LGPD no RH: privacidade dos dados pessoais deve ser uma cultura

LGPD no RH

Marcelo Fattori

Sócio da SeusDados.com . Empresa de consultoria em Proteção de Dados Pessoais; Sócio de Germano de Lemos Advogados Associados; Membro do grupo de pesquisa em Direito Digital e Proteção de Dados da USP e Faculdade de Direito de Ribeirão Preto.

Compartilhar

O melhor começo para viver esse cenário de LGPD se dá dentro de casa, a partir do exemplo a ser dado ao colaborador de que ele é respeitado.

O ambiente de trabalho deve ser um local sagrado. A pessoa ao entrar naquele local deve sentir-se bem, compreender que as pessoas que estão ao seu redor comungam do mesmo propósito e que ao final de uma jornada longa de trabalho a recompensa financeira é apenas um detalhe.

Isso porque a experiência diária de conviver com pessoas por longas horas, com que dividimos alegrias e angústias, em um ambiente em que ficamos mais tempo do que com nossas famílias, esposas, maridos, filhos e amigos, deve sempre estar preparado para possibilitar a esse colaborador que saia ao fina do dia melhor do que quando chegou no início da jornada.

E o que tem haver a privacidade dos dados pessoais com isso? Tudo haver.

É de sabedoria milenar que o ser humano tende a replicar aquilo que recebe, na mesma proporção. Um sorriso sincero e despretensioso dificilmente recebe em troca uma safanão, da mesma forma que um xingamento normalmente não é tratado com gratidão.

Óbvio, portanto, que ao tratar a privacidade e os dados pessoais do seu colaborador como valores inegociáveis, a organização dando o exemplo, terá dele, com maior facilidade a preocupação com o respeito a esses valores dos seus colegas de trabalho, dos seus consumidores e demais pessoas com quem desenvolvam o negócio.

O setor de Recursos Humanos das empresas é e deve ser mesmo, o departamento a ser tratado com grande carinho pela organização. A empresa é o reflexo dos seus integrantes.

Por outro lado, do ponto de vista da legalidade, como afirmam os portugueses Sérgio Coimbra Henriques e João Vares Luis

a realidade laboral deseja e admite o controle do empregador de determinados aspectos da rotina laboral de cada trabalhador, mas também exige a proibição de qualquer entrada abusiva, por desnecessária, na esfera privada de um trabalhador”(1).

O RH, auxiliado pelos departamentos jurídico e pela comitê de privacidade das empresas, tem papel importante na ponderação e balanceamento desses direitos e deveres.

Com essa contextualização sobre a importância do departamento de RH para a efetivação do programa de adequação, passo a tratar de forma mais prática minhas convicções de como isso deve ser tratado.

Penso que a adequação à LGPD não ocorre se não for um valor defendido pelo board. A partir dessa premissa, tem-se que:

  1. Privacidade e a busca incessante pela proteção dos dados pessoais têm que ser um valor e uma missão da organização, respectivamente, vivenciado do núcleo duro da direção da empresa para o restante do corpo colaborativo;

1.1. O colaborador terá maior dimensão da necessidade de zelar pela privacidade se entender que a sua também é respeitada pela empresa;

1.2. A diretoria da empresa e os cargos mais relevantes da organização devem estar engajados no programa e dar demonstrações efetivas da importância do assunto para a corporação;

1.3. Em recente palestra sobre o tema, uma das maiores autoridades sobre implementação de programas de privacidade nas corporações, o professor Humberto Ortiz, afirmou que em um modelo ideal, o presidente da empresa constantemente se reporta aos seus milhares de funcionários com mensagens sobre privacidade e a importância que o tema tem para a empresa;

1.4. Ouso complementar a fala ilustre professor, afirmando que além do C-Level das empresas, o departamento de RH deve dar seqüência a esse trabalho da diretoria, conscientizando no dia a dia os seus colaboradores da necessidade de observância dessa política, mas como? Proponho algumas sugestões:

1.4.1. Além da necessária revisão dos contratos de trabalho, termos de confidencialidade e demais documentos produzidos na contratação do colaborador, o responsável pela implementação do programa de adequação à LGPD deverá, criativamente, desenvolver mecanismos de conscientização permanente;

1.4.2. O colaborador desde o momento inicial deve receber informações claras sobre o tratamento da sua privacidade, sobre os limites entre o que é privado e o que é corporativo;

1.4.2.1. Essencial esse esclarecimento, posto que na maioria das vezes o colaborador não tem a dimensão sobre esses limites e sobre o que é da empresa e para a empresa e sobre o que é seu direito individual e que deve ser respeitado;

1.4.2.2. Esse colaborador deve ser treinado para ser o primeiro guardião da privacidade no seu microambiente de trabalho; Para tanto deverá ter a compreensão do que é atinente à sua privacidade, o que é e quais são os segredos comerciais e industriais por ele manipulados, e o que é e como se respeita a privacidade de todos os demais destinatários das ações da empresa;

1.4.3. Palestras iniciais e treinamentos são válidos, porém, não podem ser a única forma de se abordar o tema;

1.4.4. A formação contínua de todo o time é um diferencial relevante e uma boa prática a ser adotada. 

1.4.5. Aposte em gameficação e outras formas atuais de despertar o interesse e aguce a curiosidade do seu time em envolver-se em situações que abordam o tema da privacidade;

1.4.6. Imprescindível conscientizar o colaborador de que a partir do ambiente regulado pela LGPD, o consumidor dos produtos da nossa companhia terão maior ou menor valor agregado, a depender da reputação que terá no mercado sob o prisma do respeito à privacidade.

1.4.6.1. Como cidadãos, cada vez menos teremos tolerância com empresas que não tenham compromissos públicos com sustentabilidade e respeito aos direitos fundamentais do ser humano e do globo terrestre, vale dizer que incidentes de segurança poderão representar a morte de postos de trabalho, produtos e corporações inteiras;

1.4.6.2. Essa consciência transmitida de forma eficiente e assimilada pelos colaboradores os tornarão os primeiros divulgadores das qualidades da sua organização para o mercado, convalidando os esforços das áreas de marketing e Business Intelligence na missão de se posicionarem no mercado como empresas sérias e que respeitam o cidadão;

1.4.7. O RH deverá incentivar os seus colaboradores a apontar situações de desrespeito à privacidade, valorizando de forma efetiva condutas comprometidas com o desenvolvimento e sustentabilidade do negócio;

1.4.8. O RH deverá, ainda, ter uma interlocução efetiva com o jurídico e consultorias da empresa sobre privacidade, para exigir que todas as normas de privacidade sejam claramente informadas e tratadas de modo a respeitar a legislação vigente;

1.4.8.1. Exemplo disso diz respeito a análise das obtenções do consentimento informado do trabalhador, no tratamento de dados pessoais comuns;

1.4.8.2. Aplicação de critérios rígidos para higienização das bases de dados sobre trabalhadores, limitando-os aos dados que atendam finalidades específicas, que sejam adequados e necessários;

1.4.8.3. Que haja um canal de intranet ou outro meio claro onde o colaborador possa consultar suas informações utilizadas pela empresa, de modo transparente e com acesso restrito a ele próprio e aos departamentos que efetivamente precisam ter acesso a tais informações;

1.4.8.4. Que os dados sensíveis de trabalhadores, como dados sobre sua saúde ou sobre sua filiação sindical, por exemplo, se são realmente necessários, como se deu a coleta, a base legal utilizada para o tratamento, a necessidade de reforço do consentimento.

1.4.9. Avaliação dos sistemas de CFTV, e eventuais intrusões desnecessárias na intimidade dos colaboradores;

1.4.10. Em caso de uso de dados sensíveis como biometria, reconhecimento facial e de íris, supostamente para fins de controle de ponto, acesso e segurança, se atendem ao princípio legal da necessidade e da adequação, caso a caso, bem como se a política de privacidade e segurança internas estão adequadas à realidade física e se refletem na prática a segurança que informa existir.

1.4.11. Em caso da existência de dados sensíveis na sua base, você como membro ou responsável do RH deverá alertar as áreas responsáveis pela privacidade sobre a necessidade de elaboração de relatórios de impacto no tratamento de dados pessoais específico dos trabalhadores da empresa, com apontamento dos riscos e vulnerabilidades e como pretende mitigar referidos riscos.

1.4.12. O departamento de RH deverá interagir com o departamento de TI e definir políticas rígidas de login e senhas a sistemas, crachás de acesso, políticas de acesso a bases de dados limitadas à essencialidade para área em que o trabalhador estiver alocado, bem como política de retirada de acesso imediato em caso de desligamento da organização. 

Não se pode perder de mente que a relação trabalhador/empresa é desigual. Existe um componente de subordinação e fragilidade que não podem ser desconsiderados e que serão objeto de consideração em eventuais demandas trabalhistas.

A partir da vigência dessa lei, com maior ímpeto, pode apostar, a Justiça do Trabalho irá enfrentar questionamentos sobre a proteção dos dados pessoais e uso indevido destes pelas empresas, que reverberará em pedidos indenizatórios.

Regra de ouro para tanto: (i) estruture com o seu departamento de TI o registro de todos os tratamentos de dados pessoais dos seus colaboradores por meio de logs; (ii) Para os documentos offline, ou seja, aqueles que não estejam ativos deverão, se possível, ser criptografados e/ou pseudonimizados como forma de garantir maior segurança; (iii) Deverão, por fim, ser definidas as políticas e prazos de retenção e eliminação dos dados pessoais de colaboradores, para que não haja o armazenamento indevido além do tempo permitido.

Das bases legais para o tratamento de dados pessoais de trabalhadores e a base de dados existente, como proceder?

Uma questão que foi bastante discutida na Europa diz respeito a base de legal adotada para que fosse possível o tratamento de dados pessoais. 

Assim como ocorreu naquele continente, aqui no Brasil, via de regra, o tratamento de informações pessoais dos trabalhadores por parte das empresas, sempre se deu baseada no consentimento obtido geralmente de forma genérica em cláusulas contratuais e termos firmados no ato da contratação e relegados ao esquecimento.

O uso do consentimento é adequado como base legal apta ao tratamento de dados pessoais de trabalhadores?

Partindo da premissa da ausência de paridade de forças, da submissão do trabalhador aos ditames do empregador, não parece ser uma base segura. 

Com efeito, dificilmente os departamentos de RH são comunicados, por exemplo, pelos demais departamentos sobre tratamentos realizados com dados dos seus colaboradores que jamais foram informados, sobre essas coletada de dados realizados no ambiente de trabalho e, que, portanto, sequer têm consciência da sua coleta.

Sérgio Coimbra Henriques e João Vares Luis, destacaram no Anuário de Proteção de Dados, ano 2019, coordenado pelos professores Francisco Pereira Coutinho e Graça Canto Moniz, da Universidade Nova de Lisboa, que

numa primeira análise dir-se-á que o fundamento mais imediato para o desenvolvimento de operações de tratamento de dados pessoais dos trabalhadores é a necessidade deste para a execução do contrato de trabalho”(2).

Nesse contexto, de acordo com os mencionados autores, os dados indissociáveis da gestão corrente de recursos humanos terão como base legal adequada de tratamento o cumprimento de um contrato.

Outra base legal que poderá ser adotada é a do cumprimento de um dever legal, decorrente do tratamento de dados necessários para o cumprimento de obrigações impostas pela lei, como por exemplo troca de informações com órgãos governamentais, previdência social, dentre outros.

A própria retenção desses dados por tempo superior ao contrato de trabalho findo se fundará na base legal do exercício regular de um direito em processo judicial.

Haverá a possibilidade, ainda, de tratamento de dados pessoais, após o devido balanceamento exigido por lei, entre os direitos e deveres das empresas e do trabalhador, com base no legítimo interesse. Um exemplo de tratamento baseado no legítimo interesse pode ser o controle de meios informáticos e equipamentos de propriedade da empregadora no desempenho de atividades profissionais.

Razoável, portanto, que seja sempre buscado uma base legal que autorize o tratamento de preferência não vinculada ao consentimento do trabalhador, que poderá estar viciado, decorrente da disparidade de forças entre as partes.

Saiba mais: 
www.geneses.com.br
www.seusdados.com
Linkedin: Marcelo Fattori

Comentar via Facebook

Comentário(s)