A Lei Geral de Proteção de Dados (ou LGPD) é uma lei baseada na lei europeia GDPR – Gerenal Data Protection Regulation – que entrará em vigor em 2020 criada para regulamentar a coleta, uso e armazenamento de dados pessoais. Ela vem de certa forma para complementar o Marco Civil da Internet. Ela também veio para eliminar abusos e responsabilizar empresas por não garantir a segurança dos seus dados, em consequência de vazamentos e ataques hacker.
Na prática, a LGPD vai mudar a rotina e o cuidado que empresas manipulam e armazenam seus dados, garantindo mais segurança e mudando os processos de marketing, logística, TI, jurídico e claro, o RH!
Atualmente, durante o desenvolvimento deste material, estamos em um período de transição, que compreende entre a publicação da lei e início da sua vigência que será ainda em 2020.
O QUE SÃO CONSIDERADOS DADOS PESSOAIS?
Dado pessoal é toda ou qualquer informação relacionada a pessoa natural, que possa ser identificada ou identificável. A exemplo disso temos Nome, RG, CPF, Telefones (celulares, residencial ou comercial), endereços etc.
O QUE SÃO CONSIDERADOS DADOS PESSOAIS SENSÍVEIS?
Os dados pessoais sensíveis são aqueles que, através dos dados pessoais, possa classificar as pessoas em chamados ‘grupos sociais’ ou gerar algum tipo de discriminação entre estes grupos. Exemplo disso temos etnia, opinião política, filiação sindical, religião ou filosófico. Também está incluído nessa categoria dados sobre saúde, vida sexual ou biométrico.
OS AGENTES DA LGPD
A LGPD trabalha com princípios específicos do uso dos dados: finalidade, necessidade, adequação e transparência.
Baseado nestes quatro princípios, a LGPD definiu quem são os agentes (algo como partes responsáveis) sobre estes dados. São eles:
Titular: Pessoa natural a qual se referem os dados
Controlador: Pessoa natural ou jurídica de direito público ou privado, que coleta os dados e toma as decisões em relação a forma, finalidade, tratamento ou armazenamento dos dados.
Encarregado: Pessoa física indicada pelo controlador que faz a comunicação entre as partes Controladora, Titular e autoridades. Também tem a função de estar sempre em função de orientação aos colaboradores, treinando sobre as melhores práticas para tratamento dos dados. Esta pessoa pode ser qualquer colaborador capacitado a realizar a função ou, dependendo do caso, um cargo específico como DPO (Data Protection Officer).
Operador: Pessoa física ou empresa, que realiza o tratamento de dados pessoais sob as ordens do Controlador.
Mas e o RH com isso?
É praticamente impossível o RH da empresa evitar trabalhar com dados pessoais dos colaboradores, principalmente porque talvez seja o setor que mais trabalha com esse tipo de informação. Entretanto a LGPD no RH deve ser tratada a sério! Alguns cuidados devem ser feitos para evitar responsabilização por desrespeito as normas.
Aumento do cuidado com os dados e respeito à finalidade específica a qual foram armazenados são os maiores pontos de atenção. Aqui estão os principais.:
- Dados pessoais de colaboradores (bem como seus dados bancários)
- Banco de currículos
- Informações enviadas sindicatos e órgãos públicos.
- Dados fornecidos para planos de saúde, seguradoras e demais instituições associadas a benefícios contratados.
Perguntas e respostas sobre LGPD para RH
1-Quais os maiores riscos do tratamento indevido dos dados? Quais as consequências?
Utilização de dados pessoais para finalidades diferentes da coletada pode sofrer consequências. Multas altas é só o começo.
2-Como a LGPD pode impactar a rotina do RH com relação aos dados utilizados no processo seletivo? Como fica a solicitação de exclusão?
Não há grandes impactos, em questão de RH, pois mesmo com o pedido do titular do conteúdo a lei protege a empresa para que permaneça com os dados do funcionários por até 05 anos, se não houver demandas jurídicas para fins trabalhistas, e por quanto tempo for necessário se houver demanda, até que essa se conclua.
Entretanto, precisa ficar atento, no que diz respeito a coleta de dados, antes da contratação no processo de seleção, portanto é necessário tomar cuidado, no que diz respeito aos dados sensíveis. Coleta de dados como, religião ou sexualidade e etc.
3-E os dados utilizados ou gerados para folha de pagamento?
Nesta questão não há impacto, pois está respaldado pelo Princípio da Finalidade estabelecido no (art. 6º)
Ou seja princípio da finalidade emprega-se com o seguinte conceito “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”;
O tratamento de dados para os fins específicos de folha de pagamento, que incluem, CPF, Endereço, dados bancários entre outros, não há necessidade do aceite do titular, entretanto deve tomar cuidado para que não haja vazamento desses dados, em parte ou sua totalidade, ou por meios técnicos ou operacionais.
4-Como ocorrerá a fiscalização?
A fiscalização e a regulação da LGPD ficarão a cargo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que em tese será um órgão fiscalizador e orientador, para dirimir questões relativas a LGPD, a fiscalização funcionará tanto ativamente como por denúncia e protocolos, como funciona hoje, com a ANVISA, ANS entre outros, mas o mais importante aqui é destacar , que a pessoa responsável na empresa para tratar com a ANPD, necessariamente precisa ser a figura do encarregado de dados, ou como é popularmente chamando o DPO, Data Protection Office, o DPO, ou O Encarregado é uma figura nomeada pela empresa para lidar com as questões todas de tratamento, vazamento entre outras, e é essa figura que representará a empresa diante da autoridade nacional. Esse DPO, pode ser contratado, através de um escritório especializado, ou pode ser nomeado na própria empresa. Esse indivíduo precisa ter conhecimentos jurídicos e de TI, porém não há necessidade de ser Advogado.
5-O que influencia nos dados coletados e armazenados no relógio de ponto?
Depende, se o uso dos dados coletados, são os normais, apenas para a finalidade de informações condizentes com horários, horas extas e etc. não há problemas, uma vez que a lei respalda através do princípio do artigo 6º. Entretanto no que tange, as informações mais específicas, precisa aguardar a atualização das legislações. Por exemplo, as informações referente a captação de emoções por relógio de ponto que captam a impressão facial, mas isso são informações de humor e etc, que estão sendo discutidas na esfera trabalhista, e que não possui posicionamento jurídico, se será aprovados ou não .
6-Como fica quando temos informações onde são exigidas armazenamento e manutenção por tempo indeterminado, mesmo que sem autorização do titular (exemplo folhas de ponto antigas, registros de faltas, processos internos etc)?
Quando essa exigência é por obrigação legal ou regulatória, não há necessidade da autorização do titular do dado, ou seja, regulatória quando existe uma norma já existente ou por vir, que determine que os dados devem permanecer armazenados por tempo indeterminado, ou decisão judicial, mas é necessário que o controlador do dado deve se atentar para utilizar apenas para essa finalidade, não tendo autorização para outra finalidade.
Artigo 7º, II explica essa finalidade, e os dados anonimizados para fins de pesquisa e etc, não precisa de autorização.
Este artigo foi escrito em conjunto com a Advogada Paula Roberta Lourenço , especialista em Direito Digital e LGPD.
