Desde o advento da Lei Geral de Proteção de Dados – LGPD - em 2018, alguns equívocos vêm acontecendo em sua interpretação, já vivenciei autoridades judiciarias invocando a lei para encobrir suas atitudes, como se a transparência a bem do serviço público tivesse sido derrogada pela LGPD.
Tenho visto os departamentos jurídicos das empresas solicitando a inclusão de cláusulas de proteção de dados em contratos que não envolvem dados pessoais. Já ouvi supostos especialistas dizendo que a tecnologia blockchain seria incompatível com a LGPD, por registrar de maneira imutável uma informação na cadeia de blocos, dentre outros.
Nesse texto queria abordar a questão do ilusório conflito entre a LGPD e os programas de diversidade e inclusão no local de trabalho, em especial devido aos procedimentos de recrutamento mais inclusivos, iniciativas internas de apoio aos colaboradores e relatórios de prestação de contas ao mercado e clientes.
No âmbito trabalhista, a proibição de qualquer prática discriminatória e restritiva para o acesso ao trabalho ou sua manutenção não é nova e existe desde a lei 9.029/95. A LGPD não veio de forma alguma restringir o uso de dados, mas apenas regulamentar o seu uso, fornecendo orientações específicas sobre o uso de dados pessoais por empresas, governo e ONGs. Nesse contexto, um dos princípios mais importantes da LGPD é o da não discriminação, determinando que atividades de tratamento não podem ser realizadas para fins ilícitos, abusivos ou discriminatórios.
Que fique bem claro que em nenhum ponto a LGPD proíbe o tratamento de dados pessoais para as iniciativas de D&I, mas exige dos empregadores uma grande responsabilidade. De fato, neste caso estamos lidando com dados pessoais sensíveis, uma categoria especial na LGPD, que requer um grande rigor na coleta, avaliação e armazenagem destas informações sobre seus trabalhadores, pois são carregadas de alto potencial para prejudicar esses indivíduos.
Quais os cuidados devem ter os departamentos de recursos humanos para estruturarem ou revisarem seus programas de D&I para serem assertivos e respeitarem a LGPD.
1. Finalidade é tudo em LGPD
Além da não discriminação mencionada acima, dois princípios chaves para determinar se o tratamento de dados, que você pretende realizar, é lícito ou não são a finalidade e adequação. Em especial, quando estamos lidando com dados pessoais envolvidos nos programas de D&I é imprescindível ter uma governança e padrões de segurança rígidos para garantir que os dados não sejam usados para outras atividades nem mantidos sob a alegação de "vai que" um dia eu preciso. O RH estratégico é aquele capaz de avaliar cada iniciativa realizada pela organização e categorizar o dado da maneira correta, todo cuidado é pouco e não há atalhos, então cada pedaço de informação deve ter proposito legitimo para ser coletado e mantido, bem como regulado o seu uso para todo o sempre.
2. Registrar a operação de tratamento com a base legal adequada
Uma etapa bastante importante para preparar a sua empresa para LGPD é registrar a operação de tratamento de dados e adequar a base legal de acordo com as categorias permitidas na LGPD.
Essa classificação das bases legais não é algo que possa ser feita de maneira genérica para todos programas de inclusão e diversidade, em alguns casos, por exemplo como Pessoa com Deficiência, existe uma base legal adequada na LGPD que é o cumprimento de obrigação legal, que permite que o controlador trate esses dados pessoais, nos termos da lei 8.213/91, que regulamenta a necessidade de empresas com 100 ou mais funcionários garantirem uma taxa mínima de seus cargos concedidos a pessoas com deficiência ou em reabilitação.
Já em outras situações, será necessário o consentimento, que não é tão usual na relação com empregados, devido a potenciais alegações de não ter sido colhido apropriadamente de maneira livre, informada, inequívoca, específica e destacada, para fins específicos, por serem classificados como dados pessoais sensíveis pela LGPD, mas que será importante e necessário nos programas de D&I.
Além disso, a utilização do consentimento como base legal precisa se atentar as questões de evidenciar de maneira robusta e inequívoca a autorização concedida, assim como a necessidade de uma gestão rigorosa do fluxo dos dados, pois a autorização pode ser revogada a qualquer momento.
3. Privacy by design no desenho do programa de D&I
Antes de mais nada é preciso integrar o profissional de privacidade com o time que está desenvolvendo o programa de D&I para definir, desde os estágios iniciais, os objetivos que as partes interessadas procuram alcançar. A visão dos profissionais de privacidade normalmente estará pautada na conformidade com requisitos de transparência no tratamento, enquanto o time de D&I pode estar mais ansioso em obter grande quantidade de informação para um potencial uso futuro mais abrangente.
O balanceamento destas duas visões será relevante para restringir a quantidade e o tipo de dados utilizados na iniciativa. Por isso não é possível categorizar esse tratamento de maneira genérica, pois somente com o planejamento dos objetivos do programa e avaliando, a cada passo, se os pressupostos de privacidade estão sendo respeitados.
Talvez não exista outra hipótese melhor do que essa para aplicar os conceitos de privacy by design, que moldam produtos e serviços das empresas, mas que também podem ser aplicados nos seus próprios programas internos. Não vamos nos deter em uma análise completa nesse texto, mas vamos pinçar algumas visões do desenho do programa de D&I à luz dos princípios do privacy by design.
O princípio do indivíduo em primeiro lugar, no qual o interesse do empregado foco do programa deve estar no centro do projeto, deve guiar os seus preceitos, sob risco de desviar o rumo nos tortuosas caminhos do greenwashing. Avalie inicialmente se, de fato, você precisa coletar novas categorias de dados ou se já dispõe de informações suficientes.
Aplique o princípio da necessidade para identificar se a informação que quer coletar é o único meio de alcançar os propósitos do programa, que deve estar alinhado com os interesses do indivíduo e não da empresa.
Gerencie estes dados em todo o seu ciclo de vida, mantendo-os apenas enquanto forem necessários ao propósito planejado no início da jornada. Atue de maneira preventiva e transparente na gestão destes dados, por isso o desenho do programa de D&I incorporando os conceitos do privacy by design é tão importante.
Se a identificação não for necessária ao seu programa, procure ao menos pseudoanonimizar para não criar estigmas na empresa, e caso você precise de dados estatísticos apenas, avalie a possibilidade de recorrer ao processo de anonimização, sem a possibilidade de rastrear informações sobre os titulares dos dados.
As medidas de segurança devem ser implementadas como elemento fundamental em todo o ciclo de vida do dado para as atividades de D&I no local de trabalho. Os controles de acesso internos são extremamente importantes para restringir o potencial discriminatório destas informações, pois uma coisa é o programa em si ser público dentro da empresa, outra coisa é a gestão dos dados pessoais dos seus integrantes, que deve estar protegida contra compartilhamentos, transferências e armazenamentos indevidos dos dados.
4. Transparência e prestação de contas
Em qualquer situação a transparência com empregados e candidatos, esclarecendo os propósitos da coleta de dados, é essencial para construir confiança com os titulares dos dados.
Algumas medidas são importantes para construir essa confiança, como manter sempre avisos de privacidade específicos para cada programa de D&I planejado pela empresa. Além disso, em paralelo com o canal de comunicação com o encarregado de dados, que é uma exigência da LGPD, mantenha um canal de comunicação para receber reclamações ou sugestões de empregados sobre as atividades dos programas de D&I, lembre-se que deve ser centrado no individuo, então aquilo que pode parecer maravilhoso para a empresa pode ser constrangedor para o empregado.
A construção da confiança exige uma alta transparência, então sempre preste contas das medidas implementadas para proteger os dados pessoais utilizados no programa, pois isso dará segurança ao engajamento, pois em algumas situações a preocupação em ser exposto inibe a participação.
Muito cuidado nas pesquisas e campanhas voluntárias, pois nem todos estão abertos a participar e isso deve ser respeitado, não assuma premissas equivocadas, quando a participação for opcional seja claro ao explicar que a não participação não afetará a avaliação do indivíduo. No caso das pesquisas, sempre deixe uma porta de saída e explique como os dados coletados serão utilizados, se possível não identifique a quem se referem as respostas.
Portanto, é totalmente possível conciliar um tratamento de dados pessoais sensíveis à luz da LGPD com os programas de D&I, mas exige uma visão holística pautada no indivíduo e construída por equipes multidisciplinares capazes de compreender as diferentes perspectivas do ser humano. Vamos acabar, então, com essa falácia da incompatibilidade destes conceitos, entendendo que a privacidade veio como um direito fundamental da personalidade humana para proteger o indivíduo, jamais para tolher iniciativas que aumentem a diversidade nas equipes de trabalho e promovam a inclusão.