LGPD no RH: como adequar o setor à lei de proteção de dados
A Lei Geral de Proteção de Dados (LGPD) trouxe diversas mudanças na forma como as empresas passaram a coletar e administrar dados pessoais de seus colaboradores, clientes e fornecedores.
Se a sua empresa ainda não se adequou, está na hora de entender as mudanças que lei promoveu, principalmente em relação ao Departamento de RH, que é diretamente afetado pela LGPD, por lidar com as informações sobre os funcionários.
Entenda a lei
A LGPD, Lei nº 13.709, de 14 de agosto de 2018, entrou em vigor em setembro de 2020 e tem como objetivo assegurar a privacidade e a proteção de dados pessoais e promover a transparência na relação entre pessoas físicas e jurídicas.
A lei é obrigatória para empresas de todos os setores e garante que a coleta, o tratamento e a comercialização de dados pessoais sejam feitos somente com a autorização dos titulares.
Aqui no Brasil, o projeto vem na esteira das discussões sobre proteção de dados na Europa, cuja lei entrou em vigor há mais de dois anos e aqueceu os debates em todo o mundo.
Link para leitura da lei na íntegra: www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709compilado.htm
Dados e direitos do titular
A lei se aplica a dados que identificam uma pessoa, como telefones, documentos e características pessoais, além dos dados sensíveis ou os que podem ser usados de forma discriminatória, como religião, raça ou etnia, opinião política, dados de saúde ou vida sexual.
Com a lei, o titular dos dados passa a ter alguns direitos, como perguntar às empresas quais dados elas armazenam, acessar esses dados, exigir que informações sejam apagadas se obtidas em desconformidade com a LGPD e ainda pedir a portabilidade de suas informações para outro fornecedor.
Segurança
Com a LGPD, além de mudar seus processos internos de coleta e tratamento dos dados e dedicar áreas de seu site às solicitações dos titulares de dados, as empresas devem reforçar a segurança contra ataques cibernéticos que podem resultar no vazamento de informações.
Para garantir a confidencialidade das informações, tanto os dados físicos quanto os digitais devem estar armazenados em locais protegidos contra incêndios ou desastres naturais, além de algum tipo de controle de acesso, como chaves, controles biométricos e autenticação.
E para os dados que serão compartilhados em rede para órgãos competentes, devem ser usados canais seguros, como o protocolo HTTPS em serviços web ou criptografias.
Confira aqui ações que o RH deve tomar, junto com a equipe de segurança da empresa, para evitar incidentes que possam por em risco o sigilo dos dados pessoais e sensíveis de colaboradores e candidatos:
- Uso de Redes Virtuais Privadas (VPNs) para acessar ambientes corporativos com acesso via autenticação (usuário/senha/token/certificado);
- Habilitação de duplo fator de autenticação, como senha + token;
- Adoção de política com complexidade de senhas;
- Utilização de criptografia de disco nos dispositivos;
- Conscientização dos colaboradores sobre a segurança da informação e proteção de dados.
Penalidades
Tão importante quanto conhecer a lei é saber quais penalidades sua empresa pode sofrer se não cumpri-la. As multas pelo não cumprimento da LGPD chegam a 2% do faturamento da empresa, com limite de 50 milhões de reais por infração.
Como os donos das informações podem questionar ou solicitar a eliminação dos dados a qualquer momento, a lei exige que toda empresa tenha um encarregado de proteção de dados para atender a demanda.
Esse encarregado responderá à Diretoria da empresa e terá autonomia para garantir o funcionamento da aplicação das normas da LGPD. As sanções e multas administrativas poderão ser aplicadas a partir de agosto de 2021.
Afinal, o que muda para o RH das empresas?
O RH é o setor que mais sofre mudanças com a LGPD, pois a área de gestão de pessoas utiliza dados pessoais em várias etapas de seu trabalho dentro da empresa: recrutamento e seleção, admissão, treinamentos, avaliação e desempenho, plano de cargos e salários, cálculo de folha, férias, controle de jornada, gestão de benefícios e desligamentos.
O primeiro passo para evitar infrações e penalizações com a lei é rever os processos que envolvem o RH e implementar as mudanças. Para atender as demandas e proteger a privacidade de seus funcionários, o RH só pode coletar informações pessoais que são essenciais para as atividades da empresa e com o livre consentimento dos colaboradores.
Portanto, é muito importante que todos os seus funcionários estejam de acordo com a coleta de dados e sejam comunicados sobre as mudanças, o uso e o destino das informações.
Mudanças no recrutamento
O processo de recrutamento e seleção é impactado diretamente pela Lei Geral de Proteção de Dados. A empresa pode coletar dados pessoais dos candidatos com o consentimento deles e desde que tenha uma finalidade específica.
Com isso, haverá mudanças na manutenção e construção de banco de currículos, já que os dados deverão ter tempo determinado de armazenamento. A empresa deverá deixar claras aos candidatos as informações relevantes sobre compartilhamento de dados com terceiros e sobre a política de descarte.
Outro aspecto importante é em relação aos testes de perfil comportamental ou testes de personalidade durante o processo de seleção. A lei diz que poderão ser considerados como dados pessoais os que são utilizados para formação do perfil comportamental de determinada pessoa.
Além disso, durante a contratação cabe à empresa o ônus da prova de que o consentimento foi obtido, sempre se atentando às exigências da lei. E se esse consentimento for fornecido por escrito, ele deve constar destacado das demais cláusulas no contrato.
Atenção na contratação dos PCDs
Além de proteger a segurança dos dados dos funcionários, a LGPD também evita a discriminação. O RH deve, então, ter vários cuidados e tomar medidas de segurança para que não ocorra discriminação ao tratar de dados pessoais sensíveis, como os relativos à condição de saúde dos colaboradores.
Nesse sentido, as pessoas com deficiências precisam ser informadas sobre a finalidade das solicitações dos dados e também que estão sendo contratadas após preencherem todas as informações de saúde.
Dados de colaboradores desligados
Outra mudança importante com a LGPD é que o RH deve armazenar dados pessoais dos colaboradores desligados apenas pelo prazo estipulado na lei e não mais por tempo indeterminado.
Em caso de desligamento, a empresa deve descartar os dados de forma devida e o os proprietários dos dados devem ser informados sobre as medidas e a forma de descarte.
E se sua empresa quiser manter um banco de currículos, nele deve conter somente dados precisos, atualizados e autorizados pelos candidatos. Será necessário criar políticas, processos e procedimentos para gerenciar o banco, ter acesso e fazer a auditoria.
Para isso, sua empresa pode criar procedimentos de backup e restauração de dados, além de utilizar criptografia e ferramentas de monitoramento para detectar anomalias e possíveis ações maliciosas.
Dados de produtividade, engajamento e feedback
Os dados de produtividade, engajamento e feedback devem também seguir os princípios da LGPD: serem precisos, claros e atualizados, ter finalidade específica, serem utilizados somente quando necessário e estarem seguros.
Sua empresa pode definir em contrato a necessidade da utilização de dados pessoais e sensíveis para fins específicos. Isso traz proteção jurídica para a empresa e transparência para os colaboradores.
LGPD no home office
A aplicação da LGPD também ocorre no trabalho remoto. Portanto, é importante que a empresa estabeleça políticas de home office que mostrem ao colaborador como proteger seus dados e os da empresa.
Além disso, é recomendado que a empresa tenha um acordo de confidencialidade (NDA) assinado pelo colaborador ou terceiro para manter em sigilo certas informações.
Esperamos que estas informações tenham sido úteis para você e sua empresa!
Não se esqueça de incluir treinamentos sobre LGPD em seu ambiente de treinamentos online. Caso precise de ajuda, conte com a UpBrain para isto.
Texto por Fabiola Iunck
Imagem de Vitaly Vlasov no Pexels