A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709/2018, tem como objetivo regulamentar o tratamento de dados pessoais pelas empresas, vez que os dados pessoais ganharam grande importância na economia moderna, pois permitem fazer predições, analisar perfis de consumo, opinião, entre outras atividades.
Hoje, mais de 126 países possuem leis visando à regulamentação do tratamento de dados pessoais, evitando-se o mau uso destes, bem como a responsabilização das empresas por incidentes e acidentes com dados.
A LGPD como objetivos a proteção à privacidade, intimidade, honra e imagem bem como também protege o desenvolvimento econômico e a livre iniciativa das empresas.
Os dados pessoais são aqueles que permitem identificar uma pessoa ou torná-la identificável. São exemplos de dados pessoais: nome, endereço, números únicos identificáveis (RG, CPF, CNH), geolocalização e hábitos de consumo.
Os dados pessoais sensíveis (art. 5º, II) são uma subcategoria que, por sua relevância e importância, demandam mais proteção do um dado pessoal comum. São estes dados: sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Diante destes dados pessoais, fica claro que há tratamento dos dados pessoais nas relações de trabalho. Desde o anúncio de emprego, as empresas devem adotar medidas acautelatórias para não discriminar o candidato. Os dados pessoais requisitados devem ser apenas os necessários ao processo seletivo, sendo descartados aqueles que não se referem à informação precisa do candidato com relação a vaga, salvo justificada finalidade, tais como: sexo, estado civil, prole, religião, opção sexual ou critérios físicos de beleza (“boa aparência”).
Concluída a seleção, dados pessoais e dados sensíveis poderão ser requisitados para finalidades específicas, como, por exemplo, envio do cadastro do empregado e seus familiares para o plano de saúde.
Portanto, é recomendável, desde já, que as empresas revisem seus processos seletivos e os dados pessoais requisitados em currículos ou em sites para se evitar o tratamento indevido dos dados pessoais dos candidatos.
O RH deve ter atenção quanto ao armazenamento dos currículos para futuros processos seletivos. Caso esta seja a decisão da empresa, o tratamento destes para eventos futuros requer consentimento expresso para esta finalidade e prazo. A manutenção de currículos por tempo indeterminado, sem consentimento será considerada uma infração à lei.
Quanto aos serviços terceirizados, é recomendável que as empresas solicitem às prestadoras de serviços não só os documentos comprobatórios de cumprimento das obrigações trabalhistas e previdenciárias, mas também os de cumprimento com as normas de proteção de dados pessoais, incluindo este tipo de obrigação em contrato para conferir maior segurança jurídica.
O treinamento de funcionários, colaboradores e terceirizados sobre a LGPD é fundamental para garantir a governança e a segurança da informação. Com a conscientização de todos os funcionários, as más práticas de segurança da informação e de proteção de dados podem ser evitadas ou minimizadas. A documentação da aplicação dos treinamentos é recomendável assim como a realização de auditorias periódicas para uniformizar o nível de informação e treinamento.
Ressalta-se a necessidade da revisão dos documentos internos das empresas: Códigos de Conduta, Políticas de Segurança da Informação e Privacidade; Políticas de Privacidade Externa, Termos de Consentimento etc. para garantir a informação e conscientização dos colaboradores das empresas sobre dados pessoais.
Estes documentos devem definir de forma clara os setores que poderão ter acesso a dados de candidatos, empregados e terceiros, bem como o modo de utilização de tais informações, estabelecendo penalidades em caso de uso indevido de dados, mediante citações da LGPD e exemplos para fins didáticos.
Qualquer violação à LGPD na esfera das relações de trabalho poderá ser objeto de ação bem como sujeita à fiscalização da Autoridade Nacional de Proteção de Dados e as sanções previstas no artigo 52 da Lei, com multas que podem chegar a 50 milhões de reais.
