A data de entrada em vigor da Lei Geral de Proteção de Dados (a famosa LGPD) já está virando a esquina: agosto de 2020. Algumas empresas ainda estão em compasso de espera, valendo-se do projeto de lei apresentado em outubro na Câmara dos Deputados que pretende postergar a data de início das novas regras para 2022. Mas especialistas alertam: regulamentar a proteção de dados é uma necessidade e uma jornada sem volta para o país. Portanto, quanto antes as adequações começarem, melhor.
A LGPD veio para regularizar a coleta, o tratamento, o armazenamento e o compartilhamento de dados pessoais de usuários por empresas públicas ou privadas. O objetivo é garantir a privacidade e a proteção, assegurando aos titulares o direito e a propriedade do que é cedido. “A informação se tornou um dos maiores ativos das companhias.
Essa discussão começou a ganhar peso lá fora e repercutiu por aqui. A lei europeia está em vigor há dois anos, e a brasileira é inspirada nela”, diz Marcelo Furtado, fundador e CEO da Convenia, empresa que organiza informações de RH em nuvem. Com isso, o Brasil passou a fazer parte do rol de 100 países que possuem legislação capaz de proteger a privacidade de dados pessoais em larga escala.
E o RH com isso?
A área de gestão de pessoas utiliza dados pessoais em várias etapas de sua cadeia produtiva, seja nos processos estratégicos (recrutamento e seleção, avaliação e desempenho, plano de cargos e salários, treinamentos), seja nos operacionais (admissão, cálculo de folha, férias, controle de jornada, gestão de benefícios e desligamentos).
Além de adotar medidas e processos para cuidar da proteção dessas informações, o departamento deve garantir que elas não vazem. Para isso, precisa criar ferramentas — e desenvolver uma cultura — de cuidado com os dados. Outra mudança significativa é o fato de o RH passar a ser obrigado a prestar contas sobre os motivos para a utilização de cada informação e sobre o tempo que vai mantê-la em seus arquivos. Isso porque a lei monitora a utilização indevida de dados.
Vamos a um exemplo prático. Caso um candidato não passe em um processo de seleção, a empresa deve pedir que o profissional assine um termo autorizando a companhia a manter o CV no banco de talentos e informar por qual período o documento ficará arquivado. O candidato, é claro, tem o poder de negar.
“A LGPD traz princípios que empoderam o cidadão a ter maior clareza de como seus dados pessoais são tratados”, diz Valéria Reani Rodrigues Garcia, advogada especialista em direito digital e proteção e privacidade. “A pessoa precisa saber, conforme propõe a lei, qual dado está sendo utilizado, para que e por quem. Portanto, ao coletar um dado, deve-se ter um fim muito específico”, afirma Renato Malafaia, advogado especialista em direito digital e proteção de dados pela Daniel Law.
Cuidado constante
Um ganho significativo que a lei traz é o combate à discriminação, por meio da criação do conceito de “dados sensíveis”, que são as informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde e orientação sexual. Esses registros passam a ser mais protegidos. “Ao fazer o anúncio de emprego, a companhia precisa adotar algumas cautelas.
A discriminação no processo seletivo pode ser evidenciada quando a vaga requer injustificadamente algum desses requisitos”, explica Valéria. É recomendável a revisão dos contratos com prestadores de serviços, como operadoras de planos de saúde, para que sejam incluídas cláusulas com as obrigações definidas na LGPD sobre a forma de tratamento e a proteção dos dados transferidos.
As multas pelo não cumprimento da LGPD chegam a 2% do faturamento da empresa, com limite de 50 milhões de reais por infração. O responsável por fiscalizar essas ações será a Autoridade Nacional de Proteção de Dados (ANPD), cuja formação ainda não foi definida pelo governo federal. “Todas as pessoas também passam a exercer uma função fiscalizadora. A empresa tem de fornecer os dados e, se não souber informar, o requisitante pode apresentar uma reclamação e será instaurada uma investigação”, diz Renato.
A qualquer momento os donos das informações podem questionar ou solicitar a eliminação dos dados. Para dar conta dessa demanda, a LGPD estipula que toda empresa tenha um encarregado de proteção de dados, que responderá à diretoria e terá autonomia para garantir o funcionamento da aplicação das normas.
Suas responsabilidades incluem monitorar o uso das informações e ter uma interação direta com a ANPD. “Dependendo do porte da empresa, não é necessário que o profissional seja exclusivo para essa posição. Mas ele precisa ter um conhecimento mais profundo da lei. Dependendo da complexidade e do tamanho da companhia, é necessária uma área”, afirma Marcelo, da Convenia.
* Matéria publicada na edição 65 da revista VOCÊ RH