A Lei Geral de Proteção de Dados (LGPD) foi criada com o intuito de trazer uma maior proteção aos dados pessoais de pessoas físicas vivas. Dados de pessoas jurídicas não estão protegidos pela legislação, salvo, é claro, os dados de seus sócios, administradores, etc.
Existe uma lacuna sobre a aplicabilidade da LGPD com relação aos dados pessoais de pessoas falecidas. Esse ponto precisará ser definido pela Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal que é responsável pela regulamentação, aplicação e fiscalização.
Por dados pessoais entendem-se quaisquer informações ou conjunto de informações através das quais seja possível identificar, direta ou indiretamente, uma pessoa física viva. Como exemplo posso citar o nome, RG, CPF, CTPS, PIS/PASEP, dados bancários, e-mail, etc.
Importante destacar que a LGPD traz o conceito de dados sensíveis, que são informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dado genético ou biométrico. Esses dados possuem uma proteção especial da LGPD, uma vez que podem causar algum tipo de constrangimento ou preconceito ao titular.
A LGPD foi publicada em 14 de agosto de 2018 e entrou em vigor em 18 de setembro de 2020, porém apenas em 1º agosto de 2021 as sanções administrativas previstas na lei passaram a vigorar, ou seja, a partir desta data a Agência Nacional de Proteção de Dados (ANPD) já pode fiscalizar e autuar os agentes de tratamento de dados. Há a previsão de que a atuação do órgão se intensifique a partir do mês de Fevereiro/2023.
Apesar da possibilidade de aplicação de sanções em razão de descumprimento da LGPD, até o momento a ANPD tem trabalhado forte na conscientização da população sobre a importância da privacidade e proteção de dados no Brasil, esclarecendo alguns conceitos sobre a lei e definindo diretrizes para a sua atuação fiscalizadora.
Cabe destacar que as sanções administrativas aplicadas pela ANPD podem variar de uma simples advertência a multas com o limite máximo de 50 milhões de reais por infração.
As sanções aplicadas pela a ANPD não impedem que outros órgãos como o Poder Judiciário, Ministério Público e o PROCON, apliquem penalidades sob a justificativa de descumprimento à LGPD. Aliás, é o que temos visto nos últimos meses.
No âmbito trabalhista, até 2021, já tínhamos 136 reclamações trabalhistas movidas contra empresas que teriam descumprido a lei. Os pedidos ultrapassavam 15 milhões de reais.
Contudo, não são somente as empresas que precisam se preocupar com o cumprimento da LGPD. Já temos ciência da existência de condenações judicias que mantiveram a demissão por justa causa aplicada à colaboradores que descumpriram normas internas da empresa relacionadas à proteção e privacidade de dados.
Como a LGPD impacta no RH?
Uma vez entendido o conceito de dados pessoais e dados sensíveis, pode chegar-se à conclusão de que a grande maioria das atividades realizadas pelo setor de RH (para não dizer todas) lidam, de alguma forma, com dados pessoais ou sensíveis.
O RH é considerado crítico quando o assunto é a privacidade e proteção de dados e deve se cercar de inúmeros cuidados para não descumprir os termos da LGPD.
Dito isso, são muitas as providências que devem ser adotadas para a plena conformidade do setor em relação à lei.
E quais são as medidas que o RH deve adotar?
Antes de iniciar a adequação do setor, é importante dividir sua atuação em três fases: a fase pré-contratual, ou seja, antes da relação de emprego, a contratual e a pós-contratual, após a rescisão do contrato de trabalho.
Fase Pré-contratual
O processo de adequação deve começar antes mesmo da coleta de currículos para determinado processo seletivo.
Estes documentos costumam conter inúmeros dados pessoais, como nome, telefone, endereço, formação acadêmica, foto, etc.
Em razão disso se faz necessário criar mecanismos que viabilizem e tornem legítimo o recebimento e tratamento de todas as informações contidas nos currículos dos candidatos. A elaboração de termos de consentimento ou ciência de tratamentos de dados são essenciais.
A definição do canal e forma de recebimento dos currículos, de quem precisa ter acesso à eles e o tempo de armazenamento das informações são alguns exemplos de outros pontos de atenção.
Outra questão que vale destacar é: se o RH se utiliza de prestadores de serviços durante o processo seletivo (psicólogos, empresas de recrutamento e seleção, etc.) se faz necessária a criação de um documento jurídico que garanta que as informações tratadas por tais prestadores estarão em conformidade com a LGPD. Contratos e termos de responsabilidades são essenciais nesta fase.
Fase Pré-contratual
Vamos dividir a fase contratual em dois pontos: o primeiro é com relação aos dados de colaboradores e seus dependentes. Já o segundo diz respeito aos dados aos quais os colaboradores têm acesso no exercício de suas funções.
1) Dados de colaboradores e dependentes
Inúmeros dados pessoais são necessários para a execução plena do contrato de trabalho. Não raro também há o tratamento de dados sensíveis, como filiação sindical e eventuais exames de saúde, como o toxicológico.
Em muitos casos, dados terceiros, de filhos e cônjuges, por exemplo, também precisam ser tratados para o fornecimento de benefícios como planos de saúde, seguros, dentre outros.
Nestas hipóteses, é necessário verificar por quais motivos os dados são tratados, seja para o cumprimento de alguma obrigação legal ou regulatória ou para algum benefício concedido por livre escolha do empregador. Isso é importante para definir quais as medidas jurídicas devem ser adotadas para que a LGPD seja cumprida da forma correta.
A análise deve ser feita caso a caso.
2) Dados tratados por funcionários durante suas atividades
A depender da função do colaborador, este terá acesso a inúmeros dados pessoais e sensíveis durante o exercício de suas atividades. Os próprios colaboradores do RH são exemplos.
Para tanto, é imprescindível que a empresa adote medidas para que esses tratamentos observem os termos da legislação. A criação de uma política interna relacionada à privacidade e proteção de dados, com diretrizes e normas a serem observadas pelos colaboradores, assim como a realização de treinamentos para conscientização do seu pessoal são exemplos de atitudes que devem ser tomadas. Com o aumento da consciência dos colaboradores sobre a importância do cumprimento da LGPD por eles e, consequentemente pela empresa, as chances de infringência à lei diminuem.
Cabe destacar que é de pleno interesse da empresa que a LGPD seja cumprida por seus colaboradores, uma vez que, em caso de algum dano a determinado titular de dados ocasionado por culpa ou dolo do seu pessoal, ela pode ser responsabilizada pelo fato.
Outrossim, tornar pública aos colaboradores as normas internas acerca da privacidade e proteção de dados e a realização de treinamentos periódicos possibilitam a aplicação de sanções aos colaboradores que descumpriram as diretrizes estabelecidas, assim como mencionado no início deste artigo.
Por fim, a mesma cautela adotada na fase pré-contratual com relação à fornecedores/prestadores de serviços também se aplica àqueles da fase contratual.
Fase Contratual
A LGPD prevê que o término do tratamento de dados pessoais ocorrerá quando:
1) a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
2) houver o fim do período de tratamento, quando houver prazo;
3) houver a revogação do consentimento desde que não haja outra base legal; ou
4) por determinação da ANPD, quando houver violação ao disposto nesta Lei.
Neste sentido, após o término do tratamento dos dados pessoais, estes deverão ser eliminados. No entanto, há exceções quanto a obrigatoriedade da eliminação.
Os dados poderão ser mantidos para as seguintes finalidades:
1) cumprimento de obrigação legal ou regulatória pelo controlador;
2) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
3) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
4) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Assim, a manutenção de dados pessoais ou sensíveis se faz possível se enquadrada em uma das hipóteses expostas acima.
Por isso, é necessário que a empresa faça uma análise aprofunda sobre os dados tratados após o fim da relação de emprego e se esse tratamento está de acordo com os termos da Lei Geral de Proteção de Dados.
O cuidado com relação aos fornecedores/prestadores de serviços tidas nas fases anteriores, também se aplica nesta última.
Fase Pós-contratual
Diante de toda essa exposição, fica evidente que a plena adequação de uma empresa à LGPD é muito mais ampla e abrangente do que se pode imaginar.
Comumente me deparo com pessoas que, com toda a certeza do mundo, dizem que suas empresas estão adequadas. E quando as questiono que tipos de medidas elas adotaram, me dizem que incluíram uma Política de Privacidade no site ou uma cláusula padrão em seus contratos.
Evidentemente, isso é importante. Contudo, é necessário olhar pra dentro da própria casa e fazer as adequações necessárias.
O RH tem papel fundamental no cumprimento da Lei Geral de Proteção de Dados, e merece uma atenção mais do que especial.
Edgard Dolata