Tudo que o RH e SST precisam saber sobre a LGPD

A Lei Geral de Proteção de Dados (LGPD) é a que tem como objetivo proteger os dados pessoais no Brasil. A Lei n.º 13.709 foi criada em agosto de 2018, mas teve duas modificações até o momento, entrando em vigor em 15 de agosto de 2020. O objetivo da proteção de dados é manter em segurança a privacidade das pessoas por meio do bom tratamento das informações pessoais.

A LGPD fornece e exige a proteção de dados, impondo deveres, obrigações e limitações aos agentes de tratamento. A Lei determina que as organizações que tratam informações pessoais precisam seguir determinadas diretrizes, fazendo com que departamentos, como Recursos Humanos (RH) e Saúde e Segurança de Trabalho (SST), tratem com mais rigor esses dados.

Como os dados estão definidos na LGPD?

Para compreender melhor a aplicabilidade da LGPD é necessário conhecer algumas definições disponíveis no art. 5º do documento. Para os fins desta Lei, considera-se:

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III – dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, ex. informação codificada

V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

Quais os princípios estabelecidos na LGPD?

Deve-se observar alguns princípios definidos na Lei conforme art. 6º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Quais os fundamentos da LGPD?

De acordo com a Lei, a disciplina da proteção de dados pessoais tem como fundamentos:

I – o respeito à privacidade;

II – a autodeterminação informativa;

III – a liberdade de expressão, de informação, de comunicação e de opinião;

IV – a inviolabilidade da intimidade, da honra e da imagem;

V – o desenvolvimento econômico e tecnológico e a inovação;

VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Quem está sujeito à LGPD?

Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica, de direito público ou privado, independentemente do meio, do país de sua sede, ou do país onde estejam localizados os dados, desde que:

I – a operação de tratamento seja realizada no território nacional;

II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou

III – os dados pessoais objeto do tratamento tenha sido coletados no território nacional.

Quando a LGPD não se aplica?

Esta Lei não se aplica ao tratamento de dados pessoais:

I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II – realizado para fins exclusivamente:

  • a) jornalístico e artísticos; ou
  • b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;

III – realizado para fins exclusivos de:

  • a) segurança pública;
  • b) defesa nacional;
  • c) segurança do Estado; ou
  • d) atividades de investigação e repressão de infrações penais; ou

IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

Como adequar a LGPD na sua empresa?

A proteção de dados é de total responsabilidade da empresa, sendo necessário mapear todos os procedimentos e definir em quais pontos as informações são coletadas. Por isso, para realizar um controle seguro e seguir as recomendações legais, existem seis práticas que podem ajudar a sua empresa a se adequar à LGPD:

Diagnóstico

Para começar a adequação à LGPD é preciso analisar e mapear todas as áreas e atividades que envolvam o tratamento de dados pessoais. É necessário identificar o que já tem sido feito na proteção dos dados pessoais e o que ainda deverá ser feito.

Nessa fase, é fundamental juntar o máximo de informações possíveis, com o objetivo de entender a operacionalização, garantindo maior assertividade na implementação e traçando as melhores estratégias de adequação.

Criação do Programa de Governança em Privacidade

A criação do Programa de Governança em Privacidade é um dos principais passos da implementação, já que o mesmo irá instruir a respeito da adequação e manutenção das práticas de proteção de dados, facilitando a compreensão de todos os envolvidos.

A LGPD não exige a criação do programa de governança e boas práticas, mas o recomenda aos operadores e controladores.

O programa auxilia em diversos pontos importantes, sendo eles: métodos de organização; regime de funcionamento; procedimentos de garantia à proteção de dados, como canais de reclamações e petições pelos titulares; normas de segurança; padrões técnicos; ações educativas; medidas de fiscalização interna e, até mesmo, sanções internas; tudo para viabilizar a proteção dos dados pessoais tratados.

Com o programa, é possível se planejar e focar na implementação em cada um de seus setores, sabendo exatamente o que precisará ser modificado ou adaptado para cumprimento das exigências legais.

Elaboração e revisão de documentos

Depois da criação do Programa de Governança em Privacidade e estratégias serem traçadas, será necessário elaborar ou revisar documentos relativos aos dados pessoais, como as políticas de privacidade e os termos de condições. Estes itens devem se adequar à LGPD e, principalmente, à legislação, evitando problemas futuros com os titulares dos dados e A autoridade nacional.

Garantia dos direitos dos titulares

A empresa deve focar em implementar todas as medidas práticas de segurança de dados pessoais e garantir os direitos dos titulares, de acordo com o resultado do diagnóstico e programa de governança. Neste momento, é importante colocar o plano em ação, implementando todos os mecanismos de adequação à LGPD.

Treinamento Interno

Após a adequação da LGPD, é necessário realizar treinamentos com todos os colaboradores, a fim de estabelecer uma cultura de proteção de dados na empresa. Isso porque, seria em vão implementar sistemas de segurança de dados, sendo que aqueles que os operam, não estão aptos às boas práticas.

Os treinamentos devem garantir que todos os colaboradores estejam alinhados ao conceito, importância, princípios e finalidades da LGPD.

Revisão Final

Após a implementação e treinamento completo da LGPD, é importante que a empresa faça uma revisão das medidas concedidas, dentro da prática do dia a dia, verificando eventuais falhas e corrigindo-as, até que se ateste a completa adequação.

Aplicação da LGPD na SST

O departamento de SST possui vários documentos, sistemas e práticas que solicitam dados pessoais, sendo eles:

  • Contratos e/ou documentos com dados pessoais de fornecedores e clientes;
  • Lista de presença com dados pessoais para confirmação em treinamentos, eventos e palestras;
  • Atas de reunião com dados pessoais dos participantes;
  • Fotos pessoais para divulgação de treinamentos, dinâmicas e/ou simulações;
  • Planos de ação e/ou treinamentos com dados pessoais;
  • Dados pessoais em documentos de segurança, como por exemplo, planos de emergências, listagens de equipes de emergências com dados pessoais, ordens de serviços, entre outros.
  • Monitoramento por câmeras de segurança (CFTV).

Além disso, existe alguns processos de medicina do trabalho que utiliza dados pessoais, como o Atestado de Saúde Ocupacional (ASO)exames obrigatórios do Programa de Controle Médico de Saúde Ocupacional (PCMSO), que são considerados dados sensíveis.

O principal desafio que engloba a LGPD na medicina do trabalho é a grande quantidade de dados pessoais que circulam pelas empresas. O grande volume de informações ocasiona a dificuldade de controle. Devido a isso, é essencial contar com um sistema de gestão que trate da segurança dos dados e, principalmente, dos dados pessoais dos integrantes inseridos na base.

Como tratar os dados de SST?

Para o controle de dados nos processos de SST, recomenda-se a empresa fazer uma gestão da LGPD, contemplando:

  • Inventário de dados pessoais: representa o documento primordial para registrar o tratamento de informações realizados pela instituição em alinhamento a LGPD;
  • Obtenção do consentimento: etapa mais demorada, mas deve ser iniciada após inventário de dados, quando se tem todos os dados identificados e inventariados. Deve-se acionar todos os titulares dos dados, informar a finalidade do uso daqueles dados, obter e armazenar as autorizações.

 

  • Descartar os dados não necessários: se desfazer do que não pode ser justificado. Isso porque, quanto mais dados, maior o risco e esforço para protegê-los e, assim, buscar consentimento.

 

  • Proteção dos dados: avaliar a segurança dos dados que restaram após a limpeza e implementar ações para garantir a proteção, através de segurança física, lógica, controles de acesso, rastreabilidade, entre outros.

 

  • Gestão dos dados: fazer o gerenciamento e mapeamento para responder demandas de usuários, clientes e órgãos de controle.

Aplicação da LGPD no RH

O RH lida diretamente com todos os tipos de dados (colaboradores, processos seletivos e terceiros) e, por isso, é preciso cuidado extra ao que prega a LGPD.

Existem três pilares fundamentais no recolhimento de dados pessoais, conhecidos como Princípio da Necessidade, que devem constar na hora de mapear todas as informações armazenadas pelo RH, sendo eles:

  • Finalidade: razão da empresa coletar aquele dado específico. A finalidade precisa ser explicada ao titular do dado e, de forma alguma, pode ser desviada do que foi informado;
  • Adequação: considerar a privacidade de seus funcionários e clientes, além de adequarem seus sistemas e processos a essa nova cultura.
  • Necessidade: os dados necessitam ser usados exclusivamente para as finalidades informadas no momento da coleta.

Como tratar os dados de RH?

É sugestível que os titulares dos dados tenham livre acesso as informações sobre como os dados pessoais são utilizados pela empresa, que deve zelar pela segurança dos mesmos, evitando possíveis vazamentos. Com isso, alguns processos realizados pelo RH precisam ser adequados à LGPD:

  • Processo seletivo: a preservação dos dados já deve começar no processo de seleção do colaborador. No caso de banco de talentos com os currículos recebidos, por exemplo, o titular deve consentir com a coleta das informações presentes nos documentos. Vale ressaltar que perguntas que já foram consideradas padrões, como o número de filhos ou a cor da pele, são atualmente consideradas como sensíveis. Segundo a LGPD, não há necessidade de elas serem feitas, não podendo utilizá-las para fins discriminatórios. O ideal é que sejam coletados apenas os dados essenciais e, desde o princípio, sinalizar aos candidatos qual a finalidade do recolhimento de cada informação. É importante apresentar as políticas de privacidade adotadas pela empresa.
  • Controle de Ponto: muitas empresas já realizam o controle de ponto de forma eletrônica, seja por biometria ou reconhecimento facial. Esses dados são considerados dados sensíveis, sendo necessário ter autorização do funcionário para que possam continuar a ser utilizados, deixando claro que serão usados apenas para tal finalidade.
  • Crachás de identificação: os crachás corporativos, na maioria das vezes, possuem a foto do colaborador, que também pode ser um dado sensível e motivo de discriminação. O RH deve apostar em novos formatos de crachás, com o nome da pessoa e um código de identificação único, que permita identificar o uso indevido no material.
  • Disponibilização dos dados para empresas de benefícios, sindicatos e órgãos públicos: nesses casos deve haver o consentimento do titular e a garantia de que as informações estarão seguras e serão utilizadas para o fim combinado. Isso envolve a adequação de cláusulas no contrato de trabalho e zelo extra no compartilhamento, comunicação ou transferência de dados pessoais a terceiros.
  • Desligamento dos funcionários: é preciso ter definido um processo operacional padrão com os dados que devem ser mantidos por questões legais e quais podem ser excluídos, devido ao término da finalidade que justificava o armazenamento.

Qual a penalidade de não cumprir a LGPD?

Desde agosto de 2021, empresas que descumprirem as determinações da Lei poderão sofrer sanções da Autoridade Nacional de Proteção de Dados (ANPD). As punições começaram após o término de quase um ano de prazo que as empresas tiveram para se adaptarem.

Caso a ANPD receba denúncias sobre o descumprimento de qualquer determinação da LGPD, um processo administrativo poderá ser aberto pelo órgão. Se a empresa for de fato processada, ela tem direito a defesa. Em caso de condenação, poderá resultar nas seguintes penalizações:

  • Advertência;
  • Publicidade da infração, para alertar a sociedade de que a empresa desrespeitou as regras;
  • Multa simples, de até 2% do faturamento da empresa – máximo de R$ 50 milhões;
  • Multa diária;
  • Bloqueio dos dados pessoais referentes à infração;
  • Eliminação dos dados pessoais referentes à infração;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais por até seis meses – podendo ser estendido por mais seis;
  • Proibição parcial ou total do exercício de atividades ligadas aos dados pessoais.

 

 

 

 

Abrir WhatsApp
💬 Precisa de ajuda?
Olá 👋
Podemos te ajudar?