O QUE O RH PRECISA SABER SOBRE A LGPD?
A Lei Geral de Proteção de Dados (LGPD) foi criada para proteger os dados pessoais, isto é, da pessoa Natural/Física, portanto não se aplica às Pessoas Jurídicas, visando a proteção dos direitos fundamentais das pessoais naturais.
A LGPD entrou em vigor em 18 de setembro de 2020, porém apenas em 1º agosto de 2021 as sanções administrativas previstas na lei passaram a vigorar, ou seja, a partir desta data a Agência Nacional de Proteção de Dados (ANPD) já pode fiscalizar e autuar os agentes de tratamento de dados.
Embora as penalidades pelo descumprimento da legislação já estejam em vigor, a ANPD tem focado, neste primeiro momento, em esclarecer alguns conceitos presentes na lei, assim publicou em seu site diversas cartilhas sobre o tema.
Entretanto, o Judiciário já tem começado a decidir sobre temas relacionados a isto, assim o Procon, o Ministério Público também. O Dano Reputacional da empresa certamente, em muitos dos casos, será maior do que as sanções administrativas e produzirá consequências mais negativas para a sua imagem, por isso a adequação desde já é fundamental.
Os sujeitos da LGPD se dividem em:
● Titular (Pessoa Natural/Física);
● Agentes de Tratamento (Controlador – decide o destino e o tratamento do dado coletado, p. ex. e-social pelo Governo Federal;
● Operador – coleta os dados, realiza e executa a mando do controlador, aqui cabe uma observação a ANPD já definiu que o empregado da empresa não pode ser considerado como tal, pelo que o empregado do RH não é considerado operador);
● Encarregado pelo tratamento de Dados Pessoais ou DPO é o canal de comunicação entre o controlador, o titular e a ANPD.
Qual o papel do RH e as suas primeiras medidas para se adequar?
A LGPD não possui previsão específica para a seara trabalhista, contudo a ela se aplica. Veja-se. O Recursos Humanos da empresa pode ser considerado como o centro de tratamento de dados pessoais dos empregados, uma vez que é a parte da empresa que manipula a maior parte dos dados pessoais das organizações.
A fim de se adequar, os departamentos de pessoais e recursos humanos devem qualificar suas equipes que tratam dos dados dos trabalhadores, uma vez que é esta quem executará a proteção dos dados no dia a dia da empresa, portanto possui papel essencial para a adequação à legislação.
O departamento de Recursos Humanos também deve adequar os contratos de trabalho e rotinas do setor, contudo tais adequações podem ser desmembradas e feitas por partes, uma vez que se trata de verdadeira mudança cultural dentro da organização, por isso este é o principal desafio das empresas.
O setor de Tecnologia da Informação (TI), o Jurídico e o RH devem trabalhar em conjunto, pois não há adequação à LGPD sem a multidisciplinariedade de profissionais, já que não basta o conhecimento das regras trabalhistas e rotinas da empresa, é necessário também a adequação aos termos técnicos da área de tecnologia, assim como das questões de Segurança das Informações.
Como colocar em prática as adequações?
Primeiramente, é importante dividir os cuidados na adequação em três fases. A primeira relacionada a fase Pré-contratual, a segunda a Contratual e a terceira após a extinção do contrato de trabalho.
Fase Pré-contratual
Esta fase inicia pelo Processo Seletivo de candidatos. Aqui a preocupação já começa antes mesmo do recebimento dos currículos, pois a empresa deve definir, por exemplo, quais os canais serão utilizados e se os currículos serão enviados de forma física ou digital.
Portanto a empresa deve formatar o canal de recebimento criando apenas um, por exemplo, a fim de melhor controlar e tratar os dados. Devem também criar termos de consentimentos para antes da entrega dos currículos, assim como dizer a finalidade e o tempo de armazenamento daquelas informações.
O melhor canal seria o digital, um site ou mesmo um e-mail específico para este fim, com acesso restrito apenas às pessoas envolvidas nos processos seletivos (como os psicólogos, recrutadores).
O currículo físico está mais sujeito ao vazamento de dados, especialmente pela forma do seu descarte, pois costuma-se apenas “rasgar” os documentos tornando, assim, esta forma de descarte frágil.
É importante também a empresa ter um check list padrão de coleta de dados, uma vez que não deve solicitar documentos desnecessários, por exemplo, existes vagas que requerem informações específicas e outras não. Isto deve acontecer para que se colete apenas o imprescindível.
Em caso da empresa formar grupo econômico ao candidato deve ser informado que caso o currículo dele não sirva para a empresa “A” que seu currículo será encaminhado para a “B”.
Quanto a coleta de dados do aprendiz e do menor na seleção não precisa da autorização dos pais, uma vez que a lei faz menção a criança e para o ECA esta é aquela até 12 anos.
Em relação a manutenção de dados dos não selecionados já no fornecimento do currículo pelo candidato deve ser informado por quanto tempo seus dados serão mantidos no banco da empresa, por meio digital (site, por exemplo) isso fica mais fácil.
Da mesma forma que o candidato deve ser avisado e autorizar que seu currículo permanece na base para concorrer a vaga diversa daquele que se candidatou inicialmente, por exemplo, candidatou-se para uma vaga de Pedreiro, mas não foi selecionado, meses depois foi chamado (através dos contatos deixados no currículo anterior) para concorrer a uma vaga de pintor. Neste caso, o candidato deverá ter autorizado expressamente esta possibilidade.
As informações das fichas de avaliações e entrevistas, testes psicológicos, pareceres são dados sensíveis e precisam estar armazenados em local específico e serem de acesso exclusivo dos psicólogos. Não podem permanecer nas pastas dos empregados com seus demais documentos.
Fase Contratual
Os dados sensíveis podem ser coletados na admissão, sem prévio consentimento, desde que previsto em lei, norma coletiva (ACT ou CCT), normas fiscalizadoras ou regulamentadoras.
Neste caso, estão inseridos os exames médicos admissionais, os exames toxicológicos para os motoristas, os antecedentes criminais para os vigilantes, filiação sindical, dentre outros. Apesar disso, esses dados devem ser protegidos e não ser de livre acesso de todos.
Há também os dados que mesmo sensíveis não precisam de consentimento, como ocorre por exemplo com os planos de saúde, ticket alimentação, vale transporte e outros benefícios previstos na ACT ou CCT.
Frisa-se que é indicado o consentimento granular, assim há casos que os dados sensíveis e pessoais, pelo que deve ter as autorizações para esses dois tipos de dados de forma distinta.
Quanto aos dados de terceiros, de filhos e cônjuges por exemplo, como ocorre nos casos de planos de saúde, seguros, benefícios, dentre outros. No caso de dados do menor se for para uso do Salário Família que é obrigação legal o empregado pode fornecer, mas se for para plano de saúde deve ser comprovada a autorização de um dos pais ou do responsável legal para o tratamento desses dados, da mesma forma se for do cônjuge este deve autorizar tal fornecimento.
Além disso, a coleta de dados deve respeitar a necessidade de se obter as informações, assim se o empregado não faz jus ao salário família não tem motivo para fornecer os dados, como por exemplo, a quantidade de filhos que possui ou a carteira de vacina da criança.
Os contratos de trabalho não precisam ser alterados, basta a feitura de aditivos contratuais para incluir a cláusula da proteção de dados.
Recomenda-se que a empresa crie uma Política Interna para tratamento de dados em caso de vazamento e Política de Privacidade para garantir a confidencialidade dos dados coletados.
Em casos de teletrabalho ou home office o maior risco para as empresas é a segurança das informações que estão sendo tratadas, uma vez que nem sempre o empregado terá os meios adequados de proteção para laborar de casa, usará por exemplo rede doméstica, computador particular, o que dificulta a proteção dos dados por parte da empresa.
Quanto aos terceirizados a empresa deve manter o controle dos Prestadores de Serviços, controle do cumprimento de requisitos de cibersegurança, capacitação e conscientização destes terceiros.
A lei prevê a responsabilidade solidária da tomadora no tratamento de dados se não for utilizada de forma correta. Por exemplo, as que realizam os processos seletivos das empresas devem estar adequadas à LGPD, caso contrário qualquer dano causado também poderá ser respondido pela empresa contratante, ainda que esta esteja adequada à LGPD.
A sugestão é que a empresa solicite da terceirizada Relatórios Mensais de Impactos de Vazamento de dados, como forma de respaldo. Assim como deve fazer com relação aos recolhimentos previdenciários e de FGTS.
Fase Pós-contratual
A LGPD prevê as hipóteses em que o tratamento dos dados deve cessar, como quando encerrada a finalidade daquela coleta, como o cancelamento do plano de saúde, os dados não precisam mais permanecer armazenados e o tratamento pode ser finalizado. Contudo quando se observam as regras trabalhistas deparam-se com prazos e situações distintas.
Assim, a empresa por força legal deve manter os dados e descartar (ou devolver) aqueles que dependem exclusivamente do consentimento do empregado e manter os obrigacionais. No mesmo sentido, quando do falecimento do empregado a regra é a mesma do empregado desligado quanto a guarda dos dados.
Por fim, quanto ao descarte dos dados a ANPD através do Guia de Segurança estabeleceu algumas regras para o descarte.
Os cuidados da empresa devem estar sustentados principalmente em evitar vazamento de dados, inclusive físicos, quando do descarte irregular (rasgar/amassar papel e jogar direto no lixo). O ideal é contratar empresa especializada nisso.
Conclusão
Diante da entrada em vigor da LGPD, assim como da já permitida aplicação das sanções, tais como multas simples, multas diárias, eliminação de dados, suspensão de funcionamento, dentre outras que podem ser gradativas, isoladas ou cumulativas, as empresas devem se adequar, especialmente os departamentos de recursos humanos, tendo em vista que estes são os que mais coletam e manuseiam dados pessoais.
Portanto, para alcançar a adequação à LGPD a empresa pode compartimentar o seu ajuste, a fim de facilitar a sua implantação. E, o principal, treinar as pessoas que vão coletar e tratar os dados.
Com isto, muitos dados desnecessários não serão mais colhidos, assim como as organizações terão que estabelecer regras claras quanto aos que terão acesso e ao que terão acesso.
Os cuidados devem ser adotados não apenas para não sofrer sanções administrativas advindas da ANPD, mas também dos órgãos fiscalizadores, como a superintendência regional do trabalho e o Ministério Público do Trabalho, da mesma forma de passivos decorrentes de demandas judiciais por parte dos empregados e dos sindicatos.
Fonte: Contábeis
