A Lei nº 13.709, de 2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), se aplica a qualquer operação de tratamento de dados que seja realizado por pessoa física ou jurídica.
Neste estudo abordaremos sua aplicação na área trabalhista e previdenciária. Embora muitos setores das empresas estejam também sujeitos à LGPD, no entanto, os setores que mais sofrerão impactos serão os departamentos de recursos humanos e de pessoal, pois a estes cabem coletar e tratar a maior parcela de dados pessoais.
Tratamento na área trabalhista e previdenciária
Desde a fase de seleção do candidato ao emprego, vários dados pessoais são fornecidos ao futuro empregador, via currículo, como o nome, RG, CPF, estado civil, grau de instrução, endereço, etc. Na fase de registro, as informações são aumentadas, com mais dados, como nome dos pais, cônjuge, carteira de trabalho, carteira de habilitação, certificado de reservista, título de eleitor, dependentes, carteira de órgãos de classes etc.
Na vigência do contrato, outros dados pessoais como os relativos a remuneração, saúde, acidentes, afastamentos, férias etc. são repassados pelo empregador em meio físico ou digital a diversos órgãos públicos.
Toda essa base de dados pessoais que o empregador coleta, produz, utiliza, transmite, arquiva, armazena etc. precisa ser tratada com observância da lei geral de proteção de dados, buscando sua proteção, evitando vazamento, perda, extravio, destruição, alteração, acesso não autorizado etc.
Revisão de processos internos
Para atender as determinações da LGPD, as empresas precisarão revisar seus processos, fixar regras de boas práticas e de governança, eliminar a coleta de dados que não tenham relação com o contrato de trabalho, implantar medidas administrativas para proteger os dados pessoais de seus colaboradores e principalmente, treinar os colaboradores que cuidam desses dados, especialmente os das áreas de recursos humanos e do departamento de pessoal, a fim de que possam observar as determinações legais referentes ao assunto. Essas medidas visam evitar autuações e imposição de multas à empresa e necessidade de ressarcimento de danos sofridos pelo titular dos dados.
A empresa ou o empregador é considerado o controlador, ou seja, a pessoa a quem compete as decisões referentes ao tratamento de dados pessoais. Assim, cabe ao empregador escolher o operador, que é a pessoa que realiza o tratamento de dados pessoais em nome do controlador. Esses dois, controlador e operador, são considerados agentes de tratamento. Temos também a figura do encarregado, que é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
O controlador deverá indicar o encarregado pelo tratamento de dados pessoais, cabendo ao encarregado aceitar as reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências. Cabe também receber comunicações de autoridade nacional e adotar providências, orientar os colaboradores e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Regras de boas práticas e governança
Os controladores e os operadores poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Deverão levar em consideração, em relação ao tratamento de dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes do tratamento de dados do titular.
Na aplicação dos princípios de segurança e prevenção, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados, a probabilidade e a gravidade dos danos para os titulares dos dados, poderá implementar programa de governança em privacidade que, no mínimo:
- Demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
- Seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
- Seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
- Estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
- Tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atualização transparente e que assegure mecanismos de participação do titular;
- Esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
- Conte com planos de resposta a incidentes e remediação; e,
- Seja atualizado constantemente com base em informações obtidas de monitoramento contínuo e avaliações periódicas.
Poderá também demonstrar a efetividade de seu programa de governança quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento da LGPD.
As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional, a qual estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais.
Análise do acervo de dados já existentes
Embora a lei determine que a autoridade nacional (ANPD) ainda estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor da LGPD, consideradas a complexidade das operações de tratamento e a natureza dos dados, entendemos que o operador já poderá fazer uma análise detalhada do acervo dos dados pessoais de colaboradores e parceiros que a empresa já possui em seu banco, a fim de verificar se foram captados de forma correta, se a captação tem base na legislação, se os dados são ou não necessários para o desempenho das atividades etc.
Para tanto, os responsáveis pelo tratamento dos dados poderão proceder às seguintes indagações:
- Para desenvolver com assertividade as atividades eu, de fato, necessito destes dados? Esta análise tende a diminuir o volume de dados a serem tratados, uma vez que aqueles dados desnecessários serão descartados.
- Existe norma legal que determine a captação destes dados, ou seja, eu preciso dos dados para cumprir exigências legais ou regulatórias?
- Quais colaboradores e/ou parceiros podem ter acesso a estes dados? Monitoramento de segurança?
- Quais procedimentos de controle devemos adotar para evitar que pessoas não autorizadas tenham acesso aos dados? Monitoramento da segurança.
- Tenho autorização escrita do titular dos dados para fazer o compartilhamento, quando necessário, ao desempenho das atividades?
- Os meus parceiros (terceiros, escritórios de contabilidade etc.) estão observando as determinações da LGPD? De que forma vou controlar isso? Para maior segurança da empresa, os contratos de prestação de serviços firmados com terceirizados devem conter cláusulas expressas que exijam a observância das normas da LGPD.
- Por quanto tempo posso legalmente manter estes dados armazenados?
- Como descartar de forma segura os dados que já não são mais necessários, ou cujo prazo de prescrição já se esgotou?
- Quais atividades devem ser tomadas se uma informação vazar?