top of page
Foto do escritorSolucioneRH

Como se adequar à LGPD no setor de recursos humanos

Atualizado: 5 de ago.

Você já ouviu falar da LGPD? Essa é a sigla para Lei Geral de Proteção de Dados Pessoais, que entrou em vigor no Brasil em setembro de 2020. A LGPD é uma legislação que regula o tratamento de dados pessoais de pessoas naturais, ou seja, de indivíduos identificados ou identificáveis, por parte de pessoas físicas ou jurídicas, públicas ou privadas.


A LGPD foi inspirada na GDPR (General Data Protection Regulation), que é a lei europeia de proteção de dados, e tem como objetivo garantir os direitos fundamentais de liberdade, privacidade e personalidade dos cidadãos. Além disso, a LGPD visa promover o desenvolvimento econômico e tecnológico, a inovação e a competitividade das organizações que tratam dados pessoais.


Mas o que isso tem a ver com o setor de recursos humanos? Tudo! O setor de recursos humanos é um dos que mais lida com dados pessoais de colaboradores, candidatos, terceirizados e fornecedores. Por isso, é essencial que as empresas se adequem à LGPD no setor de recursos humanos, para evitar sanções e prejuízos, além de garantir a confiança e a satisfação dos seus stakeholders.


Neste post, vamos explicar o que é a LGPD e quais são os seus princípios e fundamentos, quais são os direitos dos titulares e os deveres dos agentes de tratamento de dados pessoais, como a LGPD afeta o setor de recursos humanos e quais são as boas práticas para se adequar à lei. Ficou interessado? Então continue lendo!

Uma pessoa mexendo em um tablet e o símbolo de uma fechadura na frente demonstrando segurança

O que é a LGPD e quais são os seus princípios e fundamentos?


A LGPD é a Lei nº 13.709, de 14 de agosto de 2018, que dispõe sobre a proteção de dados pessoais no Brasil. A LGPD foi sancionada em 2018, mas entrou em vigor em 2020, após um período de vacatio legis (vacância da lei) e algumas alterações legislativas. A LGPD se aplica a qualquer operação de tratamento de dados pessoais que seja realizada no território nacional, que tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou que envolva dados pessoais coletados no território nacional.


Mas o que é tratamento de dados pessoais? Segundo a LGPD, tratamento é toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.


E o que são dados pessoais? São informações relacionadas a uma pessoa natural identificada ou identificável. Por exemplo: nome, CPF, RG, endereço, e-mail, telefone, etc. A LGPD também define o conceito de dado pessoal sensível, que são aqueles que podem gerar discriminação ou violação de direitos fundamentais se forem usados indevidamente. Por exemplo: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.


A LGPD também prevê a existência de dado anonimizado, que é aquele que não pode ser associado a um indivíduo específico. O dado anonimizado não é considerado dado pessoal pela LGPD, salvo quando o processo de anonimização puder ser revertido ou quando houver possibilidade de associação com outros dados.


A LGPD estabelece ainda os papéis dos agentes envolvidos no tratamento de dados pessoais. São eles:

  • Titular: pessoa natural a quem se referem os dados pessoais.

  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

  • Encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

A ANPD é o órgão responsável por fiscalizar e orientar as atividades de tratamento de dados pessoais no Brasil. A ANPD foi criada pela Lei nº 13.853, de 8 de julho de 2019, e está vinculada à Presidência da República.

A LGPD tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Para isso, a LGPD se baseia em alguns princípios e fundamentos que devem orientar o tratamento de dados pessoais.

Os princípios da LGPD são:

  • Finalidade: o tratamento deve ter propósitos legítimos, específicos e informados ao titular.

  • Adequação: o tratamento deve ser compatível com as finalidades informadas ao titular.

  • Necessidade: o tratamento deve ser limitado ao mínimo necessário para atingir as finalidades.

  • Livre acesso: o titular deve ter acesso facilitado aos seus dados pessoais.

  • Qualidade dos dados: os dados pessoais devem ser exatos, claros e atualizados.

  • Transparência: o titular deve ter informações claras e completas sobre o tratamento dos seus dados pessoais.

  • Segurança: o tratamento deve utilizar medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados, destruição, perda, alteração ou divulgação.

  • Prevenção: o tratamento deve adotar medidas para prevenir a ocorrência de danos aos titulares dos dados pessoais.

  • Não discriminação: o tratamento não deve ser realizado para fins ilícitos ou abusivos, que violem os direitos humanos.

  • Responsabilização e prestação de contas: o agente de tratamento deve demonstrar a adoção de medidas eficazes para o cumprimento da LGPD.

Os fundamentos da LGPD são:

  • Respeito à privacidade;

  • Autodeterminação informativa;

  • Liberdade de expressão, de informação, de comunicação e de opinião;

  • Inviolabilidade da intimidade, da honra e da imagem;

  • Desenvolvimento econômico e tecnológico e a inovação;

  • Livre iniciativa, livre concorrência e a defesa do consumidor;

  • Direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Como você pode ver, a LGPD é uma lei complexa e abrangente, que visa garantir a proteção dos dados pessoais dos cidadãos e das organizações.

Quais são os direitos dos titulares e os deveres dos agentes de tratamento de dados pessoais?

A LGPD reconhece que os dados pessoais são um bem valioso e que devem ser tratados com respeito e responsabilidade. Por isso, a LGPD concede aos titulares dos dados pessoais uma série de direitos que devem ser garantidos pelos agentes de tratamento. Os direitos dos titulares dos dados pessoais previstos na LGPD são:

  • Direito de acesso: o titular tem o direito de obter do controlador a confirmação da existência de tratamento, o acesso aos seus dados pessoais, as informações sobre as finalidades, a forma e a duração do tratamento, os destinatários ou as categorias de destinatários dos dados, entre outras.

  • Direito de retificação: o titular tem o direito de solicitar ao controlador a correção ou a atualização dos seus dados pessoais incompletos, inexatos ou desatualizados.

  • Direito de exclusão: o titular tem o direito de solicitar ao controlador a exclusão dos seus dados pessoais quando eles forem desnecessários, excessivos ou tratados em desconformidade com a LGPD.

  • Direito de anonimização, bloqueio ou eliminação: o titular tem o direito de solicitar ao controlador a anonimização, o bloqueio ou a eliminação dos seus dados pessoais que forem desnecessários, excessivos ou tratados em desconformidade com a LGPD.

  • Direito de portabilidade: o titular tem o direito de solicitar ao controlador a transmissão dos seus dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial.

  • Direito de informação: o titular tem o direito de obter do controlador informações sobre as entidades públicas e privadas com as quais ele compartilha os seus dados pessoais, bem como sobre a possibilidade de não fornecer o consentimento e as consequências da negativa.

  • Direito de revogação do consentimento: o titular tem o direito de revogar o seu consentimento para o tratamento dos seus dados pessoais a qualquer momento, mediante manifestação expressa e gratuita.

  • Direito de oposição: o titular tem o direito de se opor ao tratamento dos seus dados pessoais quando ele não for realizado com base no consentimento ou em situações autorizadas por lei.

  • Direito de revisão de decisões automatizadas: o titular tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem os seus interesses, como perfilamentos (profiling).

  • Direito de petição: o titular tem o direito de peticionar em relação aos seus dados pessoais perante a ANPD ou aos órgãos do Sistema Nacional de Defesa do Consumidor.

  • Direito à educação: o titular tem o direito à educação digital para promover o uso consciente e seguro da internet.

Para exercer esses direitos, o titular deve entrar em contato com o controlador dos seus dados pessoais, que deve responder às solicitações em até 15 dias. O controlador também deve indicar um encarregado para atuar como canal de comunicação entre ele, os titulares dos dados e a ANPD.

Por outro lado, os agentes de tratamento dos dados pessoais também têm uma série de deveres que devem ser cumpridos para garantir a conformidade com a LGPD. Os deveres dos agentes de tratamento dos dados pessoais previstos na LGPD são:

  • Dever de obter o consentimento do titular quando necessário: o consentimento é uma das bases legais para o tratamento dos dados pessoais. O consentimento deve ser livre, informado, inequívoco e específico. O consentimento também deve ser obtido separadamente para cada finalidade do tratamento. O consentimento pode ser dispensado em algumas situações previstas na LGPD, como para cumprir uma obrigação legal ou contratual, para proteger a vida ou a saúde do titular ou de terceiros, para atender aos interesses legítimos do controlador ou de terceiros, entre outras.

  • Dever de informar a finalidade e a base legal do tratamento: os agentes de tratamento devem informar aos titulares dos dados pessoais qual é a finalidade e a base legal do tratamento, de forma clara e precisa. A finalidade deve ser legítima, específica e informada previamente ao titular. A base legal deve ser uma das previstas na LGPD, como o consentimento, o cumprimento de uma obrigação legal ou contratual, o exercício regular de direitos em processo judicial ou administrativo, a proteção da vida ou da saúde do titular ou de terceiro, o interesse público, o interesse legítimo do controlador ou de terceiros, entre outras.

  • Dever de garantir a segurança e a confidencialidade dos dados pessoais: os agentes de tratamento devem adotar medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados, destruição, perda, alteração ou divulgação. Essas medidas devem levar em conta a natureza dos dados, o contexto e a finalidade do tratamento, os riscos envolvidos e as melhores práticas do mercado.

  • Dever de comunicar incidentes e violações à autoridade nacional e aos titulares afetados: os agentes de tratamento devem comunicar à ANPD e aos titulares dos dados pessoais a ocorrência de incidentes ou violações que possam acarretar risco ou danos aos titulares. Essa comunicação deve ser feita em prazo razoável, definido pela ANPD, e deve conter informações sobre a natureza dos dados afetados, os envolvidos no incidente ou na violação, as medidas técnicas e de segurança adotadas para proteger os dados, os riscos relacionados ao incidente ou à violação e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente ou da violação.

  • Dever de elaborar relatório de impacto à proteção de dados pessoais: os agentes de tratamento devem elaborar um relatório de impacto à proteção de dados pessoais quando o tratamento envolver dados pessoais sensíveis, dados pessoais de crianças e adolescentes ou dados que possam gerar riscos aos direitos e liberdades fundamentais dos titulares. O relatório de impacto deve conter informações sobre os dados coletados, a metodologia utilizada para o tratamento, as medidas de segurança adotadas, a análise dos riscos envolvidos e as medidas para reduzir esses riscos.

  • Dever de nomear um encarregado pelo tratamento dos dados pessoais: os agentes de tratamento devem nomear um encarregado pelo tratamento dos dados pessoais, que será responsável por atuar como canal de comunicação entre eles, os titulares dos dados e a ANPD. O encarregado também deve orientar os funcionários e os contratados dos agentes de tratamento sobre as práticas a serem adotadas em relação à proteção dos dados pessoais.

Como você pode ver, a LGPD confere aos titulares dos dados pessoais uma série de direitos que devem ser respeitados pelos agentes de tratamento. Além disso, a LGPD impõe aos agentes de tratamento uma série de deveres que devem ser cumpridos para garantir a conformidade com a lei.


Como a LGPD afeta o setor de recursos humanos?

O setor de recursos humanos é um dos que mais lida com dados pessoais de colaboradores, candidatos, terceirizados e fornecedores. Esses dados pessoais são utilizados para diversas finalidades, como recrutamento e seleção, contratação e demissão, folha de pagamento, benefícios, treinamento e desenvolvimento, avaliação de desempenho, gestão de carreira, comunicação interna, saúde e segurança do trabalho, entre outras.

Com a entrada em vigor da LGPD, o setor de recursos humanos precisa se adequar à lei e garantir que o tratamento dos dados pessoais seja feito de forma lícita, legítima e transparente. Isso significa que o setor de recursos humanos precisa:

  • Definir a finalidade e a base legal para cada atividade de tratamento de dados pessoais.

  • Obter o consentimento dos titulares dos dados pessoais quando necessário ou informar as demais bases legais que justificam o tratamento.

  • Respeitar os direitos dos titulares dos dados pessoais, como o direito de acesso, retificação, exclusão, portabilidade, revogação do consentimento, entre outros.

  • Garantir a segurança e a confidencialidade dos dados pessoais, adotando medidas técnicas e administrativas para protegê-los de acessos não autorizados, perda, alteração ou divulgação.

  • Comunicar à ANPD e aos titulares dos dados pessoais qualquer incidente ou violação que possa acarretar risco ou danos aos titulares.

  • Elaborar um relatório de impacto à proteção de dados pessoais quando o tratamento envolver dados sensíveis ou que possam gerar riscos aos direitos e liberdades fundamentais dos titulares.

  • Nomear um encarregado pelo tratamento dos dados pessoais, que será responsável por atuar como canal de comunicação entre o setor de recursos humanos, os titulares dos dados e a ANPD.

Ao se adequar à LGPD no setor de recursos humanos, as empresas não só evitam as sanções previstas na lei, como também podem obter diversos benefícios, tais como:

  • Melhorar a reputação e a imagem da empresa no mercado.

  • Aumentar a confiança e a satisfação dos colaboradores e dos clientes.

  • Estimular a inovação e a competitividade da empresa.

  • Reduzir custos e riscos operacionais relacionados ao tratamento dos dados pessoais.

  • Aprimorar as práticas de governança corporativa e compliance da empresa.


Quais são as sanções previstas na LGPD para quem não cumprir com a lei?

A LGPD prevê que os agentes de tratamento dos dados pessoais que violarem a lei estarão sujeitos a sanções administrativas aplicadas pela ANPD. Essas sanções podem variar de acordo com a gravidade e a extensão da violação, levando em conta aspectos como a boa-fé do infrator, a vantagem obtida ou pretendida, a condição econômica do infrator, a reincidência, o grau do dano, a cooperação do infrator, a adoção de políticas e procedimentos de boas práticas e governança, entre outros.

As sanções administrativas previstas na LGPD são:

  • Advertência: uma notificação formal ao infrator para que ele corrija as irregularidades apontadas pela ANPD em um prazo determinado.

  • Multa simples: uma penalidade pecuniária de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração.

  • Multa diária: uma penalidade pecuniária aplicada por dia de descumprimento da decisão da ANPD, observado o limite máximo da multa simples.

  • Publicização da infração: uma divulgação da infração cometida pelo agente de tratamento após a confirmação da sua ocorrência e a apuração da sua extensão.

  • Bloqueio dos dados pessoais: uma suspensão temporária da possibilidade de acesso aos dados pessoais envolvidos na infração até a regularização da atividade de tratamento pelo agente.

  • Eliminação dos dados pessoais: uma exclusão definitiva dos dados pessoais envolvidos na infração.

  • Suspensão parcial do funcionamento do banco de dados: uma proibição temporária de realizar atividades de tratamento dos dados pessoais envolvidos na infração.

  • Suspensão do exercício da atividade de tratamento dos dados pessoais: uma proibição temporária de realizar qualquer atividade de tratamento dos dados pessoais.

  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados: uma vedação definitiva de realizar atividades de tratamento dos dados pessoais.

Uma mulher com a mão aberta bem em frente à câmera

Além das sanções administrativas, os agentes de tratamento dos dados pessoais que violarem a LGPD também poderão ser responsabilizados civilmente pelos danos causados aos titulares dos dados pessoais. Esses danos podem ser materiais ou morais, individuais ou coletivos. A responsabilização civil pode ser decorrente de ato ilícito, abuso de direito ou descumprimento contratual. A responsabilização civil pode ser solidária entre os agentes de tratamento que causarem o dano.


Como você pode ver, as sanções previstas na LGPD para quem não cumprir com a lei são severas e podem comprometer seriamente a continuidade e a reputação das organizações que tratam dados pessoais. Por isso, é fundamental que as empresas se adequem à LGPD no setor de recursos humanos e adotem as medidas necessárias para garantir a conformidade com a lei.

Quais são as boas práticas para se adequar à LGPD no setor de recursos humanos?

Para se adequar à LGPD no setor de recursos humanos, as empresas devem adotar uma série de medidas que visam garantir a conformidade com a lei e a proteção dos dados pessoais dos colaboradores, candidatos, terceirizados e fornecedores. Essas medidas envolvem aspectos jurídicos, técnicos e organizacionais, e devem ser implementadas de forma integrada e contínua.

Algumas das boas práticas para se adequar à LGPD no setor de recursos humanos são:

  • Realizar um diagnóstico da situação atual dos dados pessoais tratados pelo setor: o primeiro passo é identificar quais são os dados pessoais coletados, para quais finalidades, com base em quais fundamentos legais, por quanto tempo são armazenados, onde são armazenados, como são protegidos, com quem são compartilhados e como são descartados. Esse diagnóstico deve ser documentado e atualizado periodicamente.

  • Revisar e atualizar as políticas, os procedimentos, os contratos e os termos de uso relacionados ao tratamento de dados pessoais pelo setor: o segundo passo é verificar se as políticas, os procedimentos, os contratos e os termos de uso estão em conformidade com a LGPD e se refletem as práticas adotadas pelo setor. Esses documentos devem ser claros, precisos e acessíveis aos titulares dos dados pessoais. Eles também devem ser revisados e atualizados sempre que houver alguma alteração na legislação ou nas atividades de tratamento.

  • Implementar medidas técnicas e administrativas para garantir a segurança e a confidencialidade dos dados pessoais tratados pelo setor: o terceiro passo é adotar medidas que previnam e mitiguem os riscos de acessos não autorizados, perda, alteração ou divulgação dos dados pessoais. Essas medidas podem incluir o uso de criptografia, firewall, antivírus, controle de acesso, backup, auditoria, entre outras. Essas medidas devem ser proporcionais à natureza dos dados, ao contexto e à finalidade do tratamento, aos riscos envolvidos e às melhores práticas do mercado.

  • Capacitar e conscientizar os colaboradores e os terceirizados sobre a LGPD e as boas práticas de proteção de dados pessoais: o quarto passo é promover a educação digital dos colaboradores e dos terceirizados que atuam no setor de recursos humanos ou que tenham acesso aos dados pessoais tratados pelo setor. Essa capacitação deve abordar os conceitos, os princípios, os direitos, os deveres e as sanções previstos na LGPD, bem como as políticas, os procedimentos e as medidas adotadas pela empresa para garantir a conformidade com a lei. Essa capacitação deve ser contínua e avaliada periodicamente.

  • Monitorar e avaliar o cumprimento da LGPD no setor de recursos humanos: o quinto passo é acompanhar e verificar se as atividades de tratamento de dados pessoais realizadas pelo setor estão em conformidade com a LGPD e com as políticas e procedimentos da empresa. Esse monitoramento deve envolver indicadores de desempenho, relatórios de auditoria, testes de segurança, entre outros. Esse monitoramento deve ser feito regularmente e gerar recomendações de melhoria.

Essas são algumas das boas práticas para se adequar à LGPD no setor de recursos humanos. No entanto, cada empresa deve adaptar essas medidas à sua realidade e às suas necessidades específicas. Além disso, é importante contar com o apoio de profissionais especializados em proteção de dados pessoais, que possam orientar e auxiliar na implementação das medidas necessárias.


Conclusão


A LGPD é uma lei que veio para mudar a forma como as empresas tratam os dados pessoais dos seus stakeholders. O setor de recursos humanos é um dos mais afetados pela LGPD, pois lida com dados pessoais sensíveis e estratégicos para as organizações. Por isso, é essencial que as empresas se adequem à LGPD no setor de recursos humanos, para evitar sanções e prejuízos, além de garantir a confiança e a satisfação dos seus colaboradores e clientes.


Neste post, nós explicamos o que é a LGPD e quais são os seus princípios e fundamentos, quais são os direitos dos titulares e os deveres dos agentes de tratamento de dados pessoais, como a LGPD afeta o setor de recursos humanos e quais são as boas práticas para se adequar à lei. Esperamos que você tenha gostado do conteúdo e que ele tenha sido útil para você.

Se você quiser saber mais sobre a LGPD no setor de recursos humanos, entre em contato conosco. Nós somos o SolucioneRH, uma empresa especializada em gestão de pessoas e proteção de dados pessoais. Nós podemos te ajudar a se adequar à LGPD no setor de recursos humanos, oferecendo soluções personalizadas e eficientes para o seu negócio. Não perca tempo e entre em contato conosco agora mesmo!


Referências

Commenti


bottom of page