Por Carlos Alberto Ferraiuolo, diretor de Tecnologia e Inovação da Access
A Lei Geral de Proteção de Dados (LGPD) tem nova data para entrar em vigor: dezembro de 2020 – anteriormente o prazo era agosto do mesmo ano. A nova lei define como as empresas devem tratar os dados de funcionários e de clientes, garantindo mais privacidade e direitos aos titulares dos dados como acesso, correção, eliminação, portabilidade e revogação de consentimento. As multas previstas para o descumprimento das normas da LGPD variam de 2% do faturamento bruto até R$ 50 milhões por infração.
Mesmo com um pouco mais de prazo, os departamentos de RH não podem “relaxar” na implantação dos projetos de revisão de seus procedimentos internos e contratos para atenderem as novas normas.
Eliana Fialho Herzog, advogada coordenadora do Comitê Especial da LGPD da Federasul (Federação de Entidades Empresariais do Rio Grande do Sul) aconselha o RH a iniciar a adequação à LGDP com a catalogação dos ativos (de dados) mantidos pela empresa, identificando os dados pessoais disponíveis e a real necessidade de guarda e tratamento desses dados, avaliando quais podem ser enquadrados na categoria de sensíveis.
Junto com o desenvolvimento de uma nova Política de Governança e programas de conscientização das novas regras, o processo de catalogação permitirá realizar um mapeamento detalhado dos dados pessoais tratados pela empresa e do seu ciclo de vida, identificando:
Quais são os dados armazenados atualmente;
Quais são os dados que devem ser legalmente mantidos – para atendimento do eSocial, por exemplo;
Quais são os dados imprescindíveis ao desenvolvimento da atividade laboral – formação, registro profissional, certidões negativas etc.;
Por quanto tempo será necessário manter esses dados armazenados;
Como proteger os dados armazenados;
Quais são os dados disponíveis e que podem ser descartados;
Quais são os dados que devem ser mantidos e dependem de autorização do colaborador titular para armazenamento e tratamento;
Avaliando cada etapa dos processos de RH
É com esse conhecimento dos ativos de dados que fazem parte do RH, envolvendo funcionários, candidatos a vagas de emprego e prestadores de serviços, como a empresa responsável pela gestão de documentos, que iremos avaliar como a LGPD afeta cada um dos processos.
Os líderes de RH devem começar avaliando o sistema de armazenamento de currículos no banco de dados da empresa. É preciso garantir que políticas de acesso estejam implantadas e que a infraestrutura de TI conte com soluções de segurança que impeçam o vazamento de informações.
Em segundo lugar, todos os funcionários devem ter conhecimento de quais dados pessoais são necessários para cumprimento de obrigações legais e quais podem ser considerados sensíveis, como informações médicas que podem, inclusive, ser compartilhadas com operadoras de planos de saúde.
Nesse caso, devem ser incluídas cláusulas específicas nos contratos de trabalho onde o funcionário concorda com o tratamento que será dado aos seus dados pessoais para uma determinada finalidade – no caso inclusão no plano de saúde corporativo. E o contrato entre a empresa e a operadora de saúde também deve ser revisto, de modo a garantir a conformidade com a LGPD. O fornecedor deve incluir as suas obrigações de proteção de dados no contrato para refletir os novos requisitos de segurança.
Mantendo a conformidade na gestão de documentos do RH
A nova Política de Governança precisa contar com regras de acesso aos dados bem definidas. Os funcionários responsáveis pela folha de pagamento, por exemplo, devem ter acesso a quais informações? Quais informações poderão ser consultadas pelos médicos do trabalho? Essa graduação de escala de acesso pode ser implantada via regras de permissão nas senhas disponibilizadas para acessar o sistema de gestão de documentos.
Além disso, o sistema de gestão de documentos precisa fornecer uma trilha de auditoria segura para cada ação em cada documento, identificando data, funcionário e alterações, garantindo a segurança dos dados.
E, finalmente, não podemos esquecer do elemento humano: nenhuma tecnologia será capaz de impedir que um funcionário perca um arquivo de pessoal em cópia impressa, esqueça um documento na máquina copiadora ou reenvie uma cadeia de e-mail que contenha dados sensíveis em alguma de suas mensagens. A solução? Treinamento e conscientização de todos os funcionários da empresa e também a implantação de um processo para notificação imediata em caso de suspeita de qualquer violação às normas da LGPD.