The Blog Single

JS Contadores > Notícias & Artigos > Sem categoria > Orientação: Lei Geral de Proteção de Dados (LGPD).

Orientação: Lei Geral de Proteção de Dados (LGPD).

Sem categoria

Com a vigência da Lei Geral de Proteção de Dados (LGPD), as empresas deverão cumprir e fazer adequações ao Tratamento dos Dados e, na área trabalhista, em especial, dos dados de seus empregados, prestadores de serviços e terceiros.

Os principais fundamentos da LGPD são o respeito a privacidade, a inviolabilidade da intimidade, da honra e imagem, a proteção e a autodeterminação informativa (o titular dos dados pessoais deve ter controle, ou ao menos plena transparência, sobre a destinação dada às suas informações pessoais, bem como das metodologias utilizadas para tanto).

Na parte trabalhista, seguem abaixo algumas recomendações iniciais que o RH da empresa deverá providenciar para que a empresa cumpra as normais legais e evite ações individuais e coletivas (ajuizadas pelos Sindicatos ou Ministério Público do Trabalho);

• Mapeamento completo das informações-dados que transitam pela empresa, envolvendo todas as pessoas físicas (empregados, contratados, autônomos, empregados de contratadas etc.);

• Mapeamento da natureza e do tipo dessas informações-dados (dados pessoais ou dados pessoais sensíveis);

• Mapeamento do tipo de tratamento que esses dados atualmente recebem (se servem somente para armazenamento, ou se são utilizados, alterados, transmitidos, etc.);

• Escolha da base legal que se aplica a cada dado do tratamento;

• Coordenação das pessoas envolvidas nesses projetos que pode ser terceirizada ou pode ser parte empregados e parte terceirizados (assessoria);

• Identificação, em relação a cada tipo de tratamento, e em relação a cada tipo de informação-dado, daqueles que podem ser feitos sem o consentimento, e os que devem ser feitos com consentimento do empregado;

• Verificação da necessidade da obtenção e manutenção dos dados e dos tipos de tratamento atuais, e estudo de oportunidade para simplificação dessas rotinas;

• Estabelecer um canal para atendimento dos titulares dos dados;

• Nomear um responsável pela proteção dos dados;

• Revisar e depois publicar a Política de Privacidade e procedimentos internos da Empresa que estabelecem as intenções e práticas da empresa em relação ao tratamento dos dados pessoais. É o documento que estabelece como os empregados e terceiros devem tratar os dados pessoais. Principais pontos que devem conter:

• Objetivo ou missão de privacidade – é declaração ampla com compromisso da empresa em seguir as normas de proteção de dados e privacidade.

• Definições – dado pessoal, titular, tratamento, operador e controlador, fornecedores e terceiros, consentimento, criação de perfil, dados pessoais sensíveis, anonimização e outros;

• Princípios para o tratamento dos dados pessoais – citar os previstos na própria Lei;

• Bases legais para o tratamento dos dados. Especificar os critérios que serão utilizados. Ex: tratamento para cumprir relações contratuais; conforme interesses legítimos da empresa; com o consentimento;

• Transferência internacional de dados;

• Direitos dos titulares dos dados;

• Retenção e descarte dos dados. Especificar o tempo necessário de cada dado e eliminar após o término no tratamento. Para cada atividade de tratamento e base legal definida a empresa deve montar um plano de retenção e descarte.

• Confidencialidade e controle de acesso dos dados;

• Segurança;

• Incidentes de privacidade. O que fazer quando ocorrer algum incidente;

• Principais contatos. Quem é o encarregado de dados da empresa, equipe de DPO. Deve aparecer com destaque.

OBSERVAÇÕES:

• Todos os setores da empresa que coletam ou armazenam dados devem cumprir a LGPD;

• Aplica-se para meio físico ou digital, ou seja, não é exclusivo de documentos eletrônicos, mas também para documentos físicos.

• Não importa onde a empresa ou os dados estão localizados, desde que o tratamento dos dados, a oferta de bens e serviços ou os dados forem coletados no território nacional;

• Cadastro de funcionários de terceiros, cadastro de clientes, endereço IP com geolocalização, dados financeiros e dados de consumo.

O QUE É TRATAMENTO – tudo que pode ser feito com um dado pessoal. Toda operação realizada com dados pessoais, como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. É importante saber qual o tratamento que poderá ser realizado em cada dado, por quanto tempo, em qual lugar e a forma.

BASE LEGAL DO TRATAMENTO – é indispensável ter a base legal que permite o tratamento dos dados. Qual a justificativa legal que autoriza o tratamento de determinado dado. Constar em cada dado a base legal que justifica o tratamento. Quando houver a necessidade do consentimento esse deve ser feito de forma clara e com opção isolada para cada dado que será tratado. Não pode ter somente a opção de x (autorizo ou não autorizo).

CONSENTIMENTO – deverá ser feito por escrito ou por outro meio que demonstre a manifestação de vontade do titular. A cláusula que contém o consentimento deve estar destacada das demais cláusulas contratuais. É do controlador o ônus da prova de que o consentimento foi obtido sem vício de vontade do titular dos dados;

DADOS PESSOAIS – Segundo a Lei é toda informação relacionada a pessoa natural e que pode ser identificada ou identificável. Exemplos: dados cadastrais, filiação, RG, CPF, data de nascimento, endereço, gostos, interesses, email, WhastApp, fotos, logs (registro de eventos em sistemas de computador), imagens, cookies, salário, profissão, função, geolocalização, etc.

DADOS SENSÍVEIS – Dado sensível é todo aquele dado capaz de permitir uma identificação e que pode render ensejo a tratamentos discriminatórios em determinados contextos. Podem causar estigma. São dados relacionados à convicção religiosa, opinião política, filiação sindical ou a organizações de caráter religioso, filosófico ou político, dados relacionados à saúde ou à vida sexual e outros (art. 5º, inc. II, LGPD).

EXEMPLOS DE DADOS QUE DEVEM SER TRATADOS:

• Exames admissionais, periódicos e demissionais;

• Cópia de documentos pessoais do empregado (RG, CPF, CTPS, Certidão de Nascimento, certidão de Casamento, comprovante de endereço);

• Números de telefones;

• Nome e idade dos pais do empregado;

• Nome e idade dos filhos do empregado;

• Tipo sanguíneo;

• Escolaridade;

• Certificado de Reservista;

• Título de Eleitor;

• Atestados médicos;

• Acidentes sofridos;

• Doenças ocupacionais;

• Controle de jornada especialmente de for biométrico;

• GPS (que permite saber por todos os locais que empregado andou ou parou);

• Monitoramento por câmeras;

• Gravação de voz (teleatendimento);

• Informações no contracheque;

• Ficha de registro;

• Motivos de realização de descontos;

• Motivos das faltas;

• Situações familiares (paternidade, pensão, inclusão de dependentes);

• Estabilidade pré aposentadoria – tem que apresentar os comprovantes;

• Auxílio creche que exige que o empregado comprove o pagamento da mensalidade;

• Auxílio babá – cópia da CTPS, comprovante de salário e demais documentos da empregada;

• Dados bancários;

• Auxílio funeral que exige a apresentação da certidão de óbito;

QUANDO PODE SER FEITO O TRATAMENTO:

• com o consentimento do empregado;

• para o cumprimento de obrigação legal;

São 3 os períodos que deverão ser considerados:;

1) período pré-contratual;

2) período contratual;

3) período pós-contratual.

OBSERVAÇÕES IMPORTANTES:

DECISÕES AUTOMATIZADAS – Cuidados especiais especialmente na admissão e demissão – Muitas vezes o candidato a uma vaga pode perder a oportunidade se o “sistema” não aprovou o seu currículo pois os algoritmos (já treinados com base em dados já existentes) podem excluir as pessoas pela idade, sexo, empregos anteriores, endereço etc. O candidato à vaga de emprego ou o empregado dispensado poderá exigir da empresa uma explicação sobre os critérios utilizados e a transparência utilizada pelo algoritmo para comprovar que não houve discriminação, conforme artigo 20 da LGPD.

OBS: exemplo – Amazon e outras empresas que utilizam da inteligência artificial para buscar informações nas redes sociais sobre os empregados ou candidatos ao emprego.

Em termos práticos, as empresas que optarem pela utilização de sistemas automatizados para contratação e dispensa deverão ter cuidado redobrado para que os seus algoritmos sejam programados de modo a evitar a reprodução de tratamentos discriminatórios e sejam mais transparentes possíveis. Por outro lado, os empregados e candidatos, a empregos devem ser previamente informados pelo controlador acerca de seu direito à explicação diante de decisões automatizadas.

Processo Seletivo:

• Revisão dos processos seletivos. Como serão feitas as coletas de dados não sensíveis e sensíveis nas entrevistas de seleção;

• Certidão de antecedentes criminais;

• Referência e bons antecedentes funcionais solicitados a outros empregadores;

• Verificar quais são as informações necessárias e obrigatórias para cumprir a legislação trabalhista e para a execução do contrato;

• Verificar quais informações requerem o consentimento do candidato e que exigirão formulário próprio e que justifique o motivo, além de ter a manifestação de consentimento livre do candidato e que concorda com o tratamento de seus dados para finalidade específica;

• Armazenamento de currículos em bancos de dados para futuros processos seletivos que deve ser reavaliado em relação a necessidade consentimento do candidato em manter na empresa o documento e a segurança contra vazamento das informações. Poderá a empresa optar por excluir;

• Como realizar o tratamento dos dados dos candidatos não selecionados para a contratação;

• Exemplos e resumo de dados que podem ser coletados na seleção – experiência (dependendo ainda da função), função, formação, gênero (dependendo ainda da função), idade (dependendo do caso), pois se for menor precisa do consentimento de um dos pais ou responsável legal;

• Se a empresa recebe o currículo do empregado, deve eliminar os dados não necessários;

Nessa fase é proibida a coleta de dados que possam gerar qualquer critério discriminatório entre os candidatos, como, por exemplo, solicitação de exames de gravidez, toxicológico, exames de sangue, atestado de antecedentes criminais e análise de crédito (débito).

Essa é a regra. Contudo, há exceções previstas em lei, como é o caso do exame toxicológico para o motorista profissional (artigo 168, § 6°, da CLT) e do atestado de antecedentes criminais que é obrigatório para quem trabalha como vigilante (artigos 12 e 16, VI, da Lei n. 7.102/1983 c/c art. 4°, I da Lei n. 10.826/2003).

Por outro lado, o exame de gravidez e a análise de crédito (débito) — mesmo para trabalho em instituições financeiras — são proibidos (artigo 1° da Lei n. 9.029/1995), sendo o segundo, inclusive, com base nos termos do Acórdão do TST prolatado nos autos do Processo n. 1109-68.2012.5.10.0020.

Nos contratos de trabalho:

• Necessidade de inclusão de cláusulas específicas e em especial quando fornecem informações para terceiros (transmissão de dados para operadoras de planos de saúde e empresas de gestão de folha de pagamento e E-Social, empresas que administram o vale transporte, vale refeição, consultorias contratadas, SESMT, etc);

• Alterar / Revisar o contrato com os prestadores para incluir obrigações em relação a forma de tratamento, armazenamento e proteção dos dados transferidos e respectiva responsabilidade em caso de eventual vazamento;

• Cuidado no envio de informações aos Sindicatos. Verificar se existe a obrigatoriedade de transmitir as informações por força de lei ou norma coletiva e a anuência do empregado quando existir uma finalidade específica;

• Coleta da fotografia do empregado para confecção de crachá;

• Coleta de números ou cópias de CPF, PIS, CTPS;

• Necessidade da coleta de informações de: nome dos filhos, tipo sanguíneo, escolaridade;

• Sigilo de informações de salário, jornada, descontos, faltas, motivos das faltas, acidentes, situações conjugais (pagamento de pensão, inclusão de dependentes em planos de saúde);

• Geometria da mão;

• Reconhecimento facial;

• Leitura biométrica de íris e retina;

• Monitoramento das redes sociais, correio eletrônico, chamadas telefônicas e internet;

• Controle do trabalhador via sistemas de geolocalização, videovigilância ou gravação sonora;

• Utilização de identidade visual dos empregados com fins comerciais em redes sociais sem autorização;

• Motivos do desligamento, valor das verbas rescisórias e outras informações que devem ser mantidas em sigilo.

Transmissão de dados aos órgãos públicos:

• O envio para órgãos públicos (RAIS, GFIP E CAGED) não exige o consentimento do empregado por se tratar de cumprimento de obrigação legal.

Biometria:

• Por se tratar de dado sensível, deve conter o consentimento do empregado e constar a finalidade específica. Pode ser para cumprir a Lei (Registro de Ponto Eletrônico) ou segurança da empresa;

Saúde:

• Por se tratar de dado sensível e embora protegida pelo sigilo médico, merece cuidado especial em relação ao armazenamento e divulgação de atestados, compra de medicamentos (convênio médico) e utilização de Plano de Saúde;

• CID – não é obrigatória, exceto em caso de acidente do trabalho (exigência do eSocial);

• DICA IMPORTANTE: a empresa poderá utilizar de senhas para acesso aos dados e para aqueles de maior risco ou sensíveis, utilizar a criptografia. Exemplo: atestado médico com CID, para evitar a invasão da privacidade do titular do atestado.

Terceirizados:

• Proteger os dados dos trabalhadores terceirizados caso sejam enviados pelas prestadoras de serviços (comprovantes de recolhimento do FGTS, recibos de pagamento, cartões de ponto, etc…). Ter autorização da empresa para receber e armazenar essas informações (que normalmente servem para comprovar cumprimento de obrigações);

Políticas Internas:

• Elaborar e revisar as políticas internas, definindo de forma clara os setores e pessoas que terão acesso as informações de candidatos, empregados e terceiros;

• Para forma de coleta, utilização e acesso dos dados pelos empregados, prestadores de serviços e candidatos;

• Como serão utilizadas e armazenadas as informações;

• Estabelecer penalidades em caso de uso indevido;

• Não envio de emails, WhatsApp particulares para empregados e terceiros sem autorização de acesso aos dados;

• Códigos de Conduta, Políticas de Segurança da Informação e Privacidade;

• Políticas de Privacidade Externa;

• Tudo isso para garantir a informação e conscientização dos empregados e prestadores de serviços sobre dados pessoais;

Cuidados Especiais:

• Dados biométricos e relacionados a saúde do empregado;

• Dados de candidatos não selecionados;

• Filiação sindical, preferência política, religiosa ou sexual e origem racial;

• Exposição da imagem dos empregados e prestadores de serviços;

• Contratos com empresas terceirizadas;

Período pós-contratual:

• Como se portar em relação aos pedidos de referência e bons antecedentes funcionais realizados por outros empregadores;

• Por quanto tempo e de que forma poderá armazenar dados de um ex-trabalhador ou como tratar os dados de trabalhadores já falecidos.

DA PREOCUPAÇÃO DAS EMPRESAS E DA FUNDAMENTAL IMPORTÂNCIA DA APLICAÇÃO DA LGPD E RESPECTIVAS PUNIÇÕES:

A LGPD impõe às empresas a necessária e imediata revisão de procedimentos já existentes, possivelmente com a criação de novos mecanismos, para demonstrar e provar o cumprimento da LGPD. Destaca o artigo 52 da LGPD, que especifica as sanções administrativas possíveis de aplicação:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Além das sanções administrativas, aquele que descumprir a LGPD poderá ser responsabilizado civilmente. Conforme previsto no artigo 42 da LGPD, o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

FONTE: SINDIJOIAS SP

Tags:

Deixe um comentário