Setor da empresa lida com informações protegidas de colaboradores durante todo o tempo
por Diva de Moura Borges
A nova Lei Geral de Proteção de Dados (Lei 13.709/18) entrará em vigor em agosto de 2020 e deverá afetar todas as relações jurídicas que necessitem coletar dados e informações pessoais como nome, endereço, profissão, telefone, estado civil, biometria, CPF e RG. Nas empresas, vários setores podem ser vulneráveis à transgressão dessa nova lei, segundo advogados especialistas na LGPD. Entretanto, é para a área de Recursos Humanos que Fabiano Zavanella, sócio do escritório Rocha, Calderon e Advogados Associados, chama a atenção dos gestores. “As empresas precisarão enxergar seus gaps, suas fragilidades e começar a encontrar alternativas jurídicas e tecnológicas para minimizar os riscos de exposição. O RH é um dos que mais devem se preocupar. É preciso lembrar que a empresa pode até não lidar com altos volumes de dados de consumidores, mas ela tem empregados e serviços terceirizados como contabilidade, assistência médica, seguradoras, que lidam com dados pessoais e devem resguardar essas informações”, afirma.
O advogado explica que a troca e os fluxos de informação nas relações de emprego começam antes mesmo do contrato de trabalho, com a entrega do currículo do candidato ao postular a vaga. “Quando ele entra no site e preenche um formulário ou envia um anexo, o candidato entrega dados protegidos pela Lei e que, se divulgados sem a sua autorização, devem expor a empresa a multas que variam de 2% do seu faturamento bruto a R$50 milhões, a cada infração cometida”, alerta Zavanella. Logo após a contratação, mais trocas de informação ocorrem e, do mesmo modo, merecem a atenção do empregador – dados bancários para pagamento de salário, dados pessoais para a adesão ao plano de saúde corporativo ou ao sindicato de trabalhadores de sua categoria e, ainda, informações para a contabilidade que controla o ponto e a emissão da folha de pagamentos. A cada camada de informação, o advogado adverte para o risco de vazamento de dados ou uma concessão não permitida. O fato de o empregador estar atendendo a uma obrigação legal, como o e-Social, apenas evita a necessidade de ter a anuência do empregado para o repasse desses dados, de acordo com o advogado. “Mas o cuidado é o mesmo e, nas demais situações, é necessário obter o consentimento do empregado”, adverte.
posts0016_bloco1
Durante o contrato de trabalho, mais precauções são necessárias. “O sistema de proteção de dados é como um organismo; todo dia ele cresce. Um e-mail é uma porta para dados, com login e senha de acesso no sistema da empresa. É preciso determinar as políticas de utilização desse sistema, especialmente, nos casos de trabalho home office. Em que rede de conexão a troca de informações acontecerá? Que tipo de acesso se dará? Que tipo de proteção haverá? Um simples print screen poderá capturar dados sensíveis de um trabalhador. É praticamente uma mudança de cultura para essa questão”, observa.
Diferente da lei europeia de proteção de dados (GDPR – General Data Protection Regulation), a lei brasileira se aplica a todas empresas, indistintamente, não levando em consideração nem o setor, nem o porte. “Percebo que não há um movimento no Brasil para lidar com esses desafios e também capacidade de investimento para proteger esses dados”, comenta Zavanella. Para o especialista, o cenário no Brasil, a partir de agosto de 2020, é difícil de prever, porque é uma lei nova e o único paradigma de aplicação é a Europa, com casos de multas altíssimas. Na sua opinião, é necessário agir com cautela, treinar gestores, aparelhar o RH, traçar políticas e fazer um trabalho de conscientização das equipes.
“Como consultores, ajudamos empresas a encontrar riscos, fraquezas e exposições e apresentamos alternativas jurídicas e tecnológicas para mitigá-los ou eliminá-los”, esclarece o sócio da Rocha, Calderon e Advogados Associados. A tarefa, segundo ele, envolve rever contratos de trabalho, políticas internas e regulamentos de pessoal. “Entendo que o próprio contrato de trabalho precisa ser adequado para uma série de situações que não derivam de uma obrigação legal. Na fase de recrutamento e seleção, por exemplo, a empresa deve ser clara com o candidato, informando, registrando e captando o aceite desse candidato sobre quanto tempo o currículo será mantido na base de dados da empresa e como e quando será feito o descarte dele”, orienta.
Zavanella salienta que essas questões envolvem dados regulares. “Dados sensíveis, que abrangem registros sobre raça, opção sexual, filiação sindical, crenças, filosofias, opiniões políticas, dados de saúde e características genéticas e biométricas; esses nem devem constar de processos de recrutamento e seleção. Isso fica claro no artigo 5º da Lei”.
MERCADO AGUARDA CONSTITUIÇÃO DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
Empresas de varejo, telecomunicação, saúde, bancos e educacionais, por lidarem com grandes volumes de clientes e, por consequência, os dados pessoais deles, representam a parcela do mercado que mais se antecipou e tem se preocupado com a chegada de agosto de 2020 e a entrada em vigor da Lei 13.709/18. Em muitas dessas empresas, foram montadas equipes específicas para tratar do assunto, sendo elas responsáveis pela adoção de ferramentas tecnológicas que auxiliarão na execução de exigências e na difusão das novas práticas que atenderão o cumprimento da Lei.
A grande a expectativa nesse momento, segundo Newton de Lavra Pinto Moraes, da DPOfficer Brazil, consultoria dedicada à gestão da proteção de dados pessoais e privacidade, é a constituição da Autoridade Nacional de Proteção de Dados (ANPD), prevista no artigo 55 da lei. Ela atuará como um órgão regulador e fiscalizador e, portanto, estabelecerá todas as políticas do setor. Caberá à autoridade exigir relatórios de riscos de privacidade para certificar-se de que as empresas estão cuidando do assunto. Também será de sua competência estabelecer o valor das multas que serão aplicadas às empresas em caso de descumprimento da norma. O Conselho Diretor da ANPD terá cinco integrantes – um deles, diretor presidente – escolhidos pelo Presidente da República, após aprovação dos nomes pelo Senado.
posts0016_bloco2
Moraes chama a atenção sobre a inconveniência que se tornará para a empresa manter um banco de dados sem o tratamento devido. “Será como portar algo ilícito, como droga, ou manter um bem no ambiente da empresa sem a nota fiscal devida. É um risco muito grande de fiscalização e autuação”, compara o consultor. Essa preocupação se estende aos dados de ex-empregados e ex-clientes que poderão solicitar, a qualquer tempo, o que a empresa mantém sobre eles em seus arquivos. “Respeitando-se o atendimento da guarda legal de documentos, a empresa deve esclarecer que os dados daquela pessoa existem nos arquivos ‘xyz’ e serão mantidos mais ‘x’ tempo por exigência de órgão fiscalizador. Mas ele deve ter essa informação de pronto”, explica Moraes. “E é preciso se organizar logo para esse tipo de demanda porque, em caso de denúncia, a ANPD poderá bloquear o banco de dados do RH e dá para pensar na loucura que isso pode significar na rotina de uma empresa”, reflete o consultor e advogado.
Para orientar seus clientes, a DPOfficer Brazil elaborou uma lista de ações que devem contribuir para a adequação das empresas aos requerimentos da LGDP. Confira:
1. Buscar o envolvimento da direção desde o início do plano de adequação para que a proteção de dados pessoais esteja incorporada aos valores da empresa e assim o tema ganhe o engajamento e a força necessária.
2. Estabelecer as ações e líderes para o plano, identificando os principais projetos e áreas da empresa afetadas pela LGPD e eventuais legislações setoriais.
3. Criar um programa de governança em proteção de dados com a elaboração de medidas e controles para o acompanhamento da implantação de padrões que estejam em conformidade com a LGPD.
4. Estruturar a área com a indicação do Encarregado da Proteção de Dados (DPO).
5. Elaborar e rever documentos jurídicos com a realização de eventuais adendos aos contratos existentes para adequação aos padrões de proteção de dados pessoais.
6. Garantir o exercício dos direitos dos titulares, mediante a confirmação da implementação de medidas técnicas e organizacionais.
7. Elaborar ou rever Políticas e Termos de Uso.
8. Obter apoio jurídico em questões sobre Segurança da Informação, Políticas de Uso e Privacidade.
9. Realizar treinamentos internos para apresentação das novas políticas de proteção de dados pessoais e disseminar a cultura empresarial sobre o tema.
10. Definir atuação preventiva ou reativa em casos de vazamento de dados, fraudes e incidentes.
Entrevista do sócio do Rocha, Calderon e Advogados Associados, Fabiano Zavanella, ao Portal G Brasil (Notícia Clique Aqui)