O AGRONEGÓCIO MAIS PERTO DE VOCÊ

Dados pessoais considerados sensíveis pela LGPD e seus impactos nas rotinas de RH

Em resumo, são considerados sensíveis os dados que podem causar exposição de alguma característica ou informação da esfera íntima ou privada do indivíduo.
Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp

Recentemente abordei o tema LGPD na Gestão de Saúde Corporativa, mas creio que dentro desta área, estão também as atividades do Departamento de Recursos Humanos e como suas rotinas são impactadas pela Lei Geral de Proteção de Dados (LGPD).

Pode-se dizer que nas empresas, os dados pessoais, quer seja de empregados e até seus familiares, contratados e/ou colaboradores – prestadores de serviço em geral, já estavam há muito tempo no banco de dados das organizações; alguns obtidos na celebração do contrato de trabalho, outros recebidos por meio de contratos de serviços com fornecedores, consultores, pesquisadores, operadores, dentre outras modalidades de terceirizados.

Mas como podemos “fotografar” os dados pessoais sensíveis já existentes no banco de dados ou dentro daquelas planilhas em “excel” – prática ainda usada em algumas empresas das mais variadas formas, tais como no caso de empregados – dados provenientes dos exames admissionais, check-ups de saúdes, planos médicos, cartão de drogarias, vale-transporte, vale-alimentação, assistência de seguro. No caso de fornecedores, consultores e pesquisadores e outros parceiros de serviços de RH, aqueles dados obtidos via contratos e como ou quando são utilizados – no momento dos pagamentos de honorários; e no caso dos prestadores de serviços que estão dentro das plantas industriais, na entrada da empresa para atender aos serviços contratados. Como controlar? Estas são práticas gerais neste universo de dados pessoais, e muitas vezes avançamos e coletamos dados sensíveis desnecessários.   

Aqui se faz relevante a definição – o que são dados sensíveis para a LGPD? Nos termos do artigo 5º da lei 13709/2018, são aqueles que dizem respeito aos seguintes aspectos do titular de dados tais como origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou organização de caráter religioso, filosófico ou político; dados referente à saúde ou vida sexual e até dados genéticos ou biométrico. Em resumo, são considerados sensíveis os dados que podem causar exposição de alguma característica ou informação da esfera íntima ou privada do indivíduo.

Neste momento se sua empresa ainda não iniciou este projeto de Governança de Dados, fica a pergunta – Por onde começar? Como sempre menciono nestas oportunidades, somente pelo mapeamento dos dados será possível identificar inicialmente e dar a devida prioridade ao tema nas empresas, bem como atribuir a relevância necessária para estar em “compliance”. Em geral, o mapeamento é fruto de entrevistas com os funcionários chaves da área de RH/Benefícios e   necessariamente deve incluir o Médico Trabalho. Aqui não se pretende conhecer do Médico do Trabalho as informações sensíveis, mas assegurar que será respeitada a ética médica de que dados da saúde e intimidade do indivíduo são de uso exclusivo da relação médico-paciente, portanto, o papel do Médico do Trabalho é assegurar a confidencialidade atribuída a estes dados sensíveis, mantendo-os segregados da base de dados.

Importante destacar que, o mapeamento, já comentado em artigos anteriores, visa a compreensão do fluxo dos dados, forma como estão armazenados, e quais pessoas no RH ou demais departamentos vem acessando a base. Poderá ser concluído que há dados que deixem de ser coletar dados por serem desnecessários ou não essenciais ao desenvolvimento das atividades. Lembre-se no passado, o preenchimento de fichas de cadastro, ou termo de autorização de dados continham “inúmeros campos” de informações. Mas agora, deve-se realmente ponderar a obtenção de dados, será que é necessário perguntar por exemplo: “Você participa de movimentos políticos?”; “Qual o número do IP de seu computador pessoal?”; “Quais atividades você possui como hobby ou o que faz aos fins de semana?”. E tantas outras, que vinham ao recrutador de forma aleatória para melhor conhecimento do potencial candidato.

  
O que se pretende deste mapeamento é atribuir a ”finalidade legal da coleta e do tratamento”, conforme se depreende do rol taxativo do artigo 7º da LGPD, além do enquadramento na categoria de dados pessoais e, neste caso se serão qualificados como dados sensíveis.

A confiança e credibilidade da empresa ou do controlador se constrói por meio da segurança jurídica que se pretende assegurar aos dados do titular. garantido a confidencialidade e uso, se fundado em Termo de Consentimento de Dados devidamente formalizado, obtido de forma livre, espontânea e inequívoca.

Na prática, muitos processos serão inovados, as ferramentas digitais serão vitais para o aparelhamento deste universo de informações, em vários momentos das atividades de Recursos Humanos, que genericamente passo a exemplificar:

a) no tocante à divulgação de vagas de emprego recomenda-se incluir no anúncio de vaga a finalidade de uso dos dados e ser precedido por autorização de uso expressa e inequívoca por parte do candidato. Além disso, indicar no anúncio quer seja digital ou por empresa especializada em recrutamento, que, na hipótese de não continuidade no processo, o Currículo permanecerá por período de 6 a 12 meses (temporalidade – a ser definido pela empresa) e posteriormente serão retirados da base de dados, ou seja, apagados e destruídos.

b) no processo admissional, assim que um novo colaborador ingressar como funcionário ou contratado da empresa, é necessário garantir que ele informe os dados pertinentes à execução de suas funções, não tenha acesso a dados de terceiros para evitar o compartilhamento indevido de outros dados pessoais de seus colegas.  Vale dizer, que a proteção por senhas e ferramentas cibernéticas são indispensáveis. Para dados de dependentes/familiares, que resulta na obtenção de dados pessoais/sensíveis, estes deverão ser segregados como mencionado, e determinado acesso restrito ao funcionário dedicado a área de Benefícios. No caso das empresas contratadas no rol dos benefícios, estas serão devidamente responsabilizadas no âmbito de eventual vazamento, por meio da inclusão em seus contratos de cláusulas ostensivas que protegem o controlador. Nestas hipóteses empresas de benefícios contratadas são consideradas operadores de dados e a relação com o controlador deve ser pautada por contrato robusto com cláusula expressa nos termos dos requisitos da LGPD. Nota importante: o Tratamento de Dados Pessoais de crianças e de adolescentes somente é realizado com o consentimento específico e, se dado por pelo menos um dos pais ou pelo responsável legal.

c) por sua vez, no demissional, atribuir prazos legais estabelecidos para o armazenamento e regras de destruição pautadas em Políticas de Uso e Retenção de Documentos. Recomenda-se que seja dado ciência na demissão, por meio do Termo de Rescisão, que os dados permanecerão pelo período legal necessário ao cumprimento de obrigações legais trabalhistas ou previdenciárias.

d) por fim, retornando ao tema de saúde ocupacional, os dados devem ficar restritos ao Médico do Trabalho e seu paciente/titular dos dados, e a empresa deve dispor de mecanismos para que o paciente possa não só consultar, como tambémpromover alterações nas informações disponibilizadas, de modo claro e desburocratizado, mantendo entre ambos relação direta e de confiança.

O RH estará em apuros se nada for implementado. Desmistifique, estamos falando de uma implementação baseada nos processos já existentes e alinhados aos novos momentos legais que o mundo está inserido.  Tudo isso resultará positivo e eficaz, como sempre comento, por meio da verificação e alinhamento, treinamentos para os funcionários e terceiros, de maneira frequente, em tom amistoso e elaborados especialmente à cada uma das áreas a que são dirigidos, sempre objetivando a sustentabilidade da Política de Privacidade de Dados clara, transparente e segura a todos os interlocutores.

A implementação de processos formais, além de garantir que a empresa ou “controlador” atue dentro da lei, reforça os princípios da finalidade, adequação, prestação de contas, transparência, necessidade, livre acesso, qualidade de dados, espelhando segurança jurídica para ambos, aqui incluo o Titular de Dados.  A LGPD veio para estabelecer um máximo grau de confiança e alavancar o sucesso das organizações.

Se você ainda não começou, certamente, está muito atrasado e a LGPD chegou para incorporar valores reputacionais sólidos e sustentáveis  aos já estabelecidos para o alcance do êxito dos negócios de sua empresa..