RH tem papel importante na adequação das empresas à LGPD
O papel estratégico do RH na adequação das empresas à Lei Geral de Proteção de Dados (LGPD) foi enfatizado por Izabela Lehn, advogada, mestre em direito, professora, vice-presidente Jurídica da ACI e consultora jurídica em LGPD e Inteligência Artificial para empresas, durante o Café da Manhã Gestão de Pessoas que a entidade realizou nesta segunda-feira, 17. A atividade teve moderação de Luís Artur Mendes da Silva, gerente de desenvolvimento humano do Grupo Editorial Sinos e integrante do Comitê de Recursos Humanos da ACI.
Izabela afirmou que todas as empresas precisam estar adequadas à LGPD, o que significa seguir as determinações da Lei nº 13.709/18, como regulamentar o tratamento de dados pessoais e proteger o titular dos dados (pessoa física). “Tratamento de dados pessoais é o uso dos dados da coleta até a extinção”, explicou.
Dado pessoal é qualquer informação que identifica ou permite identificar alguém. São chamados de dados comuns CPF, telefone, e-mail e endereço. O RH utiliza muitos dados comuns, como nome completo, CPF, RG, CNH, endereço residencial, data de nascimento, estado civil, telefone e e-mail pessoal, cargo e setor, informações que identificam ou podem identificar um funcionário direta ou indiretamente. “São dados usados rotineiramente na gestão de pessoas e contratos de trabalho”, acrescentou.
De acordo com Izabela, também existem os dados sensíveis, como cor, raça, etnia, dados de saúde e religião. Estes revelam aspectos íntimos e a exposição pode gerar discriminação. Por isso, só podem ser tratados em hipóteses restritas, com maior cuidado e medidas de segurança reforçadas.
Exemplos de dados pessoais sensíveis no RH são informações sobre deficiência, dados biométricos (ponto eletrônico), filiação sindical, convicções religiosas (folgas específicas, restrições alimentares), dados sobre origem racial ou étnica (em pesquisas de diversidade e inclusão) e dados genéticos (em exames laboratoriais ou perícias médicas).
Uso de dado pessoal x hipóteses legais previstas na LGPD
O uso de dados pessoais comuns deve corresponder às hipóteses de tratamento de dados pessoais comuns previstas na LGPD, assim como o de dados pessoais sensíveis e dados de crianças e de adolescentes deve corresponder às respectivas hipóteses previstas.
As hipóteses legais de tratamento de dados pessoais comuns, conforme o art. 7 da LGPD, são consentimento do titular, estudos por órgão de pesquisa, tutela da saúde, execução de contrato ou de procedimento preliminar relacionado a um contrato e para atender a legítimos interesses do controlador. Outras hipóteses são cumprimento de obrigação legal, pela administração pública para a execução de políticas Públicas, proteção à vida, proteção ao crédito e exercício regular de direitos em processo judicial, administrativo ou arbitral.
Já as hipóteses legais de tratamento de dados pessoais sensíveis, de acordo com o art. 11 da LGPD, são consentimento (que é regra), tutela de saúde e estudos por órgãos de pesquisa, além de cumprimento de obrigação legal/regulatória, exercício regular de direitos em processo judicial, administrativo ou arbitral e garantia de prevenção à fraude e à segurança do titular, nos processos de autenticação de cadastro em sistemas eletrônicos.
A importância do ROPA
Izabela também destacou a importância do ROPA - Record Of Processing Activities ou Registro de Operações de Tratamento de Dados, que, no RH, serve para identificar, descrever e analisar todas as atividades que envolvem o tratamento de dados pessoais de funcionários, candidatos e dependentes. Este documento é obrigatório, conforme art. 37 da LGPD.
Exemplo de operação que deve ser registrada é o recebimento de currículos de candidatos, que normalmente contém dados como nome, CPF, telefone, e-mail, formação, experiências, referências, pretensão salarial e eventualmente foto e a finalidade de analisar o perfil profissional e participar de processo seletivo. A base Legal é Art. 7º, V, da LGPD, que refere-se à execução de procedimentos preliminares relacionados a contrato de trabalho. A empresa deve ter um fluxo de recebimento, análise, contato e armazenamento com prazo para eliminação, para evitar riscos de retenção excessiva dos dados.
Outro exemplo é o uso de biometria para controle de ponto. Dados sensíveis como nome, matrícula, registro de ponto, dados biométricos (digitais ou faciais) são coletados com a finalidade de garantir segurança, evitar fraudes e comprovar jornada de trabalho. A base Legal mais adequada é o Art. 11, II, “f”, da LGPD, que trata de garantia da prevenção à fraude e à segurança do titular nos processos de identificação e autenticação.
O fluxo sugerido é coleta diária, armazenamento no sistema e exclusão para evitar risco como uso indevido ou vazamento de informações. O uso de dados biométricos deve ser feito com cuidados, como realizar RIPD, adotar cláusulas de conformidade à LGPD em contrato com fornecedor, informar funcionário (Aviso de Privacidade para Funcionários) e definir política de retenção e eliminação da biometria.
Casos julgados por tribunais
De acordo com Izabela, o Poder Judiciário vem aplicando a LGPD em causas trabalhistas e isso traz lições práticas para os gestores de recursos humanos, envolvendo, por exemplo, monitoramento de funcionários por câmeras, uso de dados de geolocalização, ônus da prova sobre a adequação à LGPD e uso da imagem de empregados.
Num dos casos, o Ministério Público do Trabalho no Pará e Amapá (MPT PA-AP) ajuizou Ação Civil Pública contra a empresa que monitorava funcionários em locais privados e de convivência, para controlar a produtividade dos trabalhadores. A decisão judicial foi a proibição de utilizar câmeras de monitoramento em locais inapropriados, como vias de acesso a vestiários e banheiros, e áreas destinadas à alimentação, descanso e recreação de empregados.
O uso de câmeras de vigilância com captação de imagem e som em locais inapropriados viola a privacidade e a intimidade dos funcionários, fere a dignidade dos e trabalhadores e constitui vigilância excessiva. Já o monitoramento para controle da produtividade é permitido, desde que sejam os funcionários informados e colocadas placas nos locais, indicando que o ambiente está sendo filmado e as imagens são confidenciais e protegidas nos termos da lei.
Na decisão, o Poder judiciário definiu que, caso a empresa não cumprisse a determinação, receberia multa de R$ 60 mil por equipamento instalado em local irregular e deveria pagar indenização de R$ 10 mil caso os trabalhadores não fossem informados da presença das câmeras nos locais permitidos.
Patrocínio: Valderez Soluções 360, Doctor Clin, Sicredi Pioneira, Sant Saúde, Izabela Lehn Consultoria em LGPD e AI para Empresas e Eccel Restaurantes Empresariais
