LGPD: Lei Geral de Proteção de Dados e os impactos para o RH

Em um mundo cada vez mais conectado, no qual empresas coletam, ou até mesmo pagam, por informações pessoais para impactar e fidelizar consumidores, o debate do momento gira em torno da Lei Geral de Proteção de Dados – Lei Nº 13.709/18, popularmente conhecida apenas pela sigla, LGPD.

De forma geral, a LGPD tem um objetivo simples: regulamentar o uso de dados pessoais pelas empresas, assegurando os cidadãos do controle das suas informações. Para a população, a lei implica diretamente em segurança, do outro lado, essa é uma medida que mudará completamente a maneira que as empresas utilizam as informações pessoais de clientes e colaboradores.

É nesse ponto que a Lei Geral de Proteção de Dados atinge diretamente o RH de qualquer corporação e também os sites que publicam vagas de emprego, como o Infojobs, e os softwares de recrutamento e seleção, como o Pandapé.

Mas não é somente o setor de recrutamento que sofre os impactos da lei, empresas que recolham dados de clientes, mesmo que apenas nome e e-mail, devem atentar-se aos novos procedimentos previstos. Pensando nisso, é importante que todos entendam as diretrizes da LGPD e adotem medidas de adequação.

Nesse artigo vamos apresentar como a LGPD irá afetar a sua empresa quando falamos de dados para recrutamento e seleção, e como você deve se preparar para se adequar as normas previstas a fim de estabelecer novas posturas e processos para obter a relação mais adequada entre a Lei Geral de Proteção de Dados e o setor de recursos humanos.

*As informações contidas neste material são fornecidas apenas para fins informativos, e não devem ser interpretadas como aconselhamento técnico/jurídico sobre qualquer assunto. Você não deve agir ou abster-se de agir com base em qualquer conteúdo incluído neste material sem buscar aconselhamento legal ou outro aconselhamento profissional. O conteúdo deste material contém informações gerais e pode não refletir os desenvolvimentos legais atuais ou abordar sua situação. Assim, nos isentamos de qualquer responsabilidade por ações que você tome ou deixe de tomar com base em qualquer conteúdo deste material.

Entenda a Lei Geral de Proteção de Dados

Nos últimos anos a população acompanhou um grande avanço tecnológico, que resultou na indústria 4.0 que abrange a internet das coisas e a valorização e exposição de dados pessoais em sistemas de Big Data. Com isso, tornou-se necessário criar sistemas que protejam os usuários de recursos digitais integrados a internet, bem como os dados pessoais coletados por essas empresas.

Com o destaque para as informações pessoais, muitas vezes, empresas que possuem um grande banco de currículos ou até mesmo que armazenam dados para outros fins são alvo de hackers. Como o escândalo de 2018 envolvendo dados coletados pelo Facebook e a campanha à presidência dos EUA, do então candidato Donald Trump, sendo uma consequência negativa para empresas e clientes.

É nesse cenário que surge a LGPD: Lei Geral de Proteção de Dados, sancionada em agosto de 2018 no Brasil, mas que devido a falta de adequação das empresas, entrará em vigor somente em 2022, prazo que está sendo adiado pela segunda vez.

Mas afinal, o que a LGPD determina?

O objetivo principal da LGPD é regulamentar o tratamento de dados pessoais, por empresas privadas e instituições públicas, respeitando assim a privacidade das informações e garantindo a população a autonomia quando se trata do controle sobre o direito de uso dos seus dados por terceiros, com algumas ressalvas previstas.

É importante pensar nos principais processos que o tratamento de dados pessoais engloba, são eles: coleta, utilização, processamento, manipulação, armazenamento, compartilhamento, comercialização, descarte e outras ações.

A Lei Geral de Proteção de Dados estabelece que a privacidade é um direito civil, por isso é necessário a autorização expressa para o uso de dados pessoais coletados, tendo em vista que são consideradas quaisquer informações que possam identificar uma pessoa.

Alguns exemplos de dados pessoais:

• Nome e apelido;
  
• Registros de identificação, como CPF e RG;
  
• E-mail;
  
• Endereço;
  
• Números de telefone;
  
• Números de identificação;
  
• Dados de localização;
  
• Endereço de IP;
  
• Fotos.

Incluem-se também dados sensíveis do indivíduo, ou seja, informações que expostas podem causar discriminações, são essas:

• Origem racial ou étnica;
  
• Convicção religiosa;
  
• Opinião politica e filiações;
  
• Orientação sexual;
  
• E outros.

Em termos jurídicos a Lei Geral de Proteção de Dados identifica três grupos, que se relacionam no direito de manipular os dados pessoais:

• Titulares de dados. Cada pessoa física que fornece seus dados para uso, no caso do RH, são os candidatos;
  
• Controladore. Profissionais que atuam em áreas que possuem contato direto com os dados pessoais fornecidos, no nosso setor, são os recrutadores;
  
• Operadores de dados. Nesse caso trata-se das ferramentas que são utilizadas para recolher, manipular e armazenar os dados, como um ATS.

É importante entender também quais são as entidades que a lei prevê a regulamentação. Pessoas jurídicas de direito público e privado, que coletem ou tratem dados de titulares em território nacional, ou que ofertem produtos ou serviços no Brasil.

A LGPD busca proteger os titulares, tornando os controladores e operadores de dados, legalmente responsáveis nesse processo, em casos de possíveis vazamentos e usos indevidos ou não autorizados.

A lei permite que os titulares acessem seus dados a qualquer momento e confiram como eles estão sendo tratados, quais instituições receberam os dados compartilhados, corrigir, atualizar e deletar informações, e revogar o consentimento.

As principais regras da Lei Geral de Proteção de Dados:

Agora com a LGPD a coleta e manipulação de dados deverão ser regularizadas com uma série de fundamentos, as mais importantes são:

• Autorização de uso. Cabe ao titular declarar e permitir que a empresa use deus dados pessoais;
  
• Proteção dos dados. As empresas devem tomar as medidas necessárias para assegurar as informações;
  
• Termos simples. Os termos de autorização e privacidade devem ser escritos de formas simples para o fácil entendimento.

A partir dessas regras, os dados coletados deverão trafegar por ambientes seguros, e somente colaboradores autorizados podem acessá-los, por meio de um fluxo determinado e validado por profissionais com capacitação técnica de segurança da informação. Esses fluxos devem também ter uma justificativa legal, baseada nas possibilidades elencadas pela lei.

O não comprimento dessas determinações implica em penalidades legais, que vão desde advertências simples, que determina a correção da irregularidade, podendo chegar a multas de até R$ 50 milhões, limitando-se a 2% do faturamento anual, dependendo da infração cometida. Ou a suspensão total do tratamento de dados, o que significa que a empresa não vai poder tratar dados para nenhum objetivo durante determinado período.

As empresas que infringirem a LGPD podem também ter a irregularidade exposta, tornando-se pública a situação, caso seja confirmada por meio de investigações. A adequação à Lei Geral de Proteção de Dados é complexa e envolve alterações em contextos jurídicos e tecnológicos, por isso, reiteramos que esse artigo não é uma orientação legal e judicial, e para validar sua empresa um advogado deve ser consultado.

Quais são os impactos da LGPD no RH?

Cada vez mais o setor de recursos humanos está se transformando, e recursos de Big Data, machine learning, inteligência artificial já fazem parte da rotina dos profissionais. Até mesmo em empresas que não digitalizaram os processos de recrutamento e seleção, o recebimento de currículo e cadastro de profissionais acontece com frequência.

Com isso, a Lei Geral de Proteção de Dados implica diretamente em mudanças no cenário de recrutamento e seleção. Além da informação de candidatos, o RH e o departamento pessoal lidam também com dados de todos os colaboradores, em questões burocráticas ou para avaliar novas estratégias.

Situações de atenção:

• Currículos armazenados;
  
• Dados compartilhados à seguradora do plano de saúde;
  
• Dados fornecidos às empresas que fecham a folha de pagamento, caso seja terceirizado;
  
• Exames admissionais e de desligamento;
  
• Informações para cadastros em eventos e convenções.

A LGPD determina que a manipulação desses dados deve ser restrita a pessoas autorizadas, em processos estruturados, as empresas devem também estabelecer formas de armazenamento, garantir a proteção e conservação dos dados.

O setor de Recursos Humanos deve atentar-se para não solicitar dados que não são relevantes ao processo seletivo, visto que essas informações excessivas são potencialmente perigosas agora com a LGPD.

Em relação ao quadro de colaboradores a manipulação de algumas informações é considerada de “cumprimento de obrigação legal”, como o processamento da folha de pagamento e documentos de registro, por isso, não é necessário o consentimento dos funcionários para algumas atividades.

Como adequar o RH a LGPD?

Para evitar futuros problemas decorrentes do uso indevido ou vazamento de dados pessoais de colaboradores e candidatos, o setor de recursos humanos deve adotar novas medidas e planejar uma estrutura de segurança da informação, alinhada ao TI.

Como já mencionamos, a principal ferramenta é possuir os termos assinados pelos profissionais, permitindo o uso de dados, visto que esse é o pilar principal da LGPD. Após conhecer as diretrizes da Lei Geral de Proteção de Dados e buscar uma consultoria especializada algumas medidas devem ser tomadas para a reformulação dos processos de seleção. As formas para adequar-se à lei são:

• Plano de conduta – A Lei Geral de Proteção de Dados determina que toda empresa tenha um encarregado responsável pela regulamentação e com autonomia para garantir o funcionamento das regras. A partir disso, a companhia deve criar um plano que conduza a segurança da informação, indicando profissionais responsáveis pelo armazenamento e manipulação dos dados. Esse plano deve ser criado após o mapeamento dos fluxos de dados pessoais, possibilitando assim a gestão e organização;
  
• Treinamentos internos – Essa é uma ação que deve ser pensada com o plano de conduta, treinar os funcionários e instruí-los garantindo uma conscientização a respeito da proteção de dados, e o alinhamento com a nova política interna. Com isso, todos os colaboradores entendem a importância desse sistema de segurança e as consequências do mau uso;
  
• Contratos de confidencialidade – É necessário que o setor de RH seja transparente em relação ao uso dos dados coletados por meio das candidaturas e em contrapartida, o candidato precisa permitir o manuseio dessas informações. Nesse ponto, cabe também contar com a ética profissional dos colaboradores que possuem acesso aos dados, por isso um contrato de confidencialidade torna o processo mais sigiloso e seguro, de forma legal.

É nesse ponto que o trabalho remoto se cruza com a adequação à Lei Geral de Proteção de Dados, empresas que adotam o home office como uma política, ou em momentos de extrema necessidade, como em casos de calamidade pública ou pandemias, conforme situação atual relacionada ao coronavírus, precisam estabelecer alguns fluxos, determinações e autorizações para o acesso à rede, sistemas e e-mails corporativos remotamente.

É preciso definições claras sobre o uso dos dados que a empresa manipula e apresentar quais as consequências para o descumprimento dessas regras. Sendo esse um acordo de responsabilidade entre colaboradores e empresa.

Alinhamento dos setores de RH, TI e Jurídico – Esse é um dos pontos mais importantes para adequar sua empresa a LGPD. O setor de TI deve apresentar um diagnóstico com a atual situação e as medidas necessárias, observando se as ferramentas utilizadas pela equipe de recursos humanos e departamento pessoal são confiáveis. Ao considerar possíveis falhas de segurança, medidas de compliance devem ser adotadas, nesse ponto o setor jurídico também deve atuar.

Adote soluções tecnológicas – Sistemas de proteção e criptografia são essenciais para assegurar os dados pessoais, além disso, adotar um ATS para realizar o recrutamento, como Pandapé, e banco de currículos automatizados, garante a proteção e centralização das informações. Tendo em vista que softwares como o Pandapé arquivam os dados em uma única plataforma digital, aumentando a segurança, uma vez que somente pessoas com autorização possuem o acesso e a equipe de RH consegue monitorar em tempo real o fluxo.

Além disso, a plataforma de recrutamento já conta com um termo de autorização que os candidatos devem concordar ao se inscrever para uma vaga.

Para evitar futuros problemas com a LGPD é preciso realizar as adequações, levando em conta todos os processos nos mínimos detalhes. Ter em mente a importância de mudar a cultura organizacional e a necessidade de investir em ferramentas tecnológicas que protejam as informações irá impulsionar a regularização mais rápida e eficiente.

O RH tem um papel importante para essa conscientização e como apresentamos no artigo é um setor que precisa conhecer as novas diretrizes e trabalhar dentro das exigências da Lei. Descubra como o Pandapé pode ajudar a sua empresa a proteger os dados dos candidatos no decorrer dos processos seletivos.