7 Dicas de Mapeamento de Privacidade para RH
A Proteção de Dados tem sido uma tendência mundial e esse movimento se intensificou em virtude dessa proteção ter sido regulamentada nos países da União Europeia que, além de já se preocuparem há muito tempo com o assunto, resolveram instituir que todas as empresas precisariam ter uma política clara quanto a preservação dos dados.
A Lei nº 13. 709/2018, conhecida como Lei Geral da Proteção de Dados (LGPD), veio para aderir o Brasil ao movimento mundial e modificar a relação entre usuários e detentores de dados, impondo maior atenção ao sigilo das informações pessoais coletadas do indivíduo, principalmente pelas empresas e pelas Autoridades Governamentais.
Neste contexto, o Departamento dos Recursos Humanos (RH) lida com dados pessoais e dados pessoais sensíveis para executar seu trabalho e gerenciar toda a jornada do colaborador desde sua contratação até o seu desligamento. Portanto, a LGPD trará grande impacto ao setor de RH, uma vez que influenciará os seus sistemas e cadastros, que contém informações pessoais em geral, agravado pelos dados sensíveis, de todos os colaboradores da organização.
Neste contexto, o Departamento dos Recursos Humanos (RH) lida com dados pessoais e dados pessoais sensíveis para executar seu trabalho e gerenciar toda a jornada do colaborador desde sua contratação até o seu desligamento. Portanto, a LGPD trará grande impacto ao setor de RH, uma vez que influenciará os seus sistemas e cadastros, que contém informações pessoais em geral, agravado pelos dados sensíveis, de todos os colaboradores da organização.
A maioria das informações que o setor de RH costuma coletar são dados confidenciais, tais como: dados pessoais (nome, endereço, telefone, e-mail, histórico escolar e atividades profissionais); dados de menores (se o colaborador possuir filhos); dados sensíveis (se tem deficiência ou não), dados biométricos, dados sobre a saúde, em alguns casos orientação sexual e religiosa. Algumas organizações, no entanto, vão além, pesquisando, por exemplo, histórico de crédito e antecedentes criminais.
É importante destacar que o RH utiliza dados pessoais desde a gestão estratégica como processo de recrutamento e seleção, avaliação e desempenho, pesquisa de clima organizacional, plano de cargos e salários, treinamentos, até a gestão operacional como admissão, cálculo de folha, férias, controle de jornada, desligamento e gestão de benefícios.
Dentre os dados coletados e armazenados pelo RH, destacam-se os que irão exigir atenção redobrada da empresa, quais sejam: banco de dados dos colaboradores e colaboradores; banco de currículos; dados fornecidos à seguradora do plano de saúde; dados compartilhados com a empresa responsável por fechar folha de pagamento; envio de dados para o sindicato e órgãos públicos; exames admissionais.
O Departamento de Recursos Humanos precisará se adequar aos procedimentos da LGPD, visando o melhor uso e preservação dos dados dos colaboradores e candidatos. Inclusive assegurar e exigir que os sistemas de consultas a currículos, muito difundidos no mercado, estejam adequados às demandas da LGDP.
E um dos pontos iniciais é a elaboração de uma documentação para obter o consentimento do uso dos dados do colaborador ou candidato, onde conste qual a finalidade da utilização e por quanto tempo será armazenado. Ou seja, devem ser incluídas cláusulas específicas nos termos de entrevista e contratos de trabalho, onde os colaboradores concordem com o tratamento que será dado aos seus dados pessoais para uma determinada finalidade.
Será preciso também, desde a primeira entrevista, que o RH disponha de termos de consentimento de uso de dados pessoais para serem assinados pelos candidatos. Esse processo deverá deixar muito transparente como a empresa usará esses dados e quais serão mantidos em arquivo.
As empresas precisam ser capazes de zelar e proteger os dados pessoais coletados, informando quais dados são armazenados e qual o percurso desses dados. Além disso, ao compartilhar os dados com fornecedores, tal ato deve ser de forma responsável, recomendando-se a revisão dos contratos dos prestadores de serviços, com o intuito de incluir as obrigações da LGPD no âmbito da proteção dos dados transferidos, assim como as responsabilidades no caso de infração ou vazamento.
Sendo assim, é importante que as mudanças ocorram desde o processo seletivo, admissional até o processo de desligamento do colaborador, bem como nas relações com empresas terceirizadas que possuem acesso às informações
Desta forma, é necessário realizar o mapeamento de todas as fases do processo do departamento para garantia de:
- Preservação dos dados dos colaboradores e candidatos;
- Adequação do processo de admissão;
- Proteção de dados sensíveis;
- Transparência para o uso e coleta do dado;
- Harmonização técnica e jurídica perante terceirizados;
- Concordância do uso das informações pessoais;
- Manutenção da conformidade na gestão de documentos do RH.
As empresas irão precisar comprovar relevância das informações coletadas, informar aos candidatos e pedir autorização a eles sobre o uso de seus dados, além de assegurar sobre a proteção contra qualquer vazamento.
Salienta-se que o Departamento de Recursos Humanos deve evitar solicitar dados que não sejam realmente necessários. Neste sentido, por exemplo, em um processo de recrutamento e seleção, ao criar a documentação, verifique a real necessidade do pedido de tantos dados, tais como gênero, estado civil, religião, orientação sexual, dentre outros tipos de informações, que não estejam ligadas diretamente ao propósito de seleção, ou sejam desnecessárias. Com os colaboradores que já fazem parte do quadro da empresa, tenha ainda mais cautela com dados sensíveis, tais como atestados médicos, licenças por motivos de doença e informações da utilização do plano de saúde.
As atividades que envolvem os dados pessoais em posse da empresa deverão ser reestruturadas e o acesso a eles deverá estar restrito somente a pessoas autorizadas. Para tanto, recomenda-se reunir os responsáveis pelo departamento de Recursos Humanos, assim como o setor Jurídico e a Tecnologia, e realize um diagnóstico preciso da situação atual, desenvolvendo um plano com as mudanças necessárias. Enumere as situações de risco e mapeie as fragilidades de cada setor envolvido com o tráfego de dados. Busque ter ciência de como os dados são coletados, tratados e armazenados, e qual colaborador é o responsável direto a cada etapa do tráfego de dados.
Depois, verifique a existência de sistemas de proteção e rastreabilidade, como senhas e criptografia. Redefina todos os processos que envolvem dados pessoais e sensíveis dos colaboradores, assegurando que o fluxo informacional esteja seguro e monitorado. Tenha a tecnologia como aliado, uma vez que diversos recursos digitais oferecem sistemas de proteção eficientes, que podem assegurar a confidencialidade e a rastreabilidade dos dados armazenados. E, por fim, eduque a equipe envolvida, ao realizar constantes treinamentos, bem como crie regras claras sobre a disseminação de informações confidenciais.
Ademais, a LGPD exige que toda empresa tenha um Encarregado, que responderá hierarquicamente à diretoria, e terá autonomia para garantir o funcionamento da aplicação das normas legais junto aos procedimentos internos. Suas responsabilidades incluem monitorar o uso dos dados pessoais e ter uma interação direta com a Autoridade Nacional de Proteção de dados (ANPD), para reportar possíveis falhas ou infrações, bem como aplicar as alterações que forem solicitadas pela autoridade em questão.
É de fundamental importância que o Departamento de Recursos Humanos esteja em conformidade com a nova Lei Geral de Proteção de Dados – LGPD, evitando os riscos das implicações administrativas e/ou jurídicas previstas no regulamento, com a devida observação aos princípios da boa-fé, finalidade, qualidade, adequação, necessidade, livre acesso e transparência. Ou seja, coletar, tratar e arquivar apenas o que é necessário.
Certamente que o descumprimento das medidas determinadas na LGPD imputará à empresa infratora sanções administrativas, conforme estabelece o artigo 52 e, dentre as multas estabelecidas, destaca-se a do inciso II, onde prevê a aplicação de multa simples de 2% do faturamento da empresa, sendo limitada até R$ 50.000.000,00 (cinquenta milhões de reais) por infração cometida, além da publicização da infração cometida até sua regularização, bloqueio ou eliminação dos dados pessoais.
Além da conscientização geral sobre a importância das mudanças quanto aos dados, o RH deve identificar potenciais falhas de governança (compliance), avaliar quais informações sobre os colaboradores deve manter e por quanto tempo. Por meio de planejamento adequado, o RH poderá ser um importante aliado da instituição para garantir que esteja em conformidade com a regulação.
Toda a empresa deve estar ciente que proteger e prevenir qualquer tipo de infração aos dados pessoais é responsabilidade de todos. E, neste contexto, um dos papéis mais relevantes do RH é inserir na cultura da empresa essa responsabilidade, disseminar as normas e criar práticas diárias com os colaboradores para evitar a exposição de dados.