Para evitar multas, empresas terão que se atentar a Lei Geral de Proteção de Dados
Foi aprovado pelo plenário do Senado, no último dia 02, uma proposta de emenda à Constituição, incluindo a proteção de dados pessoais na lista de direitos e garantias fundamentais do cidadão brasileiro, inclusive sobre os meios digitais.
Essa proposta contou com 64 votos favoráveis no primeiro turno e com 62 votos no segundo. O projeto segue agora para a Câmara dos Deputados.
Do que se trata a Lei Geral de Proteção de Dados (LGPD)?
A Lei Geral de Proteção de Dados (LGPD) entrará em vigor no Brasil oficialmente no segundo semestre de 2020. Ela traz algumas mudanças para o uso de dados, tanto no setor público quanto no setor privado. A lei permite que os usuários solicitem acesso aos seus dados pessoais, que solicitem alterações ou a exclusão dos dados quando desejarem.
De uma maneira mais simples, a lei estabelece que as empresas podem coletar apenas dados pessoais com o consentimento de usuários, e se esses dados forem realmente necessários para os seus serviços. Caso descumprida, o estabelecimento poderá receber advertências ou até multas equivalentes a 2% de seu faturamento.
A coleta de dados para fins jornalísticos, acadêmicos, artísticos, segurança pública ou defesa nacional está excluída dessa lei.
Lei Geral de Proteção de Dados e o as áreas de recrutamento ou recursos humanos
A LGPD traz consigo a necessidade de uma revisão de processos realizados pelas áreas de recrutamento ou recursos humanos. Os departamentos ou empresas de recursos humanos possuem um banco de dados muito grande não só sobre os funcionários, mas sobre candidatos e ex-funcionários, contendo informações pessoais como registros médicos, dados de contato e nível salarial. Por isso, se atentar aos novos requisitos é fundamental.
Basicamente, a lei exige que as empresas minimizem a quantidade de informações pessoais que possuem armazenados, garantindo com que não sejam guardadas por um período maior que o necessário.
LGPD e a coleta de dados pessoais
A LGPD estabelece que toda a coleta de dados seja com o consentimento do titular, além da ciência de como serão usadas essas informações. O consentimento deverá ser esclarecido por meio de uma declaração de privacidade de dados, que será assinada pelo funcionário, em que atesta que a utilização de seus dados só será permitida para aquele fim descrito na declaração.
Principalmente se esses dados sejam os chamados “dados sensíveis”, que são especialmente protegidos, como opiniões políticas, preferência sexual, crenças religiosas, ativismo político ou outros. Nesses casos, o trabalhador tem o direito de que estes dados não sejam coletados ou processados.
Se a função que o empregado exercer não importar na linha ideológica da empresa, serão considerados ilícitos todo e qualquer questionamento sobre ideologia, afinidade política, crenças ou opiniões sindicais do candidato.
No caso de informações fiscais, nas quais as empresas possuem um dever legal em informar às autoridades públicas como a Receita Federal, não é necessário o consentimento do empregado. Alguns casos, como informações sobre saúde coletados em exames admissionais, em que o tratamento dos dados é indispensável, o empregador tem a autorização obtida.
Empresas terão prazo para se adaptarem a LGPD
As autoridades e empresas terão esse tempo para se adaptar à LGPD. Mas, mesmo possuindo um certo prazo para se adaptar, as empresas e departamentos de RH tem de ser eficientes na revisão de seus processos internos para se adequar à nova lei.
Além de conscientizar os funcionários recrutadores sobre as novas normas, deve-se informar quais os dados pessoais devem ser processados, bem como suas finalidades.
Elas também devem manter sempre os dados completos, atualizados e precisos para que os titulares possam ter acesso quando desejarem, ou solicitarem a exclusão das informações.
Entre as possibilidades, é importante o uso de uma VPN para proteger o tráfego online privado empresarial, contra espionagem e outras interferências. As empresas precisam estar preparadas em proteger os dados de seus funcionários, bem como informações sigilosas pertinentes ao estabelecimento.
Não é de hoje que pessoas mal-intencionadas se aproveitam de brechas de segurança online para invadir dispositivos e contas. A fim de proteger todos os dados coletados pela empresa e manter a segurança digital, contar com a VPN (rede virtual privada) é a solução no mundo empresarial.
Como será o processo de coleta e catalogação dos dados?
O novo processo de coleta e catalogação dos dados deve ser detalhado, identificando quais os dados que devem ser mantidos, quais são imprescindíveis para a atividade, por quanto tempo é necessário manter os dados arquivados, como fazer a proteção, além de quais dependem da autorização do funcionário para armazenamento.
Cada etapa dos processos realizados no RH deve ser avaliada e adequada conforme às novas regras. No caso dos departamentos de recursos humanos das empresas, deve-se começar pela análise dos currículos armazenados no banco de dados, tendo soluções de segurança para evitar que os dados pessoais sejam roubados.
Além disso, todos os funcionários da empresa devem tomar ciência de quais dados são necessários e quais são considerados sensíveis. Nos contratos de trabalho podem ser incluídas cláusulas que especificam se o funcionário concorda com o uso de seus dados para determinada finalidade, principalmente dados sensíveis como registros de saúde.
Essa revisão de processos deve ter regras bem definidas de acesso aos dados pessoais. Quais dados ficarão acessíveis aos funcionários responsáveis pelas folhas de pagamento, ou pelos médicos do trabalho, qual a hierarquia de acesso dessas informações, tudo isso deve ser implantado com eficiência e ser bem definido para todos os colaboradores.
A lei também eleva os riscos em relação à violação de segurança desses dados pessoais. O RH deve estar ciente que a violação de dados não condiz somente com invasões e ataques cibernéticos, mas também erros humanos que possam parecer inofensivos, como arquivos impressos perdidos, encaminhar e-mails que contenham dados pessoais e/ou dados sensíveis, destinatários errados de e-mail.
Pode-se reduzir os riscos implementando alguns procedimentos, envolvendo também o departamento de TI, para que as violações possam ser prevenidas, reduzidas e rapidamente reportadas, caso aconteçam.
Conforme a PEC, apenas a União irá legislar sobre a proteção e tratamento de dados pessoais.
Saiba mais!
O processo de adequação é contínuo e depende da mobilização de todos os funcionários. Essa nova lei chega para mudar ainda mais o papel do RH na empresa, sendo necessário integrar-se mais com outros departamentos para que estejam de acordo com as novas regras.
Caso as empresas descumpram essas novas medidas impostas pela lei, independente de ser pequena, média ou grande empresa, elas podem receber multas de até R$ 50 milhões.
