A LGPD, abreviatura de Lei Geral de Proteção de Dados, é como chamamos a Lei n.º 13.709 de 2018, criada a partir da legislação europeia para definir como tratar (processar, coletar, utilizar etc.) dados pessoais no Brasil.
Esta Lei afeta todas as operações que envolvam dados de pessoas naturais – como nome, CPF, idade, endereço – influenciando tanto empresas físicas como as inteiramente virtuais. Ou seja, na prática, TODOS que lidam com dados pessoais devem obedecer a esta norma.
A LGPD visa a proteção dos dados pessoais contra atividades ilícitas ou prejudiciais aos titulares de dados – a pessoa a que se referem os dados -, o que é feito através de algumas estratégias, incluindo a criação de novas responsabilidades, controles, sanções e fiscalizações.
Em razão destas novas exigências e o risco de sanções, que vão desde multas até a interrupção total de atividades, o cumprimento da LGPD pelas empresas vêm sendo algo muito discutido, pois muitas áreas e setores estão sujeitos a novas obrigações, incluindo o setor de Recursos Humanos.
Qual o impacto da LGPD no setor de RH?
Um dos setores mais afetados pelas normas da LGPD foi o setor de RH, pois rotineiramente lida com o processamento dos dados de muitos funcionários e colaboradores, exigindo atenção redobrada no tocante à proteção de dados.
Alguns dados coletados pelo setor se referem a situações muito delicadas dos colaboradores, como os referentes aos seus estados de saúde, que são protegidos de forma especial pela lei.
Além disso, os antigos processos de seleção, contratação e demissão de funcionários precisam ser compatibilizados com as novas exigências de proteção de dados e segurança da informação, como a transparência das informações e os requisitos para tratar e armazenar dados.
Para entender melhor quais devem ser suas principais preocupações em relação aos impactos da LGPD no RH, confira alguns pontos que o setor precisa conhecer.
Dados pessoais x dados sensíveis
Como já havíamos mencionado antes, alguns tipos de dados são mais delicados que outros. Alguns deles são relacionados à saúde, raça, etnia, religião etc. e, se vazados, podem gerar graves danos aos seus titulares.
Considerando isso, a LGPD criou uma categoria diferenciada de dados pessoais, chamados dados pessoais sensíveis, que implicam uma série de responsabilidades e limitações adicionais.
Os tipos dados sensíveis foram listados pela LGPD como sendo dados pessoais sobre:
- Origem racial ou étnica;
- Convicção religiosa;
- Opinião política;
- Filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
- Saúde ou vida sexual;
- Genética ou biometria, quando vinculados a uma pessoa natural;
É comum que mais de um tipo de dado pessoal sensível passe pelo setor de RH e, assim, é necessário aumentar o nível de segurança do setor, adotando medidas como a limitação das pessoas que podem acessar esses dados e aumentar a proteção dos sistemas com medidas de Tecnologia da Informação.
Também é preciso conhecer quais medidas adicionais são necessárias para tratar esse tipo específico de dados.
Para saber mais sobre dados sensíveis, leia o nosso artigo Dados sensíveis na LGPD: o que você precisa saber.
Quando é possível tratar dados?
Bases legais são, essencialmente, hipóteses nas quais o tratamento de dados estará autorizado.
Para os dados pessoais comuns, as bases legais mais utilizadas nas empresas são:
- O consentimento pelo titular;
- O cumprimento de obrigação legal ou regulatória pelo controlador;
- A execução de contrato ou de procedimentos preliminares;
- O exercício regular de direitos em processo judicial, administrativo ou arbitral;
- A proteção da vida ou da incolumidade física do titular ou de terceiro;
- A tutela da saúde, exclusivamente, em procedimento realizado por profissionais e serviços de saúde;
- Atender aos interesses legítimos do controlador ou de terceiro
- A proteção do crédito
Desta forma, é necessário identificar a base legal que justifica o tratamento para todas as atividades do setor. Do contrário, o processo estará em desconformidade com a LGPD e em violação aos direitos de titulares.
Por exemplo, se o processo conduzido pelo RH for o de seleção de candidatos, é possível que a base legal adequada para o recolhimento dos dados contidos em currículos e documentos seja o consentimento, que pode ser recolhido através de formulário online ou documento físico.
Direitos dos titulares e princípios
Como norma destinada à proteção dos titulares de dados e a garantir a qualidade das operações envolvendo dados, a LGPD estabelece que algumas ações e direitos precisam ser observados durante o tratamento.
Os titulares de dados possuem vários direitos especificados na norma, que incluem os direitos de requerer:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
- Portabilidade dos dados;
- Eliminação dos dados pessoais tratados com o consentimento do titular, se não houver impedimento
- Informação das entidades públicas e privadas com as quais houve compartilhamento dos dados;
- Informação sobre a possibilidade de não fornecer consentimento e as consequências disso;
- Revogação do consentimento
Além disso, o tratamento de dados deve usar a menor quantidade possível de dados e ser claro e transparente, prestando informações aos titulares acerca do motivo do tratamento e a duração do processo até o descarte dos dados.
Isso significa que os departamentos de RH deverão estruturar muito bem os seus processos não somente em termos logísticos, mas também em relação à proteção de dados, que deverão ser muito bem conhecidos e delimitados
Um acervo mal estruturado significa que será muito difícil localizar aqueles dados para atender os direitos dos titulares e prestar informações.
Armazenamento e retenção de dados
Com a LGPD, o armazenamento de dados nos acervos da empresa deixou de ser algo que pode ser feito sem maiores considerações.
Todas as informações, especialmente as sensíveis referentes a colaboradores, precisam ser armazenadas em lugares seguros e de acesso restrito, como sistemas internos com acesso limitado a poucas pessoas.
O prazo de armazenamento também precisa ser revisto. Após o fim do vínculo empregatício, pode ser que restem dados desnecessários no sistema, como credenciais de acesso, que, por força da LGPD, precisarão ser excluídos dos sistemas ou descartados adequadamente de outras formas.
Manter dados desnecessários no sistema não é somente um desrespeito à LGPD como também pode representar uma potencial falha de segurança, e por isso é um detalhe que merece bastante atenção.
Como preparar o RH para a LGPD?
Como você pode ter reparado, ressaltamos muitas vezes a importância do gerenciamento das informações em relação aos dados coletados. Conhecer todos os aspectos relevantes dos processos à proteção de dados é algo que precisa ser feito em todos os setores.
É também necessário considerar a melhor forma de informar os titulares sobre os processos internos do RH, deixando transparente aos colaboradores, candidatos e demais titulares os motivos pelos quais os seus dados estão sendo tratados.
No entanto, a mais importante fonte de auxílio para adequar sua empresa à proteção de dados é contratar um profissional em proteção de dados, que poderá ocupar o cargo de Encarregado (ou DPO – Data Protection Officer) na sua empresa. Um DPO pode ser tanto uma pessoa física como jurídica, em propostas de DPO as a service, como a ofertada pela Data Guide.
Para saber mais sobre DPOs, acesse nosso artigo DPO interno x DPO as a service e confira o nosso e-book DPO: o que você precisa saber.