A Lei Geral de Proteção de Dados (LGPD) foi criada com o intuito de trazer uma maior proteção aos dados pessoais de pessoas físicas vivas. Dados de pessoas jurídicas não estão protegidos pela legislação, salvo, é claro, os dados de seus sócios, administradores, etc.
Por dados pessoais entendem-se quaisquer informações ou conjunto de informações através das quais seja possível identificar, direta ou indiretamente, uma pessoa física viva, como, por exemplo, nome, RG, CPF, CTPS, PIS/PASEP, dados bancários, e-mail, etc.
Importante destacar que a LGPD traz o conceito de dados sensíveis, que são informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dado genético ou biométrico. Esses dados possuem uma proteção especial da LGPD, uma vez que podem causar algum tipo de constrangimento ou preconceito ao titular.
No âmbito das relações de emprego, o tratamento de dados pessoais e sensíveis está presente em praticamente todos os processos da rotina do Departamento Pessoal e de Recursos Humanos. Desde o processo de recrutamento e seleção até o término da relação empregatícia.
É comum o pensamento equivocado de que a LGPD somente se aplica nas empresas da “porta para fora”. É preciso olhar para dentro de casa e adequar os processos internos sob a ótica da aplicação da LGPD sobre os dados de candidatos de vagas de emprego, colaboradores e ex-colaboradores.
No âmbito trabalhista, até 2022, existiam cerca de 63 mil reclamações trabalhistas que citavam a LGPD. Os pedidos ultrapassavam 15 milhões de reais.
Diante disso, não bastassem as sanções administrativas, que podem ser aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados), as empresas devem estar atentas às possível condenações judiciais no âmbito trabalhista relacionadas ao descumprimento da Lei Geral de Proteção de Dados.
Contudo, não são somente as empresas que precisam se preocupar com o cumprimento da LGPD. Já se têm ciência existência de condenações judicias que mantiveram a demissão por justa causa aplicada à colaboradores que descumpriram normas internas da empresa relacionadas à proteção e privacidade de dados.
Quais os papéis do RH e do DP perante a LGPD?
Uma vez entendido o conceito de dados pessoais e dados sensíveis, pode chegar-se à conclusão de que, como dito acima, a grande maioria das atividades realizadas pelo setor de RH e DP (para não dizer todas) lidam, de alguma forma, com dados pessoais ou sensíveis.
Tais setores são considerados críticos quando o assunto é a privacidade e proteção de dados e deve se cercar de inúmeros cuidados para não descumprir os termos da LGPD.
Dito isso, são muitas as providências que devem ser adotadas para a plena conformidade do setor em relação à lei.
E quais são as medidas que o RH e o DP devem adotar?
Antes de iniciar a adequação do setor, é importante dividir sua atuação em três fases: a fase pré-contratual, ou seja, antes da relação de emprego, a contratual e a pós-contratual, após a rescisão do contrato de trabalho.
Fase Pré-contratual
O processo de adequação deve começar antes mesmo da coleta de currículos para determinado processo seletivo.
Estes documentos costumam conter inúmeros dados pessoais, como nome, telefone, endereço, formação acadêmica, foto, etc.
Em razão disso se faz necessário criar mecanismos que viabilizem e tornem legítimo o recebimento e tratamento de todas as informações contidas nos currículos dos candidatos. A elaboração de termos de consentimento ou ciência de tratamentos de dados são essenciais.
A definição do canal e forma de recebimento dos currículos, de quem precisa ter acesso à eles e o tempo de armazenamento das informações são alguns exemplos de outros pontos de atenção.
Outra questão que vale destacar é: se o RH e o DP se utilizam de prestadores de serviços durante o processo seletivo (psicólogos, empresas de recrutamento e seleção, etc.) se faz necessária a criação de um documento jurídico que garanta que as informações tratadas por tais prestadores estarão em conformidade com a LGPD. Contratos e termos de responsabilidades são essenciais nesta fase.
Fase Contratual
Vamos dividir a fase contratual em dois pontos: o primeiro é com relação aos dados de colaboradores e seus dependentes. Já o segundo diz respeito aos dados aos quais os colaboradores têm acesso no exercício de suas funções.
1) Dados de colaboradores e dependentes
Inúmeros dados pessoais são necessários para a execução plena do contrato de trabalho. Não raro também há o tratamento de dados sensíveis, como filiação sindical e eventuais exames de saúde, como o toxicológico.
Em muitos casos, dados terceiros, de filhos e cônjuges, por exemplo, também precisam ser tratados para o fornecimento de benefícios como planos de saúde, seguros, dentre outros.
Nestas hipóteses, é necessário verificar por quais motivos os dados são tratados, seja para o cumprimento de alguma obrigação legal ou regulatória ou para algum benefício concedido por livre escolha do empregador. Isso é importante para definir quais as medidas jurídicas devem ser adotadas para que a LGPD seja cumprida da forma correta.
A análise deve ser feita caso a caso.
2) Dados tratados por funcionários durante suas atividades
A depender da função do colaborador, este terá acesso a inúmeros dados pessoais e sensíveis durante o exercício de suas atividades. Os próprios colaboradores do RH são exemplos.
Para tanto, é imprescindível que a empresa adote medidas para que esses tratamentos observem os termos da legislação. A criação de uma política interna relacionada à privacidade e proteção de dados, com diretrizes e normas a serem observadas pelos colaboradores, assim como a realização de treinamentos para conscientização do seu pessoal são exemplos de atitudes que devem ser tomadas. Com o aumento da consciência dos colaboradores sobre a importância do cumprimento da LGPD por eles e, consequentemente pela empresa, as chances de infringência à lei diminuem.
Cabe destacar que é de pleno interesse da empresa que a LGPD seja cumprida por seus colaboradores, uma vez que, em caso de algum dano a determinado titular de dados ocasionado por culpa ou dolo do seu pessoal, ela pode ser responsabilizada pelo fato.
Outrossim, tornar pública aos colaboradores as normas internas acerca da privacidade e proteção de dados e a realização de treinamentos periódicos possibilitam a aplicação de sanções aos colaboradores que descumpriram as diretrizes estabelecidas, assim como mencionado no início deste artigo.
Por fim, a mesma cautela adotada na fase pré-contratual com relação à fornecedores/prestadores de serviços também se aplica àqueles da fase contratual.
Fase Pós-contratual
A LGPD prevê que o término do tratamento de dados pessoais ocorrerá quando:
- a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
- houver o fim do período de tratamento, quando houver prazo;
- houver a revogação do consentimento desde que não haja outra base legal; ou
- por determinação da ANPD, quando houver violação ao disposto nesta Lei.
Neste sentido, após o término do tratamento dos dados pessoais, estes deverão ser eliminados. No entanto, há exceções quanto a obrigatoriedade da eliminação.
Os dados poderão ser mantidos para as seguintes finalidades:
- cumprimento de obrigação legal ou regulatória pelo controlador;
- estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
- uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Assim, a manutenção de dados pessoais ou sensíveis se faz possível se enquadrada em uma das hipóteses expostas acima.
Por isso, é necessário que a empresa faça uma análise aprofunda sobre os dados tratados após o fim da relação de emprego e se esse tratamento está de acordo com os termos da Lei Geral de Proteção de Dados.
O cuidado com relação aos fornecedores/prestadores de serviços tidas nas fases anteriores, também se aplica nesta última.
Conclusão
Diante de toda essa exposição, fica evidente que a plena adequação de uma empresa à LGPD é muito mais ampla e abrangente do que se pode imaginar.
Comumente me deparo com pessoas que, com toda a certeza do mundo, dizem que suas empresas estão adequadas. E quando as questiono que tipos de medidas elas adotaram, me dizem que incluíram uma Política de Privacidade no site ou uma cláusula padrão em seus contratos.
Evidentemente, isso é importante. Contudo, é necessário olhar pra dentro da própria casa e fazer as adequações necessárias.
O RH e o DP têm papéis fundamentais no cumprimento da Lei Geral de Proteção de Dados, e merecem uma atenção mais do que especial.
Por Edgard Dolata
Imagem de DCStudio no Freepik