Não tem mais volta. Vivemos, desde sexta (18) sob o conjunto de regras da LGPD. As empresas que até aqui ignoraram seu funcionamento, não estarão mais impunes. Precisam entender que, por ser uma lei com características transversais e multissetoriais, seu alcance é amplo. Por isso, atinge não somente as relações de consumo, mas também diversas relações jurídicas, inclusive as relações de trabalho e emprego.
Além disso, as empresas são feitas de pessoas. Adequar as empresas significa, portanto, adequar também as condutas das pessoas que estão inseridas nas organizações.
“O papel dos departamentos pessoal (DP) e de gestão de pessoas (RH) será de grande protagonismo no meio desta grande transformação social”, afirma Mônica Villani, advogada e sócia do escritório Mônica Villani Advogados, com atuação especializada em direito empresarial e das startups, compliance de proteção de dados.
Com a entrada em vigor da LGPD, todas as operações de tratamento de dados pessoais realizadas por pessoas físicas ou jurídicas, com fins econômicos, independentemente do meio (físico, eletrônico, digital etc.), realizadas em território nacional, que objetivem a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados em território nacional, estarão sujeitas às disposições da LGPD.
Abaixo, a advogada resume os pontos fundamentais, que toda empresa precisa saber daqui para frente. Para começar, estas são algumas das principais definições trazidas pela LGPD:
(a) a pessoa natural a quem se referem os dados pessoais é chamada de titular, como é o empregado, o colaborador, o funcionário, o estagiário, o aprendiz, e assim por diante;
(b) o dado pessoal é qualquer informação que identifique ou que seja capaz de identificar seu titular. Pode ser nome, endereço, dados de contato, documentos, filiação, histórico escolar, dados profissionais, informações enviadas por currículo, dentre outros;
(c) o dado pessoal sensível contemplará informações relacionadas à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico – informações estas que as empresas facilmente detêm de seu quadro de colaboradores, seja para fins de compliance, para viabilizar a concessão de benefícios (como planos de saúde e odontológico), para atendimento de programas de diversidade, dentre outras finalidades;
(d) o dado será anonimizado caso não seja possível identificar seu titular. A anonimização é o processo de desvinculação (direta ou indireta) do dado ao seu titular, realizada através de meios técnicos irreversíveis, razoáveis e disponíveis à época da operação;
(e) os agentes de tratamento são o controlador e o operador. Ambos podem ser pessoas físicas ou jurídicas (ou seja, não são só as empresas que estão sujeitas à LGPD), mas a principal diferença entre estes agentes é que o controlador tem o poder de decisão sobre o tratamento dos dados pessoais – aqui se enquadrariam as próprias organizações diante dos tratamentos de dados de seu quadro de funcionários. É interessante destacar, ainda, que um mesmo agente de tratamento pode tanto ser controlador como operador em situações diferentes, pois esta qualificação dependerá das circunstâncias da operação de tratamento;
(f) o tratamento dos dados poderá ser coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. É uma definição bastante ampla, pois visa abranger toda e qualquer operação possível;
(g) por fim, todos os tratamentos de dados pessoais e dados pessoais sensíveis deverão observar os seguintes princípios: finalidades, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.
Principais riscos
Os descumprimentos das disposições previstas na LGPD, podem tanto expor as organizações às sanções administrativas previstas na lei – desde advertência à aplicação de multa de até 2% do faturamento, além da publicização da infração, do bloqueio e da eliminação dos dados pessoais a que se refere a infração – como às demandas individuais dos titulares, inclusive judicialmente, podendo culminar em obrigações de fazer e não fazer e em pagamento de indenizações.
Como se adequar e qual o papel das áreas de pessoas de uma organização
Será fundamental observar o enquadramento dos tratamentos de dados às hipóteses legais e garantir a prevenção a incidentes de segurança, levando-se em consideração as particularidades de cada organização, razão pela qual inexiste soluções padronizadas em se tratando de conformidade à LGPD.
Tanto o departamento pessoal como a área de gestão de pessoas deverão participar, no âmbito de suas respectivas atribuições no contexto da organização, do plano geral de adequação. Isso contempla desde o mapeamento dos fluxos de tratamento de dados que são realizados em nível departamental, até a revisão de todos os processos e o atendimento aos requisitos de segurança da informação que serão estabelecidos durante o programa de governança de dados que a empresa instituirá.
As áreas precisarão revisitar desde os processos de recrutamento e contratação até o desligamento dos colaboradores, funcionários, estagiários e aprendizes, passando pelos processos de folha de pagamento, concessão de benefícios em geral, recolhimentos de tributos e contribuições previdenciárias.
Ou seja, todas as formas de processamento e guarda dessas informações.
Ademais, as áreas de pessoas poderão exercer uma tarefa-chave em termos de conscientização e aculturamento de todos os participantes da organização em prol das medidas que a ela serão incorporadas em decorrência das determinações da LGPD, haja visto que a governança de dados deverá fazer parte do dia a dia da empresa.
“Assim, é imprescindível que estas áreas dedicadas às pessoas da organização se preparem para atender as disposições da lei e também assumam essa importante função disseminadora de novos hábitos em benefício da conformidade da empresa às novas regulações relacionadas à privacidade e à proteção de dados”, conclui Mônica.