Impactos da LGPD e dos requisitos de segurança da informação na rotina de RH
Sancionada em 2019, a Lei Geral de Proteção de Dados (nº 13.709/18), também conhecida como LGPD, está cada dia mais incorporada às rotinas administrativas das empresas. Embora seja muito focada no ambiente digital, suas regras não atingem apenas a relação entre clientes e empresas.
Já parou para pensar na quantidade de informações coletadas durante um processo seletivo pelos Recursos Humanos? Compartilha-se uma série de dados pessoais quando uma pessoa se candidata a uma vaga de emprego, incluindo informações sensíveis.
Dentro da LGPD os dados se classificam em dois tipos: pessoais e sensíveis. Que circulam desde um simples telefone de contato até questões íntimas como orientação sexual ou deficiência, citando apenas alguns exemplos.
O principal objetivo da LGPD é proteger as informações dos indivíduos de livre circulação. Riscos que aumentaram muito após a globalização da internet e do compartilhamento de dados que ocorre nas redes todos os dias.
Além do caráter jurídico, a lei também cobre aspectos humanos como integridade moral e respeito à legislação nacional de cada país. Como sabemos, a LGPD foi inspirada na GDPR (General Data Protection Regulation), que entrou em vigência em 2018 na União Europeia, e já opera ativamente no Brasil desde 2020.
Sendo o grande responsável pela coleta dessas informações, há impactos da LGPD nesse setor, que tem a obrigação de garantir que as práticas das empresas estejam em conformidade legal à LGPD em todas as fases de um colaborador dentro da empresa.
Após a contratação, o RH também fica responsável por armazenar informações dos colaboradores como alterações de cargo e salário, declarações, atestados médicos, entre outros.
As multas para quem descumpre suas regras podem chegar a 2% do faturamento total do negócio e a supervisão dos órgãos responsáveis está cada ano mais rigorosa. Mas afinal de contas, quais cuidados os Recursos Humanos devem tomar para evitar divergências à LGDP e em quais situações especificamente ela se aplica?
Coleta e armazenamento de informações
A LGPD define o operador como a pessoa que realiza o tratamento de dados pessoais em nome do controlador. Simplificando, o operador é a pessoa ou a empresa que processa e trata os dados pessoais sob as ordens do controlador.
Deste modo, um dos impactos da LGPD é a necessidade de fornecer um termo de consentimento ao coletar todas as informações solicitadas dentro daquele processo. Neste momento é essencial que o RH saiba o que ele pode coletar e o que é realmente necessário.
O motivo da recepção desses dados precisa estar muito claro para a equipe de RH. Além disso, deve-se esclarecer a forma de administração das informações e os impactos positivos nos processos internos da empresa. Independente da resposta, sempre se deve solicitar a permissão do indivíduo para o armazenamento e gestão de seus dados enquanto houver esta relação com a empresa.
De acordo com a LGPD, o prazo permitido para armazenamento de informações dos colaboradores pelo RH é de 5 anos para dados relativos à gestão de pagamento ou de controle de horas remuneradas; 20 anos para dados referentes a um registro médico; 3 anos para informações de contato de um cliente potencial que não respondeu a nenhuma solicitação e 6 meses para dados de registro (log).
Termos de consentimento para compartilhar dados pessoais e sensíveis devem estar incluídos sempre nas solicitações. Seja por meio de assinatura física ou digital ou aceite em uma caixa de seleção. É crucial informar o indivíduo sobre o porquê de estar compartilhando aquelas informações com a empresa..
A maioria dos serviços online que utilizamos atualmente como ferramentas de gestão, assinaturas, softwares, etc., já oferecem seus Termos e Condições de Uso assegurando o controle de dados administrados através de suas soluções, facilitando muito a vida dos Recursos Humanos neste sentido.
Dados Sensíveis
Ao coletar informações sobre candidatos e/ou colaboradores, é importante que os Recursos Humanos pensem em três pontos: finalidade, adequação e necessidade. Ou seja, o dado precisa ter uma finalidade definida e respeitada.
É importante salientar também que o Tribunal Superior do Trabalho (TST) definiu que não se pode exigir informação sobre a Classificação Internacional de Doenças (CID) em atestado médico e odontológico como requisito para o abono de faltas para empregados. Desta forma, exigir que o colaborador apresente esta informação pode-se interpretar como infração à LGPD, fique atento!
Compartilhamento e/ou vazamento de dados
Assim como os Recursos Humanos devem se atentar em armazenar corretamente as informações dos colaboradores e não compartilhá-las com outras empresas ou instituições – o que a LGPD proíbe terminantemente e pode acarretar em multas gravíssimas. Dados sobre fornecedores também precisam de atenção.
Uma empresa brasileira foi condenada a pagar R$ 10 mil reais de indenização a um cliente que teve seus dados compartilhados com terceiros sem sua autorização. No exterior, empresas como Google e Uber já pagaram valores mais altos por terem deslizado no cumprimento da LGPD.
Por isso, ao firmar um acordo com uma terceirizada ou fornecedor, é importante seguir a regra básica dos 3 pontos: finalidade, adequação e necessidade. Deixando claro no contrato assinado por ambos, como aqueles dados será o tratamento desses dados internamente e quais as permissões de compartilhamento concedidas por ambas as partes.
Quando receber informações pessoais de colaboradores e candidatos como documentação, declarações, históricos, etc, somente profissionais autorizados devem ter acesso e responsabilidade sobre seu armazenamento.
Também é importante usar sistemas com senha e ter uma política de acesso bem definida, evitando expor esses dados de forma indevida, ainda que internamente.
Além de prejuízos legais e financeiros, pode-se comprometer gravemente a reputação de uma empresa em casos de vazamentos de dados de qualquer origem.
Na Nexti, por exemplo, conquistamos a certificação ISO 27001 e 27701, que garantem a segurança da informação dos mais de 400.000 colaboradores de nossos clientes que gerenciam documentos por meio de nossa plataforma.
Documentos como atestados, convocações, avisos entre outros são facilmente gerenciados pelo Nexti diariamente com toda a segurança jurídica necessária.
Ainda sobre os impactos da LGPD: outro lado da moeda
Por outro lado, o colaborador também deve seguir as regras de privacidade da empresa e não vazar informações consideradas sigilosas. É preciso especificar esses pontos em um documento de forma clara e entregue ao colaborador para que ele assine um termo de uso e privacidade.
Geralmente, neste termo estão cláusulas referentes ao uso de senhas e acessos, equipamentos, informações estratégicas do negócio, legislação interna, entre outras pautas que a empresa considere sigilosas.
Ter estes documentos elaborados por um profissional de compliance e oferecer treinamentos aos colaboradores é de suma importância para garantir a privacidade das informações do negócio. Crucial também para aqueles que exercem suas funções de forma descentralizada, onde a supervisão do uso das informações deve ter cuidado redobrado.
Treinamento e material para consulta
Como vimos, em diversos pontos de contato que envolvem os Recursos Humanos, a transação de dados pessoais e sensíveis é alta. Por isso, o departamento precisa estar sempre com as práticas alinhadas à LGPD.
Em resumo, cada negócio possui seus próprios processos e formas de trabalhar as informações recebidas, a depender de sua finalidade. Por isso, ter um profissional de compliance adequado para desenvolver as políticas de segurança da informação específica é o indicado nestes casos.
A partir do documento elaborado de forma personalizada para a empresa, é possível criar treinamentos específicos para cada setor executar a LGPD. Ademais, lembre-se de estar sempre de acordo com suas próprias necessidades e rotinas, como é o caso do RH.