Skip to main content

LGPD no RH: entenda como a lei geral de proteção de dados impacta o setor de recursos humanos

Em 18 de setembro de 2020, a LGPD – Lei Geral de Proteção de Dados – entrou em vigor no Brasil. Isso trouxe uma série de implicações para empresas de qualquer natureza que mantenham dados pessoais, incluindo todos os departamentos e empresas de RH do país.

Com essa resolução, como as empresas podem cumprir as regulamentações em relação aos dados dos seus candidatos e dos colaboradores, tanto dos atuais quanto de quem já passou pela empresa? Isso é o que iremos abordar neste artigo.

1. O que é a LGPD

2. Impactos da LGPD no RH

2.1. Dados pessoais Objetivos

2.2. Dados pessoais sensíveis

2.3. Consentimento

3. Sanções aplicadas pela LGPD

1. O que é a LGPD

Como dissemos, a LGPD já está vigorando desde setembro de 2020.

Ela estabelece regras relativas à coleta, armazenamento, tratamento e compartilhamento de dados pessoais.

Isso nos leva a um ambiente social, profissional e comercial com medidas de segurança mais elevadas para os dados pessoais e penalidades mais severas em caso de não conformidade. O que significa que todas as empresas que operam no Brasil e que mantêm informações pessoais em seus bancos de dados devem cumprir a lei.

A LGPD tem uma série de semelhanças com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR), que é uma informação valiosa para multinacionais, por exemplo.

Um dos seus pontos principais é que a Lei se aplica a qualquer empresa ou organização que processe dados pessoais de cidadãos(ãs) Brasileiros, independentemente de onde a empresa ou organização esteja localizada.

2. Impactos da LGDP no RH

Em março de 2020, cerca de 41% das empresas no Brasil declararam possuir políticas e/ou normas relativas à proteção de dados pessoais.

Menos de 13% das empresas pesquisadas mapeavam os riscos envolvidos na proteção de dados e segurança da informação. E mesmo às vésperas da Lei entrar rem vigor, esse número ainda era inferior a 30%.

De acordo com o ICTS:

“Na contramão da necessidade, o desconhecimento sobre o tema ainda é grande, especialmente entre micro, pequenas e médias empresas. De acordo com a ICTS Protiviti, consultoria de gestão de riscos e compliance, pesquisa feita sobre a vigência da Lei Geral de Proteção de Dados e a adoção de medidas pelas Micro e Pequenas Empresas (MPE) para a adequação à lei mostra que operações deste [SIC] porte estão mais atrasadas se comparadas às grandes empresas.”

Além disso, precisa ser revista com urgência a solicitação de informações que não são essenciais.

Quanto mais informação sua equipe de RH solicitar a um funcionário ou candidato, mais dados vocês terão para administrar e maior será o risco de não conformidade (o que pode levar à aplicação de multas).

Temos aqui, então, três pontos de atenção: quais são os dados que precisam ser coletados pelo RH (atentar aos princípios de finalidade, adequação e necessidade), a maneira pela qual o RH coleta os dados com as pessoas e, principalmente, como os dados que precisam ser arquivados serão mantidos em segurança.

Vejamos agora algumas dicas sobre os dados que podiam ser solicitados até hoje e que, em muitos casos, não são necessários ou mesmo convenientes de se solicitar.

2.1. Dados pessoais Objetivos

Durante o recrutamento diversos dados são solicitados aos candidatos(as). O primeiro passo é verificar quais desses dados são mesmo relevantes e procurar reduzir a coleta para o mínimo necessário.

Além disso, alguns dos dados podem ser deletados logo na sequência de terem sido avaliados/utilizados.

Avalie com a sua equipe quais dados precisam ser recolhidos e quais precisam ser mantidos e até que ponto. Montem um manual para que tenham uma estrutura organizada a qual seguir e que seja facilmente consultável. Esse manual deve ser claro quanto a todos os dados, os objetivos e os sensíveis.

Dados considerados objetivos são:

  • Documentação pessoal (RG, CPF, CTPS etc)
  • Ponto, banco de horas, horas, licenças etc
  • Informações de contato (telefone, email etc)
  • Histórico profissional, entre outros

2.2. Dados pessoais sensíveis

Algumas empresas costumam perguntar para os entrevistados muitas coisas que não são (ou não deveriam ser) relevantes para o processo de contratação.

Perguntas que, quando feitas, abrem margem para a empresa ser acusada de discriminação no processo de recrutamento.

É nessas perguntas que moram os dados sensíveis. E quando submetidos ao teste dos princípios de finalidade, adequação e necessidade, você verá que a maioria deles, e em quase todos os casos, não tem base legal para serem coletados.

A solicitação de dados sensíveis pode gerar um clima de tensão entre o RH e a pessoa que está sendo questionada, de maneira que ela pode se sentir invadida por ter sido abordada por perguntas fora de contexto.

Então, se sua empresa necessita de algum dado sensível, primeiramente deve ter muito claro o motivo dessa necessidade e sua finalidade, para poder colocar esse ponto ao colaborador(a) ou candidato(a) na hora da entrevista.

Por exemplo: uma empresa que solicita para os funcionários(as) e candidatos(as) informações sobre gênero, sexualidade e etnia (raça) com a justificativa de que procura criar um ambiente mais inclusivo não percebe que está fazendo justamente o oposto.

Essas questões são muito delicadas e comumente um indivíduo está em processo de entendê-las para si mesmo. Uma questão que pode estar bem cristalizada na vida pessoal do(a) recrutador(a) ainda vai trazer gatilhos para parte dos(as) entrevistados(as) e funcionários(as).

Pense bem: já é constrangedor falar sobre determinados assuntos com pessoas que conhecemos bem e de quem gostamos, imagine ser questionada sobre a sua intimidade por um estranho, como se a resposta fosse simples e objetiva e, além disso, lhe dissesse respeito. 

Alguns dados considerados sensíveis são:

  • Foto
  • Endereço
  • Histórico médico
  • Data de nascimento
  • Etnia
  • Informações sobre gênero e sexualidade
  • Religião
  • Filiação política
  • Filiação sindical
  • Informações genéticas e biométricas
  • Situação familiar e muitos outros

Um dos dados mais delicados, entre os que precisam ser mantidos, são os usados no ponto eletrônico, que seriam a digital e/ou a biometria facial de um trabalhador.

É imprescindível que esses dados sejam recolhidos apenas com o consentimento explícito da pessoa e que não sejam utilizados para mais nada além da marcação de ponto.

2.3. Consentimento

Seja em um processo de R&S ou numa pesquisa interna na empresa, o objetivo da coleta de qualquer dado precisa ser claramente exposto aos envolvidos e eles só podem ser coletados e mantidos se houver pleno entendimento e consentimento do que está sendo solicitado e de como esses dados serão utilizados.

Quando um(a) colaborador(a) sai da empresa, ele(a) pode revogar a autorização de uso/armazenamento dos dados, então é imprescindível que sua empresa tenha um registro absolutamente organizado e seguro de tudo que recolher.

O ideal é consultar um(a) advogado(a) especialista e redigir termos de consentimento para que tudo fique devidamente registrado.

3. Sanções aplicadas

Como dissemos anteriormente, certas perguntas e certas maneiras de interagir com um(a) funcionário(a) ou candidato(a) podem levar a pessoa a se sentir invadida e violada. Portanto é preciso reformar os processos do RH para humanizá-los, para que toda comunicação e interação seja conduzida com o máximo de empatia possível.

O objetivo primário não deve ser se adequar à LGPD e evitar penalizações, mas para criar um ambiente mais acolhedor tanto dentro da empresa quanto nos processos de R&S.

Com isso em mente, a redução de penalizações será uma consequência natural.

Dito isso, no que diz respeito ao manuseio dos dados, as dicas que te damos para que o RH da sua empresa esteja em conformidade a LGPD são as seguintes:

  • Conversar com um advogado para que ele analise os dados coletados pela sua empresa e formule alterações nos contratos com os funcionários, bem como redija os consentimentos e os termos de uso.
  • Designar um(a) profissional responsável pela segurança da informação para fazer as mudanças necessárias na área de tecnologia (DPO – diretor de proteção de dados).
  • Treine e envolva todo o setor de Recursos Humanos para orientar os demais membros da empresa sobre como proceder quando for necessário coletar os dados de alguém.
  • Contrate um auditor ou analista de risco para garantir que o processo seja apropriado para a sua situação específica.

De acordo com André Cirluzo, especialista em LGPD e diretor associado da ICTS Protiviti:

“Quem se sentir prejudicado poderá pedir indenização moral, já que é o dono desses dados. A empresa terá que ter cuidado com o tratamento e uso indevido. Hoje, muitas empresas coletam dados que não são realmente necessários para atividade ou para aquela ação em questão, inclusive na área de recursos humanos”, alerta.

As penalidades podem ser aplicadas desde uma advertência até uma multa de 2% sobre o faturamento da empresa, chegando ao limite de R $ 50 milhões, e as punições serão aplicadas de acordo com os seguintes critérios:

  • a gravidade e a natureza das infrações e dos direitos pessoais afetados;
  • a boa-fé do infrator;
  • a vantagem auferida ou pretendida pelo infrator;
  • a condição econômica do infrator;
  • a reincidência;
  • o grau do dano;
  • a cooperação do infrator;

Preparar sua empresa para cumprir o LGPD é fundamental neste momento. Fale com um profissional da área jurídica, avalie a necessidade de nomear um(a) DPO e saia na frente!

Compartilhar