Pontos de atenção da área de Recursos Humanos em relação à LGPD

Pontos de atenção da área de Recursos Humanos em relação à LGPD

Caio Machado, Camila Kojima e Flávio Machado*

04 de março de 2021 | 07h00

Caio Machado, Camila Kojima e Flávio Machado. FOTOS: DIVULGAÇÃO

Nos processos de verificação e certificação de aderência à Lei Geral de Proteção de Dados (LGPD), de tempos em tempos, deparamo-nos com clientes surpresos com o fato de que o departamento de Recursos Humanos (RH) também tenha que observar os ditames dessa lei, sob pena de responsabilização e multa de até 2% do faturamento, limitada a R$ 50 milhões.

Observando mais atentamente, as regras são claras: dados pessoais (inclusive, dados pessoais sensíveis) são fornecidos à empresa por candidatos a vagas de empregos, empregados e outros, com propósito definido. Portanto, devem ser armazenados somente pelo tempo necessário à consecução do propósito para o qual foram fornecidos, e somente isso.

Esse ponto não deveria causar surpresa nem espanto já que nos arquivos do departamento pessoal é que se encontram, geralmente, muitos dos dados pessoais mais delicados e sigilosos de toda empresa, desde currículos, avaliações, fichas de empregados, fichas médicas, contas bancárias, para citar apenas alguns.

A seguir, abordamos apenas algumas situações das muitas que atinem ao departamento de RH.

Recrutamento e seleção – fase pré-contratual 

O departamento de recrutamento e seleção, tipicamente, coleta em tempo integral currículos, formulários físicos e eletrônicos, anotações físicas de entrevistas, em meio físico e eletrônico.

Na medida em que tais registros digam respeito a uma pessoa identificada ou identificável, são dados pessoais conforme LGPD, ensejando, de pronto uma série de obrigações quanto às possibilidades de tratamento. Notadamente, se caracterizarem Dados Pessoais Sensíveis, conforme é o caso de registros médicos, salários, entre outros.

Entendemos que, particularmente, no caso de Departamentos Pessoais, de Empresas de Recrutamento e Seleção e outros que realizem serviços assemelhados, todos os dados pessoas sejam tratados como dados pessoais sensíveis.

O conceito de tratamento de dados é definido na lei, mas cabe aqui relembrar que envolve qualquer operação que envolva o dado pessoal, desde a sua coleta, armazenamento, transferência, cruzamento com outros dados.

Nesse sentido, é de extrema importância notar que os dados pessoais fornecidos ao departamento de RH o foram com uma finalidade específica, ou seja, objetivando a candidatura a uma vaga de emprego, por exemplo.

Por isso, o tratamento de tais dados pessoais deve respeitar o propósito de avaliação e seleção de candidatos. O uso das informações fornecidas não deve extrapolar aqueles considerados legítimos e usuais dentro da atividade de recrutamento e seleção.

Esse “uso” (tratamento de dados) deve respeitar as balizas legais sobre a proteção da privacidade do indivíduo, o que inclui a duração do armazenamento, proteção do sigilo e mesmo a limitação de utilização para fins secundários.

Não seria legítimo, por exemplo, que se se usasse o endereço de e-mail dos candidatos a uma vaga para enviar anúncios publicitários sobre produtos da empresa, a menos que o candidato tenha previamente consentido explicitamente com isso.

A questão da finalidade da informação recebida de candidato pelo departamento de RH nos parece, neste caso, facilmente identificável. Ou seja, esta informação somente pode ser utilizada para a finalidade de recrutamento, seleção e contratação do candidato para uma determinada vaga, em uma determinada organização para a qual se candidatou.

Rigorosamente falando, ela não deveria ser utilizada sem consentimento prévio do candidato, para fins de contratação para outra posição, ainda que dentro da mesma empresa e, menos ainda, em outras empresas do grupo empresarial.

Particularmente, o compartilhamento de currículos com terceiros, sem prévia autorização do candidato, conquanto já tenha sido mais comum no passado, muitas vezes, realizado com a melhor das intenções entre recrutadores de diferentes empresas, agora deve ser realizado com extrema cautela.

Essa situação tende a ficar ainda mais complexa e exigir maior atenção no caso de empresas de recrutamento, em que o próprio objeto da empresa é o recrutamento de pessoas. O que, de certo modo, transforma esses currículos e informações pessoais em sua “matéria prima” para suprir a demanda trazida pelas posições a serem preenchidas, em diversos clientes.

Muitas vezes, após o recrutamento e seleção para uma determinada vaga, os dados pessoais dos candidatos são armazenados em banco de dados, para consulta, para outras vagas e até mesmo o compartilhamento desses dados com outras empresas do mesmo grupo econômico.

Recomenda-se, com ênfase particular, cuidado especial no uso secundário dos dados pessoais de candidatos pelas empresas de recrutamento e nos casos de compartilhamento com outras empresas do grupo sem a autorização prévia e expressa do candidato, seja para aperfeiçoar seus próprios serviços, mediante tratamento dos dados seja para utilização em recrutamento para outras vagas em outras empresas.

Há que se ter em mente que um ou mais candidatos podem não desejar que seu currículo seja conhecido por determinadas empresas ou tampouco concordar que os dados fornecidos sejam utilizados para qualquer outra finalidade. Tudo isso exige um alinhamento claro com as bases legais previstas na lei.

Com a entrada em vigor da LGPD, os procedimentos internos relacionados ao recrutamento e seleção de candidatos deverão ser reavaliados, principalmente quanto à coleta, uso, compartilhamento, armazenamento e descarte desses dados pessoais.

Se não houver apoio nas bases legais para o tratamento de dados, o operador corre o risco de sofrer as punições previstas em lei.

Empregados e prestadores de serviços – fase contratual

Durante a relação de emprego, as empresas são legalmente obrigadas a coletar certos documentos e dados pessoais dos empregados. Não há dúvida sobre isso. Contudo, é comum que, por estratégia de negócios ou conveniência financeira, empresas, por exemplo, contratem parcerias para oferecer planos médicos e odontológicos, seguro de vida em grupo, ou benefícios em farmácias, clínicas, clubes e até academias.

Nesses casos, já foi muito comum que empregadores fornecessem a tais empresas parceiras acesso, ainda que parcial, a seus cadastros, de modo que os parceiros pudessem contatar diretamente seus empregados e demais prestadores de serviços.

Por vezes, mesmo anos depois, os representantes dessas empresas parceiras ainda se valiam dessas informações para, indevidamente, oferecer seus produtos e serviços. É bom ter em mente que, hoje, com as novas regulações, essa prática é tida como ilegal e pode encontrar duras sanções na LGPD.

No mesmo sentido, é importante considerar o acesso a informações, mesmo dentro da própria organização. A empresa é obrigada a estabelecer sistemas de governança de dados, que zelam pela integridade e sigilo dos dados.

Assim, para evitar acessos desnecessários e mesmo vazamentos, é necessário avaliar caso a caso, internamente, os propósitos internos de coleta e uso de dados e quais são os mecanismos de garantia implementados para proteger a privacidade e proteção dos dados pessoais de titular internos e externos.

Boas práticas incluem, por exemplo, promover o treinamento dos empregados que lidam com dados pessoais, visando criar uma cultura organizacional que assegure o respeito à LGPD, ou também criar níveis de acesso para os diferentes dados do sistema, evitando acessos desnecessários e indesejáveis. 

Ex-empregados e ex-prestadores de serviços – fase pós contratual 

Após o término do contrato de trabalho, as empresas têm o direito de guarda de certos documentos, relacionados aos ex-empregados e prestadores de serviços, que contêm dados pessoais, inclusive, para se precaverem em caso de fiscalização ou eventual ajuizamento de reclamações trabalhistas.

Ressalvadas as obrigações legais de guarda de documentos e informações, conforme previstas em lei, a LGPD obriga organizações a avaliar recorrentemente a real necessidade de se armazenar informações sobre ex-empregados.

Esses dados pessoais são de responsabilidade da empresa e, se não cumprem nenhuma função lícita dentro do funcionamento da empresa, são um verdadeiro passivo, por conta do custo de armazenamento e, sobretudo, o risco de que venham a ser divulgados ou utilizados indevidamente.

É importante, por oportuno, lembrar que os dados pessoais (inclusive aqueles definidos como dados pessoais sensíveis, que têm tratamento legal ainda mais restrito) podem estar em qualquer meio, seja em papel, eletrônico ou outro, inclusive nas caixas postais de e-mails, que são muitas vezes armazenadas após o empregado ou prestador de serviços deixar a empresa.

Fiscalização e certificação LGPD 

Além das fiscalizações trabalhistas, as empresas poderão ser fiscalizadas pela Autoridade Nacional de Proteção de Dados (ANPD), sendo necessária a indicação da figura do Encarregado de Proteção de Dados (Data Protection Officer – DPO) que é a pessoa nomeada pelo empregador para atuar como canal de comunicação entre este último e os titulares dos dados e a ANPD[1].

Portanto, as empresas deverão obrigatoriamente designar uma pessoa para essa função.

É provável que, com o passar do tempo, surjam questões cíveis e trabalhistas com origem na prestação de serviços pessoais (inclusive, por MEIs e EIRELIs) relacionadas à LGPD. Nossa percepção é que, de acordo com nossa experiência, empresas tendem a armazenar (e tratar) mais informações do que necessitam para o exercício de suas atividades.

Isso nos parece ser uma tendência muito prevalente também na área trabalhista, em que uma grande quantidade de documentos é armazenada, inclusive documentos cuja guarda não tem previsão legal, nem são necessários à consecução das atividades da empresa, seja em pastas físicas seja em pastas eletrônicas.

Por vezes, a perspectiva de realizar o levantamento dessas informações, determinar a necessidade de sua guarda, usos permitidos e a data de seu descarte pode parecer, a princípio, um grande esforço.

Contudo, em pouco tempo de vigência da lei, tem-se notado que a LGPD se tornou também uma excelente oportunidade para otimizar os fluxos de informação dentro da empresa e para eliminação, às vezes, de parte considerável de volumes em “arquivos mortos”, seja nos depósitos de dados, seja, ainda, em repositórios ao longo do processo ou fluxo de informações.

Dessa forma, além da necessária certificação para prevenir e endereçar tratamento indevido de dados pessoais, evitando problemas com a fiscalização, vazamentos, danos à imagem, responsabilização civil e processos administrativos, a compliance com a LGPD tem se mostrado muito útil para endereçar questões que, de forma geral, aumentam a eficiência de departamento, permitindo que se fixem nas informações e dados relevantes, diminuindo buscas em velhos repositórios com informações que sequer deveriam estar lá.

*Caio Machado é doutorando em Direito e Ciências Sociais pela Universidade de Oxford, mestre em Direito Digital pela Sorbonne e em Ciências Sociais aplicadas à internet pela Universidade de Oxford. Graduado em Direito pela USP e sócio na área de Direito Digital do escritório Filhorini Advogados Associados

*Camila Kojima é graduada em Direito pela Universidade Presbiteriana Mackenzie, pós-graduada em Direito do Trabalho pela PUC/COGEAE e sócia na área trabalhista do escritório Filhorini Advogados Associados

*Flávio Machado é graduado em Ciência da Computação pela Unicamp, graduado em Direito e em Filosofia pela USP, LLM em Direito do Mercado Financeiro e de Capitais pelo IBMEC e sócio nas áreas Cível e Contratos do escritório Filhorini Advogados Associados

[1] A figura do DPO ganhou maior notoriedade a partir da publicação do Regulamento Geral de Dados da União Europeia (“GDPR”). De forma geral, esse profissional é um especialista em proteção de dados e monitora empresas para garantir que elas estejam em compliance com as regras e boas práticas do setor. Ele também deve intermediar os interesses da empresa (controlador) e do titular dos dados. Com a criação da LGPD, que se inspirou bastante no GDPR, o DPO recebeu o nome de encarregado e ganhou a seguinte definição, registrada no artigo 5º da lei: “pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

Comentários

Os comentários são exclusivos para assinantes do Estadão.