Contextualização – LGPD
Vivemos na era da economia digital, na qual os dados, quando tratados, possuem um alto valor. Com o desenvolvimento de novas tecnologias, bem como com o uso combinado de várias outras já existentes, surgem novas aplicações que utilizam dados pessoais como insumos na busca pelo conhecimento e geração de inteligência a respeito dos seus titulares, proporcionando assim que inferências sejam realizadas sobre assuntos que são inclusive contrários aos interesses deles.
Assim, prevendo as influências e riscos advindos da utilização de tais tecnologias com relação à privacidade, foi consolidado em todo o mundo o conceito sobre o direito à autodeterminação informativa, o qual transfere o poder sobre os dados pessoais a cada cidadão.
Embora recentes as discussões sobre o tema de privacidade no Brasil, tais discussões são muito antigas no cenário internacional. Na Europa, por exemplo, tais discussões se iniciaram na década de 70, na Alemanha, e, pouco a pouco foram se espalhando por diversos países. Em 1995, foi criada a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, a qual foi reformulada em 2016 e passou a viger em 2018 com o nome de Regulamento Geral sobre a Proteção de Dados (RGPD) (UE) 2016/679, conhecido também internacionalmente pela sigla GDPR, que significa General Data Protection Regulation.
A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei N° 13.709/2018) é uma nova Lei, que foi sancionada no Brasil em 2018 (após quase 10 anos de debates) e passou a viger em 2020. Ela dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos
fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, não coibindo que eles possam ser tratados, mas estabelecendo diretrizes e limites para que tais tratamentos de dados pessoais possam ser realizados, de forma organizada, justa, leal e Legal.
Definições de alguns termos básicos utilizados na Lei
Por dados pessoais entende-se não apenas aqueles dados presentes em documentos oficiais, tais como número do RG ou CPF (este último muito famoso pela massiva coleta recentemente observada em vários segmentos), mas toda e qualquer informação relacionada à pessoa natural identificada ou identificável.
Por tratamento de dados entende-se toda e qualquer ação realizada com dados pessoais.
Por titular entende-se a pessoa física (pessoa natural) a quem se referem os dados pessoais que são objeto do tratamento (ou seja, o dono dos dados pessoais).
Já o controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem compete tomar as decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento. Existe também a figura do operador, que é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
A LGPD define as hipóteses nas quais é possível a realização do tratamento de dados pessoais. Uma delas é o consentimento, definida pela manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
A Lei também define categorias de dados pessoais, importantes de serem conhecidas e respeitadas, uma vez que definem características específicas para o tratamento de dados pessoais. São elas:
-
Dados pessoais “comuns”: para que possam ser tratados, precisam respeitar os princípios legais e as hipóteses previstas na Lei para o tratamento dos dados pessoais;
-
Dados pessoais de Crianças e adolescentes: precisam ser tratados no melhor interesse, e com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal;
-
Dados pessoais sensíveis: para que possam ser tratados, o titular ou seu responsável legal deverá consentir que seja realizado o tratamento de dados pessoais, de forma específica e destacada, para finalidades específicas, ou também, sem o consentimento, apenas em nas hipóteses em que for indispensável para situações específicas definidas pela Lei.
Aplicações da LGPD
A Lei se aplica a toda e qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio (on-line ou off-line), do país de sua sede ou do país onde estejam localizados os dados.
A Lei também não especifica o tipo de mídia na qual o tratamento é realizado, abrangendo então tratamentos realizados nas mídias físicas (papel) e eletrônica, o que ainda pode causar dúvidas quanto as formas e aos riscos envolvidos com os tratamentos de dados pessoais. Arquivos físicos (para a guarde de documentos) sem infraestrutura adequada de proteção e sem restrições de acesso podem gerar episódios de violação de segurança envolvendo dados pessoais, o que requer cuidado e atenção por parte das organizações.
Para que dados pessoais possam ser tratados de acordo com o rigor legal, o controlador deverá relacionar os tratamentos de dados a serem realizados (de acordo com os seus modelos de negócio e necessidades internas) com às hipóteses legais previstas e definidas na LGPD, as quais facultam tais tipos de tratamentos.
Além disso, para que os dados pessoais possam ser tratados com o devido rigor exigido pela Lei, deverão ser respeitados os direitos dos titulares de dados pessoais, bem como os princípios legais definidos pela LGPD.
Aplicação da LGPD no departamento de Recursos Humanos
Os dados pessoais são tratados nos processos internos gerenciados pelos departamentos das empresas. A seguir são descritos exemplos de processos internos básicos do departamento de Recursos Humanos que realizam tratamentos de dados pessoais:
-
Processo de recrutamento e seleção;
-
Processo de admissão;
-
Processo durante o contrato de trabalho do colaborador;
-
Processo de demissão;
- Processo posterior à demissão do colaborador.
Tratamento de dados pessoais no processo de recrutamento e seleção
A responsabilidade pela coleta e tratamento conveniente dos dados pessoais no departamento de Recursos Humanos se inicia antes mesmo dos titulares cujos dados são tratados serem colaboradores efetivos da empresa. Isso pela necessidade que tem o RH de tratar dados pessoais dos candidatos às vagas de emprego oferecidas pela empresa nos seus processos de recrutamento e seleção.
Dependendo da extensão do processo de recrutamento e seleção, dos modelos de negócios de cada organização e das suas necessidades internas, diferentes tipos de dados pessoais podem ser coletados, o que não será impossível de ser realizado de agora em diante de acordo com a Lei, desde que sejam cumpridos os requisitos legais para os seus tratamentos.
Serviços terceirizados de recrutamento e seleção poderão ser utilizados pelas corporações, mediante aos devidos esclarecimentos a serem feitos nos contratos de prestação de serviço com as empresas contratadas, os quais deverão incluir as condições para a coleta e tratamento dos dados pessoais a ser realizado por elas, de acordo com o rigor legal.
A discriminação no processo seletivo deve ser evitada de qualquer modo, a qual pode ocorrer justamente mediante à análise dos dados pessoais que são coletados dos candidatos a vagas de emprego, causando inclusive descumprimento de alguns dos artigos da Constituição Federal.
Para se evitarem tais situações bem como para se cumprir à risca os requisitos legais da Lei, o departamento de Recursos Humanos deverá fazer uma análise cuidadosa e específica quanto aos dados mínimos necessários ao processo de recrutamento e seleção, evitando assim a coleta desnecessária de qualquer outro dado sobre os candidatos.
Tratamento de dados pessoais no processo de admissão
Uma vez selecionado o candidato, é chegada a hora de se coletarem os seus dados pessoais para a realização do processo de admissão. Tais dados são utilizados por exemplo pelas empresas para o registro dos colaboradores, para a preparação dos respectivos contratos de trabalho, para a realização do pagamento de salários, para os registros de filiação sindical, para os exames médicos admissionais, dentre outros.
Tais tratamentos de dados pessoais pelo empregador são realizados para o cumprimento das obrigações legais imputadas aos mesmos, e, nestes casos, é dispensada a obtenção do consentimento dos colaboradores para tais tratamentos, uma vez que a própria LGPD prevê a possibilidade do tratamento de dados pessoais para o cumprimento das obrigações legais.
Tratamento de dados pessoais durante o contrato de trabalho do colaborador
Tais dados pessoais dos colaboradores serão tratados (processados) em toda a duração do contrato de trabalho do colaborador, sendo atualizados de acordo com as alterações que eventualmente sofrerem (no caso de separação, nascimento de um filho, realização de cursos/especializações etc.). O departamento de Recursos Humanos deverá estar atento e preparado para atualizar as devidas informações, a fim de seguir os requisitos legais da LGPD.
Tratamentos recorrentes de dados pessoais também serão realizados na duração dos contratos de trabalho. Como exemplo, podemos citar os registros de férias dos colaboradores, os atestados de saúde ocupacionais (ASOs) e atestados médicos apresentados pelos colaboradores. Importante notar que alguns tipos de dados pessoais dos colaboradores que são tratados de forma recorrente requerem cuidados específicos nos seus tratamentos. É o caso dos dados pessoais sensíveis tratados nos atestados médicos apresentados pelos colaboradores, os quais carecem que procedimentos internos sejam definidos para que sejam tratados de acordo com o rigor Legal.
Compartilhamento de dados pessoais
Dependendo dos modelos de negócios adotados pelas empresas, é possível que elas se utilizem de serviços prestados por empresas terceiras, parceiras de negócio, o que requer que
dados pessoais sejam compartilhados com as mesmas a fim de que estas possam realizar as suas atividades contratadas.
A LGPD faculta aos titulares de dados pessoais o conhecimento sobre as entidades públicas ou privadas com as quais é realizado o compartilhamento dos seus dados pessoais.
Dependendo dos tipos de dados pessoais a serem compartilhados, do ponto de vista legal, é necessário que sejam obtidos os respectivos consentimentos legais obrigatórios, o que requer a atenção das empresas na realização de tais compartilhamentos, uma vez que deverão respeitar também a conformidade legal definida pela LGPD.
As empresas contratantes deverão reforçar em adendos contratuais aos contratos já existentes bem como incluir nos novos contratos a serem firmados com novas empresas prestadoras de serviço cláusulas (*) para a garantia do tratamento de dados pessoais compartilhados de forma adequada, de acordo com as finalidades específicas para os seus tratamentos, incluindo, dentre outras, as seguintes questões:
-
Responsabilização pelo tratamento de dados pessoais;
-
Utilização de medidas técnicas e administrativas visando a segurança dos dados pessoais recebidos;
-
Restrição do acesso aos dados pessoais compartilhados apenas aos colaboradores que realmente estiverem envolvidos com as atividades de tratamento de dados pessoais contratadas;
-
Garantia da realização do tratamento de dados pessoais compartilhados apenas para as finalidades definidas pela empresa contratante;
-
Sigilo de todas as informações e dados pessoais compartilhados;
-
Garantia da devolução de todos os arquivos compartilhados no final do contrato ou a garantia de descarte dos dados pessoais compartilhados de forma definitiva e irreversível;
-
Garantia de que a empresa prestadora de serviços esteja devidamente adequada aos requisitos legais da LGPD;
(*): o conteúdo de tais cláusulas dependerá dos modelos de negócios e necessidades internas da empresa contratante, bem como da criticidade e volume dos dados pessoais compartilhados.
Importante: Nos casos da contratação de serviços terceirizados, é natural que as empresas tomadoras dos serviços solicitem às empresas prestadoras de serviços as informações sobre a regularidade fiscal, trabalhista e previdenciária relativas aos colaboradores envolvidos nas atividades contratadas, as quais necessariamente incluirão dados pessoais dos colaboradores terceirizados. Processos específicos de recepção e tratamento de tais dados deverão ser criados pelas empresas tomadoras dos serviços, limitando o acesso aos dados pessoais desta forma compartilhados, bem como garantindo o armazenamento seguro dos mesmos pelo período regulamentar definido.
Compartilhamento de dados com órgãos públicos
Os dados pessoais dos colaboradores devem ser compartilhados com os órgãos públicos, os quais são utilizados para as seguintes finalidades:
-
para a realização de políticas públicas;
-
para a informação da declaração do imposto de renda retido na fonte – DIRF;
-
para a preparação da SEFIP (Sistema Empresa de Recolhimento do FGTS e Informações à Previdência Social) e GFIP (guia de Recolhimento do FGTS e de Informações à Previdência Social);
-
para a preparação do CAGED (Cadastro geral de empregados e desempregados);
-
para a preparação da RAIS (relação anual de informações sociais).
Tais compartilhamentos também não exigem o consentimento dos colaboradores, uma vez que devem ser realizados para o cumprimento de obrigações legais do empregador.
-
Tratamento de dados pessoais na demissão do colaborador
O processo de demissão dos colaboradores também realiza o tratamento de dados pessoais, uma vez que documentos são processados com os dados pessoais dos colaboradores para a realização do processo, além de serem também utilizados na atualização dos processos internos referentes ao cancelamento de benefícios concedidos e nas solicitações de exames médicos demissionais. Dados do então ex-colaborador são também compartilhados com órgãos públicos, para as devidas atualizações necessárias. Além disso, eventualmente também são coletados dados pessoais atualizados dos ex-colaboradores para efeitos de atualizações dos registros internos da empresa, para o envio de comunicações futuras.
-
Tratamento de dados pessoais posterior à demissão do colaborador
Na demissão, a maior questão referente aos dados pessoais dos colaboradores está associada ao tempo de guarda dos dados pessoais dos colaboradores demitidos, uma vez que, enquanto os dados pessoais ainda estiverem armazenados nas organizações, estas serão responsáveis pela manutenção da segurança, confidencialidade, integridade e disponibilidade deles.
Neste sentido, a primeira observação a ser feita é que os dados pessoais dos colaboradores não podem ser descartados com as suas demissões, mesmo que os ex-colaboradores solicitem as suas exclusões. Isso pois a legislação trabalhista exige o armazenamento de documentos, com o consequente tratamento dos dados pessoais. Importante notar que a falta de tais documentos podem gerar multas para a empresa, pelo descumprimento da Lei.
Além desta questão, os dados pessoais dos ex-colaboradores poderão ser novamente tratados no caso de eventuais causas trabalhistas movidas por eles contra a empresa, a qual terá que se defender e utilizar documentos como provas nos tribunais para a comprovação dos
pedidos realizados. Desta forma, a empresa poderá armazenar, de forma adequada e segura, respeitando os requisitos legais da LGPD, os dados pessoais tratados de todos os seus ex-colaboradores até o prazo limite de dois anos, a contar da data dos seus desligamentos. Após este período, não existirão mais hipóteses legais que facultem o tratamento de todos os dados pessoais dos ex-colaboradores, a não ser os documentos e dados pessoais necessários referentes ao FGTS e INSS, os quais devem ser guardados por prazos muito maiores. Além de tais documentos, deverão também ser mantidos pelas empresas os documentos, informações e dados pessoais para o atendimento das eventuais fiscalizações que a empresa possa sofrer, exigindo um esforço de harmonização da LGPD com a Legislação Trabalhista a fim de definir o rol de documentos, informações e dados pessoais realmente necessários e indispensáveis de serem mantidos por períodos mais longos.
Findo o prazo de guarda mencionado acima, os referidos documentos deverão ser descartados de forma definitiva e irreversível, de acordo com o rigor legal.
Observação: Caso os dados necessitem ser guardados pela empresa (para questões estatísticas por exemplo), eles deverão ser anonimizados (processo que garantiram a desvinculação dos dados com os seus titulares), o que afasta a abrangência da Lei.
Conclusão
De forma geral, foram ressaltados neste artigo os principais pontos envolvidos com o tratamento de dados pessoais em cada um dos processos internos básicos gerenciados pelo departamento de Recursos Humanos, os quais devem ser realizados de acordo com os requisitos legais da LGPD.
Tais requisitos legais, de uma forma geral, podem ser resumidos à observância dos conceitos definidos na Lei referentes aos seguintes temas:
Uma das questões principais para a adequação completa das empresas aos requisitos legais da LGPD é a correta interpretação da Lei, a qual deverá ser feita levando-se em consideração os modelos de negócios e necessidades internas de cada processo interno da empresa que realiza o tratamento de dados pessoais, o que definirá os tipos de dados pessoais necessários de serem tratados, bem como as garantias para que tais tratamentos sejam realizados de acordo com o rigor Legal.
A harmonização da LGPD (análise conjunta da Lei com outros instrumentos jurídicos presentes no país) é necessária e obrigatória de ser feita, com muito rigor, pelas equipes responsáveis pela jornada de adequação completa das empresas aos requisitos legais da LGPD. Tais harmonizações trarão importantes conclusões e direcionamentos sobre os tratamentos convenientes de dados pessoais a serem realizados pelas corporações em todos os seus processos internos que realizam o tratamento de dados pessoais.
A definição sobre o tempo de guarda dos dados pessoais tratados deverá ser muito bem definida pelas corporações, assim como as formas dos seus descartes, independentemente dos tipos de mídias nas quais são realizados os respectivos tratamentos de dados pessoais.
A responsabilidade pela jornada de adequação completa das empresas aos requisitos legais da LGPD não deve ser atribuída a uma área específica, ou a um comitê formado pela
empresa para o acompanhamento das tarefas necessárias de adequação, mas, porém, a todos os colaboradores da empresa, os quais deverão ser advertidos e devidamente treinados com relação ao tema de proteção de dados pessoais e privacidade, uma vez que eles é que serão responsáveis pela execução das atividades envolvendo os dados pessoais tratados pela empresa.
Além disso, não se pode considerar que a jornada de adequação tenha um começo, um meio e um fim. Isso porque a manutenção da empresa adequada aos requisitos legais da LGPD se faz necessária, em função dos processos de tratamentos de dados pessoais serem dinâmicos. Assim, os registros de tratamentos de dados pessoais realizados por cada processo interno devem ser realizados e mantidos atualizados, de tempos em tempos, de acordo com os modelos de negócios e necessidades das empresas e tipos de dados pessoais tratados. Da mesma forma, as normas, políticas e procedimentos internos deverão ser atualizados de acordo com as necessidades dos processos internos que realizam o tratamento dos dados pessoais.
Para que tais manutenções sejam convenientemente realizadas, será necessário a utilização pelas empresas de processos específicos de acordo com as suas necessidades (envolvendo a criação/revisão de políticas internas, normas e procedimentos), bem como de ferramentas digitais especializadas, as quais possibilitarão ao encarregado pela proteção de dados pessoais da empresa a gestão de todos os tratamentos de dados pessoais realizados pelos processos internos da empresa.