A lei Geral de Proteção de Dados, lei 13.709, de 14 de agosto de 2018 (“LGPD”), regulamenta todas as situações que envolvem o tratamento de dados pessoais no Brasil. A LGPD define por tratamento de dados uma diversidade de ações, desde a coleta, armazenamento até a transferência a terceiros.
Esta nova lei é de extrema relevância devido ao novo panorama em que a sociedade se encontra, a era digital. A sociedade da era digital é essencialmente alimentada por dados pessoais e sensíveis na medida em que assistimos, por exemplo, empresas mudarem estratégias de negócio e criarem novos produtos, assim como eleições serem definidas com base em dados.
A LGPD considera como dados pessoais todos aqueles que possam identificar uma pessoa física ou torná-la identificável (“Dados Pessoais”). Já os dados pessoais sensíveis são aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, sempre vinculados a uma pessoa natural (“Dados Sensíveis”). Concluímos assim que, sensíveis ou não, Dados Pessoais sempre se referem às pessoas físicas (ou pessoas naturais, como prefere designar a LGPD). Além de diretrizes, a lei 13.709/2018 também fixa multas para o descumprimento da legislação, com variação de penas e intensidade, que perpassam por advertências com fixação de prazo para adoção de medidas corretivas, multas simples de até 2% (dois por cento) sobre o faturamento, limitada a R$50.000.000,00 (cinquenta milhões) por infração, multas diárias, dentre outras (artigos 52 a 54 da lei).
Isto posto, não fica difícil concluir que é necessário destacar e ter um olhar diferenciado para a área de Recursos Humanos (“RH”) de todas as empresas, sejam elas de pequeno, médio ou grande porte, independentemente do número de colaboradores, faturamento ou da área de atuação delas, uma vez que estão constantemente coletando, processando e armazenando Dados Pessoais e/ou Dados Sensíveis dos seus próprios colaboradores, sejam eles empregados, prestadores de serviços ou colaboradores de qualquer natureza. Esta realidade aplica-se às atividades de processos seletivos, contratações, na vigência da contratação e mesmo após a finalização dessa relação jurídica.
Portanto, por ter um grande impacto nessas relações, é indispensável a compreensão dos profissionais de RH e empregadores de que a LGPD está diretamente relacionada às atividades mais corriqueiras de qualquer departamento de RH, tais como, recebimento de currículos, documentos pessoais, atestados de saúde, disponibilização de holerite, análises internas, pagamentos, identificação de problemas internos envolvendo colaboradores e rescisão de um contrato com um colaborador.
Assim, por manusearem tantos Dados Pessoais e Dados Pessoais Sensíveis é fundamental que as equipes de RH sejam treinadas para entender a nova forma de pensar tais assuntos, conforme os preceitos da LGPD. Situações corriqueiras como a troca de informações entre empresas e com os Sindicatos, mesmo os representativos dos empregados, demandarão atenção e cautela adicionais, como, a depender, autorização prévia dos interessados ou mesmo a negativa prévia da entrega de dados ou outra solução que comporte segurança jurídica às Partes.
Desta forma, é de extrema importância que as equipes de RH sigam minimamente as seguintes recomendações:
(a) Atentar-se a quais Dados Pessoais e/ou Dados Sensíveis serão coletados e armazenados e qual a finalidade de tal coleta e armazenamento, visto que a LGPD é categórica em afirmar que somente deverão ser coletados dados indispensáveis, que tenham uma finalidade muito bem definida e que sejam realmente necessários para os fins pretendidos;
(b) Fundamentar, com o amparo de uma assistência jurídica especializada, o tratamento de tais Dados Pessoais e/ou Dados Sensíveis em uma das bases legais permitidas pela LGPD, tais como, consentimento escrito, vigência de contrato, obrigação legal, legitimo interesse do controlador, dentre outros que possam ser aplicáveis. Um bom exemplo de tal prática se dá na obrigação de manutenção por determinado prazo de Dados Pessoais e/ou Dados Sensíveis que sejam requeridos pela legislação trabalhista, como, por exemplo, contrato de trabalho, aviso prévio, pedido de demissão, termo de rescisão do contrato de trabalho, adiantamento salarial, atestados médicos, controle de ponto, dentre outros. Ainda que o colaborador revogue seu consentimento, o RH deverá estar seguro da obrigação legal que ampara a sua manutenção e por qual prazo, fazendo a gestão precisa do referido prazo para posterior descarte;
(c) Assegurar-se de que qualquer compartilhamento de Dados Pessoais e/ou Dados Sensíveis sejam previamente autorizados por seus titulares, de forma que a empresa seja transparente na finalidade de tal compartilhamento, sendo que tais autorizações poderiam até mesmo serem obtidas por meio de aditamentos ao contrato de trabalho ou, ainda, termos apartados. Ressaltamos aqui, especialmente, empresas que terceirizam suas atividades de RH e/ou folha de pagamento, que devem fazer tal condição conhecida de seus colaboradores;
(d) Revisar os fluxos de Dados Pessoais e/ou Dados Sensíveis que circulam no RH, de tal forma a garantir que só tenham acesso a esses as pessoas indispensáveis à atividade pretendida. Quem nunca teve a experiência de acesso a uma planilha de RH com bônus da empresa vazar para e-mails equivocadamente? Ou, ainda, acesso a um contrato empregatício perdido em uma impressora coletiva? Tais práticas, aparentemente inofensivas, poderão acarretar consequências indesejadas no âmbito da LGPD;
(e) Definir uma Política de Proteção de Dados, visando que tais fluxos de Dados Pessoais e/ou Dados Sensíveis sejam conhecidos dos operadores do RH, bem como dos colaboradores da empresa, demonstrando assim que a empresa efetivamente agiu em função da LGPD; e
(f) Realizar capacitação e treinamentos contínuos à equipe de RH sobre o tema LGPD e suas atualizações ao longo do tempo.
O presente artigo não tem a pretensão irrealista de esgotar o tema – até porque a relativamente nova LGPD pode também trazer desdobramentos muito particulares a determinadas atividades que devem ser observados de perto e a partir da interpretação normativa formada pela jurisprudência – mas, sim, tem o propósito de ser um norteador inicial na jornada de implementação dos preceitos da LGPD em uma empresa, em processo que deve ser contínuo e envolver todas as áreas de uma organização.
_____________
Em parceria com os escritórios Leite&Temporin e Palo&Neto como orientadores e revisores do artigo Gabriela Leite (OAB 265.126), Ana Paula Temporin (OAB 273.765) e Fernando de Morais Pauli (OAB 127.346).