Dicas e cuidados importantes para estabelecer a sua política de proteção de dados

Com a modernização do ambiente de trabalho, a área de Recursos Humanos se tornou um parceiro estratégico para a empresa não só na gestão dos talentos, mas também para administrar a segurança da informação.

Seja uma mera interação nas redes sociais, um descuido ao clicar num link não seguro ou o uso indevido de algum software da empresa, todos esses movimentos podem levar a vazamentos de dados sigilosos da empresa. Mas como orientar o funcionário, mesmo a distância, para que ele não cometa esses deslizes?

É aí que a gestão de pessoas se torna um parceiro estratégico da área de tecnologia da informação e do negócio.

Neste post, vamos mostrar a importância dessa aliança e como o RH deve também seguir a Lei Geral de Proteção de Dados (LGPD) cujas sanções passam a valer em agosto deste ano. Para tanto, contamos com a experiência do consultor Adriano Mendes, da Assis e Mendes Advogados. Confira as dicas do especialista em Direito Digital!

Como proteger os dados da empresa

Para disseminar a importância da segurança da informação na organização, o RH deve conduzir, em conjunto com TI, treinamento sobre privacidade para funcionários e fornecedores terceirizados que lidam com os dados da organização.

Além do mais, o RH, a área de TI e Jurídica da empresa devem juntas determinar a responsabilidade interna por erros e transgressões no que tange a proteção de dados da empresa, funcionários e terceiros.

Por esse motivo, essas três áreas precisam estar alinhadas na criação e na implementação de um plano de resposta a incidentes de vazamento de dados, especialmente para lidar com eventos envolvendo funcionários.

O RH e a segurança da informação

O maior envolvimento de RH se deve a uma convergência de fatores, incluindo: um ambiente regulatório mais ativo, o uso generalizado de tecnologia e dispositivos no trabalho dos funcionários e o reconhecimento da importância de uma forte cultura organizacional de segurança cibernética.

O próprio RH, com LGPD, tem lá seus deveres e obrigações quando o assunto é segurança da informação, como explica o consultor, Adriano Mendes, da Assis e Mendes Advogados.

“O RH é uma das áreas que mais trata dados pessoais e dados pessoais sensíveis dentro da empresa. Então, além do eSocial, Normas Regulamentadoras e muito mais; o RH também deverá saber que dados dos colaboradores, dependentes e pessoas físicas, serão necessários para a formalização dos contratos de trabalho e benefícios”, explica Mendes.

No entanto, alerta o consultor, a área de gestão de pessoas, deverá também observar com quais empresas e parceiros estes dados serão compartilhados, para quais finalidades, por quanto tempo deverão ser armazenados entre outros pontos de atenção.

RH: pontos de alerta da LGPD

“A LGPD é uma lei geral que obriga todas as empresas a cuidarem dos dados pessoais de uma forma positiva”, resume o consultor. Desta forma, a lei trabalha em duas vias, cuida dos dados pessoais dos funcionários e faz com que os colaboradores também exerçam responsabilidades para a não divulgação de dados pessoais de terceiros.

“Como a LGPD não se aplica apenas ao RH, toda a empresa deverá buscar a conformidade e a adequação de seus negócios à lei. Nesse ponto o RH tem um papel importante! Treinar e capacitar os atuais colaboradores a entender como entender as mudanças da lei e implementá-las na empresa, além de difundir os conceitos do privacy by design e dos princípios da transparência e governança”, salienta Mendes.

Na visão do especialista em Direito Digital, os principais pontos de atenção do RH devem ser:

  • na coleta de dados de colaboradores e seus dependentes em fichas admissionais;
  • observar a real necessidade de compartilhamento de dados de folha com parceiros de benefícios e instituições financeiras;
  • observar os ajustes de “dados pessoais e sensíveis” quando a empresa pretende divulgar um programa de diversidade;
  • Ficar atento a real necessidade de divulgar informações de colaboradores, quando terceiros exigem dados de saúde e atestados médicos

Como armazenar os dados?

Como destacado por Mendes, a empresa deverá guarda, de forma física, todos os dados necessários para comprovar que está seguindo as leis trabalhistas, de saúde e as informações para comprovar a relação jurídica com os colaboradores.

“Assim, além de dados pessoais, a empresa continua obrigada a guardar as informações sobre ponto [expediente do funcionário], pagamento e tudo o que já era exigido por lei. O que muda é que agora as empresas deverão verificar se não estão coletando mais informações do que o necessário, nem as utilizando para finalidades que não são informadas ao colaborador”, explica.

Segundo o especialista, a lei não exige que esses dados estejam figurativamente salvas em um cofre, mas é recomendável que elas sejam guardadas, em um armário, sala ou local que não seja de acesso aberto. “Esse procedimento deve ser adotado para evitar extravios e para impedir que os dados de saúde e vida dos colaboradores sejam acessados indevidamente”, frisa.

Isso porque, de acordo com o consultor, a lei prevê rigoroso monitoramento de como ocorreu o vazamento desses dados. “É direito das pessoas físicas que forem vítimas saber o que ocorreu, que dados foram vazadas e quais medidas a empresa tomou ou tomará para evitar prejuízos maiores”.

Cuidado com o WhatsApp!

Em tempos de trabalho remoto, os funcionários ficaram ainda mais sujeitos a enviar dados por plataformas popularizadas, mas pouco seguras, como é o caso do WhatsApp. “O app conseguiu substituir ao mesmo tempo o e-mail, o telefone celular, as mensagens de texto e serve até mesmo para reuniões”, conta o especialista.

Porém, ressalta Mendes, sendo uma ferramenta do Facebook, o WhatsApp não foi desenvolvido para ser uma ferramenta corporativa e como tal não é possível impedir que as informações ali contidas sejam compartilhadas ou encaminhadas para outros contatos ou mesmo salvas no dispositivo. “Isso sem contar com o problema que pode acontecer se um celular particular, com dados da empresa ou de terceiros, for perdido ou extraviado e as informações vazarem”, detalha.

Neste caso é preciso atenção redobrada da organização e dos funcionários com os diálogos ali tratados. A recomendação da Assis e Mendes Advogados é que as empresas discutam como tecnologias assim devem e podem ser usadas no contexto da empresa, de forma a permitir que o trabalho flua, mas que ao mesmo tempo não gere passivos trabalhistas ou problemas com a confidencialidade, integridade e autenticidade das informações.

Quer saber mais sobre como proteger os dados da sua empresa? Então, não perca a leitura de artigo que fala sobre a segurança da informação em tempos de home office. Aproveite também para saber o que é accountability.