A área de recursos humanos (RH), nestes últimos anos, está em plena revolução de legislação e procedimentos. Sintetizando, temos a Reforma Trabalhista, editada com a Lei 13.467/2017, que inovou e regulamentou a forma de contratação intermitente, tempo parcial, a terceirização, banco de horas e compensação de horas, dentre outras medidas. Logo, em seguida, tivemos a implementação e implantação do Sistema de Gestão Governamental do e-Social.
Estes temas por si só já impactam e muito na jornada do dia a dia. Sendo que, no futuro, irei tecer artigos específicos sobre eles. Todavia, neste artigo, irei tecer os primeiros comentários sobre a nova Lei Geral de Proteção de Dados (LGPD), a qual impacta desde a coleta e tratamento dos dados pessoais durante o processo de seleção, a própria contratação, a gestão até a demissão de colaboradores.
Mas o que é a LGPD?
A Lei nº 13.709/2018, conhecida por Lei Geral de Proteção de Dados Pessoais (LGPD) foi sancionada em 2018. Embora publicada, sua obrigatoriedade foi dilatada, para dar um prazo de adaptação às empresas. É importante frisar que o Brasil passou a fazer parte do grupo de países com uma legislação deste tipo.
A base técnica da LGPD está nos princípios do Regulamento Geral sobre a Proteção de Dados (GDPR), adotada na União Europeia, que criou um conjunto de conceitos jurídicos que estabelece as condições legais para o tratamento de dados pessoais, indicando quais os direitos dos proprietários dos dados e as obrigações dos controladores de tais informações.
A LGPD protege dados que identifiquem as pessoas, ou seja, dados pessoais, como o seu nome, RG, CPF, CNH, e-mail etc. Não apenas os dados de pessoas físicas, mas também os dados que identificam as pessoas jurídicas como o CNPJ, razão social e endereço comercial, entre outros. Conforme dispõe o seu Art. 1º, infra mencionado:
Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
O que a Lei considera como tratamento de dados?
O tratamento de dados tem sua disposição no art. 5º, inciso X: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Para se tratar de dados pessoais, o que inclui a prática da coleta e todas as demais citadas pelo dispositivo legal, como a recepção, classificação, arquivamento e transferência, sempre é necessário ter um fundamento legal.
Embora publicada em 2018, foram anos de debates sobre o assunto. Aqui, no Brasil, foram quase dez anos. Tal legislação já está valendo desde setembro de 2020. Há diversas especificações e detalhes. Não é simples sua implementação, mas as entidades conseguiram, que a sanção por violações, comece somente a partir de agosto de 2021. O tempo é pequeno. Se a empresa for fazer tudo agora, com certeza terá que se valer de especialistas para ajudar no processo. Também recomendo a capacitação sobre o tema.
Podemos dizer que a LGPD abrange todo o universo de empresas e entidades, isto mesmo de qualquer porte, com ou sem fins lucrativos. Todas terão que ter gestão sobre as informações e tomar cuidado tanto na coleta, uso, armazenamento e compartilhamento das informações pessoais, quanto na forma de descarte; principalmente, quando do desligamento do colaborador.
A multa definida na Lei para uma entidade que não seguir os procedimentos adequados pode chegar até 2% do faturamento, com limite de R$ 50 milhões.
Então, tenha cuidado com todas as informações recepcionadas, ou seja, já no cadastro de dados dos candidatos no site da empresa, ou mesmo na gestão dos currículos recebidos e sua disponibilização as áreas correlatas, principalmente quando do compartilhamento na base de terceiros. Aqui, já lanço uma pergunta, caro leitor: sua empresa tem um termo do uso e descarte da informação com seus colaboradores, terceiros e parceiros? Se não, faça!!
Fase Pré-Contratual: recrutamento e seleção
Empresas devem solicitar o consentimento expresso do candidato e informá-lo, de maneira clara, que seus dados serão utilizados para recrutamento, avaliação e seleção. Caso o candidato não seja contratado, a empresa deverá eliminar os dados pessoais obtidos, ressalvadas as hipóteses de obrigação legal de conservar tais documentos.
Vivemos atualmente em uma grande preocupação de vazamento de dados. Todos os gestores devem promover treinamentos e capacitação sobre o tema.
Analise, nestes últimos anos, quantas informações receberam e com quem compartilharam. Exemplifico: quais dados foram transferidos nos últimos tempos para as empresas que fazem a gestão de benefícios (Vale Alimentação e Refeição), plano de saúde, seguradoras e instituição de previdência privada, dentre outras? Você tem o controle de tudo?
Isto é muito sério. Grandes empresas têm sofrido invasões cibernéticas. Todo o dia é descoberta uma nova invasão de hackers, aumentando a exposição das empresas e seus dados.
Aqui, fica uma reflexão para o próximo artigo sobre LGPD: quais provas os gestores devem produzir para comprovar a segurança, o tratamento da informação e o seu processo de compliance de dados?! Sim, provas!
Neste canal, ao longo do tempo, iremos escrever vários cuidados a serem tomados, mas já de início pense em elaborar um termo da LGPD com seus parceiros. Assim como, trate de fazer um para que o candidato esteja ciente, e autorize a informação, que você irá compartilhar com terceiros. Deixando claro quais as informações serão compartilhadas, e principalmente, como tais dados serão eliminados no futuro. Lembre-se de que quanto mais detalhes exigidos nos currículos, mais proteção os dados devem possuir.
Nas Relações de Trabalho e Emprego
O ônus de provar a adequação às determinações da LGPD é do controlador.
Quem é o controlador?
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Pode a empresa ser impedida pelo empregado de informar algo?
Independentemente do consentimento, o empregado poderá exigir informações sobre seus dados pessoais e poderá revogar o consentimento, a qualquer tempo, exceto para cumprimento de obrigações legais e regulatórias e uso exclusivo da empresa controladora dos dados pessoais.
Quais os cuidados com informações de terceiros?
Na terceirização de serviços, é preciso obter consentimento dos empregados das empresas prestadoras de serviços, por escrito, para que a empresa faça o tratamento dos seus dados. Sobretudo, quando for transmiti-los a terceiros (tomadores de serviço), em decorrência da atividade realizada, ou mesmo por exigências legais e contratuais, especificando, de maneira clara, quais dados serão repassados e para qual finalidade.
https://portaldogarrett.com.br/colunista-tania-gurgel/desafios-do-rh-ao-longo-do-tempo/