Tanto o departamento pessoal como a área de gestão de pessoas devem participar do plano geral de adequação. Isto contempla desde o mapeamento dos fluxos de tratamento de dados que são realizados em nível departamental, até a revisão de todos os processos e o atendimento aos requisitos de segurança da informação que serão estabelecidos durante o programa de governança da empresa
Mônica Villani*
Desde agosto desse ano, com a entrada em vigor da aplicação das sanções administrativas, a LGPD (Lei Federal 13.709/2018[1] – Lei Geral de Proteção de Dados Pessoais) está vigente em sua totalidade. Por ser uma lei com características transversais e multissetoriais, seu alcance é amplo e atinge não somente as relações de consumo, mas também diversas relações jurídicas, inclusive as relações de trabalho e emprego.
Além disso, as empresas são feitas de pessoas. Adequar as empresas significa, portanto, adequar também as condutas das pessoas que estão inseridas nas organizações. Por isso, o papel dos departamentos pessoal (DP) e de gestão de pessoas (RH) é de grande protagonismo no meio desta grande transformação social.
E o que muda com a LGPD em vigor?
Com a LGPD em vigor, todas as operações de tratamento de dados pessoais realizadas por pessoas físicas ou jurídicas, com fins econômicos, independentemente do meio (físico, eletrônico, digital etc.), realizadas em território nacional, que objetivem a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados em território nacional, estão sujeitas às disposições da LGPD. Para começar, estas são algumas das principais definições trazidas pela LGPD:
(a) a pessoa natural a quem se referem os dados pessoais é chamada de titular, como é o empregado, o colaborador, o funcionário, o estagiário, o aprendiz, e assim por diante;
(b) o dado pessoal é qualquer informação que identifique ou que seja capaz de identificar seu titular. Pode ser nome, endereço, dados de contato, documentos, filiação, histórico escolar, dados profissionais, informações enviadas por currículo, dentre outros;
(c) o dado pessoal sensível contempla informações relacionadas à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico – informações que as empresas facilmente detém de seu quadro de colaboradores, seja para fins de compliance, para viabilizar a concessão de benefícios (como planos de saúde e odontológico), para atendimento de programas de diversidade, dentre outras finalidades;
(d) o dado será anonimizado caso não seja possível identificar seu titular. A anonimização é o processo de desvinculação (direta ou indireta) do dado ao seu titular, realizada através de meios técnicos irreversíveis, razoáveis e disponíveis à época da operação;
(e) os agentes de tratamento são o controlador e o operador. Ambos podem ser pessoas físicas ou jurídicas (ou seja, não são só as empresas que estão sujeitas à LGPD), mas a principal diferença entre estes agentes é que o controlador tem o poder de decisão sobre o tratamento dos dados pessoais – aqui se enquadrariam as próprias organizações diante dos tratamentos de dados de seu quadro de funcionários. É interessante destacar, ainda, que um mesmo agente de tratamento pode tanto ser controlador como operador em situações diferentes, pois esta qualificação dependerá das circunstâncias da operação de tratamento;
(f) o tratamento dos dados pode ser coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. É uma definição bastante ampla, pois visa abranger toda e qualquer operação possível;
(g) por fim, todos os tratamentos de dados pessoais e dados pessoais sensíveis devem observar os seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.
Principais riscos
Os descumprimentos das disposições previstas na LGPD, podem tanto expor as organizações às sanções administrativas previstas na lei – desde advertência à aplicação de multa de até 2% do faturamento total, além da publicização da infração, do bloqueio e da eliminação dos dados pessoais a que se refere a infração – como às demandas individuais dos titulares, inclusive judicialmente, podendo culminar em obrigações de fazer e não fazer e em pagamento de indenizações.
Como se adequar e qual o papel das áreas de pessoas de uma organização?
Agora é fundamental observar o enquadramento dos tratamentos de dados às hipóteses legais e garantir a prevenção a incidentes de segurança, levando-se em consideração as particularidades de cada organização, razão pela qual inexiste soluções padronizadas em se tratando de conformidade à LGPD.
Tanto o departamento pessoal como a área de gestão de pessoas devem participar, no âmbito de suas respectivas atribuições no contexto da organização, do plano geral de adequação. Isto contempla desde o mapeamento dos fluxos de tratamento de dados que são realizados em nível departamental, até a revisão de todos os processos e o atendimento aos requisitos de segurança da informação que serão estabelecidos durante o programa de governança de dados que a empresa instituirá.
Desta forma, as áreas precisam revisitar desde os processos de recrutamento e contratação até o desligamento dos colaboradores, funcionários, estagiários e aprendizes, passando pelos processos de folha de pagamento, concessão de benefícios em geral, recolhimentos de tributos e contribuições previdenciárias – enfim, todas as formas de processamento e guarda dessas informações.
Ademais, as áreas de pessoas podem exercer uma tarefa chave em termos de conscientização e aculturamento de todos os participantes da organização em prol das medidas que a elas serão incorporadas em decorrência das determinações da LGPD, haja vista que a governança de dados deve fazer parte do dia a dia da empresa. Assim, é imprescindível que estas áreas dedicadas às pessoas da organização atendam as disposições da LGPD e assumam essa importante função disseminadora de novos hábitos em benefício da conformidade da empresa às novas regulações relacionadas à privacidade e à proteção de dados.
* advogada e sócia do escritório Mônica Villani Advogados, com atuação especializada em direito empresarial e digital, com certificações internacionais EXIN PDPE®, PDPF® e ISFS®. Membro da Comissão de Privacidade e Proteção de Dados da OAB de São Paulo e Coordenadora de Assuntos Regulatórios e da Comissão de Direito Digital e Compliance da OAB de São Bernardo do Campo/SP