LGPD e SST

Tudo o que o seu RH não sabe e precisa saber está aqui.

A LGPD – Lei Geral de Proteção de Dados (n.º 13.709), tem como objetivo proteger os dados pessoais em todo território nacional e de empresas multinacionais estabelecidas no país. Já está em vigor desde agosto de 2018 e o objetivo da proteção de dados é manter em segurança a privacidade das pessoas por meio tratamento das informações pessoais das pessoas naturais (titulares).

A LGPD exige para todos os CNPJs a proteção de dados, impondo deveres, obrigações e limitações aos agentes de tratamento. A Lei determina que as organizações que tratam informações pessoais precisam seguir determinadas diretrizes, fazendo com que todos os departamentos, mas em especial: Recursos Humanos (RH) e Saúde e Segurança de Trabalho (SST), vendas e atendimento a clientes tratem com mais rigor esses dados.

Todas as empresas estão submetidas à LGPD

A Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica, de direito público ou privado (ou seja, todos os CNPJs), independentemente do meio, do país de sua sede, ou do país onde estejam localizados os dados, desde que:

I –   A operação de tratamento seja realizada no território nacional;

II – A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou

III – Os dados pessoais objeto do tratamento tenha sido coletados no território nacional.

Sim, pode parecer complicado, mas a LGPD foi criada para defender o consumidor (usuário/titular) e tem como fundamentos:

I – O respeito à privacidade;

II – A autodeterminação informativa;

III – A liberdade de expressão, de informação, de comunicação e de opinião;

IV – A inviolabilidade da intimidade, da honra e da imagem;

V –  O desenvolvimento econômico e tecnológico e a inovação;

VI – A livre iniciativa, a livre concorrência e a defesa do consumidor;

VII – Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Para efetivar a gestão da LGPD fora criada a ANPD – Agência Nacional de Proteção dos Dados análoga a ANATEL por exemplo que faz o gerenciamento da energia no Brasil. A LGPD obriga as empresas a instituírem ou terceirizar a figura do profissional Encarregado de Dados (ou DPO), como único capaz de intermediar o titular de dados com a empresa e a ANPD. Compreenda na prática a aplicação da Lei e seus efeitos, através das definições disponíveis no art. 5º do documento. Logo, para os fins desta Lei, considera-se:

I – Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II – Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III – Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, ex. informação codificada;

V – Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

X – Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI – Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII – Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

Atenção para os princípios desta Lei, que já existe na Europa e nos EUA há mais de 20 anos

Conforme o art. 6º, por exemplo, as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I – Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV –Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Quem está LIVRE da LGPD?

Esta Lei não se aplica ao tratamento de dados pessoais:

I – Realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II – Realizado para fins exclusivamente:

  1. a) jornalístico e artísticos; ou
  2. b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;

III – realizado para fins exclusivos de:

  1. a) segurança pública;
  2. b) defesa nacional;
  3. c) segurança do Estado; ou
  4. d) atividades de investigação e repressão de infrações penais; ou

 IV – Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

Como adequar a LGPD na sua empresa?

Como pode perceber, a proteção de dados é de total responsabilidade das empresas, sendo necessário mapear todos os procedimentos e definir em quais pontos as informações são coletadas. Não é uma tarefa fácil e, portanto, aconselhamos encontrar uma empresa como a AndCon e seus parceiros para auxiliar nesta adequação de maneira mais tranquila e segura. A S4 Marketing Digital, por exemplo, parceira da AndCon atua com uma plataforma online comais de 70 procedimentos, entre eles o Código de Conduta, Ética e Compliance dos clientes. Basicamente o trabalho será:

Treinamento Interno/Conscientização – A fim de estabelecer uma cultura de proteção de dados na empresa é necessário o treinamento antes, durante e depois da adequação. Os treinamentos devem garantir que todos os colaboradores estejam alinhados ao conceito, importância, princípios e finalidades da LGPD;

Diagnóstico – Análise e mapeamento de todas as áreas e atividades que envolvam o tratamento de dados pessoais;

Criação do Manual ou Programa de Governança em Privacidade – este documento, irá instruir a respeito da adequação e manutenção das práticas de proteção de dados, facilitando a compreensão de todos os envolvidos.

Em tempo, Sidney Ferrér – DPO/Encarregado de dados da S4 Dados Pessoais Protegidos explica – “A LGPD não exige a criação do Manual de Governança e Boas Práticas, mas o recomenda aos operadores e controladores e a nossa empresa considera imprescindível, sobretudo na fase de conscientização.’’

Elaboração e revisão de documentos – revisão e elaboração de novos documentos e procedimentos relativos aos dados pessoais, como as políticas de privacidade e os termos de condições. Estes itens devem se adequar à LGPD;

Garantia dos direitos dos titulares – implementação de todas as medidas práticas de segurança de dados pessoais e garantia dos direitos dos titulares, de acordo com o resultado do diagnóstico e programa de governança;

Pen test e Revisões constantes – Após a implementação e treinamento da LGPD, é importante que a empresa faça constantes revisões das medidas concedidas, dentro da prática do dia a dia, verificando eventuais falhas e corrigindo-as, até que se ateste a completa adequação. Existem por exemplo, vários testes que são elaborados para aferir a maturidade da empresa em relação à LGPD bem como a emissão de relatórios.

 Aplicação da LGPD na SST

As empresas ou departamento de SST possuem vários documentos, sistemas e práticas que solicitam dados pessoais, sendo eles:

  • Contratos e/ou documentos com dados pessoais de fornecedores e clientes;
  • Lista de presença com dados pessoais para confirmação em treinamentos, eventos e palestras;
  • Atas de reunião com dados pessoais dos participantes;
  • Fotos pessoais para divulgação de treinamentos, dinâmicas e/ou simulações;
  • Planos de ação e/ou treinamentos com dados pessoais;
  • Dados pessoais em documentos de segurança, como por exemplo, planos de emergências, listagens de equipes de emergências com dados pessoais, ordens de serviços, entre outros;
  • Monitoramento por câmeras de segurança (CFTV).

Além disso, existe alguns processos de medicina do trabalho que utilizam dados pessoais, como: Atestado de Saúde Ocupacional (ASO), e exames obrigatórios do Programa de Controle Médico de Saúde Ocupacional (PCMSO), que são também considerados dados sensíveis.

O grande desafio que engloba a LGPD na SST é a enorme quantidade e a falta de controle dos dados pessoais que circulam pelas empresas.

Como tratar os dados de SST?

Nós da AndCon recomendamos uma gestão de dados, que priorize:

  • Inventário de dados pessoais: registro do tratamento de informações realizados pela instituição em alinhamento a LGPD;
  • Obtenção dos consentimentos: acionar todos os titulares dos dados, informar a finalidade do uso daqueles dados, obter e armazenar as autorizações;
  • Descarte dos dados: existem regras na LGPD para o descarte. Mas, quanto mais dados, maior o risco e esforço para protegê-los;
  • Proteção dos dados: avaliar a segurança dos dados e implementar ações para garantir a proteção, através de segurança física, lógica, controles de acesso, rastreabilidade e etc;
  • Gestão dos dados: fazer o gerenciamento e mapeamento para responder demandas de usuários, clientes e órgãos de controle.

LGPD no RH

O RH ou Departamento Pessoal das empresas lida cotidianamente com todos os tipos de dados (colaboradores, processos seletivos e terceiros) e, por isso, é preciso cuidados extras.

Existem três pilares fundamentais no recolhimento de dados pessoais, conhecidos como Princípio da real Necessidade, que devem constar na hora de solicitar as informações:

Finalidade –  Para que a empresa necessita do dado em questão;

Adequação – Considerar a privacidade, além de adequarem sistemas e processos a LGPD;

Necessidade – Os dados necessitam ser usados exclusivamente para as finalidades informadas.

Como tratar os dados de RH?

É sugestível que os titulares dos dados tenham livre acesso as informações sobre como os dados pessoais são utilizados pela empresa, que deve zelar pela segurança dos mesmos, evitando possíveis vazamentos. Adeque-se o quanto antes:

Processo seletivo –  a preservação dos dados já deve começar no processo de seleção do colaborador. No caso de banco de talentos com os currículos recebidos, por exemplo, o titular deve consentir com a coleta das informações presentes nos documentos. Vale ressaltar que perguntas que já foram consideradas padrões, como o número de filhos ou a cor da pele, são atualmente consideradas como sensíveis. Segundo a LGPD, não há necessidade de elas serem feitas, não podendo utilizá-las para fins discriminatórios. O ideal é que sejam coletados apenas os dados essenciais e, desde o princípio, sinalizar aos candidatos qual a finalidade do recolhimento de cada informação. É importante apresentar as políticas de privacidade adotadas pela empresa;

Controle de Ponto – controle de ponto de forma eletrônica (biometria ou reconhecimento facial), são considerados dados sensíveis. É necessário possuir autorização do funcionário;

Crachás de identificação – As fotos dos colaboradores, também pode ser consideradas um dado sensível e motivo de discriminação. A empresa deve evitar e desenvolver novos formatos de crachás, com o nome da pessoa e um código de identificação único, que permita identificar o uso indevido ou inadequado do documento;

Disponibilização dos dados para empresas – de benefícios, sindicatos e órgãos públicos e etc. deve haver o consentimento do titular e a garantia de que as informações estarão seguras e serão utilizadas para o fim combinado. Isso envolve a adequação de cláusulas no contrato de trabalho e com os fornecedores e parceiros;

Desligamento dos funcionários – é preciso ter definido procedimentos e atenção com os dados que devem ser mantidos e quais podem ser excluídos, devido ao término da finalidade que justificava o armazenamento.

 Qual a penalidade de não cumprir a LGPD?

Caso a ANPD receba denúncias sobre o descumprimento de qualquer determinação da LGPD por parte da sua empresa, ela terá 15 dias para apresentar defesa que não é jurídica e sim técnica emoldurada e intermediada pela figura do Encarregado de Dados (profissional que a LGPD obriga a empresa manter o terceirizar). Processos administrativos poderão ser abertos pelo órgão, que poderão e já estão resultando em:

  • Advertência;
  • Publicização do delito para alertar a sociedade e prejudicados;
  • Multa simples, de até 2% do faturamento da empresa – máximo de R$ 50 milhões;
  • Multa diária (o que pode definitivamente inviabilizar o funcionamento da empresa);
  • Bloqueio dos dados pessoais referentes à infração;
  • Eliminação dos dados pessoais referentes à infração;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais por até seis meses – podendo ser estendido por mais seis;
  • Proibição parcial ou total do exercício de atividades ligadas aos dados pessoais.

A AndCon já está se adequando à LGPD e você?

Para a proteção dos dados sensíveis dos colaboradores de nossos clientes e da nossa equipe interna, a AndCon vem realizando diversas ações para se adequar e enquadrar seus parceiros em todas as exigências da LGPD, como por exemplo com a edição do seu Manual de Conduta e Ética e a implementação de softwares, aplicativos e sistemas parametrizados, processos digitais, entre outros.

Conte com a AndCon para assessorar a sua empresa diante deste e outros desafios do mundo corporativo.

Compartilhe nas redes Sociais

Tem alguma pergunta?

Tem alguma dúvida?

Entre em contato via WhatsApp