Observatório
JB traz, nesta postagem, informações sobre ações necessárias para adequação das
empresas ao que prevê a Lei Geral de Proteção de Dados (LGPD), especificamente quanto a empregados e prestadores de
serviços. O início da fiscalização começa a
partir de agosto de 2021. Mas, pedidos de condenação e reparação dos danos
sofridos, podem ser feitos agora. E isso já ocorreu, com autuação em valores significativos.
Tempo
aproximado de leitura: 9 minutos
A
Lei Geral de Proteção de Dados (LGPD, Lei Nº 13.853) está em vigor desde
setembro/2020 e busca estabelecer critérios para a coleta, tratamento,
armazenamento e compartilhamento de dados pessoais.
Embora
a aplicação de sanções administrativas entre em vigor a partir de 1º de agosto
de 2021, o cidadão que se sentir ofendido ou
prejudicado em relação a quaisquer dados pessoais poderá ajuizar ação com
pedido de condenação e reparação dos danos eventualmente sofridos, a qualquer momento.
A
LGPD tem como finalidade assegurar respeito à privacidade de dados de pessoas em
todos os setores da economia e, por isso, suas exigências alcançam as relações
de trabalho.
Nesse
contexto, a área de gestão de pessoas é uma das mais afetadas e precisa se
adequar aos requisitos da lei, de modo a garantir o uso correto e a segurança
dos dados de candidatos e trabalhadores, bem como de parceiros e prestadores de
serviço.
A lei
se aplica a empresas de pequeno, médio ou grande porte, independentemente
da quantidade de funcionários, faturamento ou área de atuação.
Penalidades previstas nas relações trabalhistas
É sempre interessante iniciar sabendo o que ocorre no caso de descumprimento da lei. As penalidades previstas para o descumprimento da LGPD nas
relações trabalhistas variam, de advertência, imposição de multa simples (correspondente
a 2% sobre faturamento), multa diária, publicização da infração (tonar pública), bloqueio,
eliminação ou suspensão total ou parcial do funcionamento do banco de
dados.
A LGPD vem para cumprir um a função importante na sociedade e, assessoriamente, nas relações de emprego e prestação de serviços.
Termos importantes: dados
pessoais e dados sensíveis
Tratamento
de dados, no âmbito da LGPD, é toda
forma de operação que utiliza dados pessoais, considerando a sua coleta,
produção, classificação, acesso, reprodução, distribuição, comunicação, transferência,
arquivamento e eliminação, entre outros.
No
caso em questão, como já citado, são dados obtidos pela empresa desde o momento
do anúncio de uma vaga, até a rescisão contratual de um trabalhador.
Os
dados pessoais são todas as informações que estão relacionadas à
pessoa (no caso) do trabalhador. Como exemplo: o nome, o sobrenome, a data de
nascimento, o número do CPF, a numeração do RG, o endereço de domicílio, o
contato telefônico, e-mail pessoal ou corporativo, IP do computador etc. Ou
seja, são informações que identificam ou possam identificar a pessoa.
Dentre
esses, encontram-se os dados sensíveis, dados pessoais que
tratam sobre sua origem racial ou étnica, convicção religiosa, opinião
política, filiação a sindicato ou a organização de caráter religioso,
filosófico ou político, dado referente à saúde ou à vida sexual, dado genético
ou biométrico.
Utilização de dados pessoais - princípios
gerais da LGPD
Finalidade – para cada dado coletado, deve
existir uma finalidade para isso. Isto está relacionado com o
propósito para a realização do tratamento de dados.
Adequação
– a empresa só poderá armazenar e/ou transferir os dados pessoais de empregados que sejam compatíveis com a finalidade declarada na
coleta.
Necessidade
– significa que é indevido reter dados pessoais de empregados em excesso ou de forma desproporcional à utilização.
Transparência – implica
em que, após realizar a coleta de dados, a empresa mantenha controle
responsável pelo tratamento desses dados recebidos.
Acesso
livre – garante a
consulta integral e gratuita por parte do trabalhador, sobre a forma e o tempo
de duração do tratamento dos seus dados pessoais.
Dados
pessoais em gestão de pessoas - importância em 3 tempos
1. Etapa pré-contratual – do
recrutamento à contratação
Tudo
começa com a necessidade de definir os requisitos e habilidades necessárias
para ocupar o cargo. Para obter essas informações, serão criados formulários
(papel ou online) para a coletar os dados.
Como exemplo de instrumentos utilizados temos: ficha de
inscrição, cadastramento no site, recebimento de currículo físico, e-mail com
os documentos e comprovações, cujos dados poderão ficar armazenados em meios
físicos ou digitais.
Importante
lembrar que, solicitar dados pessoais do candidato tais como: religião, estado
civil, orientação sexual, filiação sindical, número de filhos, é considerado um
dado pessoal sensível. O que pode significar a atração de riscos
jurídicos com o questionamento sobre a ocorrência de discriminação, na seleção,
por algum dado pessoal sensível que o candidato tenha informado.
Portanto,
não é recomendável exigir dados pessoais além dos estritamente necessários
para que se faça a seleção do candidato. Nada além do que é exigido para
preencher a vaga em aberto.
Ao
finalizar o processo seletivo, é preciso que a empresa observe qual seria a
necessidade de manter em seus arquivos os currículos e documentos relacionados
aos candidatos que não foram contratados. E muita atenção para o sigilo
dos dados decorrentes de laudos de avaliações técnicas, psicológicas, médicas
ou qualquer outra forma utilizada durante o processo de seleção.
À
luz da LGPD e dos riscos decorrentes (como vazamento, por exemplo), “menos é
mais”: menos dados retidos, menos currículos arquivados, menos tempo
mantidos etc. E a lei exige que haja uma definição formal da empresa quanto
ao descarte dos dados pessoais.
É da maior importância para as empresas o gerenciamento do ciclo de vida dos dados dos trabalhadores
2. Etapa contratual – da admissão à demissão
Começa
na formalização do contrato de trabalho, para a qual são solicitados inúmeros
dados pessoais do novo contratado. Primeiro princípio: solicitação de
dados de pais, cônjuge, filhos e outros tipos de parentes, só devem ser
feitas se e quando necessários para atendimento a alguma exigência legal
ou comprovação perante a empresa de alguma condição específica, inerente às
relações de trabalho. Neste momento, aplicar o princípio da
finalidade é decisivo.
Com
o aumento da utilização do trabalho remoto e, em consequência, das reuniões por
videoconferência gravadas, cresce a quantidade de dados pessoais
sensíveis armazenados nos arquivos da empresa.
Segurança da
informação, para evitar o risco de vazamento dos dados passa a ser outro
motivo de grande atenção.
Nessa linha de recursos tecnológicos, mais um tipo de
dado que é sensível e merece atenção no seu tratamento são os dados
biométricos dos trabalhadores, em geral utilizados para controle de
frequência e acesso a áreas específicas.
3. Etapa pós-contratual – além da rescisão
contratual
É
importante que a empresa tenha um plano de gerenciamento do ciclo de vida
dos dados dos trabalhadores. Os limites para essa decisão estão definidos,
de um lado, pelos riscos existentes enquanto os dados estão de posse do
empregador, o que recomenda o descarte da informação no prazo mais curto
possível; no outro extremo, está o fato de que, mesmo após a rescisão
contratual, uma grande quantidade de dados do trabalhador precisa permanecer
organizada na empresa por conta de eventuais questões trabalhistas que venham a
ocorrer, algumas delas por longo prazo.
Para
auxiliar a tomada de decisões vale saber que, sob a ótica da LGPD é assegurada
a possibilidade de conservação dos dados, mesmo após o término do tratamento. A
regra básica, entretanto, deve consistir em analisar a importância dos dados à
luz dos princípios da finalidade e da necessidade. Havendo, para determinado
dado, alguma finalidade específica que justifique a sua necessidade ele deve
ser mantido. Caso contrário deve ser eliminado.
Por
outro lado, é importante saber, a lei prevê quatro hipóteses de término do
tratamento dos dados pessoais: verificação de que a finalidade foi alcançada ou
que os dados deixaram de ser necessários à finalidade específica, fim do
período de tratamento, comunicação do titular (direito de revogação do
consentimento) e determinação de autoridade nacional.
Fora
isso, o limite máximo, é ditado pelo período legal exigido para armazenamento
dos dados, por conta de uma possível requisição em questões trabalhistas ou
obrigações legais futuras. Há também a possibilidade de anonimizar (tornar anônimos) os dados, o
e se dá em condições específicas, com uso de
softwares ou serviços relacionados à segurança de dados, e que, acordo
com a lei, corresponde à perda da possibilidade de associação (direta ou
indireta) dos dados a um indivíduo.
É essencial anotar e conferir as ações necessárias para o atendimento da LGPD em processos de gestão de pessoas
Uma breve lista de verificação
Não
há dúvidas que a LGPD impacta fortemente todo o negócio, mas a área de gestão
de pessoas, como é das mais afetadas, precisa entender e se ajustar aos
requisitos da lei, com o uso correto e a seguro dos dados de candidatos e
trabalhadores em geral. A lista é grande, a saber:
- Dados para o cumprimento de obrigações
legais, com envio de informações dos colaboradores via eSocial – Sistema de
Escrituração Fiscal Digital das Obrigações Fiscais Previdenciárias e
Trabalhistas. Atenção aos princípios da finalidade e necessidade (apenas dados
estritamente necessários devem coletados) no recrutamento, seleção e
administração de pessoal.
- Dados obtidos para os programas de diversidade
e inclusão, já implementados por várias empresas e que em geral contam com
dados sensíveis, como origem racial, gênero ou orientação sexual.
- Dados de trabalhadores e dependentes para
administração de programas de benefícios, como plano de saúde ou odontológico,
vale alimentação e transporte ou cestas básicas. Seu tratamento requer extremo
cuidado porque os dados, em geral sensíveis, são repassados às prestadoras
desses serviços, o que requer, neste momento, revisão dos contratos, dos
mecanismos de envio de dados e outras formas de compartilhamento, a fim de assegurar
que não haja violação ou uso indevido.
- Coleta de fotos para crachás ou de dados
biométricos, com o uso de imagens de seus colaboradores em mídias
institucionais, pesquisas de clima organizacional e com campanhas de saúde
(como as de vacinação). Nos bancos de dados da empresa (ou prestadora de serviço
contatada) se transformam em informações sensíveis, logo demandando alto nível
de segurança perante os requisitos da LGPD.
- A base de dados dos trabalhadores, por
definição, se constitui em informações que, se captadas, podem ser utilizados
para fraudes ou extorsões, prejudicando e expondo as pessoas envolvidas. Mais
um motivo pelo qual menos é mais.
- Todas as informações, imagens, gravações,
etc. de eventos da empresa, treinamentos, processos de seleção, registros de reuniões
presenciais e, mais recentemente, gravação de reuniões de trabalho realizadas
online.
Ações prioritárias nos processos de gestão de pessoas
- Mapeamento e análise de todos os
processos nos quais transitam dados de trabalhadores, identificar todos os
processos e reconhecer suas principais fragilidades em relação a lei.
- Implementação de melhorias com foco em soluções
seguras para tratamento de dados, e adoção de rigoroso controle de acesso aos
sistemas e informações.
- Qualificação das equipes, à luz das políticas
e procedimentos operacionais fixados à luz da LGPD.
- Condução de um programa de capacitação voltado a todos os empregados, terceiros e parceiros de negócio. A intenção
é que cada membro da equipe conheça os principais aspectos da lei, sendo capaz
de analisar sua rotina de trabalho e identificar ameaças.
- Em paralelo, a Segurança de Informação
deve realizar uma profunda avaliação dos sistemas, plataformas, apps e demais
ferramentas utilizadas na coleta, tratamento e armazenamento de dados, para
confirmar a confiabilidade dessas tecnologias.