Durante o processo de adequação da sua empresa à LGPD, é importante se atentar à circulação dos dados dos colaboradores, principalmente dos dados sensíveis.
Especificamente no setor de recursos humanos, é bastante comum que dados pessoais sejam armazenados e compartilhados como forma de desempenhar suas funções administrativas.
Por isso, para não colocar em risco sua empresa, é preciso tomar alguns cuidados, como:
- Segregar dados sensíveis dos demais dados, lembrando que são sensíveis todos os dados que permitam identificar a origem racial ou étnica, a convicção religiosa, a opinião política, a filiação a sindicatos ou a organização de caráter religioso, filosófico ou político, além de dados referentes à saúde (dado genético, biométrico, dentre outros).
- Adotar procedimentos internos rígidos para o tratamento de dados pessoais sensíveis, com elaboração de relatórios de impacto, revisão de políticas de descarte, conferência de critérios de necessidade e proporcionalidade.
- Conferir os contratos de trabalho para verificar se há cláusulas que tratem da proteção de dados pessoais, em especial que deixem claras as autorizações outorgadas pelo colaborador à empresa com relação a dados pessoais.
- Estabelecer um canal de comunicação com o colaborador (e com o público) no que diz respeito a eventuais violações à LGPD. Um espaço de denúncia e a criação de um comitê de privacidade são caminhos que vem sendo adotados pelas empresas.
- Contar com o apoio de profissional conhecedor da LGPD, o qual poderá ser o próprio Encarregado de Proteção de Dados.
Além desses procedimentos, outros são recomendados pelos guias de orientação de procedimentos de conformidade em proteção de dados e privacidade.
Enquanto não for possível realizar o processo de adequação, deixamos aqui algumas recomendações adicionais:
- Cuide para que a coleta de dados pessoais sempre seja registrada
- Verifique se a coleta ou o tratamento do dado pessoal é mesmo necessário à atividade empresarial
- Confira se os dados coletados são proporcionais à necessidade da empresa – se for necessário ter acesso apenas ao tipo sanguíneo do colaborador, pode não ser relevante solicitar outros dados relativos a sua saúde
- Tenha sempre registrada as finalidades para a coleta e o tratamento dos dados
- Se possível, procure um profissional que possa realizar o mapeamento do fluxo de informações tratado pela empresa, através dos chamados ROPAs como já explicamos melhor no post sobre os ROPAs, que pode ser lido aqui.
- Pense no próprio ambiente de trabalho – em caso de regime presencial – e nos sistemas utilizados. Quais seriam as adequações necessárias para evitar o contato dos colaboradores com dados sensíveis? Documentos em papel estão arquivados em locais de acesso restrito? As impressoras e os servidores de digitalização são acessíveis a todos? Há política de limpeza de mesas ao final do expediente? Os servidores virtuais possuem acessos controlados por autorizações lógicas?
Vale, por fim, notar que os Tribunais do Trabalho estão começando a ser requisitados a falar sobre proteção de dados. Nesse momento, já se sabe algumas tendências e preocupações manifestadas em diferentes casos, tais como:
- Responsabilidade das empresas por danos decorrentes do tratamento inadequado de dados pessoais de seus empregados;
- Necessidade de consentimento dos empregados para a coleta, tratamento e armazenamento de seus dados pessoais;
- Obrigatoriedade de empresas designarem um Encarregado de Proteção de Dados (DPO) para atuar como canal de comunicação entre empresa, empregados e autoridades;
- Prazo para que as empresas se adequem à LGPD e implementem medidas de segurança para proteção de dados pessoais;
- Possibilidade de aplicação de sanções administrativas em caso de descumprimento das normas previstas na LGPD.
É importante lembrar que a proteção de dados pessoais é um direito fundamental previsto na Constituição Federal e que o descumprimento das normas estabelecidas pela LGPD pode acarretar sanções administrativas, civis e penais para as empresas envolvidas.
Para evitar esse risco, venha conversar com nosso time, e poderemos te explicar como se adequar à lei.