Fique por dentro das novidades do RH e receba nossos conteúdos por e-mail.
Em 2020, quando a LGPD passou a valer no Brasil, poucas eram as empresas que tinham um conhecimento prévio da lei, como aplicá-la e quais eram as sanções previstas em caso de descumprimento. Natural, então, concluir que poucos profissionais entendiam a aplicação da LGPD no RH.
Portanto, para entender a importância da LGPD no RH e sua relação com a segurança da informação no setor, entrevistamos Thiago Magnani, especialista em Segurança da Informação na Vagas.com
No bate-papo, ele explica os principais cuidados na gestão de dados pelo RH assim como concede algumas dicas sobre o tema. Confira!
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020, visa proteger dados pessoais, estabelecendo uma série de regras para coleta, tratamento e armazenamento dessas informações.
O que são dados pessoais e o que são dados sensíveis são assuntos ainda abordados na LGPD. Não obstante, a norma estabelece ainda que não são só os dados virtuais que podem ser observados pela lei, os dados no meio físico também seguem a regra.
Em resumo, a norma legal visa proteger os dados pessoais de brasileiros por meio de uma ampla gama de requisitos de privacidade e segurança.
Vale a pena destacar que a LGPD foi inspirada na lei europeia sobre a temática, também conhecida como General Data Protection Regulation (GDPR). Empresas como Google e British Airways já sofreram multas pesadas por descumprirem a GDPR.
A quem a LGPD é aplicável?
A lei deve ser cumprida por todos — sejam empresas de grande, médio ou pequeno porte e até pessoas físicas.
De acordo com o artigo 3º da lei, a norma se aplica a todos os atores acima dispostos desde que:
- a operação de tratamento de dados tenha sido feita no território brasileiro;
- a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil;
- os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
A lei, observada sob a visão do RH, aplica-se a qualquer empregador que processe e retenha dados pessoais de funcionários. Mesmo que uma empresa não tenha sede no Brasil, ela está sujeita aos requisitos da LGPD se houver funcionários ou freelancers residentes no país.
Qual a importância da LGPD para o RH?
É de extrema importância o conhecimento da LGPD pelo RH. Para nosso especialista em Segurança da Informação, Thiago Magnani, como as empresas geram uma grande quantidade de dados pessoais e sensíveis, coletados, gerenciados e armazenados pelo RH, é fundamental que profissionais da área de gestão de pessoas entendam como a LGPD funciona na prática.
“O RH é uma área que tem relação direta com a utilização de dados pessoais e sensíveis para a execução de suas atividades, desde o recrutamento e seleção, passando pela jornada do profissional na empresa, até o desligamento”, salienta
E para quem pensa que o tema está distante da realidade de seu trabalho, saiba que até mesmo um arquivo simples de Excel contendo informações de contatos constitui dados pessoais e está sujeito aos requisitos da legislação aqui discutida.
“É importante que o RH tenha um inventário que permita entender quais são os tipos de dados da LGPD utilizados, suas finalidades, agentes de tratamento, bases legais e fluxos”, destaca Thiago.
Ele ainda acrescenta que a área de gestão de pessoas, junto com a equipe responsável pelos assuntos da LGPD, deve identificar controles de segurança que possam ser aplicados para proteger os dados e evitar violação ou vazamento deles.
Aqui estão os fatores importantes sobre o tema para o RH:
Coleta de dados pessoais
A coleta e o tratamento de dados pessoais é legítima e limitada a informações relevantes para o cumprimento do contrato de trabalho. É necessário o consentimento prévio da base legal que valide o tratamento de dados (por exemplo, uma conta de e-mail pessoal.
Direito dos funcionários de serem informados
As empresas são obrigadas a informar os funcionários sobre a finalidade e a base legal do processamento de dados e o período durante o qual eles serão mantidos. Esta informação deve ser fornecida no momento da obtenção dos dados pessoais do colaborador.
Transferência internacional de dados
A transferência de dados pessoais dos funcionários brasileiros para outros países deve seguir algumas regras gerais de transferências internacionais de dados da LGPD.
Como aplicar a LGPD no RH
Segundo o nosso especialista em Segurança da informação, é importante que o RH saiba como aplicar a LGPD no dia a dia para a correta classificação e mapeamento dos dados dos colaboradores. A primeira coisa para aplicá-la corretamente é compreender a diferença entre dados pessoais, sensíveis e anonimizados.
De acordo com a LGPD, dados pessoais são aqueles que tornam a pessoa identificável. Em outras palavras, são informações exclusivas daquela pessoal, número de RG, CPF, número de telefone, endereço residencial, número da carteira de trabalho etc.
Os dados sensíveis são aqueles que podem ser usados para causar prejuízo, discriminação ou dano ao titular. Mas, na prática, o que seria isso? São informações sobre raça/etnia, religião, sexualidade, saúde, opinião política, dados genéticos e biométricos, além de dados sobre filiação a sindicato ou à organização de caráter religioso, filosófico ou político.
Já os dados anonimizados são relativos a um titular que não pode ser identificado. Eles não são tratados como pessoais e, portanto, não precisam estar em conformidade com a LGPD, salvo quando o processo de anonimidade ao qual foram submetidos for revertido.
Um exemplo prático de dados anonimizados são suas respostas a uma determinada pesquisa. Ninguém saberá a sua resposta exata, ela será colocada dentro de um contexto global do estudo de forma anônima.
“Além disso, o departamento pessoal deve saber que é necessário aplicar controles de segurança ou medidas compensatórias, tanto para estar em conformidade com a lei, quanto para evitar incidentes de segurança”, frisa Thiago.
Veremos mais adiante como conduzir essa sugestão do nosso especialista:
Preservar dados coletados
O RH deve preservar dados pessoais e sensíveis que apresentam uma finalidade, como nome, endereço, idade, dados da carteira de trabalho, entre outros, além dos que estão sujeitos a diversas regulamentações específicas que possam atingir algum setor ou ramo de negócio.
O recomendado é envolver a equipe jurídica da empresa para entender as regulamentações vigentes que devem ser seguidas através da LGPD para o RH.
Armazenar corretamente os dados
“Tanto os dados em meios físicos quanto aqueles em meios digitais devem estar armazenados em locais seguros e que possuam algum tipo de controle de acesso — como chaves, controles biométricos e autenticação — para garantir a confidencialidade das informações”, explica Thiago.
Detalhe: é importante que esses dados estejam em locais protegidos contra incêndios ou desastres naturais, com o objetivo de preservar a integridade e a disponibilidade das informações.
“Posteriormente, para dados que serão compartilhados em rede para órgãos competentes, deve-se usar canais seguros, como o protocolo HTTPS em serviços web ou criptografias”, acrescenta.
Definir quais dados serão coletados
Vale definir em contrato a necessidade da utilização de dados pessoais e sensíveis para fins específicos, trazendo transparência para colaboradores e proteção jurídica para as empresas.
“ Dados de produtividade, engajamento e feedback devem passar pelos princípios da LGPD, assim como ser coletados para finalidade específica e utilizados somente quando necessário, estarem seguros, serem precisos, claros e atualizados”, esclarece o nosso especialista em Segurança da Informação.
Cuidar do banco de currículos
De acordo com Thiago, o banco de currículos deve conter somente dados precisos, atualizados e autorizados pelos candidatos. Na visão dele, para isso, é preciso criar políticas, processos e procedimentos para gerenciá-lo, assim como seu acesso e auditoria.
“Vale criar procedimentos de backup e restauração de dados, assim como utilizar criptografia e ferramentas de monitoramento para detectar anomalias e possíveis ações maliciosas”, acrescenta.
Ficar atento às políticas de home office
A aplicação da LGPD para RH também ocorre no trabalho remoto. Portanto, é importante que a empresa estabeleça políticas de home office que mostrem ao colaborador como proteger seus dados e os da empresa.
“Além disso, é recomendado que a empresa tenha um acordo de confidencialidade (NDA) assinado pelo colaborador/terceiro para manter determinadas informações em sigilo”, sublinha nosso especialista.
Como explicar a LGPD para os colaboradores?
Como já vimos aqui neste artigo, as informações jurídicas da LGPD não são fáceis de serem explicadas. Portanto, as comunicações com os funcionários sobre o tema devem ser feitas em linguagem simples e objetiva.
Isso ajudará os colaboradores a entender as obrigações da Lei Geral de Proteção de Dados e como a empresa deve proceder para coletar, tratar e armazenar informações de seus profissionais.
Mas exatamente como explicar em poucas (e objetivas) palavras uma lei tão complexa? Que tal seguir o roteiro de perguntas abaixo, que separamos para você?
- Quais dados do funcionário a empresa precisa processar — os profissionais devem saber quais dados o RH coletará durante sua jornada na organização.
- Porque a empresa precisa processar dados de funcionários — a organização deve informar aos funcionários que os dados ela precisará processar estão de acordo com as obrigações legais ou para cumprir um contrato com o qual concordaram.
- Como a empresa vai processar os dados deles — a empresa deve informar aos funcionários quais áreas da operação entrarão em contato com os dados deles; se dados dos colaboradores serão repassados a terceiros; ou, se dados deles serão enviados ao exterior (em caso de expatriação, por exemplo)
- Onde os dados dos funcionários serão armazenados — seguindo o ponto anterior, esta é uma oportunidade para garantir aos funcionários que os dados deles estão armazenados com segurança. Você deve informá-los se seus dados serão armazenados (física ou eletronicamente) e onde isso será conduzido.
- O que os funcionários podem fazer se tiverem alguma objeção — se um funcionário tiver alguma objeção aos procedimentos de processamento de dados que a organização implementou, ela precisará informá-los sobre como registrá-los. Isso permitirá que a empresa mantenha uma auditoria de quaisquer objeções e demonstre que a ação apropriada foi tomada em resposta à objeção, como a exclusão de dados.
- Quais são as consequências de uma violação de dados — Por fim, termine o comunicado conscientizando seus funcionários sobre as consequências de uma violação de dados pode ajudá-los a perceber a importância da segurança da informação. Novamente, isso pode ajudar a mitigar os riscos de segurança da informação.
Além disso, sempre fique atento às atualizações da LGPD, com o avanço de novas tecnologias, o metaverso, por exemplo, é provável que a legislatura tenha incrementos. Qualquer cuidado é pouco quando abordamos a temática de dados pessoais!
Ainda tem dúvidas sobre a importância do RH preservar os dados? Leia, portanto, uma reportagem sobre o papel do RH na cibersegurança.