Lei Geral de Proteção de Dados – impacto nas rotinas de RH das empresas
A Lei Geral de Proteção de Dados (LGPD), Lei 13.709, publicada no último dia 14 de agosto de 2018, já é uma realidade, apesar de prever expressamente que as suas sanções somente serão aplicáveis a partir de agosto de 2020 (a prevalecer o novo prazo de vacância, previsto agora em 24 meses, na forma da Medida Provisória 869/2018).
A norma se aplica a pessoas físicas e jurídicas de direito público e privado, que realizam o tratamento de dados, bem como às pessoas físicas que tem seus dados coletados, independentemente do meio (físico ou digital), do país de sua sede ou do país onde estejam localizados os dados.
Quaisquer informações que possam levar a identificação de uma pessoa, de maneira direta ou indireta, por referência a um nome, a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, econômica, cultural ou social, são considerados dados pessoais.
Assim, além dos impactos que a norma trará para o dia a dia das empresas com relação ao objeto e destinação de negócio, e com relação aos dados de seus clientes e produtos, é necessário um olhar especifico interno – na medida em que dispõe a empresa de uma série de dados dos seus próprios colaboradores, que igualmente deverão ser analisados, protegidos e tratados adequadamente.
Com efeito, o acesso aos dados dos empregados e prestadores terceirizados, e sua utilização para finalidades diversas, tanto pelas entidades privadas quanto pelos entes públicos, geram responsabilidades.
Em Recursos Humanos, a matéria já gerava debate antes mesmo da legislação, quando estávamos tratando, por exemplo, dos dados dos empregados mantidos junto aos serviços de medicina ocupacional (SESMT) das empresas. Mesmo para uso dos dados clínico/assistenciais dos colaboradores em reclamatórias trabalhistas a questão era polêmica. Algumas empresas optam por solicitar ao reclamante a autorização para disponibilização dos dados assistenciais. Outras entendem que, como a ação proposta pelo empregado versava sobre acidente ou doença ocupacional, tal autorização estava implícita. E havia ainda o caminho mais seguro, em que a empresa solicita expressamente ao julgador do processo a autorização para trazer os dados pessoais à demanda, considerando a ação, a partir de então, sigilosa.
Entretanto, além das responsabilidades anteriores, inquestionavelmente, a partir da edição da nova norma, diversos impactos nas rotinas de recursos humanos das empresas advirão das disposições indicadas.
De plano, em atenção ao regramento, a empresa tem a obrigação de designar a pessoa responsável pela proteção dos dados, o Encarregado da Proteção de Dados, ou DPO (Data Protection Officer). Este responsável é a pessoa indicada pelo Controlador para ser o elo de ligação entre o Controlador, os Titulares e a Agência Nacional de Proteção de Dados, bem como disseminar a cultura de proteção de dados, e orientar os empregados sobre práticas de tratamento de dados, entre outras. Após a edição da Medida Provisória 869/2018 abriu-se a possibilidade de que a função de Encarregado possa ser também exercida por pessoa jurídica.
Além disso, é absolutamente recomendável que as empresas utilizem o prazo havido entre a publicação da norma e sua efetiva vigência (que acabou por ser prorrogada para 24 meses, através da MP 869/2018) para que seja implantado uma política de governança ou programa para proteção de dados e coletadas autorizações/consentimentos específicos para o uso destes dados anteriormente armazenados, em conformidade com a nova lei. A implantação desta Política de Governança para guarda e uso destes dados pessoais, com transparência e confiabilidade, é imprescindível.
E aqui os gestores de RH assumem o papel de protagonistas frente as novas obrigações legais, programando estratégias e treinamentos de conscientização das novas responsabilidades. Precisarão também ser apoiados pelo time de Tecnologia da Informação da empresa, para a verificação dos processos – coleta, uso e guarda dos dados – e auditoria/verificações continuas, para confirmar se os procedimentos estão sendo executados de acordo com as diretrizes definidas pela organização.
Entre as novas práticas que deverão ser desenvolvidas, está a catalogação dos ativos (de dados) mantidos pela empresa, ou seja, catalogação dos dados pessoais que estão atualmente disponíveis, e a identificação da real necessidade de guarda e tratamento destes dados.
Com efeito, no cadastro do colaborador a empresa dispõe de vários dados pessoais – desde RG, CPF, PIS, sexo, cor, religião… até os mais complexos, ou dados sensíveis (no dizer da norma), como as doenças apresentadas, os tratamentos realizados, etc.
O desenvolvimento da Política de Governança/Segurança da Informação e a catalogação destes dados hoje mantidos permitirá definir, entre outras questões: (a) quais são os dados que mantenho hoje armazenados? (b) quais são os dados que legalmente devo manter? (Para atendimento do e-social, por exemplo); (c) quais são os dados imprescindíveis ao desenvolvimento da atividade laborativa (formação, registro profissional, certidões negativas, etc); (d) por quanto tempo preciso manter estes dados armazenados? (e) como proteger os dados armazenados? (f) quais são os dados que disponho e poderão ser descartados? (g) quais são os dados que pretendo manter e dependem de autorização do colaborador titular para armazenamento e tratamento?
Neste ponto é importante esclarecer que a Lei Geral de Proteção de Dados é expressa ao excepcionar a possibilidade de uso de tratamento de dados pessoais, mesmo sem a respectiva autorização concedida pelo titular, por exemplo, para o cumprimento de obrigação legal ou regulatória pelo Controlador dos dados – ou seja, para atendimento das obrigações trabalhistas, fundiárias (FGTS) ou previdenciárias, ou em caso de fiscalizações pelas autoridades públicas, a empresa poderá disponibilizar estes dados, independente da previa obtenção do respectivo consentimento pelo empregado. Desde que restrita a divulgação/compartilhamento dos dados aos limites da fiscalização ou exigência legal.
Mesmo os dados classificados como “sensíveis”, como por exemplo a ficha médica do trabalhador, poderão ser utilizados para a proteção da vida ou da incolumidade física do trabalhador ou de terceiros – como por exemplo em caso de um acidente do trabalho em que são necessários tais dados para realização de uma cirurgia de urgência. Evidentemente no limite da necessidade de tais dados – e não indistintamente.
É igualmente imperioso que sejam discutidas e implantadas políticas internas que desenvolvam essa matriz de identificação e catalogação, bem como que disponham sobre a forma de tratamento dos dados que serão mantidos (inclusive quanto a obtenção de autorização para manutenção e utilização destes dados), tudo a fim de comprovar que efetivamente a empresa desenvolveu esforços para obter as autorizações e proteger os dados de seus colaboradores e familiares.
A forma de guarda, tratamento e mesmo a monitoração do uso destes dados (e sua rastreabilidade – ou seja, os caminhos que estes dados irão percorrer e quem os manuseará), deve estar descrita e bem representada na Política de Segurança da Informação que deverá ser desenvolvida.
Da mesma forma é imperioso descrever na Política de Segurança da Informação e desenvolver escalas de graduação de acesso a estes dados pelos colaboradores internos, mesmo aos colaboradores do RH e SESMT. Com efeito, por exemplo: aos colaboradores responsáveis pela folha de pagamento, quais são os dados que poderão/deverão ser disponibilizados? Aos médicos, engenheiros de segurança, enfermeiros e técnicos de enfermagem do SESMT, quais são os dados disponibilizados para consulta? Estes bloqueios e escalonamentos de acesso são demonstração do interesse e cuidado da empresa na guarda e destinação destes dados pessoais especificamente para o uso necessário.
Quanto a rastreabilidade dos acessos e movimentações de dados, sugere-se que o Recursos Humanos conte com o importante auxílio do time de Tecnologia de Informação da empresa. Deverão ser automatizados os processos de admissão e desligamento com privacidade; registrados e auditados os acessos aos sistemas e serviços; auditadas as alterações e concessões de acesso; eliminados acessos não aprovados ou com aprovações pendentes; mapeado o uso das contas incluindo trocas de senhas e campanhas de recadastramento; estar atentos para que, quando da alteração de cargo ou função os privilégios de acesso da antiga função sejam mantidos na nova; bem como definição da política que será adotada quanto a gestão de contas para terceiros.
Os colaboradores deverão receber sensibilização e comprovadamente receber treinamento quanto ao valor e importância destes dados, os cuidados de guarda e uso/tratamento destes dados, sua condição de sigilo, e a vedação de seu uso para fins diversos daqueles especificamente para os quais foram coletados. Este treinamento deverá compor também a rotina das novas admissões da empresa.
E igualmente é importante que fiquem adequadamente previstas na Política, e sejam oportuna e frequentemente divulgadas, as sanções que serão administrativamente aplicadas pela empresa aos colaboradores que desrespeitarem estas políticas internas, e especificamente as sanções aplicáveis para o caso de vazamento de dados por colegas.
Além disso, é recomendável que a empresa desenvolva, na Política de Segurança da Informação, o esclarecimento quanto ao dever de sigilo (Confidencialidade) dos colaboradores que tem acesso a estes dados, e desenvolva e implante a assinatura de Termos de Compromisso de Sigilo ou Acordos de Confidencialidade para os colaboradores de RH (entre outros que também terão acesso aos dados dos colaboradores).
Precisamos ter presente que este é um processo vivo, uma rotina com constante necessidade de revisão, divulgação e treinamentos, na medida em que a cada nova obrigação de informação, ou a cada nova admissão ou demissão de um colaborador, fica reavivada a necessidade de adequação dos dados que serão guardados, e a necessidade do novo treinamento ou retreinamento da equipe.
Não menos importante é considerar que as empresas precisam estar preparadas para, na forma que determina a Lei Geral de Proteção de Dados, em caso de vazamento de dados que venha a resultar em algum risco ao Titular, realizar a comunicação do incidente de segurança tanto ao Titular quanto a Autoridade Nacional de Proteção de Dados. Esta disposição deverá compor a politica de segurança a ser desenvolvida, e ser efetivamente objeto de comunicação, se porventura ocorrer o vazamento em questão.
Enfim, muitas frentes e oportunidades diferentes surgem a partir desta norma de proteção – a ensejar o protagonismo do time de Recursos Humanos na adequada e cuidadosa aplicação das rotinas diárias de gestão, em consonância com a nova legislação. Mãos à obra!
Eliana Fialho Herzog
Membro da Comissão Permanente de Proteção de Dados e da Divisão Jurídica da FEDERASUL.