A Lei Geral de proteção de Dados Pessoais, no. 13.709 de 2018, visa garantir e proteger os direitos dos titulares de dados pessoais, ou seja, toda e qualquer pessoa física, de forma que não se aplica a proteção de dados pertencentes à pessoa jurídica. Portanto, podemos citar como exemplo, nome e CPF da pessoa física, mas não protege o nome e CNPJ da pessoa jurídica. São questões distintas.
A respectiva lei busca também regular o uso de tais dados de forma a elevar a segurança jurídica das empresas no que concerne ao tratamento de dados pessoais, isto significa que desde a coleta, armazenamento, possível analise, entre outras questões deverão seguir em conformidade com a lei.
Um ponto muito importante a se atentar e que algumas empresas estão negligenciando é sobre sua aplicação aos dados de seus funcionários, pois em sua maioria as empresas preocupam-se com os dados de consumidores, mas lembramos que deve ocorrer sua aplicação aos dados internos também. Portanto, o tratamento de dados pessoais, incluindo dados sensíveis de seus funcionários e prestadores de serviços, também deve ocorrer em conformidade com a LGPD.
Mas o que diz a lei sobre o tratamento de dados pessoais?
Em época de combate à corrupção e defesa dos princípios éticos, a respectiva lei baseia-se no respeito à privacidade; a autodeterminação informativa, a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Ressalta-se que independe do meio de coleta, ou seja, digital ou físico, bem como o tempo em que tenha sido coletado, desta forma, entendemos que aplica-se também ao legado, portanto dados anteriormente coletados deverão ser legitimados.
A Lei se aplica a toda empresa ou profissional autônomo que:
I – a operação de tratamento seja realizada no território nacional;
II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Com foco na preocupação do Rh, a princípio, tratando-se de funcionários ou prestador de serviços que se encontram no território nacional ou os dados tenham sido coletados em território nacional,
Com exceção de algumas multinacionais que não possuem escritório no Brasil, portanto, não tem contratação de funcionários em território brasileiro e não ofertam serviços a pessoa física, ou seja, apenas pessoa jurídica, nos demais casos aplica-se a LGPD.
Mas o que são dados pessoais?
É importante conhecer a definição de dados pessoais e diferenciá-lo de dados pessoais sensíveis. A lei define dados pessoais como sendo a informação relacionada a pessoa natural identificada ou identificável, portanto, nome, CPF, RG, IP (internet protocolo), endereço, entre outros. Sempre que o dado puder identificar uma pessoa será considerado como dado pessoal.
Caso este passe por um processo de anonimizaçao, ou seja, não seja possível identificar o titular do dado, não terá incidência da lei, mas este processo deve ser irreversível.
Dado pessoal sensível: trata-se de dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
O art. 7 da respectiva lei, elenca as hipóteses de tratamento de dados pessoais, assim obrigatoriamente sua utilização por qualquer empresa, independente da área deverá se encaixar em pelo menos uma dessas hipóteses, sendo elas: consentimento pelo titular; para o cumprimento de obrigação legal ou regulatória pelo controlador; pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); para a proteção da vida ou da incolumidade física do titular ou de terceiro; para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Além disso, importante ressaltar a importância de se atender aos princípios elencados no art. 6º, sendo eles: finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.
Assim dos dados coletados devem ser adequados e limitados à sua finalidade, de livre acesso aos seus titulares e mantidos em segurança. A transparência em relação à utilização dos dados é essencial.
Portanto, se algum funcionário requerer da empresa quais informações esta detém sobre ele, será de sua obrigatoriedade a entregar dessa informação.
Temos muitos pontos a abordar, mas vamos nos ater neste momento aos dados que normalmente são utilizados pelo RH.
É impossível exaurir esta discussão neste artigo, mas podemos inicia-la por aqui, assim, em linhas gerais, vamos pensar em algumas palavras chaves para utilizar como exemplo, distribuição de benefícios, demissões e contratações, administrar, auxiliar, dar suporte aos funcionários, treiná-los e capacitá-los, entre outros exemplos.
Algumas empresas separam algumas atribuições, como educação corporativa, e administração de funcionários, mas independentemente de como atua, será necessário fazer o levantamento de todos os dados pessoais que são coletados.
Assim por área o primeiro passo será o levantamento de todas os dados pessoais que são coletados, sua finalidade, qual a sua adequação legal (se houver), qual o tratamento e segurança aplicada e identificar quais dados não são necessários.
Quando houver e certamente haverá dados desnecessários, ou que não haja justificativa ou exigência legal, mas interessa à empresa tê-los, será necessário informar e obter o consentimento do titular.
Por fim, somente após levantamento de todas essas informações e análise detalhada, será possível elaborar um plano de ação.
Por Cristina Sleiman, sócia majoritária do escritório Cristina Sleiman Sociedade de Advogados
