LGPD: cuidados do RH com as informações dos funcionários, clientes e fornecedores
Desde 1º de agosto de 2021, as empresas que descumprirem as determinações da Lei geral de Proteção de Dados (LGPD) podem sofrer sanções da Autoridade Nacional de Proteção de Dados (ANPD). As punições vêm após o término de quase um ano de prazo que as companhias tiveram para se adaptar à nova legislação, que está em vigor desde 18 de setembro de 2020.
A LGPD estabeleceu as regras a serem seguidas por empresas públicas e privadas no tratamento de dados pessoais, inclusive nos meios digitais. O objetivo é proteger os direitos fundamentais de liberdade e de privacidade, além do livre desenvolvimento da personalidade da pessoa natural.
Isso vai ao encontro de uma discussão que vem ocorrendo em todo o mundo sobre a privacidade online e o direito de os usuários não terem dados utilizados para outro fim, que não o acordado inicialmente entre as partes envolvidas. Os dados são classificados em:
- Dado pessoal: informação relacionada à pessoa natural identificada ou identificável – nome, RG e CPF;
- Dado pessoal sensível: informação sobre origem racial/étnica, convicção religiosa, política, filiação à sindicato ou a organizações de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
É importante destacar que a LGPD não se aplica no caso do tratamento de dados por pessoa natural para fins particulares e não econômicos, para fins jornalísticos, artísticos ou acadêmicos, para fins de segurança pública, defesa nacional, segurança do Estado e atividade de repressão de infrações penais ou de investigação.
Aplicação da LGPD no RH
Engana-se quem pensa que a Lei Geral de Proteção de Dados se aplica apenas às empresas ligadas ao setor de tecnologia. Todas precisam prestar atenção na gestão das informações pessoais, sendo o setor de Recursos Humanos o principal responsável por isso. Por ser uma área que lida diretamente com todos os tipos de dados – seja de colaboradores, processos seletivos e até de terceiros –, é preciso cuidado extra ao que prega a legislação.
Apesar da nova legislação não ser superior às leis e obrigações já existentes para o RH, é preciso mudanças na área. A principal delas diz respeito a três pilares centrais no recolhimento de dados pessoais, que devem constar na hora de mapear todas as informações armazenadas pelo setor:
- Finalidade: é o porquê de a empresa coletar aquele dado específico. O recolhimento de dados bancários, por exemplo, é necessário para efetuar os pagamentos mensais. As informações de biometria, por sua vez, são essenciais para o ponto em algumas companhias. Essa finalidade precisa ser explicada ao titular do dado e, de forma alguma, pode ser desviada do que foi informado;
- Adequação: os dados devem ser utilizados exclusivamente para as finalidades informadas no momento da coleta;
- Necessidade: a necessidade limita o uso dos dados apenas para a finalidade para o qual eles foram recolhidos.
Além disso, os titulares poderão ter livre acesso a informações sobre como os dados pessoais são tratados pela empresa, que deve zelar pela segurança para evitar possíveis vazamentos. Com isso, alguns processos feitos pelo RH precisam ser adequados à nova lei.
1. Processo seletivo
A preservação dos dados já começa no processo de seleção do funcionário. Se existir a intenção de criar um banco de talentos com os currículos recebidos, por exemplo, o titular deve consentir com a coleta das informações presentes nesses documentos. Além disso, perguntas como “Você tem filhos?” ou “Qual sua cor de pele” são consideradas como sensíveis. De acordo com a LGPD, não há necessidade de elas estarem presentes, não podendo ser utilizadas para fins discriminatórios (inciso IX, artigo 6º).
Ou seja, o ideal é que sejam coletados apenas os dados essenciais e, desde o princípio, sinalizar aos candidatos qual a finalidade do recolhimento de cada informação. Também é importante apresentar aos candidatos as políticas de privacidade adotadas pela empresa.
2. Batida de ponto
O controle do início e do término da jornada de trabalho já tem sido feito por muitas empresas de forma eletrônica, seja por biometria ou até mesmo por reconhecimento facial. Esses dados, porém, são considerados pela LGPD como dados sensíveis, então é necessário buscar uma autorização do funcionário para que eles possam continuar a ser utilizados – deixando claro que eles serão usados apenas para essa finalidade.
3. Crachás de identificação
Embora sejam utilizados como uma importante ferramenta para mostrar que a pessoa trabalha na empresa e até mesmo para bater o ponto, na maioria das vezes eles possuem a foto do colaborador – que também pode ser um dado sensível e motivo de discriminação. A ideia é apostar em novos formatos de crachás, que ainda tenham o nome da pessoa e um código de identificação único.
4. Disponibilização dos dados para empresas de benefícios, sindicatos e órgãos públicos
Essa é questão que também envolve o consentimento do titular dos dados e a garantia de que as informações estarão seguras e utilizadas apenas para a finalidade estabelecida previamente. Isso envolve a adequação de cláusulas no contrato de trabalho e um cuidado extra no compartilhamento, comunicação ou transferência de dados pessoais a terceiros.
5. Desligamento dos funcionários
Quando um colaborador deixa a empresa, é preciso ter definido um procedimento operacional padrão com os dados que devem ser mantidos por questões legais e quais podem ser excluídos – em razão do término da finalidade que justificava o armazenamento.
A proteção dos dados recolhidos é de total responsabilidade da empresa, sendo necessário mapear todos os processos e definir em quais pontos as informações são coletadas. Só assim é possível realizar um controle seguro e seguir as recomendações legais de maneira cada vez mais segura.
Punições em caso de descumprimento
Caso a ANPD receba denúncias sobre o descumprimento de qualquer determinação da LGPD, um processo administrativo poderá ser aberto pelo órgão. Se a empresa for de fato processada, ela tem direito a defesa. Em caso de condenação, poderá resultar nas seguintes penalizações:
- Advertência;
- Publicidade da infração, para alertar a sociedade de que a empresa desrespeitou as regras;
- Multa simples, de até 2% do faturamento da empresa – máximo de R$ 50 milhões;
- Multa diária;
- Bloqueio dos dados pessoais referentes à infração;
- Eliminação dos dados pessoais referentes à infração;
- Suspensão do exercício da atividade de tratamento dos dados pessoais por até seis meses – podendo ser estendido por mais seis;
- Proibição parcial ou total do exercício de atividades ligadas aos dados pessoais.
Os valores das multas não são destinados a quem teve os dados gerenciados de forma incorreta, mas sim ao Fundo de Defesa de Direitos Difusos (FDD), responsável por financiar projetos de reparação de danos ao consumidor, ao meio ambiente, ao patrimônio e outros. Mas a multa não é a penalidade mais severa, pois a interrupção do uso dos dados pode ser mais eficiente para alguns tipos de negócios.
Se o cidadão se sentir prejudicado, ele ainda tem a opção de procurar os órgãos de defesa do consumidor ou a Justiça, para a reparação dos danos.
Fonte: Blog Ocupacional