Autora do Blog: Maria Amália P. S. Landim (sócia fundadora do escritório Simões Landim Advogados)
Data da Publicação: 29/07/2019
A LGPD impacta diretamente os profissionais de recursos humanos e poderá gerar grandes mudanças para o setor.
A Lei Geral de Proteção de Dados (LGPD) exigirá novas responsabilidades do setor de RH que terá que implementar mudanças para garantir a proteção dos dados de seus clientes, funcionários e fornecedores.
A Lei entra em vigor em agosto de 2020 e a sua adequação vai exigir dos gestores de RH, necessariamente a implementação de estratégias e programas para a conscientização das novas regras.
O uso de recursos de tecnologia para a avaliação dos principais processos (coleta, uso, tratamento, guarda e descarte dos dados) será indispensável para a verificação dos processos e procedimentos do setor de recursos humanos que deverão ser adaptados a nova legislação. A Lei 13.709/2018 – Lei Geral de Proteção de Dados regulamenta no Brasil o tratamento de dados pessoais, em todos os setores, públicos e privados.
A nova Lei irá impactar diretamente as relações de trabalho e o os setores de recursos humanos de todas as empresas, pois irá exigir das empresas adequações em seus procedimentos internos e contratos, sob pena de sanções administrativas e multa de até R$ 50 milhões por infração. Para proteger a privacidade das pessoas, será preciso reorganizar a forma como as empresas lidam com dados pessoais e segurança da informação.
O caminho para adequação a LGPG
A partir da Lei o setor de RH será obrigado a alterar a maioria dos seus processos, desde a seleção até a demissão do colaborador, passando pelos dados de candidatos, clientes e fornecedores. Caso a organização não cumpra com as determinações, estará sujeita às multas e, em casos mais graves, a interrupção de suas atividades.
As empresas precisarão elaborar e revisar suas políticas internas, definindo de forma bastante clara os setores que poderão ter acesso a dados de candidatos, empregados e terceiros, bem como a forma de utilização de tais informações.
É importante inicialmente saber quais são as informações necessárias para fins de cumprimento de obrigação legal ou execução do contrato de trabalho de acordo com cada especificidade dos mesmos? Quais requerem o consentimento das pessoas? O consentimento será umas das 10 possibilidades que legitimarão o tratamento de dados pessoais; Verificar onde os dados são guardados (físicos e digitais) e se existe proteção adequada para esses dados, como senhas e criptografia; Avaliar se os empregados e colaboradores sabem evitar vazamentos e se têm noção da responsabilidade sobre as informações; Relacionar todas as situações de risco da empresa.
Priorizar as ações preventivas
Em processos como recrutamento e seleção, será importante que os profissionais de RH reestruturem as políticas e os acordos de confidencialidade. Será preciso ter à mão, desde a primeira entrevista, termos de consentimento de uso de dados, que devem ser assinados pelos candidatos. Esse processo deverá deixar muito claro como a empresa usará esses dados e quais serão mantidos em arquivo e por quanto tempo.
Fazendo um rápido benchmark com pessoas da área de RH, podemos elencar algumas informações pessoais sensíveis que são tratadas no dia a dia, como fichas cadastrais com informações de gênero, dados de saúde, filiações sindicais, atestados médicos de funcionários, dados biométricos.
Muitas destas informações são armazenadas de forma física (em papel ou pastas suspensas nos “arquivos” ou de forma digital em planilhas Excel, banco de dados sem critérios de segurança bem definidos.
Fazendo um rápido benchmark com pessoas da área de RH, podemos elencar algumas informações pessoais sensíveis que são tratadas no dia a dia, como fichas cadastrais com informações de gênero, dados de saúde, filiações sindicais, atestados médicos de funcionários, dados biométricos.
Os dados já coletados e processados deverão ser reavaliados, verificando o objetivo de sua coleta e o correspondente fundamento jurídico. Também será necessário informar aos titulares sempre que houver a coleta de seus dados pessoais.
É preciso rever as medidas de segurança adotadas pela empresa para prevenir, detectar ou corrigir possíveis violações a dados pessoais. Essa medida é importante, já que serve de atenuante em caso de eventual penalização administrativa.
Deve-se designar um profissional, de preferência um especialista em proteção de dados pessoais ou de inteligência, para servir como elo comunicacional entre os titulares dos dados pessoais e a futura autoridade nacional, que irá regular e fiscalizar a aplicação da lei.
O risco de exposição dos dados e falhas nos controles de segurança podem trazer sérios problemas às empresas.
Lembrando que a multa é proporcional ao incidente, ou seja, quanto maior for risco de exposição do dado sensível, maior será a multa aplicada.