A Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD) entrou em vigor! E agora? Como adequar a empresa e instruir o RH para estar em conformidade com a Lei? Estas são perguntas recorrentes de muitas empresas, dúvidas e mais dúvidas acerca de sua aplicação, adequação e de como inseri-la no dia-a-dia da empresa.
Por este motivo que lhe digo o quanto é importante a empresa discutir as boas práticas, mapear os processos que envolvam os processamentos de dados pessoais, fazer avaliações de impacto e criar políticas e protocolos, que assegurem o tratamento dos dados coletados de acordo com os requisitos legais.
Em relação ao RH, deve-se ter em mente que o ponto central das práticas da empresa é de sempre manter a clareza quanto aos princípios de tratamento de dados, observando-os a todo o tempo que houver tratamento de dados pessoais, independentemente da base legal utilizada.
Para melhor entendimento, esclareço que são dez as bases legais previstas pela LGPD, quais sejam: cumprir um contrato, cumprir dever legal, garantir exercício de direitos, consentimento, atender a interesses legítimos, realizar políticas públicas, pesquisar sem fim lucrativo, proteger o crédito, proteger a vida e tutelar a saúde.
Nesse ínterim, importante frisar que a empresa deve coletar apenas e tão somente os dados pessoais estritamente necessários para realização de suas atividades, sempre baseando a coleta de cada dado em sua base legal adequada; passado este período de necessidade do dado, ele deverá ser eliminado.
Isto é, no momento em que a empresa não precisar mais de certa informação pessoal, seja de seus empregados, fornecedores, clientes, por qualquer motivo que seja, perde-se a adequação ou a finalidade do tratamento desses dados, conforme os princípios previstos no artigo 6º da LGPD, tornando o tratamento desses dados pessoais sem base legal que os justifiquem, deixando a empresa passível de punição.
Cabe frisar que os cuidados com a lei devem ser observados em toda e qualquer informação pessoal que circular dentro da empresa, inclusive dos candidatos a vagas de trabalho, uma vez que a Empresa é a Controladora, e eventual empresa Recrutadora é apenas uma Operadora, que deve observar as recomendações da Empresa Controladora para o tratamento dos dados.
Exemplifico: quando o RH recebe os currículos de candidatos, deve-se atentar não só em recebê-los, mas também em coletar o consentimento do titular da informação pessoal quando seu currículo for encaminhado para a empresa, devendo conter, inclusive, a informação de que certas informações poderão ser compartilhadas com eventuais clientes para fins de seleção, e excluídas ao final do processo seletivo caso ele não seja contratado. Isto porque no momento em que as informações não forem mais necessárias, devem ser eliminadas, pois perde-se a finalidade do tratamento de dados.
Já com os colaboradores recém contratados ou já ativos na empresa, as bases de dados a serem utilizadas em sua maioria serão ou a base de cumprimento de um contrato, ou a base para cumprimento de um dever legal. Cada dado deve ser enquadrado em uma base legal adequada, sendo o consentimento a base legal mais frágil, tendo em vista o titular poder a qualquer momento o retirar.
Não é só.
Importante que haja adequação dos contratos de trabalhos novos ou já ativos com as previsões compatíveis com a lei.
Após a coleta dos dados dos titulares (empregado, fornecedor, cliente…), a empresa deve tratá-los de maneira segura e tomar todas as salvaguardas necessárias, mitigando risco de qualquer vazamento.
Por este motivo, o treinamento de capacitação dos colaboradores do setor de RH é imprescindível, uma vez que são eles que serão os guardiões destes dados e determinarão quando e como deverão ser tratados ou eliminados. Aqui, vê-se imprescindível a criação de uma política interna da Empresa para coleta e tratamento de dados, de acordo com as especificidades de suas atividades, de retenção de dados, ou seja, uma orientação mais objetiva sobre onde, quando e por quanto tempo o dado deve ser armazenado e/ou tratado, e quem poderá ter acesso.
De forma simplificada, a sugestão é que as empresas deverão tomar algumas providências, dentre elas:
- Analisar a necessidade dos dados a serem coletados, sempre os fundamentando nas bases legais adequadas. Lembrando-se que se a Empresa conseguir atingir a mesma finalidade sem o tratamento do dado, não haverá base legal para justificar a coleta de tal dado;
- Caso não haja outra base legal e a empresa entender ser imprescindível a coleta de determinado dado pessoal, deve-se atentar em obter o consentimento para a coleta e tratamento de determinado dado;
- Atualização do Contrato de Trabalho padrão da empresa, com previsões neste sentido, demonstrando conformidade com a LGPD;
- Avaliação do impacto do tratamento de dados pessoais e dados sensíveis, a fim de determinar a necessidade de coleta e tratamento de cada informação constante do banco de dados;
- Promover a colaboração das demais áreas para fomentar uma cultura de conformidade à lei dentro da empresa;
- Realizar treinamentos e registrar a sua ocorrência, demonstrando conformidade com a LGPD;
- Manter um canal de comunicação para que os titulares dos dados possam entrar em contato, respeitando seus direitos de solicitações, devendo a empresa responder de maneira fundamentada e em tempo hábil.
Vale lembrar que a não adequação da Empresa à LGPD resultará em sanções, conforme previstas na Lei. Todas as sanções administrativas previstas na Lei serão aplicadas respeitando-se o devido procedimento administrativo, que possibilite a ampla defesa e devido processo legal, conforme previsto no artigo 52, §1º, da LGPD.
No entanto, importante destacar que, além das infrações administrativas fruto da fiscalização da ANPD, a não adequação sujeita a empresa ao risco de reparação civil e correspondentes sanções, que, diferentemente das sanções administrativas, podem ser aplicadas de imediato.
Portanto, podemos vislumbrar a importância e urgência das Empresas em promoverem internamente a adequação à LGPD, visto que os objetivos da lei são a clareza e a objetividade com relação ao tratamento de dados pessoais dos titulares.
Advogada da Advocacia Hamilton de Oliveira, é inscrita na Ordem dos Advogados do Brasil – Seção de São Paulo (OAB/SP). Formada pela Faculdade de Campinas (FACAMP), pós-graduada lato sensu em curso de aprimoramento profissional em Compliance pela FACAMP e pós-graduanda em Direito do Trabalho e Processo do Trabalho pela Pontifícia Universidade Católica de Minas Gerais, sua prática tem sido dedicada à área do Direito do Trabalho e Processo do Trabalho.
