O impacto da LGPD no RH das empresas
Não há dúvida de que a proteção de dados pessoais é um tema de grande relevância na atualidade, em especial a partir da experiência vivida pelos países que integram a União Europeia.
A partir de setembro/2020 - embora com considerável atraso – o Brasil passou a contar com uma “Lei Geral de Proteção de Dados” (LGPD).
E as disposições da LGPD exigirão importantes alterações nas rotinas e procedimentos de empresas de pequeno, médio e grande porte (além de órgãos governamentais).
Embora o marco regulatório brasileiro ainda se encontre incompleto e as punições administrativas estejam suspensas, é recomendável que as empresas procurem adaptar-se à nova legislação. Mesmo porque há o risco de ações perante a Justiça do Trabalho.
PROTEÇÃO DA DADOS E BIG DATA
Ao contrário do que possa parecer, leis voltadas para a proteção de dados pessoais não são nenhuma novidade.
É sabido que, já em outubro de 1995, foi editada na União Europeia uma norma (Diretiva 96/45/CE) a respeito dessa matéria.
Na Argentina, desde o ano 2000, existe uma lei de proteção aos dados pessoais.
E, desde 2003, existe a RIPD (Red Iberoamericana de Protección de Datos), uma entidade destinada a permitir intercâmbio de informações/experiências relacionadas ao tema da proteção de dados pessoais, entre vários países latino-americanos (Uruguai, Colômbia, etc), além de Portugal e Espanha.
Mas, em razão dos frenéticos avanços dos meios tecnológicos, a proteção de dados pessoais ganhou enorme relevância, pois agora se trata de proteger a própria dignidade da pessoa humana.
Estudos apontam que a evolução tecnológica passou pela fase inicial de expansão da internet (1995-2005) e pela denominada “web 2.0” (2005-2015), até alcançar o estágio do Big Data & Analytics.
As ferramentas disponibilizadas pelo Big Data incluem os chamados social data (dados de pessoas que usam redes sociais, realizam buscas no google etc); enterprise data (dados registrados pelas áreas financeiras, operacionais, recursos humanos etc das empresas); e data of things (dados extraídos de eletrodomésticos, automóveis e outros bens conectados à internet).
Afirma-se que, atualmente, os avanços tecnológicos geraram uma economia orientada por dados (data driven economy) e todos passaram a viver numa verdadeira “era da vigilância” (age of surveillance) na qual todos os cidadãos podem ser controlados por intermédio de seus dados pessoais.
O REGULAMENTO DA UNIÃO EUROPEIA – GPDR
Em abril/2016, foi aprovado o General Data Protection Regulation – GPDR, o qual passou a ter vigência a partir de maio/2018, em todos os países da União Europeia.
Esse regulamento transformou-se em um verdadeiro standard e vários outros países trataram de criar (Brasil) ou adaptar, leis levando em conta os princípios, definições e disposições do GPDR.
Em consequência, tornou-se frequente o uso de expressões do GPDR, tais como controller, processor e Data Protection Officer (DPO).
Na verdade, a LGPD apresenta (em seu artigo 5º) definições claras (e já adaptadas para a realidade brasileira) para cada um dessas expressões inglesas:
Controller
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
E não cabe nenhuma dúvida quanto à efetividade das disposições do GPDR.
Apenas em outubro/2020, por exemplo, a autoridade de proteção de dados britânica (Information Commissioner´s Office - ICO) multou a British Airways em 20 milhões de libras esterlinas; enquanto a autoridade de proteção de dados francesa (Commission Nationale d’Informatique et des Libertés - CNIL) multou em 180 mil euros uma empresa de comércio eletrônico, com atuação em treze países da União Européia.
Em ambos os casos, as penalidades foram impostas pelo fato de as empresas haverem falhado em sua obrigação de proteger adequadamente os dados pessoais (inclusive financeiros) de seus clientes.
LGPD: MARCO REGULATÓRIO INCOMPLETO
Embora a LGPD (Lei nº 13.709/2018) tenha sido editada em agosto de 2018, somente em julho do ano seguinte (Lei nº 13.853/2019) foi definitivamente aprovada a criação da “Autoridade Nacional de Proteção de Dados” (ANPD).
A fim de que todos os envolvidos tivessem tempo de se adaptar, ficou definido que a LGPD teria vigência plena em setembro/2020.
Mas, em abril de 2020, o Governo Federal editou uma Medida Provisória (nº 959/20 – sobre efeitos econômicos da COVID-19), na qual incluiu um artigo prorrogando o início de vigência da LGPD para maio de 2021.
Em junho de 2020 (Lei nº 14.010), foi adiada para agosto de 2021 as penalidades que poderão ser aplicadas pela ANPD.
O Senado, porém, não aprovou essa prorrogação, e, desta forma, contrariando os planos do Governo Federal, o início de vigência da LGPD ocorreu em setembro/2020.
O problema é que a LGPD está em vigor, mas ainda não existem as normas que formarão o respectivo marco regulatório.
Encontram-se, ainda, num estágio inicial as providências necessárias para o efetivo funcionamento da ANPD.
Somente em agosto/2020, o Governo Federal definiu (Decreto nº 10.474) os cargos e a estrutura regimental da ANPD e a nomeação dos 5 (cinco) membros do Conselho Diretor, foi aprovada pelo Senado Federal em 20.10.2020.
Há poucos dias, foi publicada uma norma (I. N. SGD/ME nº 117), na qual o Ministério da Economia, determinou que cada um dos órgãos do Governo Federal deverá indicar uma pessoa para atuar como “Encarregado pelo Tratamento de Dados Pessoais” (o DPO previsto no GPDR).
Em consequência dessa visível falta de estrutura, ainda não é possível saber quando estará disponível uma norma fundamental para a plena vigência da LGPD: a “Política Nacional de Proteção de Dados Pessoais e da Privacidade”, cujas diretrizes deverão ser elaboradas pela ANPD.
Outra dificuldade decorrente da falta de estruturação da ANPD, é que não é possível saber quando estará disponível a norma que definirá o tratamento diferenciado que as microempresas e empresas de pequeno porte terão para adequar-se ás exigências da LGPD, o que é muito importante.
Também deverá constar em norma da ANPD (art. 41, § 3º, LGPD) a definição das hipóteses em que as empresas - a depender de sua natureza, de seu porte e do volume das operações de tratamento de dados que realize – poderão ser simplesmente dispensadas de indicar um Encarregado (DPO).
RECOMENDAÇÕES PARA O RH DAS EMPRESAS
Como acima mencionado, encontra-se em vigor a LGPD, porém não há clareza quanto à data em que serão editadas normas complementares que serão fundamentais para que as empresas possam, efetivamente, adequar-se ás exigências relativas à proteção de dados pessoais.
Também é certo que, até agosto de 2021, a ANPD não poderá impor penalidades (advertências, multas, bloqueio de dados etc) administrativas a qualquer empresa.
Mas, de qualquer forma, é mais que evidente que o RH das empresas coletam, armazenam e realizam tratamento de dados pessoais dos empregados e de seus dependentes, razão pela qual é recomendável que algumas medidas de caráter preventivo sejam desde já adotadas.
Não se pode esquecer que permanecem em poder do RH dados pessoais sensíveis (dados biométricos, exames clínicos e, ainda, dados pessoais relativos a crianças/adolescentes que são dependentes dos empregados para os quais a LGPD exige maiores cuidados
É preciso que as empresas levem em consideração que poderão ser responsabilizadas não apenas por descumprir a LGPD, mas, também, se não forem capazes de provar que agiram com boa-fé e que tomaram as medidas necessárias
Assim, no processo de admissão/contratação de empregados, recomenda-se que as empresas:
a) não exijam dados pessoais que não sejam estritamente necessários e adequados para a finalidade específica de uma relação de emprego;
b) desenvolvam rotinas para que os dados pessoais sejam, periodicamente revistos, a fim de que a base de dados contenha informações verdadeiras e atualizadas;
c) estabeleçam procedimentos para, sempre que houver solicitação do titular, sejam prestadas informações que evidenciem livre acesso e transparência no tratamento dos dados;
d) assegurem (se necessário com a contratação de pessoas/empresa especializadas) a segurança dos bancos de dados contra invasões de hacker ou similares;
e) restrinjam às pessoas estritamente necessárias o acesso a dados sensíveis (origem racial/étnica, convicção religiosa, opinião politica, filiação a sindicato, dados referentes à saúde ou orientação sexual, dados genéticos ou biométricos) dos empregados. Em relação a motoristas, exigem atenção especial os exames toxicológicos e o fornecimento de dados para seguradoras/gerenciadoras de risco;
g) avaliem a possibilidade de implantação (se necessário com a contratação de pessoas/empresas especializadas) métodos e técnicas adequadas para impedir (anonimização), que possam ser facilmente identificados os dados pessoais sensíveis, não apenas dos empregados mas, em especial dados dos dependentes que sejam crianças/adolescentes;
Tendo em vista os aspectos acima, também parece recomendável que as empresas incluam, entre os documentos de admissão, um “termo de consentimento” dos candidatos a emprego em relação a tratamento de dados pessoais.
Ressalvando que não estão ainda disponíveis as normas que deverão ser expedidas pela ANPD, recomendamos que o “termo de consentimento” contenha cláusulas básicas e que possa ser entendido por um trabalhador com menor instrução, mas que, predominantemente, autorize a coleta de dados ( a ser justificada ) e explique a finalidade desta coleta.
PRINCIPIOS DA LGPD (art. 6º)
princípio da finalidade, segundo o qual as empresas deverão explicar para que finalidade os dados serão utilizados e não poderão alterar tal finalidade sem prévia autorização do titular;
princípio da adequação, conforme o qual os dados pessoais solicitados devem ser compatíveis com a finalidade de execução de um contrato de trabalho;
princípio da necessidade: devem ser utililzados apenas dados estritamente necessários para alcançar a finalidade;
princípio do livre acesso, pelo qual o titular poderá consultar de forma simples e gratuita, os dados detidos pela empresa;
princípio da qualidade dos dados conforme o qual a empresa deve garantir aos titulares que os dados sejam verdadeiros e atualizados;
princípio da transparência pelo qual a empresa deve transmitir informações de forma clara, precisa e verdadeira e não pode compartilhar dados de forma oculta;
princípio da segurança, segundo o qual a empresa deve buscar procedimentos e tecnologias que garantam proteção contra o acesso de terceiros aos dados pessoais;
princípio da prevenção: empresa deve adotar medida prévias para evitar problemas, vazamentos e outros acidentes com os dados pessoais;
princípio da não- discriminação: os dados pessoais não podem ser utilizados para discriminar ou promover abusos contra o titular.
Lisa Helena Arcaro
Assessora jurídica