A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro de 2020, modificando, de forma considerável, a relação entre pessoas físicas e jurídicas. Isso requer das empresas uma reorganização de diversas áreas da companhia, o que inclui o setor de Recursos Humanos — ainda mais em tempos de contratação na era digital.
Mas você pode estar se perguntando: quais são as principais regras para o LGPD no RH? A verdade é que o setor é uma das principais áreas que trabalham com dados sensíveis dentro de uma corporação, visto que gerencia toda a jornada do funcionário e dos candidatos.
Ou seja, acompanha desde a sua admissão até o seu desligamento. Por isso, é preciso estar atento para definir as medidas cabíveis para as atividades internas, a fim de seguir a legislação e resguardar colaboradores e empresas de qualquer contratempo.
Ao longo desta leitura, trazemos como a LGPD no RH afeta os processos na companhia e como se preparar para implantar as regras. Acompanhe!
O que a LGPD?
A Lei Nº 13.853, de 8 de julho de 2019 — conhecida como a Lei Geral de Proteção de Dados (LGPD) — é uma norma estabelecida para regularizar a coleta, o tratamento, a guarda, o compartilhamento e a exclusão de informações pessoais de usuários, tanto por instituições públicas quanto privadas. Podemos entender como tratamento de dados qualquer tipo de manuseio dessas informações, seja uma transferência, modificação, exclusão, entre outros.
Em vigor desde 18 de setembro de 2020, a lei é resultado de 10 anos de discussão sobre o tratamento de informações de usuários de diversos setores. Assim, todas as companhias, independentemente do setor, deverão se adaptar às novas regras.
Apesar de requerer esforços das empresas, vale lembrar que o principal objetivo da nova norma é possibilitar mais segurança, liberdade e transparência aos usuários. Assim, eles devem autorizar a utilização de suas informações e, para isso, devem ser informados de sua finalidade.
Quem é obrigado a cumprir a LGPD?
A obrigação de cumprir a LGPD é ampla, atingindo quem lida com dados pessoais com fins comerciais, e se enquadra como:
- pessoas físicas ou jurídicas;
- empresa privada;
- organização estatal;
- instituições e associações;
- empresas nacionais e estrangeiras.
De modo geral, a obrigação é devida para quem detém dados de terceiros para uso comercial. Afinal, não faria sentido que ela incluísse, por exemplo, dados de seus contatos pessoais, armazenados no seu celular.
Por isso, talvez seja mais fácil determinar quem não tem obrigação de cumprimento das normas da LGPD, pois existem algumas poucas exceções, que ocorre quando o tratamento de dados pessoais é realizado com fins:
- não econômicos e em caráter pessoal, realizado por uma pessoa física, como no caso do exemplo acima, relativo aos contatos pessoais;
- jornalístico;
- artístico;
- acadêmico;
- de segurança pública;
- de defesa nacional;
- de segurança do Estado;
- nas atividades de investigação e repressão de infrações penais.
Quais regras a LGPD prevê?
A lei prevê que toda empresa tenha um Encarregado de Dados — profissional responsável por acompanhar os dados dos usuários de cada empresa. Além de ter autonomia para assegurar o funcionamento da aplicação da norma, ele também responderá diretamente à diretoria.
No seu escopo de trabalho estará o monitoramento e o uso de informações, além de uma relação próxima com a Autoridade Nacional de Proteção de Dados (ANPD). Isso porque ele será o responsável por reportar à agência qualquer intercorrência envolvendo os dados dos usuários.
O profissional também terá de se relacionar com o setor jurídico e de tecnologia da informação (TI) da empresa, a fim de garantir o alinhamento da norma com os procedimentos da companhia. Diante disso, o trabalho com a equipe de TI será o de garantir que os softwares utilizados no setor de RH e departamento pessoal (DP) estejam em conformidade com a política de proteção de dados, além de serem seguros.
A fim de garantir o sucesso das ações, é importante construir políticas de proteção de dados como procedimentos internos da companhia e, para isso, será necessária a ajuda do setor jurídico. Nesse cenário, caso a companhia não tenha um departamento jurídico interno, é importante contratar uma consultoria jurídica especializada. Dessa forma, você garante que a empresa esteja alinhada com a LGPD.
Quais as diferenças entre dados pessoais e dados sensíveis?
Para entender perfeitamente a lógica da LGPD é fundamental que a gente saiba diferenciar o que chamamos de dados sensíveis e dados pessoais. Normalmente, esses termos costumam gerar confusão em quem não está acostumado com os procedimentos de tratamento de dados.
A própria lei define esses conceitos, então, não vamos ter dificuldade de descrevê-los. Para facilitar o entendimento, considere dados pessoais todos aqueles que, de algum modo, se relacionam com uma pessoa identificada.
A lei fala de pessoa natural, que, basicamente, é qualquer pessoa física com direitos e deveres estabelecidos. Então, quais seriam esses dados? Podemos citar:
- data de nascimento;
- número de documentos, como CPF, RG e carteira de trabalho;
- atestados médicos;
- exames admissionais;
- fotos dos colaboradores;
- aqueles gerados por um sistema dePeople Analytics.
Dados sensíveis, como o próprio nome indica, são aqueles com maior potencial de gerar danos morais. Por isso, a lei é mais rígida com essas informações.
Questões como orientação sexual, raça, cor da pele, religião e sobre o engajamento político estão entre os dados considerados sensíveis. Eles podem ser usados de modo discriminatório, racista e preconceituoso, portanto, merecem um cuidado adicional.
Independentemente da lei, mas também por influência dela, o RH deve se preocupar com esses dados de modo a evitar problemas, situações constrangedoras e inconvenientes aos colaboradores.
Mais do que isso, o ideal é desenvolver políticas que fomentem a diversidade como forma de favorecer a inclusão e garantir processos seletivos e de relacionamento mais eficientes. Afinal, o preconceito pode eliminar a chance de grandes talentos pertencerem ao quadro de colaboradores, além de outros problemas.
Ou seja, o cuidado com os dados sensíveis se justifica do ponto de vista humano, social, econômico, legal, moral e prático. Por isso, apesar de parecer uma informação simples e meramente formal, a diferenciação entre dados sensíveis e pessoais merece toda atenção do RH, que tem um papel importante nas questões humanas e sociais.
Como a LGPD impacta no setor de RH?
O RH é um dos setores mais impactados pela LGPD porque atua com dados dos colaboradores e candidatos. Assim, o setor precisa se resguardar, solicitando o consentimento do uso das informações pessoais dos funcionários e candidatos.
No documento deve constar qual é a finalidade da utilização dos dados, assim como por quanto tempo esses dados estarão de posse da empresa. Logo, em tempos de contratação data-driven, nos quais os dados dos candidatos são amplamente analisados para verificar a aderência ao cargo, essa autorização é fundamental.
Desta forma, ao analisar as rotinas que serão impactadas pela LGPD no RH, além das diretrizes de recrutamento e seleção, podemos destacar:
- informações pessoais (endereço, contatos de emergência, dados bancários, entre outros);
- informações compartilhadas com a empresa que faz a folha de pagamento;
- envio de dados para o sindicato e órgãos públicos;
- dados fornecidos à seguradora do plano de saúde;
- exames admissionais;
- dados para entrevistas que fazem parte da contratação online;
- banco de currículos.
A LGPD rege que apenas podem ser recolhidas as informações que sejam, de fato, necessárias para as atividades da companhia. Portanto, é fundamental estar atento em relação, por exemplo, aos dados recolhidos dos candidatos a uma vaga.
No momento de acionar os candidatos, faça uma avaliação da necessidade da solicitação de determinadas informações, a exemplo do estado civil, religião, orientação sexual, gênero, entre outros tipos de dados que não agregam à contratação.
Como a LGPD se aplica no dia a dia do RH?
Além do claro impacto da LGPD no RH, existem aspectos de sua aplicação prática que devemos dar atenção, para que a adequação da empresa não se limite aos planos e ocorra de forma efetiva.
Como é possível notar a partir da leitura das partes anteriores deste texto, a LGPD é ampla. A lei trata de todos os detalhes, de modo a não deixar brechas para equívocos e inconformidades. Por isso, diversos processos precisam ser reformulados.
A lei muda a forma de relacionamento com os colaboradores, o que implica na necessidade de rever a cultura de controle e monitoramento da equipe. Assim, é fundamental se dedicar à aplicação da lei quanto antes, pois algumas mudanças de comportamento precisarão amadurecer com o tempo, se a empresa desejar alcançar níveis de excelência no cuidado com os dados.
Desse aspecto, o RH pode aproveitar a LGPD como uma oportunidade para desenvolver uma política interna de cuidado com as informações. Em outras palavras, estamos sugerindo que a lei deixe de ser vista como uma obrigação, para se caracterizar como uma forma adicional de valorização do colaborador.
A individualidade, a liberdade e a privacidade são valores cada vez mais comuns entre as pessoas, especialmente para determinados perfis de talentos. Estabelecer um alto nível de confiança nos times — de que eles podem ficar tranquilos e seguros com relação aos seus dados e a transparência da empresa em relação ao seu uso —, pode facilitar a retenção desses profissionais, além de contribuir para a melhora do relacionamento com os colaboradores e candidatos.
Finalidade
Como já mencionamos neste texto, a finalidade de armazenamento dos dados precisa estar clara para o colaborador. Esse é um dos aspectos mais relevantes, ao menos do ponto de vista da transparência da empresa para com os colaboradores.
Antes de divulgar a finalidade de armazenamento dos dados com esses profissionais, a empresa precisa reavaliar a necessidade de mantê-los arquivados. Ou seja, é preciso refazer uma clássica pergunta: esses são dados úteis?
Não é incomum que empresas se esforcem e gastem recursos para levantar dados que simplesmente não usam para nada. Desse aspecto, se a solicitação de determinada informação não atende uma exigência legal ou não é relevante para os relatórios gerenciais da empresa, não há necessidade de solicitar a informação.
Adequação
É preciso trabalhar com o objetivo de ajustar os dados armazenados. Por exemplo, como o consentimento está no centro das normas da lei, o RH precisa avaliar os dados que têm armazenados, relacionar os pontos em inconformidade e promover os ajustes necessários, o que inclui solicitar o consentimento para manutenção dos dados, pois essa solicitação não foi feita anteriormente.
Antes disso, será necessário estabelecer critérios e regras para o compartilhamento dos dados com terceiros, pois isso também exige consentimento específico do colaborador. Outro aspecto importante é a necessidade de buscar um amplo conhecimento sobre o funcionamento da lei.
Os colaboradores precisam de orientação sobre os detalhes da lei e não há departamento mais indicado para fazer esses esclarecimentos que o RH. Contudo, é preciso absorver esse conhecimento antes de transmiti-lo.
Necessidade
Outro ponto fundamental para garantir a aplicação prática da LGPD é a necessidade, como as de estruturação, seja técnica, seja de conhecimento. Por exemplo, aquela base de dados antiga, que a empresa mantém como uma relíquia em razão da dificuldade de migrar para aplicações mais modernas, pode não suportar as demandas exigidas de segurança e uso.
Para aplicar a LGPD no RH é preciso levantar eventuais fragilidades e estabelecer os meios de superá-las. Como essa avaliação pode ser muito técnica, é fundamental poder contar com os profissionais de TI para garantir o suporte necessário.
Quais os processos mais influenciados pela LGPD?
Alguns dos processos do RH são mais delicados em termos de uso de dados ou demandam a coleta e uso de um maior volume de informações. Por isso, vale a pena avaliá-los com mais atenção e cuidado. Entre eles, os de admissão e demissão são bem característicos. Vamos refletir mais detalhadamente sobre eles? Vejamos!
O processo de admissão
No processo de admissão são usados os dados de candidatos e a maioria deles não vai ser admitido. Em razão disso, o RH precisa assumir um pouco mais de cautela para se proteger de eventuais inconveniências, muitas vezes, por incompreensões e dúvidas sobre os motivos de não aprovação, por exemplo.
Desse aspecto, fica evidente a necessidade de, dentro do possível, garantir a transparência para cada um dos candidatos. Desde a pré-seleção serão usados dados, manipulados ou não com uso da inteligência artificial e outros recursos tecnológicos, exigindo esclarecimentos e consentimentos.
Além disso, é fundamental estabelecer previamente a intenção de manter os currículos recebidos em um banco de talentos. A partir da LGPD, é preciso solicitar autorização para a guarda de muitas das informações, o que demanda por informar a finalidade da manutenção desses dados, o tempo em que eles vão permanecer armazenados e as consequências da não autorização.
No momento da contratação, também será preciso informar com transparência a finalidade de armazenamento dos dados e solicitar a autorização dos colaboradores para essa guarda, o que inclui o envio desses dados para terceiros, como planos de saúde e outros prestadores de serviço.
Além de providenciar a autorização, também é responsabilidade da empresa verificar se esses parceiros mantêm uma política em conformidade com a LGPD, bem como estabelecer as responsabilidades em caso de vazamento de dados.
O processo de demissão
O processo de desligamento também inclui uma pessoa com a qual a empresa não manterá um relacionamento, ao menos um não tão próximo como o que tem naturalmente com os colaboradores. Por isso, uma maior atenção também é justificada.
Não dizemos isso em razão de uma desconfiança ou possibilidade de comportamentos resultantes de alguma espécie de descontentamento ou desacordo, mas até mesmo pelo distanciamento natural que ocorre. Afinal, fica mais fácil notar e resolver problemas com quem temos relacionamento mais próximo e constante, seja pessoal, seja profissional.
No caso do desligamento, além do outplacement, a principal atenção deve se voltar aos dados que precisarão ser mantidos de posse da empresa, sem esquecer dos que devem obrigatoriamente ser excluídos.
Como essa é uma prática nova, é preciso determinar um processo para que essa exclusão ocorra com segurança, garantia de privacidade e em todos os dispositivos de armazenamento, incluindo arquivos de backup, por exemplo.
Ao mesmo tempo, algumas dessas informações devem ser mantidas por obrigação legal, o que não impede que os profissionais desligados sejam informados em todos os detalhes sobre essas obrigações.
Uma boa forma de avaliar as políticas do RH para a LGPD é a partir da consciência de que existe um dono dos dados, que tem direito a nossa transparência quando e enquanto nós usamos.
Como se aplica a LGPD no trabalho remoto e externo?
Muitas empresas passaram a atuar em regime de trabalho remoto em consequência da pandemia. Algumas permaneceram assim, ao menos para determinadas atividades específicas, que se adaptaram muito bem a essa modalidade de trabalho.
Mesmo nas que voltaram totalmente ao modelo tradicional e presencial, ainda podem existir colaboradores que atuem fora da empresa, como vendedores e técnicos. Então, vejamos os aspectos que precisamos observar nesses casos. São eles:
- autorização de registro de informações de troca de mensagens com candidatos e colaboradores;
- estabelecimento de normas e criação de estrutura de segurança da informação compartilhada remotamente;
- determinação clara e difundida sobre o que os colaboradores podem ou não fazer com os dados de outras pessoas;
- demanda por treinamento sobre a LGPD, gestão de dados e segurança da informação, com foco no acesso para quem atua remotamente.
O que acontece se não cumprir as regras da LGPD?
A LGPD pode ter parecido pouco efetiva no momento que entrou em vigência, pois nem todos os procedimentos de fiscalização foram implementados imediatamente. Isso não significa que a empresa esteja livre de punições, como:
- suspensão do funcionamento do banco de dados;
- bloqueio de dados violados;
- proibição do uso e dados (parcial ou total);
- advertências e multas, que chegam a até 2% do faturamento da corporação, com teto estipulado em 50 milhões de Reais por infração.
Como adequar o setor de RH às exigências da LGPD?
Agora que você já sabe o que é a LGPD e como ela impacta no setor de RH, veja como adaptar o setor às regras.
Conheça as diretrizes da LGPD
Como responsável pelo RH da empresa, é interessante você ter uma visão geral da lei, para poder antever demandas e ajustar os processos. Claro que isso pode ser feito em conjunto do Encarregado de Dados e o setor jurídico. No entanto, esse conhecimento dará a você mais segurança nas tomadas de decisão na empresa.
Faça um diagnóstico da empresa
Para começar do zero, você vai precisar saber exatamente quais são as situações de risco em que a empresa está vulnerável e quais são as fragilidades de cada setor envolvido com o tráfego de dados.
Entenda o tratamento de dados
Para ser bem executado, o uso e o tratamento de dados dependem de técnica. Ou seja, proteger informação não é apenas questão de boa vontade, mas de estrutura e de um método elaborado de manipulação.
Entender e conhecer os detalhes e ferramentas desse método é importante, mas não apenas por conta da LGPD. A análise de dados de desempenho, por exemplo, fica muito mais efetiva e estratégica quando nos capacitamos sobre tratamento de dados.
Entender, por exemplo, o que são dados estruturados e não estruturados, compreendendo como podemos usá-los, contribui para avaliações mais acertadas, a diminuição de erros e a determinação do que precisa ou não necessita de ser armazenado.
Desse aspecto, considere que quanto maior o volume de dados usados, mas difícil e complexa é a sua gestão, seja na elaboração de relatórios importantes, seja para adequação a LGPD.
Conte com uma parceria especializada
Como adiantamos, a lei prevê a contratação de um profissional pelas empresas para responder pela coleta, tratamento e armazenamento de dados na instituição, denominado Encarregado de Dados. Por isso, dedique-se a contratar o melhor profissional ou conte com a ajuda de uma consultoria especializada.
Reúna o RH, setor jurídico e TI
A implantação da LGPD no RH depende da sinergia entre o setor com os departamentos jurídico e TI. Isso é fundamental para proceder um diagnóstico preciso da situação atual e desenvolver um plano de ação para ajustar a realidade da empresa, diante das normas.
Treine toda a equipe continuamente
Para garantir o sucesso das ações, é fundamental capacitar toda a equipe da empresa, criando regras claras sobre as consequências da disseminação de dados confidenciais.
Tenha a tecnologia como uma aliada
Com a informatização dos processos, é preciso garantir que os softwares utilizados pelo RH sejam seguros contra invasores e tenham os recursos necessários para rastrear a maneira como as informações entram e saem do sistema.
Como as ferramentas digitais se adequam à LGPD?
Boa parte das tarefas de segurança de dados envolvem a estrutura de hardware e software utilizada. Contudo, esse problema tem diminuído consideravelmente, conforme aumentam as soluções disponíveis para acesso por meio da web.
No lugar de uma estrutura interna robusta, com servidores profissionais e sistemas de firewall, as empresas contam com soluções vendidas como serviço. Nesse caso, quem presta o serviço é quem precisa manter toda a estrutura de segurança, adequada a LGPD.
Isso não elimina a responsabilidade do RH, mas facilita que ela seja assumida plenamente, com a adoção de plataformas preparadas para a nova legislação e com o compromisso de se adequar às próximas mudanças com agilidade.
As plataformas digitais facilmente incorporam formulários de autorização e procedimentos exigidos pela LGPD. Antes que um dado seja armazenado, o usuário precisa autorizar o seu uso, ou o sistema não libera a inserção.
Como pudemos observar ao longo desta leitura, é possível implantar a LGPD no RH. Para isso, você precisa contar com a ajuda de setores, como o jurídico e a TI, além de contratar o profissional Encarregado de Dados. O suporte com o conhecimento necessário a toda a equipe ainda garante que os dados permaneçam na empresa. Além disso, fazer um diagnóstico preciso e contar com um eficiente sistema de gestão no RH é fundamental.
Se você gostou deste artigo sobre LGPD no RH, assine a nossa newsletter para receber mais conteúdos como este!
Seja o primeiro a comentar em “LGPD no RH: veja como preparar o setor para as regras e procedimentos”