Lei de dados e o RH: o que muda?

Sancionada em agosto deste ano, a Lei Geral de Proteção de Dados (LGPD) é considerada por muitos profissionais de Recursos Humanos um grande avanço para o setor. Apesar de entrar em vigor apenas em fevereiro de 2020 — 18 meses contados a partir da data de sua publicação no Diário Oficial da União —, empresas e organizações já começaram a atentar para as novas responsabilidades que terão para garantir a proteção dos dados de seus clientes, funcionários e fornecedores.

A adequação à LGPD vai exigir dos gestores de RH, primeiramente, a implementação de estratégias e programas para a conscientização das novas regras. O suporte de recursos de tecnologia para a verificação dos principais processos (coleta, uso e guarda dos dados) será fundamental, assim como a verificação se os procedimentos estão sendo executados de acordo com as diretrizes de cada organização.

Quer entender mais sobre a Lei de Proteção de Dados e como ela atinge o RH? Então continue lendo este artigo, produzido pela Metadados — empresa que desenvolve sistema para a gestão de Recursos Humanos.

Mas, afinal, o que é a LGPD?

A Lei Geral de Proteção de Dados regulamenta o tratamento de dados pessoais no Brasil, tanto pelo poder público quanto pela iniciativa privada. Ela se aplica a qualquer pessoa física ou jurídica, de direito público ou privado, que realize operações de tratamento de dados pessoais. Vai provocar impactos no cotidiano dos cidadãos, de empresas e dos órgãos públicos à medida que estabelece direitos e responsabilidades. Por exemplo:

– Define dados pessoais como informações que podem identificar alguém (não apenas um nome, mas uma idade que, cruzada com um endereço, possa revelar que se trata de determinada pessoa);

– Cria o conceito de dados sensíveis, informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Esses registros passam a ser mais protegidos a fim de evitar discriminação;

– Disciplina a forma como as informações são coletadas e tratadas em qualquer situação, especialmente em meios digitais. Estão cobertas situações como cadastros ou textos e fotos publicados em redes sociais.

Apesar de ainda muito recente, a LGPD já é considerada por muitos profissionais de RH um marco legal para a proteção de dados pessoais e da privacidade. Segundo análise de especialistas, a Lei permite que o cidadão tenha mais noção e controle sobre quais e como seus dados pessoais são tratados, armazenados, transferidos, comercializados, da mesma maneira que o empodera a denunciar práticas nocivas.

A nova Lei impacta diretamente as relações de trabalho. Vai demandar das empresas adequações em seus procedimentos internos e contratos, sob pena de sanções administrativas e multa de até R$ 50 milhões por infração. Para proteger a privacidade das pessoas, será preciso reorganizar a maneira como as companhias lidam com dados e segurança da informação.

O papel do RH

Há um caminho relativamente longo pela frente antes de a LGPD entrar em vigor. Ela ainda precisa ser assimilada, estudada, entendida, tarefas que muitos profissionais de RH já estão executando. São eles os responsáveis por grande parte do processamento e do controle de dados pessoais das empresas. Uma das primeiras ações nesse sentido será identificar e se certificar sobre quais são as informações dos funcionários que estão sob sua responsabilidade e de que forma estão armazenadas, além de saber por quanto tempo guardar esses dados e como protegê-los durante a permanência do funcionário na companhia.

É interessante fazer um checklist com simples questionamentos, como: quais informações são necessárias para fins de cumprimento de obrigação legal ou execução do contrato de trabalho de acordo com cada especificidade dos mesmos? Quais requerem o consentimento do candidato?

Confira algumas dicas para já colocar mãos à obra

• Buscar consultoria jurídica especializada e um profissional de segurança da informação para avaliação e diagnóstico preciso para colocar o plano de mudanças focadas na estruturação e adequação da empresa em conformidade com a nova legislação, utilizando para mapeamento de todas as situações internas atingidas pela nova lei;
• Enumerar a situação de risco da empresa;
• Conhecer onde, quando e como são coletados os dados pessoais de clientes, fornecedores e colaboradores. Isso vai desde cadastro de CPF às informações usadas para a folha de pagamento;
• Descobrir onde os dados são guardados e se há camadas de proteção, como senhas e criptografia;
• Avaliar se os colaboradores sabem evitar vazamentos e se têm noção da responsabilidade sobre as informações;
• Priorizar as ações corretivas;

RH e TI ainda mais unidos

A LGPD vai, inegavelmente, unir ainda mais as áreas de Recursos Humanos (RH) e Tecnologia da Informação (TI). Por isso, é importante reforçar: as empresas serão obrigadas a elaborar ou revisar suas políticas internas, definindo de forma bastante clara os setores que poderão ter acesso a dados de candidatos, empregados e terceiros, bem como a forma de utilização de tais informações.

A aplicação de ferramentas adequadas com interface de fácil implementação será um dos desafios para fornecedores do segmento da segurança da informação, uma vez que funcionários utilizarão dados providos pela organização, e sua responsabilidade sobre eles será primordial para as políticas da empresa.

Por exemplo: em processos como recrutamento e seleção, será importante que os líderes de TI e RH reestruturem as políticas e os acordos de confidencialidade. Será preciso ter à mão, desde a primeira entrevista, termos de consentimento de uso de dados, que devem ser assinados pelos candidatos. Esse processo deverá deixar muito transparente como a empresa usará esses dados e quais serão mantidos em arquivo.

Resumindo

 Confira abaixo alguns pontos muito importantes sobre a Lei Geral de Proteção de Dados:

• Afeta qualquer atividade que envolva a utilização de dados pessoais, incluindo o tratamento pela internet, de consumidores e empregados, entre outros;
• O consentimento será umas das 10 possibilidades que legitimarão o tratamento de dados pessoais;
• Introduz 10 princípios da proteção de dados, incluindo-se o de demonstrar medidas adotadas para cumprir a lei (prestação de contas);
• Titulares dos dados terão amplos direitos: informação, acesso, retificação, cancelamento, oposição e portabilidade, entre outros;
• Em caso de incidentes de segurança envolvendo os dados, nas situações aplicáveis;
• Aplica-se também a empresas que não possuem estabelecimento no Brasil;
• Regras específicas para tratar dados sensíveis, transferência internacional de dados e utilizar dados de crianças e adolescentes;
• Realizar avaliação de impacto à proteção de dados (semelhante ao DPIA – data protection impact assessment)
• Atividades de tratamento de dados devem ser registradas em relatório;
• Toda empresa responsável por tratamento de dados deverá nomear um encarregado de proteção de dados pessoais.
• A lei ainda determina punição para infrações, como advertência a multa.
• FONTE:METADADOS