Written by: Dados

Como a LGPD afeta o setor de recursos humanos?

Confira quais serão os maiores impactos da nova lei de proteção de dados pessoais para a área de Recursos Humanos nas empresas

A nova Lei Geral de Proteção de Dados (LGPD) entra em vigor, oficialmente, em agosto de 2020 no Brasil. Durante esse tempo que foi estipulado para que as empresas e órgãos se adaptem, estaremos produzindo diversos conteúdos para auxiliar as organizações durante esse processo. Para não perder as novas atualizações e dicas sobre o tema, confira a página específica que criamos para a LGPD e cadastre-se para receber todos os conteúdos diretamente no seu e-mail!

Já pudemos ver anteriormente um pouco mais sobre o que é a nova lei e como ela irá garantir a segurança dos dados pessoais dos usuários, o que pode ser feito para as empresas se adaptarem, como por exemplo o destaque para a importância de um órgão regulador responsável pela organização e controle dessa regulamentação, e também os principais impactos da lei nas empresas que trabalham com dados dos consumidores, como no departamento de marketing, no departamento financeiro, no departamento jurídico, no departamento comercial e no departamento de tecnologia.

Além disso, a partir da Medida Provisória 869/19, criada no dia 27 de dezembro de 2018, a lei passou por algumas mudanças – como a criação da Autoridade Nacional de Proteção de Dados (ANPD) e a alteração da data em que ela deverá entrar em vigor no país – e mais detalhes sobre todas essas mudanças podem ser conferidos no nosso blog!

No entanto, sabemos que não são poucos os setores que serão afetados pela lei – toda e qualquer empresa que trabalhe com dados de consumidores será impactada. E é por isso que, hoje, para ajudar as empresas a se adaptarem à nova regulamentação, nosso tema será os principais impactos da nova lei no setor de recursos humanos!

Seu departamento de recursos humanos está preparado para a LGPD?

O departamento de Recursos Humanos de uma empresa, normalmente, coleta e processa grandes quantidades de dados pessoais não apenas de seus funcionários, mas também de candidatos a vagas, contratados e ex-funcionários. As informações que eles possuem incluem dados confidenciais, como informações sobre saúde, registros médicos, níveis salariais e dados pessoais como endereço, telefone e e-mail. Por isso, é de extrema importância que os profissionais da área estejam cientes dos requisitos do novo regulamento de proteção de dados e processem essas informações da maneira correta.

A LGPD exige que as organizações tomem medidas para minimizar a quantidade de informações pessoalmente identificáveis que armazenam, e garantir que elas não sejam guardadas por mais tempo do que o necessário. Além disso, também estabelece que todo o processamento de dados tem que ter uma base legal, como o consentimento explícito do titular dos dados, e o direito desse consentimento ser cancelado no momento em que o titular desejar.

O consentimento é um pilar fundamental da nova legislação, e a LGPD afirma que as empresas só podem usar dados pessoais para o propósito expresso para o qual foi dado. Para as equipes de RH, isso significa que os funcionários devem optar explicitamente por permitir que seus empregadores usem seus dados pessoais, e devem estar cientes de como esses dados serão usados.

Em outras palavras, você precisa ser transparente sobre quais dados estão sendo coletados, com que finalidade e como eles serão usados. Isso pode ser esclarecido por meio de uma simples declaração de privacidade de dados assinada pelos funcionários. Então, crucialmente, só será permitido utilizar os dados para o propósito para o qual foi entregue. Caso seja necessário para outra finalidade, é preciso procurar uma nova permissão.

Mas porque a lei irá afetar, de fato, os profissionais de RH?

A partir do momento em que a lei entrar em vigor, será necessário que os profissionais da área conscientizem os seus funcionários sobre quais dados pessoais estão sendo processados e com quais finalidades. Além disso, será fundamental garantir que esses dados sejam precisos, completos e atualizados de maneira que os titulares possam acessá-los quando quiserem, e garantam também o “direito de ser esquecido”.

As informações que os departamentos de RH possuem podem ser mantidas ou processadas por sistemas de terceiros, por exemplo em folhas de pagamento ou ferramentas de gerenciamento de RH baseadas em nuvem, ou compartilhadas com terceiros como empresas de headhunting. No entanto, os profissionais de RH são responsáveis por proteger os dados pessoais mesmo que usem serviços de terceiros para gerenciar dados em seu nome, e precisam garantir que esses serviços processem informações apenas de maneira compatível com a base legal original. Assim, os profissionais precisam entender todos os fluxos de dados em seus sistemas de TI e devem usar serviços que forneçam a mais alta proteção.

O RH, agora, precisará garantir que todos os funcionários estejam alinhados com a nova estrutura da lei. Isso envolverá uma mudança na forma como a área lida com o consentimento do funcionário, e sem isso, as organizações correm o risco de sofrer penalidades severas pelo processamento ilegal de dados – que podem chegar à até 2% do faturamento anual global das empresas.

Tornar este processo oficial tem vários outros benefícios. Embora a formalização do processo comprove que uma empresa está cumprindo a LGPD, internamente ela também atua como uma ferramenta de retenção e engajamento de funcionários, já que a documentação mostra a eles que podem confiar em sua organização e que seus dados pessoais estão sendo tratados legal e apropriadamente.

 

O que pode ser feito para que os setores de RH se adaptem?

Para auxiliar as empresas em seus programas de conformidade com a LGPD em relação ao setor de Recursos Humanos, identificamos vários pontos de ação que podem ajudar no momento de adaptação à todas as mudanças que a lei irá trazer:

1. Transparência

Indivíduos engajados por qualquer organização (seja funcionários, contratados, candidatos, estagiários ou voluntários, por exemplo) precisam receber informações mais detalhadas e acessíveis, definindo como seus dados pessoais são usados. Isso é comumente estabelecido em um aviso de privacidade e deve ser fornecido aos indivíduos no início de qualquer relacionamento e atualizado regularmente.

Os principais passos de conformidade incluirão:

  • Revisar e atualizar os avisos de privacidade do funcionário e do candidato para atender aos requisitos de informações detalhadas;
  • Implementar procedimentos para garantir que os avisos sejam fornecidos no prazo, atualizados de acordo com as novas atividades de processamento e que os registros de controle de versão sejam mantidos;
  • Considerar a introdução de avisos sob medida para atividades de processamento específicas ou arriscadas, como verificações de antecedentes e o fornecimento de certos benefícios.

2. Legalidade do Processamento

O processamento de dados pessoais para cada propósito de RH identificado deve ser justificado em pelo menos um dos vários motivos legais estritamente prescritos. Serão necessários fundamentos jurídicos alternativos, como confiança nos interesses legítimos de uma organização ou necessidade contratual. As empresas devem, no mínimo:

  • Auditar e alocar motivos legais em conformidade com a LGPD específicos para todas as atividades e finalidades de processamento de dados de RH identificadas, incluindo aquelas que envolvem categorias especiais de dados pessoais (ou seja, sensíveis);
  • Documentar motivos legais válidos dentro de avisos de privacidade e, quando possível ou exigido pelas leis locais, o registro de atividades de processamento de uma organização;
  • Atualizar a política e a documentação contratual, incluindo contatos de emprego, para remover a referência ao consentimento do funcionário como base legal aplicável ao processamento.

3. Compartilhamento de dados

Quando os dados de RH são compartilhados dentro de um grupo corporativo (como em uma plataforma de TI ou de RH, ou durante a realização de investigações específicas) ou com provedores de serviços externos (como aqueles oferecendo plataformas de hospedagem, produtos de gerenciamento de banco de dados de funcionários ou administração de benefícios/folha de pagamento), as organizações precisarão implementar novos arranjos práticos e contratuais com cada destinatário para garantir que eles manipularão os dados adequadamente.

Os seguintes passos podem ser seguidos:

  • Auditar os fluxos nos grupos de dados pessoais, classificar os possíveis destinatários (ou seja, controlador de dados ou processador) e implementar acordos de compartilhamento de dados aprimorados de acordo com os deveres da LGPD.
  • Mapear os fluxos de dados pessoais para fornecedores externos de RH, realizar um exercício de classificação e atualizar os contratos de serviços por escrito para refletir os novos requisitos;
  • Aprimorar qualquer processo de integração formal para que os fornecedores incluam avaliações de classificação e avaliação de privacidade (ou seja, se eles podem cumprir suas obrigações de proteção de dados na prática;
  • Garantir que as obrigações de transferência de dados sejam atendidas.

4. Violações de dados

A lei eleva os riscos em relação à segurança de dados pessoais, principalmente devido ao aumento significativo de possíveis multas e sanções caso ocorram violações de dados. As organizações precisarão ser capazes de reconhecer, isolar, mitigar e responder rapidamente a incidentes de segurança, de acordo com um procedimento formal, e relatar certas violações ao seu regulador e/ou indivíduos.

As funções de RH e unidades de negócios individuais devem estar cientes de que o termo “violação de dados” não se limita a invasões maliciosas; arquivos de pessoal em cópia impressa perdidos e destinatários de e-mail errados podem ser cobertos também. As violações podem derivar de ações de funcionários que, aparentemente, parecem inofensivas, por exemplo, encaminhando uma cadeia de e-mail que contém dados pessoais/dados sensíveis.

Os riscos podem ser reduzidos seguindo os seguintes passos:

  • Implementar procedimentos de violação de dados e segurança claros e bem ensaiados – em conjunto com as equipes de TI – para garantir que as violações de dados possam ser reduzidas rapidamente e reportadas;
  • Assegurar-se de que as medidas de segurança técnicas e organizacionais apropriadas cubram todos os sistemas e funções de RH, incluindo limitações de acesso, criptografia e treinamento;
  • Medidas de segurança do assunto para testes e avaliações periódicas para garantir a capacidade de uma organização de responder em cenários variados;
  • Notificar a equipe de que qualquer violação (eletrônica ou física) deve ser relatada imediatamente, garantindo que as políticas disciplinares sejam atualizadas para deixar claro que a responsabilidade por não informar qualquer incidente de segurança pode ser considerado um erro grave;
  • Analisar os acordos restritivos, bem como as disposições de confidencialidade e PI nos contratos de trabalho e nos contratos de consultoria.

5. Responsabilização

A conformidade passiva com a LGPD não é possível. Em vez disso, todas as funções de negócios – incluindo RH – precisarão agora demonstrar conformidade com suas obrigações de proteção de dados. As organizações devem trabalhar para esse requisito: (i) introduzindo políticas detalhadas de proteção de dados e treinamento; (ii) submetendo controles internos a auditorias e revisões regulares; e (iii) mantendo um registro abrangente e atualizado de todas as atividades de processamento.

Com isso em mente, as empresas devem:

  • Produzir e manter um registro abrangente da atividade de processamento, de acordo com os requisitos da lei, que pode ser fornecido às autoridades de proteção de dados mediante solicitação;
  • Implementar e/ou atualizar políticas e treinamento voltados para os funcionários, incluindo procedimentos de TI e disciplinares;
  • Submeter os procedimentos e controles internos a revisões e testes regulares, garantindo que os resultados e as medidas corretivas sejam devidamente documentados;

A obtenção da conformidade de privacidade de dados não é uma ação única. É um processo contínuo que exigirá atualizações para garantir que todos os funcionários desempenhem seu papel na obtenção da conformidade. O papel do RH tem mudado constantemente nos últimos anos, afastando-se do papel tradicional de administração do passado. Essas novas leis de privacidade de dados vêem o papel do RH se transformar ainda mais. Para garantir a conformidade, portanto, os departamentos de RH precisam adotar a conversa interdepartamental: trabalhar mais de perto com a TI, abrindo um diálogo com os colegas sobre proteção de dados e adotando as tecnologias apropriadas. Por meio disso e do planejamento adequado, o RH pode ajudar a garantir que sua organização esteja em conformidade com o futuro previsível.

(Visited 14 times, 1 visits today)