A Lei nº 13.709/2018, denominada Lei Geral de Proteção de Dados Pessoais (LGPD), teve sua vigência iniciada em 18/09/2020, exceto no que se refere às sanções administrativas, que passarão a produzir efeitos em 01/08/2021.
Suas regras se aplicam a todo tipo de relação jurídica que envolva o tratamento de dados pessoais.
A expressão “tratamento”, utilizada pela Lei, deve ser interpretada da maneira mais abrangente, englobando os atos de coletar, armazenar, compartilhar, alterar, excluir, enfim, todo tipo de ação que envolva o manejo de dados pessoais de alguém, seja cliente, candidato a vaga de emprego, funcionário, entre outros.
Com a chegada da nova Lei, tornou-se ainda mais relevante que o gestor se atente ao tratamento que se dá aos dados pessoais que são colhidos e armazenados dentro de sua empresa, e não encare esse novo regramento como algo que visa apenas engessar sua operação e aumentar seu risco. Trata-se de uma demanda recente dos novos tempos, nos quais os dados pessoais tornaram-se ativos importantíssimos e merecem especial atenção.
A implementação de uma cultura empresarial que dê valor aos dados pessoais dos indivíduos que se relacionam com a empresa é hoje uma demanda real e concreta, que vai além da exigência legal, e deve inclusive acarretar em ganho de imagem à companhia e agregar valor à sua marca.
Para que se organizem processos de tratamento de dados e se estabeleça uma cultura voltada à proteção de dados, é imprescindível a compreensão de que tipo de dado se coleta na empresa, de quem se coleta, porque coleta aqueles dados, de que forma os dados são utilizados, por qual período há necessidade de retenção desses dados, enfim, que seja realizado um mapeamento sobre estes dados visando verdadeiro autoconhecimento sobre a relação de sua empresa com dados pessoais.
Pois bem, o objetivo deste texto é abordar as principais diretrizes que devem ser observadas nas relações de trabalho, onde se faz coleta principalmente dos chamados dados pessoais (nome, imagem, endereço, dados bancários, e-mail, currículo, RG e CPF) e dados pessoais sensíveis (origem racial ou étnica, religião, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico).
Desde a fase pré-contratual de processos seletivos e admissão, na fase contratual de vigência do contrato de trabalho e também na fase pós-contratual, o empregador coleta e se torna responsável pelo armazenamento de dados pessoais de funcionários e candidatos.
Assim, é importante que o setor de Recurso Humanos da empresa tenha em mente as peculiaridades de cada uma destas fases, quais sejam, fase de recrutamento, fase contratual e fase demissional.
Sobre a questão do compartilhamento dos dados pessoais, que tende a gerar preocupações, o mais importante é que seja dada total transparência às pessoas, com informações claras, precisas e acessíveis, sobre a forma como sua empresa coleta, utiliza e armazena os seus dados. Aliás, a própria Lei autoriza o tratamento de dados para atender “legítimo interesse” do controlador ou de terceiros.
O apego ao consentimento do titular dos dados como única medida de adequação à LGPD é enganosa, tendo em vista que a própria Lei garante o direito à revogação do consentimento por parte do titular dos dados.
Por isso insistimos na importância da implementação de uma cultura voltada à proteção de dados. É preciso compreender que não se pode realizar compartilhamento de dados pessoais das pessoas de maneira indiscriminada. Além disso, os novos tempos exigem investimentos em mecanismos para segurança, redução de riscos e proteção dos dados armazenados, bem como práticas de controle de acesso ao banco de dados, seja ele físico ou digital.
É essencial que o RH, no momento da contratação, solicite apenas as informações imprescindíveis. Dados desnecessários devem ser eliminados. Recomenda-se, ainda, a criação de rotinas para que periodicamente estes dados sejam descartados, evitando a manutenção de dados que já não tenham mais utilidade.
Registre-se que as sanções administrativas entrarão em vigor a partir de 01/08/2021, sendo que episódios de vazamento ou acesso não autorizado a dados pessoais estarão sujeitos a penalidades, tais como advertência, pagamento de multas, publicização da infração, suspensão ou proibição de atividades relacionadas ao tratamento de dados, entre outras.
É fundamental, portanto, que as empresas já estejam se adequando aos novos tempos e trabalhando pela criação de rotinas seguras voltadas à proteção de dados, pois compete ao empregador, enquanto controlador dos dados, a adoção das medidas de precaução e proteção dos dados de todos os trabalhadores.
Maria Claudia de Castro Borges Stábile - Advogada
Leonardo Borges Stábile - Advogado
