A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei
13.709/2018, tem como objetivo regulamentar o tratamento de dados pessoais
pelas empresas, vez que os dados pessoais ganharam grande importância na
economia moderna, pois permitem fazer predições, analisar perfis de consumo,
opinião, entre outras atividades.
Hoje, mais de 126 países possuem leis visando à
regulamentação do tratamento de dados pessoais, evitando-se o mau uso destes,
bem como a responsabilização das empresas por incidentes e acidentes com dados.
A LGPD como objetivos a proteção à privacidade, intimidade,
honra e imagem bem como também protege o desenvolvimento econômico e a livre
iniciativa das empresas.
Os dados pessoais são aqueles que permitem identificar uma
pessoa ou torná-la identificável. São exemplos de dados pessoais: nome,
endereço, números únicos identificáveis (RG, CPF, CNH), geolocalização e
hábitos de consumo.
Os dados pessoais sensíveis (art. 5º, II) são uma
subcategoria que, por sua relevância e importância, demandam mais proteção do
um dado pessoal comum. São estes dados: sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Diante destes dados pessoais, fica claro que há tratamento
dos dados pessoais nas relações de trabalho. Desde o anúncio de emprego, as
empresas devem adotar medidas acautelatórias para não discriminar o candidato.
Os dados pessoais requisitados devem ser apenas os necessários ao processo
seletivo, sendo descartados aqueles que não se referem à informação precisa do
candidato com relação a vaga, salvo justificada finalidade, tais como: sexo,
estado civil, prole, religião, opção sexual ou critérios físicos de beleza
(“boa aparência”).
Concluída a seleção, dados pessoais e dados sensíveis
poderão ser requisitados para finalidades específicas, como, por exemplo, envio
do cadastro do empregado e seus familiares para o plano de saúde.
Portanto, é recomendável, desde já, que as empresas revisem
seus processos seletivos e os dados pessoais requisitados em currículos ou em
sites para se evitar o tratamento indevido dos dados pessoais dos candidatos.
O RH deve ter atenção quanto ao armazenamento dos currículos
para futuros processos seletivos. Caso esta seja a decisão da empresa, o
tratamento destes para eventos futuros requer consentimento expresso para esta
finalidade e prazo. A manutenção de currículos por tempo indeterminado, sem
consentimento será considerada uma infração à lei.
Quanto aos serviços terceirizados, é recomendável que as
empresas solicitem às prestadoras de serviços não só os documentos
comprobatórios de cumprimento das obrigações trabalhistas e previdenciárias,
mas também os de cumprimento com as normas de proteção de dados pessoais,
incluindo este tipo de obrigação em contrato para conferir maior segurança
jurídica.
O treinamento de funcionários, colaboradores e terceirizados
sobre a LGPD é fundamental para garantir a governança e a segurança da
informação. Com a conscientização de todos os funcionários, as más práticas de
segurança da informação e de proteção de dados podem ser evitadas ou
minimizadas. A documentação da aplicação dos treinamentos é recomendável assim como
a realização de auditorias periódicas para uniformizar o nível de informação e
treinamento.
Ressalta-se a necessidade da revisão dos documentos internos
das empresas: Códigos de Conduta, Políticas de Segurança da Informação e
Privacidade; Políticas de Privacidade Externa, Termos de Consentimento etc.
para garantir a informação e conscientização dos colaboradores das empresas
sobre dados pessoais.
Estes documentos devem definir de forma clara os setores que
poderão ter acesso a dados de candidatos, empregados e terceiros, bem como o
modo de utilização de tais informações, estabelecendo penalidades em caso de
uso indevido de dados, mediante citações da LGPD e exemplos para fins
didáticos.
Qualquer violação à LGPD na esfera das relações de trabalho
poderá ser objeto de ação bem como sujeita à fiscalização da Autoridade
Nacional de Proteção de Dados e as sanções previstas no artigo 52 da Lei, com
multas que podem chegar a 50 milhões de reais.