Lei Geral de Proteção de Dados Pessoais: como adequar sua empresa às novas regras

A Lei Geral de Proteção de Dados Pessoais, conhecida pela sigla LGPD, chega para alterar o Marco Civil da Internet, garantindo novas regras e maior transparência sobre a coleta, o armazenamento, o tratamento e o compartilhamento de dados das pessoas físicas em quaisquer meios.

A Lei 13.709/2018 “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Sancionada em agosto de 2018, a LGPD entra em vigor a partir de agosto de 2020. Ou seja, as empresas e organizações têm até esse prazo para se adaptarem, já que o não cumprimento das novas regras implica em penalidades e multas de até 50 milhões de reais — um motivo um tanto quanto importante para sua empresa estar atenta aos novos procedimentos!

A LGPD detalha claramente quatro agentes que estão envolvidos em todos o processo, são eles:

  • Titular: pessoa física e proprietária dos dados.
  • Controlador: pessoa jurídica ou pessoa física que coleta dados pessoais.
  • Operador: empresa ou pessoa física que realiza o tratamento e processamento dos dados pessoais já coletados, seguindo as ordens do controlador.
  • Encarregado: pessoa física que responde pela proteção dos dados da empresa.

Hoje, quando um cliente, no caso o Titular, realiza uma compra em uma loja, por exemplo, vários dados pessoais são solicitados a eles pelo Controlador — muitas vezes, dados que nem se quer possuem relação com o produto que está sendo adquirido.

O problema acontece que muitas vezes esses dados do Titular são vendidos para terceiros (é quando as ligações de telemarketing começam a acontecer para o consumidor sem ele nunca ter fornecido essas informações para esse terceiro).

O que vai mudar com a Lei Geral de Proteção de Dados Pessoais

lei geral de protecao de dados 2

A nova Lei Geral de Proteção de Dados muda totalmente esse cenário! No momento da coleta de dados, o cliente deverá sinalizar seu consentimento de forma clara. As empresas que ignorarem essa prerrogativa serão penalizadas com multas exorbitantes.

Sendo assim, muitas empresas precisarão revisar seus processos de governança e privacidade de dados a fim de se adequar à nova lei. Um bom ponto de partida é criar um Comitê de Segurança da Informação dentro de uma organização para avaliar o cenário atual relacionado à coleta, ao tratamento e ao armazenamento de dados recebidos.

Saber para onde esses dados coletados vão, como ficam armazenados, quem são as pessoas que têm acesso a essas informações e se são compartilhados com terceiros, tanto no Brasil quanto no exterior, é extremamente relevante para identificar os riscos envolvidos.

Ao detectar alguma divergência, é necessário iniciar o procedimento para garantir a segurança dos dados que reflete em benefícios tanto para a empresa quanto para o consumidor.

As empresas de tecnologia também precisam ser ágeis para diagnosticar e orientar os clientes da melhor maneira possível. Nesse ponto, os clientes que utilizam os sistemas da Senior, nosso maior parceiro de negócio, podem se sentir seguros. De acordo com Adriano Gonçalves Polidoro, Gerente de Tecnologia de Informação e Comunicação, “em compromisso com a aplicação da lei para agosto de 2020, a Senior estará 100% capacitada para oferecer aos nossos clientes soluções seguras e em total compliance com a LGPD”.

 

Maioria das empresas brasileiras está alheia à LGPD

Multas podem chegar a R$ 50 milhões por infração para as instituições que não fizerem o tratamento adequado dos dados pessoais de clientes e colaboradores

Paraná – O Brasil tem aproximadamente 4,5 milhões de empresas em operação, de acordo com os dados do IBGE. A grande maioria, no entanto, está alheia à grande novidade que irá impactar o cotidiano de todo meio corporativo: a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD). Uma pesquisa da Serasa Experian divulgada no segundo semestre de 2019 mostrou que 85% das empresas ainda não estão prontas para atender às exigências da nova legislação.

O advogado Guilherme Guimarães, especialista em Direito Digital e Segurança da Informação e sócio da Datalege Consultoria Empresarial – empresa que faz a implantação da LGPD em empresas e instituições em todo o Brasil –, fala que apesar de a pesquisa ter sido feita há um ano, os dados seguem atuais. Segundo ele, é possível observar duas realidades bastante distintas no segmento empresarial brasileiro: grandes corporações, em geral com sede ou estrutura fora do Brasil, que estão correndo para se adequar à legislação por temerem as multas e o impacto comercial; empresas menores, de pequeno e médio porte, algumas sequer estão sabendo da lei e outras estão contando com a sorte e apostando que a lei não vai vingar.

“Apostar no adiamento da LGPD é um grande erro, mas que infelizmente estamos verificando com frequência entre muitos empresários. Para quem não estiver cumprindo a legislação, as multas são muito altas e podem inviabilizar a existência das empresas que não se adequarem”, comenta.

O advogado explica que, além da multa, as empresas que não estiverem adequadas à LGPD correm o risco de ficar fora do mercado. “As leis de proteção de dados são uma tendência mundial e uma exigência comercial de muitas corporações. Ou seja, quem não cumprir a lei, corre o risco de não fechar negócios importantes, inclusive no mercado internacional”, pontua.

Guimarães cita o exemplo do impacto da GDPR – a lei de proteção de dados da comunidade europeia, que entrou em vigor em maio de 2018. Um levantamento da Comissão Europeia de Proteção de Dados mostrou que, depois de um ano depois da vigência da lei, foram realizadas quase 150 mil reclamações por supostas violações à GDPR e as multas às empresas chegaram a um montante de 56 milhões de euros.

No Brasil, a LGPD prevê multas que podem variar de 2% do faturamento bruto a até R$ 50 milhões por infração. “O valor é alto, mas é uma forma até de chamar a atenção para a importância de se proteger os dados pessoais de clientes, colaboradores e fornecedores”, afirma o consultor.

Nas empresas, o vazamento de dados ocorre de diferentes formas, mas uma das mais frequentes, segundo Guimarães, é a partir do uso inadequado de gadgets e aplicativos pelos colaboradores. “É comum pensar que os cibercriminosos são responsáveis por todos esses episódios, mas colaboradores mal intencionados ou que desconhecem a política de segurança da empresa são capazes de colocar em risco todo o serviço realizado internamente”, enfatiza.

www.datalege.com.br
linkedin.com/in/guilhermeguimaraesadv

 

LGPD e a Gestão de Pessoas

As redes sociais têm muitas informações pessoais e profissionais!

Realizar uma compra online, e informar os dados mais importantes para que a loja possa entregar o produto e confirmar a compra, se tornou muito mais comum do que ir na padaria comprar o pão matinal!

Até a própria Justiça do Trabalho se rendeu ao mundo digital e tudo (ou quase tudo) pode ser feito sem sair do seu escritório ou da sua casa.

Já imaginou se essa quantidade gigantesca de dados pessoais e profissionais na nuvem estivessem disponíveis para quem quiser?

Seria um verdadeiro caos, com pessoas de bem sendo incriminadas por fraudes ou outros crimes, sem mesmo saber o que estava acontecendo. Ou então, teriam pessoas usando seus dados para influenciar, por exemplo, na decisão do novo governante do país (fato que já ocorreu e se tornou público), enfim…

Por essa razão (e muitas) foi criada a Lei Geral de Proteção de Dados, lei essa que já existe em muitos outros lugares, como na Europa.

 

E onde entra a área de Gestão de Pessoas?

Apesar da lei não ser explícita quanto a esse departamento, a resposta é simples.

Todas as empresas, independentemente da forma, têm dados de seus colaboradores, clientes, fornecedores e sócios.

Lembrando que a lei visa proteger os dados pessoais, independentemente da forma em que estão apresentados, ou seja, podem ser físicos (exemplo: formulário de atualização cadastral) ou digitais, e guardados por pessoas jurídicas, públicas ou privadas.

A área de Gestão de Pessoas necessita cumprir a legislação trabalhista, em razão principalmente da contratação de um colaborador, quando são solicitados seus dados pessoais, mesmo antes de se ter qualquer vínculo com a empresa, como candidato, não é?

A Portaria 41 de 30/03/2007 (do Ministério do Trabalho e Emprego) elenca os dados exigidos e inclusive no seu primeiro artigo já demonstrava preocupação com os dados na admissão e manutenção do contrato de trabalho para não expor a pessoa física em questões de discriminação ou que possam prejudicar a sua obtenção do emprego:

“Art. 1º Proibir ao empregador que, na contratação ou na manutenção do emprego do trabalhador, faça a exigência de quaisquer documentos discriminatórios ou obstativos para a contratação, especialmente certidão negativa de reclamatória trabalhista, teste, exame, perícia, laudo, atestado ou declaração relativos à esterilização ou a estado de gravidez.”

O Art. 41 da CLT também orienta a forma em que poderá ser feito o referido registro dos dados, e leis complementares ajudam a disciplinar o empregador quanto aos dados.

Conforme a LGPD, mais especificamente o Art. 5º conceitua o tratamento dos dados que corresponde a toda operação realizada com dados pessoais, ou seja, coleta (formulários físicos ou digitais), produção (elaboração de um contrato de trabalho), recepção (quanto à entrega desses dados), classificação (ordenação), utilização (para que será usado), acesso (quando e quem terá acesso), reprodução (por meios digitais e físicos), transmissão (redes de dados), distribuição (onde estarão os dados), processamento (em que momento serão utilizados), e assim por diante.

 

Revisão de processos para adequação à LGPD

Então, dá para se ter uma ideia de que a área de Gestão de Pessoas terá um papel importantíssimo neste momento, sendo que, em muitos casos, haverá uma revisão dos processos de admissão e todo o tratamento e manipulação dos dados do candidato e, posteriormente, colaborador da empresa.

Quais seriam esses processos básicos?

  • Candidatos: Hoje é muito comum as empresas terem em seus sites um botão dentro das opções do menu com o famoso “Trabalhe Conosco”, em que é aberto um formulário solicitando várias informações, dependendo da empresa podem variar para mais ou menos dados, mas sempre haverá dados a serem tratados, e tanto a guarda quanto a sua eliminação devem ter autorização do candidato;
  • Colaborador: Depois da admissão, esses dados são transformados em contrato de trabalho, termo de responsabilidade, declarações, autorizações, atestados e exames médicos, entre outros. Quando a empresa tem, por exemplo, plano de saúde, o compartilhamento desses dados com a seguradora deve também ter autorização do colaborador;
  • Desligamento: Independentemente do tipo de desligamento, as informações, guias, termos de quitação precisam ser armazenados tanto para cumprimento da legislação quanto para uma possível solicitação de revisão dos direitos trabalhistas, e devem, da mesma forma, ter autorização do envolvido, ou caso contrário devem ser eliminados, e é aí que surgem dúvidas, mas entendo que a lei não pode ser descumprida e deverá se ter um cuidado maior com os dados, de acordo com o Art. 16 – II …a anonimização dos dados pessoais.

Observa-se que o responsável pelos dados do candidato e do colaborador (mesmo depois de desligado) é a empresa. Por isso, ela deve cumprir com a nova lei de proteção de dados e, como disse, os processos devem ser revisados (assim como ocorreu com o eSocial).

Hoje, com a facilidade em armazenar dados de forma digital, inúmeras ferramentas, softwares e serviços na nuvem permitem que as empresas escolham qual a maneira mais adequada para armazenar e tratar esses dados.

Com a LGPD, essa forma de armazenagem e tratamento dos dados também deve ser revista, pois agora esses procedimentos devem ser seguros e sempre que houver a necessidade da coleta de algum dado pessoal deve-se ter o consentimento da pessoa.

Vale lembrar que mesmo que haja o consentimento, a empresa tem restrição quanto ao uso desses dados, que deverão ser usados apenas para o cumprimento da legislação e manutenção do contrato de trabalho.

 

Dados sensíveis

Muito se tem ouvido falar de Dados Sensíveis, mas o que seriam esses dados?

São dados relacionados à filiação partidária ou sindical, religião, origem racial ou étnica, dados referentes à saúde ou à vida sexual e biometria.

É comum o colaborador registrar sua jornada de trabalho ou comprovar a entrega de um EPI por biometria e seu armazenamento e utilização devem ser restritos ao seu contrato de trabalho.

 

Quais são os próximos passos?

Passamos por tantas alterações na legislação, como por exemplo, Portaria 1510 e 373 que tratavam do Controle de Jornada dos Trabalhadores, Implantação do eSocial e Reforma Trabalhista, Medidas Provisórias… e sobrevivemos!

Agora com a LGPD não será diferente!

Será necessária a readequação tanto dos procedimentos quanto de recursos internos e de terceiros para que se possa cumprir com a legislação.

Portanto, estude a respeito, analise os pontos mais críticos da legislação e que possam interferir no seu negócio e foque na melhor solução.

Não deixe de ter parceiros que possam te ajudar nessa adequação, fazendo com que se possa reduzir ao máximo o vazamento de dados e possíveis multas!

 

Suporte especializado

A Forbiz Business Software possui uma equipe altamente capacitada para auxiliar sua empresa em todas as dúvidas que possam surgir sobre o eSocial.

Se você ainda possui alguma dificuldade ou tem alguma dúvida para entender como essa obrigatoriedade deve ser realizado dentro da sua empresa, Entre em contato conosco e saiba mais!

E-mail: contato@forbiz.com.br
Telefone: (41) 4042-1026
WhatsApp: (41) 98785-2796

Forbiz | Conectando pessoas, automatizando processos.