Lei Geral de Proteção de Dados: quem é responsável por garantir o cumprimento da LGPD nas empresas?

Se você está se perguntando o que a proteção de dados tem a ver com contratações, folhas de pagamento, exames admissionais, atestados médicos, avaliações de desempenho, e outros tópicos similares, este artigo vai esclarecer tudo.

Criado em: 16 de agosto de 2023Atualizado em: 9 de setembro de 2024Por 10 min de leitura

Se você está se perguntando o que a proteção de dados tem a ver com contratações, folhas de pagamento, exames admissionais, atestados médicos, avaliações de desempenho, e outros tópicos similares, este artigo vai esclarecer tudo. Vamos explicar como a Lei Geral de Proteção de Dados (LGPD) está redefinindo a abordagem do setor de Recursos Humanos em relação às informações dos colaboradores, além de apresentar as medidas que as empresas estão adotando para cumprir as novas regras, quem são os responsáveis por isso, e como essas mudanças impactam diretamente o ambiente de trabalho.

Boa leitura!

O que é LGPD e por que ela foi criada?

A Lei Geral de Proteção de Dados (LGPD) surgiu com o propósito fundamental de estabelecer diretrizes e regulamentos que norteassem o tratamento adequado de dados pessoais por organizações, tanto públicas quanto privadas. A sua necessidade teve origem em resposta a um crescimento exponencial na coleta, armazenamento e processamento de informações confidenciais pertencentes a indivíduos e empresas, que ocorreu devido aos avanços tecnológicos e a expansão do comércio eletrônico.

O modelo adotado no Brasil foi inspirado no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, e proveio de uma preocupação latente acerca da segurança e privacidade dos dados, bem como pela urgência de prevenir vazamentos que se tornaram cada vez mais comuns. Consequentemente, várias medidas foram implementadas na prática, incluindo a obtenção de consentimento para a coleta de informações, a delimitação precisa das finalidades de uso, a garantia dos direitos dos titulares dos dados e a aplicação de medidas de segurança robustas.

A LGPD já está em vigor?

Sim. A Lei 13.709/2018 foi promulgada durante a gestão do então presidente Michel Temer, em 2018. Com o intuito de viabilizar a transição para as novas diretrizes, a legislação estabeleceu um período de adaptação de dois anos para as empresas, a fim de que elas pudessem realizar as mudanças necessárias de acordo com suas disposições.

No ano seguinte, 2019, um novo passo crucial foi dado, com a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão que ficou responsável pela fiscalização e garantia de que as organizações se adequariam aos requisitos estipulados, em conformidade com as regulamentações estabelecidas na LGPD.

No entanto, o calendário originalmente estabelecido para a efetivação da LGPD em 2020 sofreu ajustes, devido a uma série de tramitações que ocorreram no âmbito do Senado Federal. Como resultado desse processo, os prazos iniciais foram adiados, com a determinação de que as penalidades impostas às empresas em desacordo com o regulamento somente passariam a ser aplicadas a partir de agosto de 2021. Mas foi apenas no dia 6 de julho de 2023 que se registrou o primeiro caso de uma empresa sendo multada por não atender às exigências estabelecidas pela LGPD.

Como a LGPD impacta o RH das empresas?

O setor de RH é um dos setores mais impactados pela LGPD, pois lida com uma grande quantidade de dados pessoais dos colaboradores. Com sua implementação, as empresas precisam adotar uma série de medidas para garantir a proteção dessas informações. Algumas delas são:

  • Obter o consentimento do colaborador para o tratamento dos seus dados pessoais;
  • Informar o colaborador sobre a finalidade do tratamento desses dados;
  • Limitar o tratamento dessas informações ao necessário para a finalidade informada;
  • Armazená-las em segurança;
  • Eliminá-las quando não forem mais necessárias para a finalidade informada;
  • Responder às solicitações do colaborador sobre seus dados pessoais.

O que é tratamento de dados no RH?

O tratamento de dados, especialmente no departamento de Recursos Humanos, passa por várias etapas: coleta, armazenamento, organização, análise e uso de informações pessoais dos colaboradores. Isso engloba uma gama de dados confidenciais, como nomes, endereços, contatos, registros de emprego, documentos de identificação (RG, CPF, CNH), informações médicas e outros detalhes relevantes para a gestão de RH. Mas estas informações são tão importantes, que se vazadas podem prejudicar significativamente o titular. Por isso, a intenção subjacente da LGPD é resguardar a privacidade das pessoas e estabelecer diretrizes rigorosas para garantir que todo o processo ocorra de forma ética e legal.

Isso implica em obter a devida autorização dos funcionários para coletar seus dados, garantir a segurança e confidencialidade das informações, e possibilitar a eles exercerem seus direitos de acesso, correção ou exclusão, mediante solicitação, em um prazo de até 15 dias.

Categorias de Dados Protegidos pela LGPD

A legislação se aplica a qualquer dado que possa identificar uma pessoa, seja de forma direta ou indireta. Abaixo, estão listados alguns tipos de dados pessoais e sensíveis que se enquadram nas novas normas da LGPD:

Dados de Identificação Pessoal:
  • Nome completo;
  • Nome dos pais e/ou cônjuges;
  • Números de identificação (CPF, RG etc.);
  • Data de nascimento.
Dados de Contato:
  • Endereço residencial;
  • Endereços de e-mail;
  • Números de telefone.
Dados de Emprego:
  • Currículos;
  • Registros de trabalho;
  • Histórico de cargos e salários;
  • Avaliações de desempenho.
Dados Financeiros:
  • Números de contas bancárias;
  • Informações de pagamento e folha de pagamento;
  • Benefícios e reembolsos.
Dados de Saúde:
  • Informações médicas e de saúde;
  • Atestados médicos;
  • Dados de seguro saúde;
  • Informações sobre deficiências e necessidades especiais.
Dados de Formação e Educação:
  • Certificados e diplomas;
  • Histórico acadêmico;
  • Treinamentos e cursos realizados.
Dados de Imagem e Voz:
  • Fotografias e vídeos dos colaboradores;
  • Gravações de voz.
Dados de Localização:
  • Dados de geolocalização quando relevantes (por exemplo, para controle de ponto).
Dados de Benefícios e Assistência:
  • Informações sobre plano de saúde;
  • Benefícios de bem-estar e assistência.

Conceitos básicos da LGPD

Com a lei em vigor, é essencial compreender os principais conceitos e diretrizes que orientam o tratamento de dados pessoais dos seus colaboradores. A LGPD estabelece uma série de princípios que guiam a maneira como os dados pessoais devem ser coletados, utilizados e protegidos. Além disso, define os papéis de diferentes agentes envolvidos no processo, como o titular dos dados, o controlador, o operador e o encarregado, cada um desempenhando funções específicas:

  • Titular de dados: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • Controlador de dados: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
  • Operador de dados: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
  • Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

 

Para o primeiro grupo, titular de dados, a legislação estabelece direitos garantidos, como:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
  • Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da Autoridade Nacional, observados os segredos comercial e industrial;
  • Eliminação dos dados pessoais tratados com o consentimento do(a) titular, exceto nas hipóteses previstas no art. 16 da Lei;
  • Informação das entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados;
  • Informação sobre a possibilidade de não fornecer consentimento e sobre consequências da negativa;
  • Revogação do consentimento, nos termos do § 5.º do art. 8.º da Lei.

Se você for um titular e deseja ter acesso aos seus dados, basta clicar aqui.

Como aplicar a LGPD no RH?

Você já entendeu a teoria, mas como a aplicação da LGDP acontece na prática? O primeiro passo é realizar a leitura da legislação para entender em quais pontos sua empresa pode ser impactada e quais são as mudanças necessárias para cumprir com as exigências do decreto. Depois disso, é importante realizar um planejamento antes de colocar a mão na massa. Se você não sabe por onde começar, aqui está um plano de ação que você pode seguir:

 

  1. Conscientização e Treinamento:
  • Realizar sessões de conscientização para a equipe sobre os princípios e objetivos da LGPD.
  • Oferecer treinamento para colaboradores em diferentes departamentos sobre como lidar com dados pessoais, incluindo coleta, processamento e compartilhamento.
  1. Avaliação de Dados:
  • Identificar os tipos de dados pessoais que a organização coleta, armazena e processa.
  • Mapear fluxos de dados para entender como esses dados são coletados, usados e compartilhados.
  • Identificar e categorizar dados sensíveis e dados de menores de idade, se aplicável.
  1. Nomeação de um Encarregado de Proteção de Dados (DPO):
  • Designar ou contratar um DPO responsável por supervisionar as atividades relacionadas à proteção de dados e garantir a conformidade com a LGPD.
  1. Revisão e Atualização de Políticas:
  • Rever e atualizar políticas de privacidade e termos de uso para garantir que sejam claros, transparentes e atendam aos requisitos da LGPD.
  • Desenvolver políticas e procedimentos para o exercício dos direitos dos titulares dos dados, como acesso, retificação e exclusão.
  1. Avaliação de Riscos e Medidas de Segurança:
  • Realizar uma avaliação de riscos de segurança de dados para identificar vulnerabilidades e ameaças.
  • Implementar medidas de segurança técnicas e organizacionais apropriadas para proteger os dados pessoais contra acessos não autorizados, vazamentos e violações.
  1. Consentimento e Fundamento Legal:
  • Rever as práticas de obtenção de consentimento das informações pessoais de colaboradores e garantir que sejam voluntárias, específicas e informadas.
  • Identificar os fundamentos legais para o processamento de dados, como o cumprimento de um contrato, consentimento ou obrigação legal.
  1. Gestão de Terceiros:
  • Avaliar fornecedores e parceiros de negócios que também processam dados pessoais e garantir que eles estejam em conformidade com a LGPD.
  • Revisar e atualizar acordos de processamento de dados com terceiros para incluir cláusulas de proteção de dados.
  1. Resposta a Incidentes:
  • Desenvolver um plano de resposta a incidentes para lidar com violações de dados e vazamentos de informações pessoais.
  • Treinar a equipe para responder adequadamente a incidentes e notificar a autoridade de proteção de dados e os titulares dos dados, se necessário.
  1. Auditoria e Monitoramento Contínuo:
  • Realizar auditorias regulares para avaliar a conformidade e a eficácia das medidas de proteção de dados.
  • Manter um monitoramento constante das práticas de proteção de dados e fazer ajustes conforme necessário.
  1. Educação Contínua:
  • Manter a equipe atualizada sobre as mudanças na regulamentação de proteção de dados e realizar treinamentos regulares.
  • Fomentar uma cultura organizacional de respeito à privacidade e proteção de dados.

 

Quais as sanções em caso de descumprimento da LGPD?

A LGPD prevê sanções administrativas para os agentes de tratamento que descumprirem a lei, que são aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD). Elas podem ser:

  • Advertência;
  • Multa simples, de até 2% do faturamento anual da empresa, limitada a R$ 50 milhões por infração;
  • Multa diária, de até R$ 50 milhões;
  • Bloqueio dos dados pessoais;
  • Eliminação dos dados pessoais;
  • Suspensão parcial, por até 06 (seis) meses do banco de dados envolvido;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
  • Proibição parcial ou total das atividades relacionadas a tratamento de dados.


Esse conteúdo foi útil para você? Complemente seus estudos sobre o tema neste post do nosso Instagram.

receba conteúdos como esses todo mês, diretamente no seu e-mail, de graça.

Assine a nossa newsletter

Postagens relacionadas