Toda mudança gera impacto e isso não será diferente com a entrada em vigor da Lei Geral de Proteção de Dados, muito deverá mudar nas empresas e, uma das áreas mais afetadas será a de Recursos Humanos. É nessa área normalmente, que muitos dados são coletados, armazenados e descartados de maneira orgânica. Chega a impressionar a agilidade e a expansão que ocorre dentro desse setor, pela infinidade de fluxos de dados pessoais que por ali tendem a transitar.

São documentos dos mais variados: currículos, recrutamentos e seleções, testes admissionais e exames relacionados, cálculos de folhas de pagamento, avaliações de desempenho, planos de carreira, atestados médicos, fotografias e posterior confecção de crachás, fotos de RGs, CPFs, comprovantes de residência, contrato de trabalho, desligamentos e, quando não, filiação a partido ou a sindicato de determinada categoria (se aplicável), cadastro de biometria, além de uma infinidade de informações.

Tratando-se de uma empresa de grande porte, a área de Recursos Humanos necessariamente terá que contar com, no mínimo, um representante que atue ali na área de privacidade. Esse representante deverá fazer parte de um comitê, que envolverá todas as áreas e o qual terá uma responsabilidade imensa, além de ser cobrado rotineiramente por um DPO ou pelo chamado CPO (Chief Private Officer), que será o profissional eleito para coordenar a área.

No entanto, o que muita gente não sabe é como deverá ser reorganizado esse setor, e o que poderá e deverá ser levado em consideração com a adequação a nova lei.

Mesmo que seja uma pequenina empresa, unipessoal, uma clínica ou uma consultoria. Em vista dos eventuais ataques que têm surgido e direcionados aos pequenos negócios, é necessário se fazer com que a proteção de dados seja algo costumeiro. Por isso a importância de critérios diretamente relacionados à segurança da informação, ou seja, que respeitem primordialmente a confidencialidade, a integridade e a disponibilidade de informações aos titulares de dados pessoais, transformando as atividades empresariais e blindando-as nos quesitos inerentes à segurança, resguardando, substancialmente, os negócios daquela organização.

Em um primeiro momento, quando do anúncio da entrada da implantação da Privacidade dentro da empresa em uma fase preliminar, muito deverá ser organizado dentro do setor de Recursos Humanos. Documentações estruturadas, não estruturadas, papéis e documentos armazenados de maneira física sofrerão igualmente importantes alterações relacionadas à guarda e controle. A coleta, o armazenamento, e até um descarte deverão ter uma linha do tempo e um histórico, contando com registros que deverão ser muito bem cuidados pela empresa responsável por essa coleta.

Ainda, deverá haver uma rigorosa categorização dos dados pessoais que ingressam naquela empresa. Essa categorização é importantíssima para fins de delimitação de acessos. Isso significa dizer que para cada área, somente o que for indispensável para determinada atuação ou atividade deve ser disponibilizado. Um exemplo disso diz respeito ao acesso para fins de entrada nos sistemas dos computadores da empresa. A área responsável aqui não é a de Recursos Humanos, e sim a de Tecnologia da informação. Os critérios são diferenciados e, cada um dos setores pode vir a se responsabilizar por categorias de dados pessoais. No entanto, ao primeiro sinal de desligamento do funcionário, é o RH o responsável por pedir à área de Tecnologia da Informação que suspenda, de imediato, os acessos, os e-mails, logins e senhas daquele colaborador. Manter esse acesso ativo pode gerar enormes riscos para aquela empresa.

Os registros devem permanecer armazenados e a base legal deve subsidiar essa manutenção. Registros de logs e dados pessoais podem vir a ser utilizados para fins de eventuais defesas em processos judiciais e esclarecimentos posteriores, inclusive relacionados a questões administrativas e eventuais estudos e pesquisas. Para dados sensíveis, os critérios devem ser diferenciados, e as opções de segurança para a sua proteção deverão ser ainda mais restritivas. Por isso muitas empresas se utilizam de pseudonimização, anonimização e recursos de criptografia.

Ainda, outros critérios relacionados à segurança da informação necessitam ser igualmente rigorosos: crachás com fotografias, tipagem sanguínea e nome completo não devem ser mais utilizados. Acesso a áreas da empresa que contam com crachás para permissão de entrada, devem ser restringidos apenas àqueles funcionários que trabalham naquele setor. E o sistema de vigilância precisa ser certeiro na mitigação dos riscos e correção de vulnerabilidades.

Esses são apenas alguns exemplos do que pode ser feito em relação à privacidade e segurança. Outros, igualmente indispensáveis, devem ter aplicação imediata, tais como:

  1. Comunicação da empresa sobre a implementação da Privacidade em todas as suas dependências, atividades de trabalho e relações;
  2. Treinamento inicial e periódico de funcionários sobre sua função dentro da organização, suas condutas, e como deverão atuar no sentido de preservar, além da sua privacidade, a de seus colegas, clientes e terceiros;
  3. Adaptação dos contratos dos empregados: uma sugestão aqui é a utilização do aditivo, com predominância em relação ao consentimento;
  4. Inclusão das bases legais que se relacionem tanto ao consentimento do empregado, quanto da inclusão de execução contratual;
  5. Comunicação sobre a finalidade dos tratamentos de dados dos funcionários, necessidade e tempo de duração e;
  6. Políticas que subsidiem todas essas aplicações e transformações dentro da empresa e que se relacionam à privacidade de maneira geral.

E em relação aos contratos de trabalho, eles devem ser aditivados, em sua totalidade. É indispensável que ocorra tal alteração, tendo em vista que, sendo a empresa controladora, operadora ou ambas, ela se responsabilizará pela atividade executada pelo seu colaborador.

Ademais, não se pode esquecer dos contratos firmados junto aos fornecedores da empresa, no que se refere, igualmente, à concessão dos benefícios aos seus empregados. Empresas que fornecem vale alimentação/refeição, convênios com farmácias, restaurantes e academias, assistência à saúde, dentre outros. Todos devem ser fiscalizados e monitorados no que se refere ao tratamento dos dados pessoais dos funcionários que são transferidos para estas prestadoras de serviços.

Os casos de recepção de currículos devem, igualmente possuir um cuidado em particular. Estes, só podem permanecer nos sistemas enquanto as seleções para determinados candidatos permanecerem em aberto, pois nada justifica a retenção desses dados nas empresas. Isso pode ser relativizado, a depender dos dados coletados e de uma análise mais aprofundada sobre os motivos específicos dessa retenção. Lembrando sempre que a finalidade deve estar de acordo com as possibilidades de eventuais armazenamentos, e os critérios de total segurança devem ser obedecidos.

Desta forma, concluímos que as atividades exercidas pelas áreas de cadastro e de RH demandarão esforços hercúleos das empresas no sentido de preencher, com perfeição os critérios impostos pela Lei Geral de Proteção de Dados Pessoais pois, como ainda não existem regulamentações específicas nesse sentido, utilizam-se, atualmente, critérios mais rígidos e mais rigorosos, muitos deles, provenientes dos entendimentos das leis as quais a nossa LGPD se baseou. Talvez hoje esse seja o maior norte para as organizações que buscam a excelência em relação ao total respeito pela privacidade.

O mais importante é saber que sua empresa deverá sempre se balizar no formato que melhor se adeque a sua missão e seus valores. Partindo-se desse princípio básico para alterar seu código de ética e conduta e suas políticas, que gerarão leis internas dentro da sua organização. A partir daí, geram-se inúmeros benefícios, e todos eles convergem para um melhor relacionamento entre seus gestores, fornecedores, clientes e funcionários. Estar compliance com a LGPD traz maior segurança e, trazendo maior segurança, traz produção e melhora o ambiente corporativo, a confiabilidade, reputação e produção nos negócios.

Juliana Costa, Advogada especialista em Compliance e em Proteção de Dados Pessoais – DPO Certificada – IAPP Member – Membro do Comitê Jurídico da ANPPD.

Fonte: RH Portal

A BKR Business School não se responsabiliza, nem de forma individual, nem de forma solidária, pelas opiniões, idéias e conceitos emitidos nos textos, por serem de inteira responsabilidade de seu(s) autor(es).