Home / Artigo / Nova rotina da informação nas organizações, entenda os impactos da LGPD no RH

Nova rotina da informação nas organizações, entenda os impactos da LGPD no RH

Novas demandas e obrigações relacionadas à proteção de dados exigem mudanças e atualizações nas empresas.

Em 18 de setembro deste ano, a Lei Geral de Proteção de Dados Pessoais (LGPD) foi sancionada e passou a vigorar no Brasil. Entre as punições por descumprimento do acordo, multas aplicáveis a partir de agosto de 2021. Diante disso, muitas organizações passam por um momento crucial, como, por exemplo, atualizar padrões de privacidade e proteção de dados para atender requisitos legais novos e aprimorados.

Em sua essência, a LGPD aumenta as expectativas das empresas na forma de gerenciamento, uso, armazenamento, proteção e processamento de dados pessoais. Em outras palavras, o setor de Recursos Humanos (RH) das empresas atua como guardião de volumes significativos de dados pessoais – sensíveis ou confidenciais em qualquer organização. Assim, devem ser tratados com o cuidado e a exigência necessários à medida que a nova – e exigente – lei é implantada.

Para colaborar às empresas, destacamos alguns pontos importantes na lista de verificação e específicos para RH

a) Transparência

Indivíduos engajados por qualquer organização (sejam funcionários, contratados, candidatos, estagiários ou voluntários, por exemplo) precisam receber informações mais detalhadas e acessíveis, com definições a respeito do uso dos dados pessoais. Isso, geralmente, é comunicado em um aviso de privacidade e deve ser fornecido aos envolvidos no início de qualquer relacionamento, inclusive atualizado regularmente.

Principais etapas de conformidade:

  • Revise/atualize os avisos de privacidade de funcionários e candidatos para atender aos requisitos de informações detalhadas;
  • Implemente procedimentos para garantir que os avisos sejam fornecidos no prazo, atualizados de acordo com as novas atividades de processamento e que os registros de controle de versão sejam mantidos;
  • Considere a introdução de notificações personalizadas para atividades de processamento específicas ou arriscadas, como verificação de antecedentes e fornecimento de certos benefícios.

b) Direitos Individuais

As organizações precisarão estar cientes dos direitos individuais aprimorados de acesso (sob um regime de acesso refinado de titulares de dados), objeções e retificações, bem como novos direitos de portabilidade, restrição e exclusão de dados. As equipes de RH devem ser capazes de reconhecer e lidar com solicitações individuais dentro de prazos rígidos. Assim, destacamos algumas necessidades:

  • Apresente orientação prática voltada para negócios e módulos de treinamento sobre como reconhecer e responder solicitações individuais de proteção de dados;
  • Trabalhe com equipes de TI/Tecnologia para realizar testes de sistemas e garanta a capacidade de responder adequadamente ao exercício de cada direito individual nos níveis técnico e prático;
  • Implemente períodos de retenção formais para categorias específicas de dados de RH e conduza exercícios de limpeza de dados de acordo com esses limites.

O RH também precisará ter uma documentação de consentimento do uso dos dados do colaborador ou candidato, onde explique a finalidade da utilização e o período de armazenamento previsto. Dentre as rotinas que irão exigir atenção redobrada, destacam-se os pontos:

  • Banco de currículos; · Dados fornecidos à seguradora do plano de saúde;
  • Dados compartilhados com a empresa responsável pelo fechamento de folha de pagamento;
  • Envio de dados para o sindicato e órgãos públicos;
  • Exames admissionais;
  • Dados pessoais (endereço, informações bancárias, contatos de emergência etc).

c) Legalidade de processamento

O processamento de dados pessoais para cada finalidade de RH identificada deve ser justificado em pelo menos um item de uma série de fundamentos legais prescritos. Os dias em que se confiava no consentimento do funcionário, que serão mais difíceis de justificar e pouco atraentes, pois os direitos de revogar o consentimento devem ser honrados, no contexto de uma relação de trabalho, acabaram. Em vez disso, serão necessários fundamentos jurídicos alternativos, como confiança nos interesses legítimos de uma organização ou necessidade contratual. As empresas devem, no mínimo:

  • Auditar e alocar fundamentos legais específicos em conformidade com a LGPD para todas as atividades e finalidades de processamento de dados de RH identificados, incluindo aqueles que envolvem categorias especiais de dados pessoais (ou seja, confidenciais);
  • Documente os fundamentos legais válidos em avisos de privacidade e, quando possível, o registro de atividades de processamento de uma organização;
  • Atualizar a política e a documentação contratual, incluindo contatos de emprego para remover a referência ao consentimento do funcionário como base legal aplicável ao processamento.

d) Qualidade e minimização de dados

As empresas devem ser capazes de demonstrar “proteção de dados” nos sistemas internos, de forma que o conceito de minimização de dados (em que a quantidade mínima de dados é retida pelo menor período possível) seja objeto central nas funções de RH. Isso pode ser alcançado através de uma combinação de medidas técnicas, organizacionais e práticas, como:

  • Introdução de diretrizes claras e estruturas de relatórios para avaliar e aprovar a necessidade e o escopo de todas as iniciativas de processamento de dados de RH novas ou alteradas;
  • Formalização de limites claros de retenção de dados de RH (internamente e junto a fornecedores) e coordenação com a TI para garantir a implementação interna em um nível técnico;
  • Orientação voltada à empresa para garantir que as atividades de processamento de risco planejadas e/ou atuais sejam identificadas através de uma avaliação de impacto de proteção de dados (DPIA) em conformidade com a LGPD;
  • Nomeação de um encarregado de dados.

e) Compartilhamento de dados

Quando os dados de RH são compartilhados dentro de um grupo corporativo (plataforma de TI de RH, investigações específicas ou exercícios de redundância) ou com prestadores de serviços externos (que oferecem plataformas de hospedagem, produtos de gerenciamento de banco de dados ou facilitação organizações de benefícios/folha de pagamento), precisarão implementar novos arranjos práticos e contratuais com cada destinatário para garantir o contato de maneira adequada com os dados. Ressaltamos:

  • Auditar fluxos intragrupo de dados pessoais, classificar destinatários em potencial (ou seja, controlador ou processador de dados) e implementar acordos aprimorados de compartilhamento de dados de acordo com as obrigações da LGPD;
  • Mapear os fluxos de dados pessoais para fornecedores externos de RH. Realizar exercício de classificação (como imediatamente acima) e atualização de contratos de serviço por escrito para refletir os novos requisitos;
  • Aprimoramento do processo de integração formal para fornecedores com o objetivo de incluir classificação de privacidade e avaliações de verificação (ou seja, se eles podem cumprir suas obrigações de proteção de dados na prática). Agende revisões regulares;
  • Comprovação de que as obrigações de transferência de dados sejam cumpridas.

f) Transferências de dados

Embora a LGPD não mude fundamentalmente os requisitos relativos à transferência de dados pessoais através das fronteiras, as organizações que reavaliam acordos de compartilhamento de dados seriam sensatas em usar esta oportunidade para considerar a adequação contínua dos mecanismos de transferência internacionais atuais utilizados.

As funções de RH devem se concentrar em:

  • Mapear fluxos internacionais de dados de RH, internos e externos, lembrando que o simples acesso à informação no estrangeiro constitui uma transferência para efeitos de proteção de dados;
  • Implementar e manter uma base de dados viva (possivelmente, como parte de um registro formal da atividade de processamento) de destinatários de dados pessoais e mecanismos de transferência de dados correspondentes, que podem ser fornecidas a indivíduos mediante solicitação.

g) Violações de dados

A LGPD amplia as apostas em relação à segurança de dados pessoais, principalmente pelo maior risco de multas e sanções, caso ocorram violações de dados. Então, as empresas devem demonstrar capacidade para reconhecer, isolar, mitigar e responder rapidamente a incidentes de segurança, conforme procedimento formal, e relatar determinadas violações ao regulador.

As funções de RH e unidades de negócios individuais devem estar cientes de que o termo “violação de dados” não se limita a hackers maliciosos. Vale lembrar que arquivos pessoais perdidos em papel e destinatários de email também podem ser cobertos. As violações podem resultar de ações do funcionário, que, aparentemente, parecem inócuas. Encaminhar uma rede de email que contém dados pessoais ou confidenciais, por exemplo. Na prática, um caso possível, como “ela não vai trabalhar hoje porque sua filha está com catapora”.

Redução de riscos, conforme as seguintes etapas:

  • Implemente procedimentos de violação de segurança/dados claros e alinhados – em conjunto com as equipes de TI – para garantir que possíveis violações de dados possam ser mitigadas rapidamente;
  • Garanta que as medidas de segurança técnica e organizacional atendam todos os sistemas e funções de RH, inclusive limitações de acesso, criptografia e treinamento / orientação regulares;
  • Submeta as medidas de segurança a testes e avaliações periódicas (como uma simulação de incêndio, por exemplo) para garantir a capacidade de resposta em cenários variados;
  • Avise a equipe de que qualquer violação (seja eletrônica ou física) deve ser relatada imediatamente, garantindo que as políticas disciplinares sejam
  • atualizadas. A responsabilidade por qualquer incidente de segurança pode ser considerada uma ofensa disciplinar;
  • Revise cláusulas restritivas, bem como itens de confidencialidade nos contratos de trabalho e demais acordos de consultoria.

h) Responsabilidade

A conformidade passiva com a LGPD não é possível. Em vez disso, todas as funções de negócios – incluindo RH -, agora, precisam demonstrar conformidade com as obrigações de proteção de dados. As organizações devem trabalhar para atender a esse requisito: (i) introduzindo políticas e treinamento detalhados de proteção de dados; (ii) sujeitar os controles internos a auditorias e revisões regulares; e (iii) manter um registro abrangente e atualizado de todas as atividades de processamento.

Com isso em mente, as empresas devem:

Produzir e manter um registro abrangente da atividade de processamento, de acordo com os requisitos da LGPD, que pode ser fornecido às autoridades de proteção de dados mediante solicitação;

Implementar e/ou atualizar políticas e treinamento voltadas para os funcionários, incluindo TI e procedimentos disciplinares, abordando todas as áreas-chave;

Submeter os procedimentos e controles internos a análises e testes regulares, garantindo, assim, que resultados e medidas corretivas sejam devidamente documentados;

Considere realizar DPIAs, onde o processamento parece arriscado, como monitoramento de funcionários e verificação de antecedentes;

Os profissionais de RH trabalham com dados pessoais, produtividade, dados bancários, entre outros dados, que, quando interceptados por cibercriminosos, podem ser utilizados para fraudes, extorsões, entre outras atividades que coloquem em xeque a segurança dos funcionários;

Além disso, a indisponibilidade deles pode prejudicar a ação do setor, que terá problemas para realizar as atividades caso ocorra perda de informações internas. Por isso, é fundamental saber realizar um trabalho eficiente de proteção de dados. E, também, compreender como funciona a LGPD no RH e a melhor maneira em consonância à legislação vigente.

A LGPD é uma legislação importante para garantir a proteção das informações pessoais da população. Por isso, é fundamental que os negócios atuem alinhados às normas para evitar quaisquer problemas.

Sobre Aline Inácio

mm
Aline Inácio atua há mais de 17 anos nas áreas de Gestão de Riscos, Continuidade de Negócios e Administração de Seguros. Possui MBA Internacional em Gestão de Empresas e Negócios pela FGV, especialização em Governança Corporativa e Empreendedorismo na Babson Executive Education (Boston-EUA), especialização em Corporate Finance e Risk Management pela Columbia University (Nova Iorque –EUA), certificada pela AIRM - ALARYS International Risk Manager - e pelo DRI International. Atualmente, é business developer na Daryus Consultoria.

Confira tambem

Perícia Digital

Onde trabalhar com Perícia Digital?

Perícia Digital: a profissão moderna! A tecnologia não tem limite e já ultrapassou o ‘céu’, …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *