A Lei Geral de Proteção de Dados (LGPD) começou a vigorar na última sexta-feira (18). Embora a aplicação das sanções esteja suspensa até agosto/2021, o tratamento de dados pessoais que não observar a LGPD pode ser questionado judicialmente, caso o titular – a quem pertencem os dados pessoais, venha a ser lesado, podendo este requerer a reparação pelos danos causados.
A Lei atinge a TODAS as empresas que coletam DADOS PESSOAIS e que façam algum tipo de tratamento com essas informações ou que transfiram estes dados a terceiros para qualquer tipo de tratamento.
Um dos departamentos mais sensíveis, senão o mais sensível, que atua no tratamento de dados pessoais é o setor de Recursos Humanos, que, além de coletar diversos dados pessoais, os compartilha com terceiros (empresas de gestão de folha de pagamento, operadores de seguro de vida e plano de saúde, entre diversas outras).
Portanto, é de suma importância que a LGPD seja fielmente implementada nesse setor. E, para tanto, algumas medidas devem ser observadas. Entre elas, destacam-se as seguintes:
- Mapeamento dos fluxos de dados, desde o processo de seleção até a rescisão contratual, incluindo a identificação do motivo da coleta, pessoas envolvidas, natureza dos dados, armazenamento das informações (por quanto tempo e quando estes dados deverão ser deletados ou eliminados);
- Auditoria com fornecedores a fim de verificar se estes estão em compliance com a LGPD. Nesta etapa, sempre que necessária, deverão ser feitas as devidas alterações contratuais a fim de incluir cláusulas específicas sobre a LGPD, especialmente quanto à responsabilidade em caso de violação da lei;
- Alteração dos contratos de trabalho para incluir o consentimento dos empregados para o tratamento de dados;
- Revisão do Código de Ética e Conduta para inclusão ou adaptação das regras de cibersegurança, estabelecendo sanções em caso de descumprimento;
- Realização de treinamentos periódicos com os colaboradores sobre boas práticas no uso dos dados internos, prevenindo, assim, perdas e vazamentos de dados e, por consequência, o descumprimento da LGPD;
- Elaboração de Relatório de Impacto à Proteção de Dados Pessoais (DPIA – Data Protection Impact Assessments), ferramenta de compliance estabelecida pela Lei Geral de Proteção de Dados.
O processo de implantação da LGPD é longo e trabalhoso, porém necessário. Além de minimizar riscos de vazamentos, que podem acarretar em prejuízos incalculáveis à empresa, especialmente para sua imagem perante o mercado, as penalidades instituídas pela LGPD podem ser bem severas, podendo alcançar o valor de 50 milhões a título de multa.
Enfim, segurança da informação é um assunto sério e que deve ser abraçado por todos dentro do departamento de Recursos Humanos. É necessário buscar por políticas e práticas que levem à confidencialidade, integridade e correta disponibilidade das informações.
Thamiris Alves
Especialista em Direito do Trabalho
Bacharel em Direito pela UniMetrocamp | Wyden. Pós-graduada em Direito e Processo do Trabalho pela Universidade Mackenzie. Pós-Graduanda em Compliance, Lei Geral do Proteção de Dados e Prática Trabalhista pela IEPREV – Instituto de Estudos Previdenciários, Trabalhistas e Tributários. Sócia fundadora do escritório Nunes e Alves Advocacia.
Referências
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>.
CARLOTO, Selma. Lei Geral da Proteção de Dados: Enfoque nas Relações de Trabalho. São Paulo: LTr, 2020.