* Por Alessandra Gaeta
Imagine um lugar em que, por dia, visitam ao mesmo tempo mais de 180 milhões de pessoas. Elas trocam informações, disponibilizam dados pessoais e imagens. Esse é o cenário do uso da internet no Brasil. Para garantir a privacidade e segurança dos dados de tantas pessoas conectadas entrou em vigor, em setembro de 2020, a Lei Geral de Proteção de Dados Pessoais (LGPD).
Se para as pessoas a regulamentação significa mais transparência e controle das informações, para as empresas pode demandar adequações abrangentes, que irão interferir desde os processos até o comportamento de diversas áreas. Além das operações, as companhias devem se ater a seus fornecedores, pois com a LGPD, o desafio dos profissionais vai ficar ainda maior.
Nos RHs, por exemplo, também há preocupação. O setor, que é responsável por coletar, tratar e armazenar dados de candidatos e colaboradores, desde a fase de pré-seleção até o desligamento, precisa estar atento às minúcias da legislação para evitar sanções e multas administrativas – que já poderão começar a ser aplicadas a partir de agosto de 2021. Seus parceiros comerciais também devem seguir e estar adaptados com a nova lei, pois, caso contrário, as ações de seus fornecedores podem impactar em multas para a empresa no âmbito global.
Mas, quais serão essas modificações necessárias e como a empresa pode se adequar a elas? Nessa leitura, você entende melhor as especificações da lei LGPD no RH e o que o seu setor precisa para estar em conformidade.
O que é a LGPD?
A Lei Geral de Proteção de Dados brasileira (Lei 13.709/2018) foi inspirada na legislação europeia, mais especificamente no General Data Protection Regulation (GDPR), que regulamenta a proteção de dados nos países da União Europeia. Sancionada em agosto de 2018, ela é válida tanto para pessoas físicas quanto para jurídicas que tratam dados pessoais .
São definidos como dados pessoais qualquer tipo de informação que identifique ou que possa identificar um sujeito. Até mesmo os dados mais simples, como nome e e-mail, por exemplo, armazenados em uma planilha do Excel, precisam estar de acordo com a legislação.
Com a lei em vigor, essas informações precisam estar protegidas e só poderão ser utilizadas se for possível atribuir ao uso uma das bases legais descritas pela LGPD, sendo o consentimento do indivíduo uma das possibilidades dadas pela legislação para se tratar dados pessoais no Brasil.
Quais são os dados protegidos segundo a LGPD?
A aplicação da LGPD é ampla e regulamenta todas as atividades, inclusive, as digitais. Ela diferencia os dados pessoais em 3 tipos:
Dados sensíveis: são as informações sobre raça e/ou etnia, religião, posicionamento político, filiação a sindicatos, saúde e vida sexual, genéticos ou biométricos.
Dados pessoais de crianças e adolescentes: dados referentes à menores, deverão ser realizados com consentimento específico dos pais ou representante legal.
Dado pessoal anonimizado: são todos os dados em que o titular não pode ser identificado.
É importante que o RH entenda esses conceitos para ajudar na classificação do tipo de dado durante o mapeamento. Além disso, o departamento deve saber que é necessário aplicar controles de segurança ou medidas compensatórias, tanto para estar em conformidade com a lei, quanto para evitar incidentes de segurança ou, ainda, mitigar impactos à privacidade dos titulares.
LGPD no RH: da candidatura ao desligamento
A LGPD, para o RH, tem como objetivo o cuidado com a segurança, visando o melhor uso e preservação dos dados, desde o momento da pré-seleção, até o desligamento. Apesar de ela não ser superior às leis e obrigações existentes do RH, ela requisita uma mudança de comportamento na área. O setor passa a considerar a proteção de dados em toda a gestão operacional dos funcionários e colaboradores terceiros – da admissão aos benefícios. Todos devem se adequar à LGPD.
E não para por aí. Armazenamento de dados de dependentes, uso da imagem do funcionário, campanhas de vacinação e até utilização de mídias sociais corporativas, por envolverem o tratamento de dados pessoais, devem estar adequados de acordo com a legislação.
A manipulação desses dados deve ser restrita às pessoas autorizadas, tais como:
Os titulares dos dados: no caso do RH, o candidato ou o colaborador.
Controladores e operadores dos dados: os profissionais que possuem contato direto com os dados pessoais fornecidos.
Processadores de dados: nesse caso, trata-se das ferramentas que são utilizadas para recolher, manipular e armazenar os dados.
Dessa forma, cabe à empresa prestar esclarecimentos e adotar providências para sanar problemas ligados à LGPD; orientar os funcionários sobre a forma adequada de tratar dados pessoais; acompanhar todo o ciclo de vida dos dados que trafegam na empresa; além de compartilhá-los, via canais seguros, e com base em justificativas legais, com os órgãos competentes.
LGPD e o processo de admissão
A preservação dos dados deve começar no momento da abertura de vagas, visto que, para o processo de pré-seleção, é necessário manusear dados pessoais. Ainda nessa fase, é preciso pensar se existe a intenção de manter um banco de talentos com os currículos recebidos, porque, dependendo da natureza dos dados coletados, é possível que o titular precise consentir a coleta. A empresa deve informar o candidato sobre as finalidades de uso, o tempo de armazenamento e as consequências, caso opte por não dar o seu consentimento. Dessa maneira, caso o candidato não seja aprovado no processo, é preciso apagar todos seus dados pessoais.
No momento da contratação, a coleta precisa ser restrita e possuir um aviso de privacidade que deve ser assinado pelo contratante e contratado. O compartilhamento de informações com terceiros, como operadoras de saúde e outros benefícios, também deve receber atenção.
Se de um lado cabe ao empregador informar seus funcionários sobre o compartilhamento de dados pessoais com terceiros, é recomendado a revisão do contrato dos prestadores de serviço, com o intuito de incluir as obrigações da LGPD no âmbito da proteção de dados transferidos, assim como responsabilidade do contratante em caso de vazamento.
LGPD e o processo de desligamento
Em caso de desligamento do colaborador, deve-se observar quais os dados precisarão ser mantidos e quais deverão ser excluídos, em razão do término da finalidade que justificou seu tratamento. As informações poderão ser mantidas para cumprimento de obrigações legais, atendendo os prazos e exigências de autoridades, ou cumprimento de obrigações judiciais, em caso de processos administrativos.
Quais são os riscos de não seguir a lei?
O não cumprimento das diretrizes estabelecidas pela LGPD prevê multas por negligências que podem chegar até 2% do faturamento da empresa ou até 50 milhões por infração. Além das sanções administrativas que podem ser aplicadas a partir de agosto de 2021, como a LGPD já está em vigor, seu cumprimento já pode ser exigido pelos titulares, Ministério Público ou por outras entidades com legitimidade para tanto.
Como o RH pode garantir a confidencialidade dos dados armazenados?
A tecnologia se tornou um fator imprescindível na gestão e organização desse processo. As empresas, além de definirem quem poderá ter acesso aos dados, precisam estabelecer rígidos controles de segurança, contando com o apoio de criptografia, antivírus, anti-malwares e etc.
O unico | people é uma solução da unico, IDTech brasileira de soluções de proteção de identidade digital, utilizado para a desburocratização dos processos do RH. A tecnologia é formatada em conformidade com a LGPD, tanto em termos de gestão de informação, quanto armazenamento seguro dos dados pessoais dos colaboradores. Com isso, as empresas aumentam a produtividade do time, reduzindo a chance de erros e potencializando a análise integral dos dados. Este é o presente do RH: melhor assistido, mais analítico, estratégico e menos operacional.
* Alessandra Gaeta é Product Marketing Manager da unico