A LGPD (Lei Geral de Proteção de Dados Pessoais) vai transformar práticas, mudar processos e impactar comportamentos. As normas previstas na nova regulamentação demandam adequações abrangentes e específicas, que interferem em diversas áreas das empresas, desde a gestão até a rotina dos colaboradores, pois envolve todo o tratamento de um dos bens mais preciosos da atual sociedade da informação: os dados pessoais.
Nessa jornada de modificações em prol de proteção e privacidade, o Recursos Humanos (RH) é um dos setores que mais vai ser afetado pela necessidade de reformulação de procedimentos relativos ao manuseio dos dados. Você sabia que a lei abrange o uso da imagem do funcionário, campanhas de vacinação e até o uso de mídias sociais corporativas?
Num caso ocorrido no ano passado na Grécia, uma grande empresa de consultoria foi multada por descumprir o General Data Protection Regulation (GDPR) por não informar de maneira clara como era feito o processamento dos dados dos funcionários.
Assim, foi considerado que havia violação dos princípios de justiça e transparência do GDPR, numa decisão na qual ficou estabelecido que a organização "processou ilegalmente os dados pessoais dos seus empregados em violação do disposto no artigo 5º, nº 1, alínea a), alíneas b) e c) do GDPR, por ter utilizado uma base jurídica inadequada." A companhia foi multada e recebeu um prazo de três meses para tomar certas medidas para se tornar compatível.
Em relação ao departamento de recursos humanos, o tratamento começa antes mesmo da contratação, a partir do acesso de informações durante a candidatura do interessado.
Todo o processo de seleção que envolve a coleta, análise e o armazenamento de informações pessoais e sensíveis passa a estar sujeito às normas da LGPD, como o mesmo princípio da transparência citado há pouco, que também vale na nossa legislação e garante aos titulares informações claras, precisas e facilmente acessíveis.
Por isso é preciso mapear o fluxo desses dados e entender qual hipótese de tratamento compete em cada etapa das atividades do setor.
De acordo com a classificação da LGPD, existem os dados pessoais (RG, CPF, endereço, telefone, e-mail, dados bancários) e os dados sensíveis (etnia, raça, crenças religiosas, opiniões políticas, orientação sexual, dados genéticos/biométricos, além de informações sobre filiações a organizações quaisquer da pessoa natural).
Para o RH, um dos pontos mais relevantes é o que aborda das relações de trabalho, no art 7º, V, que delimita as hipóteses para o tratamento “quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados”.
É um cuidado com segurança visando ao melhor uso e preservação dos dados dos candidatos e funcionários que se inicia desde a seleção do colaborador até o desligamento dos profissionais. Vai requisitar e incentivar uma grande mudança de cultura na área, já que o RH precisará rever as práticas que abrangem todo o fluxo das informações, tais como avaliação e desempenho, pesquisa de clima organizacional, plano de cargos e salários, treinamentos, até a gestão operacional como admissão, cálculo de folha, férias, controle de jornada e gestão de benefícios.
As políticas devem ser revistas para ficarem mais transparentes no tocante ao tratamento dos dados e no compartilhamento com terceiros. Isso inclui todos os sistemas e cadastros do Departamento Pessoal com informações sensíveis e confidenciais que precisam ser protegidas.
As políticas devem ser revistas para ficarem mais transparentes no tocante ao tratamento dos dados e no compartilhamento com terceiros
Cabe às empresas regularizarem e atualizarem seus processos e atuação no mercado em relação à coleta e tratamento de dados (art. 1º, 3º, 6º, 7º, 50 da LGPD), seja no processo de seleção de candidatos, programa de diversidade, programa de benefícios, armazenamento de dados de dependentes, cadastro para creche, ações de endomarketing, com ações internas envolvendo colaboradores.
Ainda mais com o crescimento no uso de sofisticados bancos de dados, no qual circulam e ficam armazenadas uma enorme quantidade informações de parceiros, clientes e quaisquer pessoas com quem as empresas tenham ou pretendam ter relacionamentos. É outro fator que reforça a necessidade das companhias se organizarem e terem um plano eficaz para efetivação das adequações, que esteja planejada de acordo com as especificações de cada área.
Podemos destacar o princípio da finalidade (art. 6º), do livre acesso e qualidade dos dados, que envolvem a garantia aos titulares de consulta facilitada e gratuita sobre a forma e duração do tratamento, bem como a integralidade, e do consentimento (art. 8º), que deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular, e deverá referir-se a finalidades determinadas, podendo ser revogado a qualquer momento.
Essa utilização de dados pessoais de colaboradores pode ser justificada em bases legais, tais como contrato de trabalho, cumprimento de obrigação legal, proteção da vida, garantia da prevenção à fraude e à segurança do titular nos processos de identificação, processo administrativo, judicial, arbitral, legítimo interesse e consentimento.
No caso dos gestores de RH, além do alinhamento com o encarregado da LGPD, é preciso que haja comunicação direta com o responsável da TI e com o jurídico da empresa para apoiar nesse processo.
Será necessário, por exemplo, garantir que os softwares utilizados no departamento pessoal sejam confiáveis e tenham uma boa política de proteção de dados, além de uma documentação de consentimento do uso dos dados do colaborador ou candidato, onde conste qual a finalidade da utilização e por quanto tempo será armazenado.
Em caso de desligamento do colaborador, a LGPD prevê o exercício dos direitos do titular do artigo 18, como o de solicitar a eliminação dos dados pessoais. O que significa que as informações podem ainda ser mantidas por exceção para cumprimento de obrigações legais (atendendo prazos prescricionais e exigências de autoridades), cumprimento de obrigações judiciais (caso de processo administrativo, judicial ou arbitral), ou ainda ter uma guarda permanente devido a acervo histórico da empresa (exemplo registro de quem foi o funcionário em que época, quem era o Presidente da empresa, registros fotográficos das atividades da empresa, entre outros). Mas fora estas hipóteses devem ser apagadas.
Em caso de desligamento, a LGPD prevê o direito de o funcionário solicitar a eliminação dos dados pessoais
São ações relacionadas à conformidade técnica; ações relacionadas à conformidade jurídica (documentação, contratos, políticas, procedimentos); e ações relacionadas à capacitação e mudança de cultura (educacionais). Este último quesito está diretamente ligado com a área de recursos humanos, que ainda é responsável por manter a cultura organizacional conforme insere e gerencia pessoas na empresa.
É preparar o ambiente para atender aos direitos dos titulares, disseminar normas e criar práticas diárias para evitar a exposição de dados, ensinar mais sobre comportamento seguro e promover programas educativos, conforme exigido pelo artigo 50 da LGPD. São iniciativas de capacitação e conscientização em segurança da informação com avaliação periódica de pessoal, além do comprometimento da alta administração para a melhoria contínua dos procedimentos de segurança cibernética, o que deve ser interpretado na participação efetiva e na presença das lideranças.
*Patricia Peck Pinheiro é sócia e sócia e Head de Direito Digital do escritório PG Advogados. Advogada especialista em Direito Digital, doutora pela Universidade de São Paulo, com PhD em Propriedade Intelectual e Direito Internacional, pesquisadora convidada pelo Instituto Max Planck e pela Universidade de Columbia, professora convidada pela Universidade de Coimbra e pela Universidade Central do Chile. Árbitra do Conselho Arbitral do Estado de São Paulo – CAESP, Vice-Presidente Jurídica da ASEGI, Conselheira de Ética da ABED, Presidente do Instituto iStart de Ética Digital. Autora de 22 livros de Direito Digital.