O avanço tecnológico trouxe consigo uma preocupação crescente com a privacidade dos dados pessoais, especialmente no momento em que as organizações estão cada vez mais usando os dados para obter insights sobre seus negócios. Diante desta realidade, as empresas precisam ter um sistema de proteção de dados pessoais robusto em vigor e para isso o governo brasileiro aprovou a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em agosto de 2020.
Esta nova lei tem implicações significativas para a área de Recursos Humanos (RH) das empresas, pois a LGPD exige que as organizações cumpram várias exigências, tais como o gerenciamento e proteção dos dados pessoais de seus funcionários e candidatos a emprego. Por isso, é importante que os profissionais de RH entendam as implicações da LGPD e se responsabilizem para assegurar o cumprimento desta lei.
Neste artigo, exploraremos os principais tópicos da LGPD e seus impactos na área de Recursos Humanos. Abordaremos os papéis e responsabilidades do controlador e do processador de dados, os direitos dos titulares de dados, as obrigações das organizações de RH e as medidas de segurança necessárias para garantir a conformidade com a lei. Além disso, também discutiremos as consequências da violação desta lei. Finalmente, concluiremos com uma discussão sobre a importância da LGPD para a proteção de dados e a responsabilidade da área de Recursos Humanos.
Impactos da LGPD na área de Recursos Humanos
A Lei Geral de Proteção de Dados (LGPD) tem o objetivo de proteger os dados pessoais de indivíduos brasileiros e oferecer maior segurança no tratamento desses dados. Como tal, a LGPD tem um profundo impacto na área de Recursos Humanos, pois, entre outras coisas, ajuda a garantir que as práticas de RH sejam adequadas e que os dados pessoais dos funcionários ou candidatos sejam tratados com responsabilidade.
Os profissionais de RH precisam ter em mente que a LGPD abrange todos os tipos de dados pessoais, incluindo dados sobre o estado civil, raça, orientação sexual, religião, idade e origem, bem como dados sobre o comportamento e a saúde. Além disso, se a organização tem sistemas automatizados para coletar dados sobre os funcionários, ela também está sujeita à LGPD.
Para cumprir a LGPD, as organizações de RH devem estabelecer práticas e procedimentos que garantam o devido cuidado com os dados pessoais. Isso inclui atualizar os documentos administrativos, os manuais de RH, os sistemas informatizados e os contratos com fornecedores de serviços. Além disso, é importante criar treinamentos e programas de conscientização para os funcionários que lidam com dados pessoais.
Quando se trata de coleta, armazenamento, uso, compartilhamento e transferência de dados pessoais, o profissional de RH precisa considerar o consentimento do titular do dado. Isso significa que a organização de RH precisa obter o consentimento para coletar, armazenar, usar, compartilhar e transferir dados dos membros da equipe. Se a organização não conseguir obter o consentimento, ela não estará em conformidade com a LGPD.
Além disso, as organizações de RH devem assegurar que os dados pessoais sejam tratados com segurança e privacidade. Isso significa que os funcionários devem ter acesso apenas à informação que precisam para executar suas funções. As organizações precisam ter políticas e procedimentos para garantir que os dados pessoais sejam armazenados em meios seguros, o que inclui controles de acesso e criptografia.
A LGPD também estabelece requisitos para o tratamento de dados de crianças e adolescentes. Estas disposições exigem que as organizações de RH sejam muito cuidadosas ao tratar os dados dessa faixa etária, como aplicar restrições específicas ao processamento.
Como é possível ver, a LGPD trata a proteção de dados pessoais como uma prioridade e exige que as organizações de RH sigam práticas mais rigorosas para garantir a conformidade com a lei. A LGPD também tem um papel fundamental na proteção dos direitos dos titulares de dados, ao estabelecer requisitos para que os dados pessoais sejam tratados de forma segura e responsável.
Responsabilidades do Controlador e Processador de Dados
A Lei Geral de Proteção de Dados (LGPD) estabelece responsabilidades específicas para controladores e processadores de dados, para garantir a responsabilidade e segurança dos dados pessoais. O controlador é a entidade que determina o propósito e os meios de processamento dos dados, enquanto o processador é a entidade que processa os dados em nome e por conta do controlador.
O controlador de dados é responsável por:
- Identificar o propósito do processamento de dados;
- Garantir que os dados sejam coletados, processados e armazenados de forma adequada;
- Garantir que os dados sejam coletados e processados apenas se for necessário;
- Fornecer informações sobre o processamento de dados aos titulares de dados, incluindo detalhes sobre quem é o controlador, como os dados serão usados e por quanto tempo;
- Garantir que nenhum dado pessoal seja processado ou divulgado sem o consentimento explícito do titular.
O processador de dados é responsável por: - Executar o processamento de dados exclusivamente de acordo com as instruções do controlador;
- Garantir a proteção dos dados pessoais e a segurança das informações;
- Garantir que as instalações de armazenamento e processamento de dados sejam seguras, evitando acessos não autorizados aos dados;
- Documentar todos os processos de processamento de dados;
- Não compartilhar dados pessoais com terceiros sem autorização;
- Notificar o controlador caso haja algum incidente de segurança envolvendo os dados pessoais.
Além disso, o controlador e o processador de dados devem designar uma autoridade de privacidade para garantir a conformidade com a LGPD. Esta autoridade deve ser responsável por selecionar e implementar as medidas de segurança adequadas para garantir a proteção dos dados pessoais.
A LGPD também estabelece diretrizes adicionais para os controladores de dados. A lei determina que os controladores de dados devem fornecer todas as informações necessárias às autoridades competentes sobre o processamento de dados pessoais, e devem notificar as autoridades sobre qualquer incidente relacionado aos dados, assim que possível.
Os controladores e processadores de dados devem assegurar que os dados pessoais sejam processados de forma segura e de acordo com as leis aplicáveis. Eles também devem atender às responsabilidades específicas estabelecidas pela LGPD e designar uma autoridade de privacidade para garantir a conformidade.
Direitos dos Titulares dos Dados com a LGPD
Quando se trata de proteção de dados, os direitos dos titulares dos dados são de estrita importância. A Lei Geral de Proteção de Dados (LGPD) estabeleceu alguns direitos que os titulares dos dados possuem e que precisam ser respeitados.
O primeiro direito dos titulares de dados previstos pela LGPD é o direito ao acesso. Isso significa que os titulares dos dados podem solicitar informações sobre os dados que uma empresa possui e como esses dados estão sendo usados. Com esse direito, os titulares dos dados podem verificar se as informações estão corretas e se estão sendo usadas adequadamente.
O segundo direito dos titulares dos dados é o direito à portabilidade dos dados. A LGPD determina que os titulares dos dados tenham o direito de receber os dados que a empresa possui sobre eles em um formato legível por máquina. Isso significa que os titulares dos dados podem transferir os dados para outra empresa ou solicitar que a empresa use os dados para fins específicos.
O terceiro direito previsto na LGPD é o direito à limitação do tratamento. Isso significa que os titulares dos dados podem solicitar que a empresa limite o uso de seus dados, seja pelo tempo ou por outras razões. Isso dá ao titular dos dados maior controle sobre como eles estão sendo usados.
Quarto, a LGPD prevê o direito de oposição. Isso significa que os titulares dos dados podem se opor ao uso de seus dados para fins específicos. Esse direito está enraizado no princípio da privacidade dos dados.
O quinto direito previsto pela LGPD é o direito a não discriminação. Isso significa que uma empresa não pode discriminar os titulares dos dados baseados na informação que possuem sobre eles.
O último direito previsto pela LGPD é o direito à revogação da autorização. Isso significa que os titulares dos dados podem solicitar que a empresa interrompa o uso de seus dados. A empresa também deve fornecer informações sobre como revogar a autorização e como os dados serão destruídos.
É importante para os titulares dos dados entenderem quais são seus direitos para garantir que eles sejam cumpridos. Isso também ajuda as empresas a tomar as medidas apropriadas para se adaptar às novas regras de proteção de dados.
Medidas de Segurança da LGPD
A LGPD exige que os controladores e processadores de dados implementem medidas de segurança apropriadas para proteger os dados pessoais. Estas medidas de segurança devem ser adequadas aos riscos específicos às operações de tratamento de dados e ao tipo de dados tratados, e devem ser aplicadas desde o planejamento da implementação da LGPD.
O que são medidas de segurança? As medidas de segurança podem incluir medidas técnicas e organizacionais para proteger os dados pessoais de acesso não autorizado ou uso indevido. Como as medidas de segurança variam de acordo com a operação de tratamento de dados e o tipo de dados tratados, os controladores e processadores de dados que lidam com dados pessoais devem avaliar cuidadosamente quais são as medidas de segurança necessárias.
Quais são as principais medidas de segurança para garantir a conformidade com a LGPD? Primeiro, os controladores e processadores de dados devem garantir que todos os dados pessoais sejam processados de forma segura e protegidos contra acesso não autorizado, uso indevido ou qualquer outra forma de tratamento não consentido, incluindo a perda ou destruição de dados. Segundo, os controladores e processadores de dados devem implementar medidas técnicas e organizacionais para detectar, prevenir e responder a qualquer incidente de segurança relacionado à privacidade de dados. Terceiro, os controladores e processadores de dados devem garantir que todos os responsáveis por processar dados pessoais sejam treinados para lidar adequadamente com tais dados.
Responsabilidades do Controlador de Dados em relação às medidas de segurança: O controlador de dados é o principal responsável pela implementação de medidas técnicas para garantir a segurança dos dados pessoais. O controlador de dados deve estabelecer uma estrutura de segurança para lidar com os dados pessoais e desenvolver e implantar procedimentos estabelecendo medidas de segurança técnicas e organizacionais para proteger os dados pessoais.
Responsabilidades do Processador de Dados em relação às medidas de segurança: O processador de dados é responsável por implementar medidas técnicas para garantir a segurança dos dados pessoais que processa. O processador de dados deve também estabelecer um sistema de segurança para processar os dados pessoais e implementar medidas de segurança técnicas e organizacionais para garantir que os dados pessoais sejam processados de forma segura e protegidos contra acesso não autorizado, uso indevido ou qualquer outra forma de tratamento não consentido.
Para garantir a conformidade com a LGPD, o controlador e o processador de dados devem tomar medidas de segurança para garantir a proteção dos dados pessoais. Estas medidas de segurança podem incluir procedimentos para garantir que os dados pessoais sejam processados de forma segura, para detectar e prevenir incidentes de segurança relacionados à privacidade de dados, para treinar responsáveis por processar dados pessoais e para garantir que as informaç
Retenção e Transferências de Dados
A LGPD prevê especificações de retenção e transferência de dados pessoais. A retenção de dados diz respeito ao período durante o qual a informação pessoal coletada deverá ser mantida. A lei define que, caso não haja outras legislações específicas para determinar o período de retenção, os dados deverão ser mantidos apenas o tempo necessário para cumprir com os fins específicos para os quais eles foram coletados.
O processo de transferência de dados também deve obedecer às especificações da LGPD. No caso de transferência internacional de dados, o controlador e/ou o processador deverão considerar alguns fatores, como o nível de proteção oferecido pelo país de destino. Se a transferência de dados ocorrer para um país com baixos níveis de proteção de dados, o controlador e/ou o processador de dados deverão garantir que existam adequadas medidas de segurança para proteger os dados pessoais transferidos.
Além disso, o controlador e/ou processador de dados devem assessorar o titular dos dados a respeito de suas responsabilidades no que diz respeito à transferência de dados. Se a transferência de dados for realizada com um terceiro, o controlador e/ou o processador devem garantir que o terceiro esteja conforme a LGPD, mediante contratos e adesões ao Regulamento Geral de Proteção de Dados (RGPD).
Por último, o controlador e/ou o processador de dados devem manter registros e documentação sobre a transferência e a retenção de dados. Essa documentação deve especificar qual o motivo da transferência de dados, quais dados foram transferidos e quais medidas de segurança foram implementadas para garantir a proteção dos dados pessoais.
Em suma, o controlador e o processador de dados devem ter em mente as especificações da LGPD ao transferir ou reter informações pessoais. É importante que as organizações de RH estabeleçam instruções claras para garantir a conformidade com a lei. Os profissionais de RH também devem ter cuidado ao lidar com dados pessoais, mantendo-os seguros e protegidos.
Penalidades pelo não comprimento da LGPD
Conforme a Lei Geral de Proteção de Dados, as organizações e as pessoas responsáveis por violações de dados estão sujeitas a diversas penalidades. Estas são as principais penalidades previstas na LGPD:
Multa:
A violação dos direitos dos titulares de dados pode acarretar uma multa de até 2% do faturamento anual da organização ou até R$50 milhões por infração, dependendo da gravidade da violação. As multas são aplicadas a organizações, controladores e processadores de dados.
Suspensão de atividades:
A Autoridade Nacional de Proteção de Dados (ANPD) pode suspender parcial ou totalmente as atividades dos controladores e processadores de dados, se julgar necessário.
Bloqueio de dados:
A ANPD também pode emitir uma ordem de bloqueio temporária ou definitiva dos dados pessoais processados em violação à LGPD.
Retificação, exclusão ou anonimização:
O titular do dado pode exigir que o controlador corrija ou exclua seus dados pessoais caso eles sejam processados em violação à LGPD. Se a retificação ou exclusão não for possível, o controlador deve anonimizar os dados.
Aviso ao titular:
Em caso de vazamento de dados, o controlador deve notificar ao titular de dados dentro de 72 horas.
Mudanças nos processos internos:
A LGPD exige que as organizações modifiquem seus processos internos para cumprir os requisitos da lei. Se a organização não fizer isso, ela pode ser penalizada por não conseguir cumprir as exigências da LGPD.
Além das penalidades, o controlador e o processador de dados também podem ser responsabilizados criminalmente por processar dados pessoais em violação à LGPD. Se o processamento de dados pessoais for feito com a intenção de usar os dados para fins criminosos, ou se o titular for submetido a qualquer tipo de discriminação ou violência com base nos dados processados, o controlador e o processador de dados podem ser acusados de crime.
Com estas penalidades, a LGPD visa proteger os direitos dos titulares de dados e responsabilizar aqueles que processam dados pessoais em violação à lei. Como a LGPD é relativamente nova, as sanções ainda não foram devidamente implementadas. No entanto, à medida que as organizações aprofundam sua compreensão da lei, é provável que as penalidades sejam aplicadas de forma mais rigorosa.
Conclusão
A LGPD tem um papel importante na proteção de dados pessoais e na responsabilidade da área de Recursos Humanos. O objetivo da lei é garantir que os dados pessoais sejam tratados com responsabilidade, transparência e confidencialidade. A área de RH tem o dever de cumprir as regras estabelecidas pela lei, que abrangem desde a coleta, uso, processamento, armazenamento e transferência de dados pessoais.
Os profissionais de RH devem conhecer a lei e estar cientes de seus deveres e responsabilidades. Eles devem ter um bom entendimento dos requisitos da LGPD e como eles se aplicam à sua área de atuação. Além disso, os profissionais de RH devem garantir que as organizações cumpram todas as obrigações previstas na lei, incluindo a proteção dos direitos dos titulares de dados, a implementação de medidas de segurança adequadas e a retenção e transferência dos dados em conformidade.
À medida que as organizações se adaptam às novas obrigações, a responsabilidade recai sobre os profissionais de RH para garantir que a lei seja cumprida. Caso contrário, as organizações podem incorrer em penalidades por violação de dados previstas na LGPD.
Por fim, é importante notar que o campo de RH está se tornando cada vez mais dependente da tecnologia e da segurança dos dados. As organizações devem aproveitar ao máximo as oportunidades que a LGPD oferece para melhorar a proteção de dados, bem como para garantir que os profissionais de RH estejam preparados para lidar com as mudanças.