Para a correta adequação da empresa à Lei Geral de Proteção de Dados (LGPD), todos os departamentos da empresa devem ser avaliados incialmente de forma isolada. Sem dúvida, o setor de Recursos Humanos, também conhecido como RH, é um dos departamentos que possui mais informações e dados pessoais, sendo, portanto, um dos departamentos mais desafiadores no projeto de conformidade.
Para a sua adequação, o primeiro passo é identificar os titulares e os respectivos dados pessoais que transitam no departamento, bem como verificar a finalidade do tratamento e a respectiva base legal.
Em seguida será necessário elaborar o Relatório de Impacto à Proteção de Dados Pessoais (DPIA) que, no mínimo, deve conter a natureza, o escopo, contexto e finalidade do tratamento, a avaliação da necessidade do tratamento daqueles dados, a adoção de medidas de compliance, bem como o estudo dos riscos dos titulares de dados e a identificação das medidas para mitigar esses riscos.
Uma dúvida muito comum que pode surgir é a seguinte: com o desligamento do colaborador, os seus dados pessoais devem ser eliminados pela empresa? A questão surge porque o artigo 18 da LGPD prevê o direito do titular de solicitar a eliminação dos seus dados dos bancos. Contudo, mesmo com a saída do colaborador, a instituição ainda pode manter os dados em razão da possibilidade de ajuizamento de Reclamações Trabalhistas e eventuais fiscalizações do Ministério Público do Trabalho ou Previdência Social.
Nessa hipótese, muda-se apenas a base do tratamento, que deixará de ser para a execução de contrato, citado no artigo 7º, V, e passará a ser para o cumprimento das obrigações legais do art. 7º, II. O armazenamento dos dados após o desligamento não pode ser por prazo indeterminado, devendo ser limitado ao lapso prescricional para ajuizamento de Reclamações Trabalhistas e fiscalizações.
Outra questão que merece ser colocada é a do empregador pode compartilhar os dados dos seus colaboradores com terceiros? A LGPD autoriza o compartilhamento de dados desde que informado ao titular. Assim, o empregador deve dar ciência ao empregado de que os seus dados serão compartilhados com terceiros, como, por exemplo, com escritório terceirizado de contabilidade, parceiros das políticas de benefícios e outros.
Ou seja, tais medidas exigem a revisão não somente dos procedimentos internos do departamento, como também do tratamento de dados de responsabilidade dos parceiros comerciais que oferecem benefícios aos colaboradores.
Ressalta-se que, nos termos da LGPD, caso não haja
o tratamento adequado dos dados pelos seus parceiros comerciais, o empregador
poderá ser responsabilizado pelos prejuízos diretamente causados aos titulares
dos dados.
Juliana Callado Gonçales - advogada e sócia do
Silveira Advogados