é “apenas mais uma lei”. O tratamento de dados é assunto sério e de extrema relevância no contexto atual, em que se vive a era da tecnologia e do mundo virtual. Quem já não ouviu falar que seus dados estão na “nuvem”? Mas o que vem a ser isso? É justamente por não sabermos onde fica esta tal “nuvem”, que o tema merece atenção e deve ser debatido. Antes da entrada em vigor da LGPD.

E qual é o papel do Recursos Humanos neste processo de adequação? Eis um breve passo a passo:

1) CONHECER OS PRINCIPAIS CONCEITOS TRAZIDOS PELA LGPD.

Ainda que a LGPD seja complexa, é essencial que o RH tenha conhecimento dos conceitos por ela trazidos e dos atores no tratamento de dados, pois certamente estes termos passarão a ser corriqueiros nas relações mantidas com os demais setores, especialmente o de TI.

• Titular: pessoa física a quem se referem os dados pessoais.
• Controlador: pessoa física ou jurídica que toma as decisões em relação à forma e finalidade do tratamento de dados pessoais.
• Operador/processador: pessoa física ou jurídica que realiza o tratamento de dados pessoais sob as ordens do Controlador.
• Encarregado (DPO): pessoa física indicada pelo Controlador para ser o canal de comunicação entre o Controlador, os Titulares e a ANPD (Agência Nacional de Proteção de Dados.
• Tratamento de dados: conjunto de operações efetuadas sobre dados pessoais por meios manuais ou automatizados. Inclui obtenção, registro, organização, estruturação, conservação, adaptação/alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, bloqueio ou destruição de dados pessoais.

2) IDENTIFICAR OS DADOS ARMAZENADOS E OS SISTEMAS DE PROTEÇÃO EXISTENTES.

Uma das primeiras ações é identificar e se certificar sobre quais são as informações dos funcionários que estão sob sua responsabilidade e de que forma estão armazenadas, além de saber por quanto tempo guardar esses dados e como protegê-los durante a permanência do empregado na empresa ou mesmo após o seu desligamento.

É preciso saber também quais os setores internos e os profissionais que tem acesso aos dados armazenados e realizar um trabalho de conscientização e esclarecimentos acerca da nova política de proteção de dados introduzida pela LGPD, a fim de que todos tenham ciência das consequências do vazamento de informações.

Sugere-se, neste momento, que seja buscada consultoria jurídica especializada, além de profissionais de segurança da informação para um diagnóstico preciso e elaboração de um plano de adequação.

Os dados já armazenados podem ser utilizados na vigência de LGPD, no entanto, é recomendável que seja implantado um programa de proteção e coletadas autorizações/termos de consentimento específicos para a finalidade para a qual serão usadas estas informações, em conformidade com a lei.

3) AVALIAR A NECESSIDADE E A FINALIDADE DOS DADOS PESSOAIS.

O terceiro passo é avaliar a real necessidade dos dados coletados e a finalidade para a qual serão utilizados. É interessante fazer um checklist com simples questionamentos, como: quais informações são efetivamente necessárias para fins de contratação de um empregado? os dados são obrigatórios por força de lei (FGTS, e-social, salário família), por força de contratos comerciais (tomadores de serviços) ou em face da política de benefícios (plano de saúde, plano de telefonia)? Quais informações requerem o consentimento do candidato/empregado?

A orientação, portanto, é que se mantenha no banco de dados da empresa apenas os dados que são indispensáveis à contratação do empregado, evitando-se, quando não for exigível em razão da função para a qual será contratado, a coleta e o armazenamento de informações pessoais irrelevantes para a candidatura a uma vaga de emprego ou desempenho do contrato de trabalho, tais como, opção religiosa e política, orientação sexual, etc.

Além disso, há que ficar bem claro quando da coleta a finalidade para a qual estão sendo solicitados. É direito do titular ser informado a respeito de qual o tratamento que será dado aos seus dados pessoais, além da forma como os mesmos ficarão armazenados e de quem terá acesso a estas informações.

4) ELABORAR OS TERMOS DE CONSENTIMENTO.

Relacionados os dados que são imprescindíveis para a candidatura ou contratação do empregado, a próxima ação a ser tomada é a elaboração da documentação de consentimento em relação ao uso dos dados do candidato ou colaborador. Tal consentimento deverá ser fornecido por escrito ou por qualquer outro meio que demonstre a manifestação de vontade do titular.

Ou seja, a empresa terá que obter o consentimento de qualquer pessoa de quem for obter e tratar dados, mantendo clareza sobre a finalidade para a qual serão utilizados. Nos termos da lei, autorizações genéricas serão consideradas nulas e caberá ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na LGPD.

Observa-se que não depende de consentimento do titular quando o tratamento de dados é necessário para atender ao interesse público, justificando-se pelo cumprimento de obrigação legal ou regulatória (emissão de nota fiscal, informações prestadas exigidas pela CEF enquanto gestora do FGTS, etc). Entretanto, por cautela, é recomendável que mesmo nestas situações se mantenha o termo de consentimento assinado pelo titular, especialmente porque tal documento servirá para demonstrar a clareza acerca da finalidade dos dados.

5) MANTER COMUNICAÇÃO COM O ENCARREGADO DA LGPD E A ÁREA DE TECNOLOGIA DA INFORMAÇÃO

Além de toda a análise de risco e cautela que o RH deve tomar em relação à coleta e o tratamento de dados, é necessário que se mantenha alinhado com o Encarregado da LGPD, profissional designado pela empresa para ser o canal de comunicação entre o Controlador, os Titulares e a ANPD (Agência Nacional de Proteção de Dados), bem como, que estabeleça comunicação direta com o responsável por segurança na área de tecnologia da informação e com o departamento jurídico.

Junto à equipe de TI, deve buscar a garantia de que os programas e softwares utilizados nas áreas de recursos humanos e departamento pessoal sejam eficientes e confiáveis e tenham uma boa política de segurança e proteção de dados. Já com o jurídico, é importante que elabore as rotinas de coleta e tratamento de dados, observadas as disposições legais constantes na LGPD.

Ainda, competirá ao RH criar campanhas de conscientização e disseminar as normas e práticas diárias de proteção de dados entre a equipe. É responsabilidade de todos a proteção contra o vazamento de dados e a exposição de informações.

6) GARANTIR AO TITULAR A TRANSPARÊNCIA E O LIVRE ACESSO AO DADOS.

Ainda que obtenha o consentimento do titular para o tratamento dos dados, o Controlador não pode dispor deles de forma absoluta, devendo obedecer à legislação no que se refere à transparência no tratamento de seus dados. É direito do titular o acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva, especialmente acerca da finalidade, forma e duração do tratamento, identificação do controlador, responsabilidade dos agentes que realizarão o tratamento.

Além disso, é garantido ao titular obter, a qualquer momento e mediante requisição: a confirmação da existência de tratamento, o acesso às informações armazenadas, a correção de dados incompletos, inexatos ou desatualizados, a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD, o acesso à informações sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, assim como, revogar o consentimento a qualquer momento.

Como se pode ver, a adequação da empresa à LGPD não é tarefa simples. Mas é necessária e urgente! Para proteger a privacidade dos dados coletados, será preciso reorganizar a maneira como a empresa lida com os dados e segurança da informação. E este é multidisciplinar: os setores de RH, TI e jurídico, além de manter um canal aberto de comunicação através do encarregado da LGPD, devem estar alinhados na elaboração de políticas e na criação de sistemas de proteção de dados.

Quanto ao RH, sua função não será mais apenas fazer a gestão organizacional e estratégia. Seu papel vai muito além do armazenamento e tratamento de dados. Também será sua a atribuição de promover campanhas de conscientização entre os colaboradores acerca da necessidade desta mudança de paradigma e da responsabilidade de cada um pelo vazamento de dados. É um processo constante, que deve ser adotado por todos como uma nova rotina da gestão da organização empresarial.

Rocheli M. Kunzel
Advogada e sócia do escritório
OAB/RS 81.795

Acompanhe mais conteúdos em nossas Redes Sociais: Facebook e Instagram.