Os descumprimentos das disposições previstas na LGPD, podem tanto expor as organizações às sanções administrativas previstas na lei – desde advertência à aplicação de multa de até 2% do faturamento
Chegando a quase seu terceiro ano de vigência plena, a LGPD (Lei Federal 13.709/2018 – Lei Geral de Proteção de Dados Pessoais), com suas características transversais e multissetoriais, certamente tem as áreas de recursos humanos e departamento pessoal como algumas das mais impactadas, já que essas lidam diariamente com dados pessoais de funcionários, incluindo aqueles dados considerados pela lei como sensíveis (como as informações de saúde, por exemplo).
Além disso, as empresas são feitas de pessoas. Adequar as empresas significa, portanto, adequar também as condutas das pessoas que estão inseridas nas organizações, o que faz dos departamentos pessoal (DP) e de gestão de pessoas (RH) grandes protagonistas de mitigação dos riscos das empresas.
Resumidamente, estar adequado à LGPD, para estes setores, significa garantir que todas as operações de tratamento de dados pessoais de titularidade dos colaboradores da empresa ocorram com transparência em relação aos empregados, tenham finalidades bem definidas, sejam enquadradas em uma hipótese legal, ou seja, em uma permissão trazida pela LGPD, e, por fim, que todas as informações sejam devidamente protegidas contra acessos indevidos ou outros incidentes.
Para as empresas, a atuação das áreas de RH e DP são, de uma forma geral, atividades que as qualificam como controladoras de dados pessoais, já que as operações de tratamento performadas nestas atribuições requerem tomadas de decisões. E isso agrega ainda mais responsabilidade às organizações.
Os descumprimentos das disposições previstas na LGPD, podem tanto expor as organizações às sanções administrativas previstas na lei – desde advertência à aplicação de multa de até 2% do faturamento, além da publicização da infração, do bloqueio e da eliminação dos dados pessoais a que se refere a infração – como às demandas individuais dos titulares, inclusive judicialmente – o que pode aumentar o contingente de reclamações trabalhistas, podendo culminar em obrigações de fazer e não fazer e em pagamento de indenizações.
Desta forma, algumas medidas e soluções precisam ser implementadas nas áreas de RH e DP para garantir a conformidade da empresa à LGPD, como as seguintes.
Tudo começa com o correto mapeamento dos dados pessoais dos colaboradores e das respectivas operações de tratamento, já que é fundamental identificar quais dados pessoais são coletados, processados e armazenados pela empresa em relação aos seus colaboradores.
Esse trabalho poderá acarretar a revisão de todos os processos e o atendimento aos requisitos de segurança da informação que serão estabelecidos durante o programa de governança de dados que a empresa pretende instituir.
Exemplos de fluxos que deverão ser revisitados vão desde os processos de recrutamento e contratação até o desligamento dos colaboradores, funcionários, estagiários e aprendizes, passando pelos processos de folha de pagamento, concessão de benefícios em geral, recolhimentos de tributos e contribuições previdenciárias – todas as formas de processamento e guarda dessas informações.
Com as atividades de tratamento mapeadas, as áreas de RH e DP deverão manter os dados pessoais dos colaboradores atualizados e corretos, garantindo a sua veracidade e exatidão. Isso é essencial para que a empresa possa cumprir com as suas obrigações legais e evitar possíveis sanções.
Ainda, deve-se observar o enquadramento dos tratamentos de dados às hipóteses legais e garantir a prevenção a incidentes de segurança, levando-se em consideração as particularidades de cada organização, razão pela qual inexistem soluções padronizadas em se tratando de conformidade à LGPD.
Em se tratando de hipóteses legais de tratamento, as áreas de RH e DP devem tomar muito cuidado antes de optarem pela obtenção de consentimento dos colaboradores para executar alguma atividade de tratamento, haja vista que, nas relações trabalhistas, há um grande risco de este consentimento ser sensibilizado e relativizado, por potencialmente ter sido obtido sob pressão ou coação.
Também é importante implementar medidas de segurança adequadas para garantir a proteção dos dados pessoais dos colaboradores. Isso pode incluir a criptografia de dados, o controle de acesso, o uso de senhas fortes, dentre outras medidas.
As áreas de pessoas poderão exercer uma tarefa chave em termos de conscientização e aculturamento de todos os participantes da organização em prol das medidas que a ela serão incorporadas em decorrência das determinações da LGPD, haja vista que a governança de dados deverá fazer parte do dia a dia da empresa.
Assim, é imprescindível que estas áreas dedicadas às pessoas da organização se preparem para atender às disposições da LGPD e também assumam essa importante função disseminadora de novos hábitos em benefício da conformidade da empresa às novas regulações relacionadas à privacidade e à proteção de dados.
Mônica Villani é advogada e sócia do escritório Mônica Villani Advogados, com atuação especializada em direito digital. DPO Exin. Membro da IAPP – Associação Internacional de Profissionais da Privacidade. Membro da Comissão de Direito Digital e Compliance da OAB de São Bernardo do Campo/SP e da Comissão Especial de Privacidade e Proteção de Dados da OAB de São Paulo. Professora do LAB de Inovação da Faculdade de Direito de São Bernardo do Campo e da Privacy Academy. Uma das advogadas mais admiradas do Brasil na área de Direito Digital pelo ranking da Análise Advocacia.
Fonte: Mundo RH
