Blog Post

IMPACTOS DA LGPD NAS ROTINAS TRABALHISTAS

IMPACTOS DA LGPD NAS ROTINAS TRABALHISTAS

A Lei Geral de Proteção de Dados Pessoais brasileira (LGPD) – Lei nº 13.709/2018, de 14 de agosto de 2018, entrou em vigor no dia 18 de setembro, mas quais os reflexos que a referida lei irá causar nas rotinas trabalhista e quais procedimentos deverão ser adotados para evitar as sanções nela previstas?
Muitas são as dúvidas sobre os impactos da LGPD nas rotinas trabalhistas e relações de trabalho.

No artigo publicado no último dia 10 de setembro em nosso blog, o colunista Sérgio Lopes levantou algumas preocupações que as empresas devem atentar para fins de adequação aos requisitos da LGPD.

LGPD e as rotinas trabalhistas

Dentre desafios mencionados no artigo supra, destacamos os que estão diretamente ligados com as rotinas trabalhistas:

  • Elaboração de política de privacidade e de termo de consentimento para uso de dados pessoais a serem assinados por conselheiros, diretores, executivos, empregados, candidatos, clientes, fornecedores, terceirizados e público em geral que venha a realizar cadastro na empresa e de procedimentos e normativas específicas de coleta e tratamento de dados pessoais;
  • Revisões dos contratos individuais de trabalho e dos contratos de prestação de serviços mantidos com terceiros para inclusão de cláusulas específicas para atendimento aos requisitos da LGPD.
IMPACTOS DA LGPD NAS ROTINAS TRABALHISTAS

Para entender um pouco mais sobre os aspectos que devem ser observados pelas empresas para a adequação à LGPD, acesse a íntegra do artigo aqui.

Princípios Norteadores da LGPD

Para que se possa ter maior compreensão e assertividade nas decisões e reformulações documentais e como agir no dia a dia, especialmente nas rotinas de Departamento Pessoal, é imprescindível conhecer alguns princípios de grande relevância e que regem a LGPD, dentre os quais destacamos:

Finalidade

É necessário ter um propósito específico e legítimo que justifique a coleta do dado e que deve ser informado ao titular do dado.

Adequação

Dar ao dado coletado tratamento compatível com a finalidade previamente informada ao titular. Assim, não se pode coletar um dado específico necessário para o contrato de trabalho e disponibilizar para mailing list de marketing, por exemplo.

Necessidade

Avaliar se a empresa está coletando somente o que precisa, ou seja, o dado coletado/processado deve ser limitado ao mínimo necessário às finalidades.

Qualidade

Implica em exatidão, relevância e atualização dos dados. Nesse ponto, é importante que as empresas verifiquem como estão os cadastros de seus funcionários, se estão atualizados no que se refere a endereço, estado civil, nascimento de filhos etc.

Transparência

O proprietário do dado deve ter informações precisas, claras e de fácil acesso sobre os agentes de tratamento, sendo resguardado à empresa seus segredos comerciais e industriais.

Livre acesso

O detentor do dado tem direito à consulta facilitada e gratuita sobre a forma, a duração do tratamento e a integralidade dos dados. Desta forma, torna-se necessário catalogar e armazenar de maneira adequadas os dados, fazendo constar inclusive o tempo de tratamento do dado.

Não discriminação

Além dos aspectos já previstos na legislação trabalhista quanto à não discriminação, a LGPD determina que os dados pessoais não podem ser utilizados para fins discriminatórios, ilícitos ou abusivos.

Segurança

Utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Ou seja, precisa estar claro quem terá acesso, como se dará esse acesso, bem como as ferramentas de proteção dos dados coletados.

Implica no dever de adoção de medidas prévias para evitar a ocorrência de danos em virtude do tratamento de dados pessoais. Desta forma, as empresas devem agir antes dos problemas acontecerem e não somente depois. Para atuar de forma preventiva, recomendamos a observância dos padrões internacionalmente reconhecidos, como a ISO 27001:2013, que trata especificamente de Sistemas de Gestão da Segurança da Informação.

Para saber mais, confira as 5 Dicas de Ouro que podem e devem ser tomadas para garantir a Segurança da Informação dentro das empresas, elaboradas pelo especialista no assunto, Thiago Henrique Nielsen.

Responsabilização e Prestação de Contas

Não basta cumprir a LGPD, a empresa deve ter provas e evidências de todas as medidas adotadas, para demonstrar a sua boa-fé e a sua diligência. Assim, a empresa deve possuir a trilha de tratamento dos dados, de forma documentada quanto ao procedimento adotado, comprovar a utilização de protocolos e sistemas que garantam a segurança dos dados e o acesso facilitado do titular sempre que preciso. Outras evidências podem ser comprovantes de treinamentos ministrados e também a contratação de consultoria especializada.

Ao nosso ver, a compreensão dos princípios da LGPD facilitará o desenvolvimento das rotinas trabalhistas e de gestão de pessoas nas relações de trabalho. Ademais, internalizando a essência da LGPD, ficará mais fácil criar normativos adequados e fazer as reformulações nos documentos em todas as fases da relação de trabalho, conforme veremos a seguir.

LGPD CONTRATAÇÃO

Fases da relação de trabalho na LGPD

A LGPD prevê a proteção de dados na relação de trabalho compreendendo não apenas o período de duração do contrato do trabalho em si, mas também as fases  pré-contratual e pós-contratual. A fase pré-contratual engloba o recrutamento e seleção e a fase pós-contratual é, como o próprio nome diz, a que ocorre após o encerramento do contrato de trabalho.

Vejamos os principais aspectos que merecem ser observados em cada uma destas etapas.

Fase Pré-Contratual

Na fase pré-contratual ocorre o recrutamento e seleção de novos funcionários, assim, desde a convocação para o processo seletivo a empresa deve avaliar a necessidade e pertinência dos dados que serão requeridos ao candidato, tanto os dados pessoais propriamente ditos, como também os chamados dados pessoais sensíveis.

Recomendamos que a empresa tenha um documento em que o candidato dê seu consentimento expresso acerca da coleta e utilização dos dados. É importante revisitar os procedimentos e os formulários de coleta de dados, adequando-os aos requisitos e princípios norteadores da LGPD.

Da mesma forma, a empresa precisa ter claramente em seu procedimento o que fará com os dados obtidos de candidatos que forem dispensados da vaga, inclusive estipulando prazo de manutenção e descarte de currículos de seu banco de dados. A mesma regra vale para o compartilhamento de currículo, caso em que o titular precisa saber e anuir expressamente.

Em nossas auditorias, comumente verificamos na pasta física do funcionário o seu currículo, contendo diversos apontamentos escritos à mão, coletados no momento da entrevista pessoal e, sob os olhos da LGPD, isto não é nada bom. Assim, recomendamos que eventuais anotações colhidas durante uma entrevista sejam devidamente descartadas após encerrado o processo de recrutamento e seleção.

Não menos importante é ter cautela com as informações pretéritas do candidato pois, como dito acima, a não discriminação é um princípio da LGPD, endossando as vedações comumente já proibidas pela Justiça do Trabalho. Assim, as buscas e investigações sobre a vida pretérita do candidato deve ser relevante e estar vinculada com a função que será desenvolvida, sob pena de ser considerada abusiva.

Fase Contratual

No ato da contratação a empresa deverá dar ciência das finalidades de uso dos dados pessoais, sendo necessário ao funcionário autorizar expressamente sua utilização nas ações relacionadas ao seu contrato de trabalho. Ressaltamos que as autorizações não devem ser genéricas, sob pena de serem consideradas nulas.

Ao nosso ver, importante constar expressamente, de forma individualizada e destacada, a finalidade da utilização dos dados necessários para:

  • Planos de saúde (dados do titular e dependentes);
  • Cartão refeição/transporte;
  • Seguro de vida e acidentes pessoais;
  • Gestão de folha de pagamento.

Não se pode confundir o termo “autorização expressa” com consentimento. Isto porque, embora o funcionário precise autorizar expressamente, não é necessário consentir com o fornecimento de certos dados que lhe sejam requeridos, caso estes sejam necessários para a própria execução do contrato de trabalho. Entretanto, se o dado não for necessário para a execução do trabalho, a coleta, o armazenamento e o tratamento destes dados dependerão de consentimento do titular.

O empregado tem direito de acesso a todos os seus dados, podendo requerer que a empresa informe sobre a natureza e destinação das informações, bem como que a empresa efetue o descarte dos mesmos quando da rescisão contratual, à exceção dos necessários para cumprimento de obrigações legais e regulatórias.

Os compartilhamentos de dados dos funcionários para os Sindicatos da Categoria Profissional também merecem cautela, na medida em que será justificado somente nos casos decorrentes de previsão em lei, decisão judicial, norma coletiva ou se houver concordância expressa do titular do dado.

BIOMETRIA dados protegidos pela LGPD

Outro aspecto de extrema relevância é que os dados biométricos são considerados dados sensíveis e também são protegidos pela LGPD, sendo cabível sua coleta e utilização mediante consentimento expresso do titular para uma finalidade específica ou quando indispensáveis para o cumprimento de uma determinação legal, como ocorre com o registro eletrônico de ponto (REP).

Assim, é de extrema importância elaborar ou revisar políticas internas com o objetivo de definir a forma de coleta, atualização de dados e acesso aos dados pessoais dos quais é controladora, operadora ou encarregada, inclusive estabelecendo penalidades em caso de uso indevido dos dados.

Fase Pós-Contratual

Após encerrado o contrato de trabalho, os dados pessoais do trabalhador devem ser eliminados, com exceção das hipóteses de obrigação legal de guarda de documentos para atendimento de fiscalizações e defesas em ações trabalhistas.

Nesse ponto, recomendamos a elaboração de uma política de retenção de dados, para constar claramente quais os dados serão tratados mesmo após o encerramento do contrato de trabalho, de que forma e por quanto tempo.

Impacto da LGPD nos contratos de terceirização

Outro aspecto de extrema relevância ocorre no tratamento de dados nas atividades terceirizadas, incluindo tanto os dados compartilhados como também solicitados para fins de verificação das obrigações trabalhistas.

Assim, as empresas prestadoras de serviço que precisam comprovar para as empresas tomadoras que cumprem suas obrigações trabalhistas, devem solicitar a autorização dos funcionários para fazer o envio de forma segura.

Ainda no tocante à terceirização de serviços, recomendamos que as empresas criem obrigações específicas em seus contratos comerciais, de acordo com as exigências impostas pela LGPD no tratamento de dados.

É importante assegurar que as empresas terceirizadas, inclusive no caso de gestão de folha de pagamento, também tenham padrões de segurança e metodologias adequados à LGPD.

Se quiser conferir dicas sobre Aplicativos e Proteção de Dados Pessoais, bem como saber o que as empresas deverão fazer para adaptarem seus apps à LGPD, recomendo a leitura deste artigo elaborado pela nossa CEO, Roberta Volpato Hanoff.

DPO - Data Protection Officer

DPO – Data Protection Officer

Direcionando para o final e sem o intuito de esgotar o tema, outro aspecto que diz respeito diretamente às relações de trabalho é a criação do cargo de DPO – Data Protection Officer, que nada mais é que o Encarregado de Proteção de Dados da empresa.

Nos termos da própria LGPD, algumas das atividades atribuídas ao DPO são:

  • Aceitar as reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • Receber comunicações da Autoridade Nacional de Proteção de Dados e adotar providências;
  • Orientar os funcionários e os contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, criando uma nova cultura;
  • Executar as demais atribuições definidas pelo controlador ou estabelecidas em normas complementares.

Com isso, nota-se que o profissional para o exercer o cargo de DPO deve ser multidisciplinar, incluindo conhecimentos legais, de segurança da informação e tecnologia, cabendo ao Departamento Pessoal e de Recursos Humanos auxiliar na criação da função e na seleção do profissional que melhor se enquadre às exigências do cargo.

Por se tratar de uma função bem específica, e bastante custosa para a companhia, entendemos ser possível a contratação de um profissional externo para ser o DPO, de forma terceirizada, para suprir as exigências da LGPD.

***

Quer saber mais sobre a LGPD? Então, baixe grátis o nosso e-book para aprender a procedê-los ou escreva-nos para tirar suas dúvidas!

Um abraço e até breve.

mm

Sobre Mariana Zardo

É coordenadora e consultora em Direito do Trabalho da Studio Estratégia – Governança, Riscos e Compliance, formada em Direito pela FGG – Faculdade Guilherme Guimbala e especialista em Direito do Trabalho e Processo do Trabalho pela Faculdade Anhanguera. Email: mzardo.adv@gmail.com

2 thoughts on “IMPACTOS DA LGPD NAS ROTINAS TRABALHISTAS

  1. Sérgio Lopes disse:

    Prezada Dra. Mariana, como vai? Excelente artigo, Muito bem abordos os impactos da LGPD nas várias etapas de contratação de colaboradores. Um abraço, Sérgio Lopes.

Deixe seu comentário