Desde informações funcionais até dados privados, como o RH deve se proteger para seguir as regras da LGPD

A Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro de 2020, versa sobre a privacidade no Brasil. Como empresas geram uma grande quantidade de dados pessoais e sensíveis que o RH deve coletar, gerenciar e armazenar, é fundamental que profissionais da área de gestão de pessoas entendam como a LGPD no RH funciona.

E para quem pensa que o tema está distante da realidade de seu trabalho, saiba que até mesmo um arquivo simples de Excel contendo informações de contatos constitui dados pessoais e está sujeito aos requisitos da nova legislação, cujas sanções e multas administrativas poderão ser aplicadas a partir de agosto de 2021.

Qual o impacto da LGPD no RH?

A LGPD visa proteger os dados pessoais de brasileiros por meio de uma ampla gama de requisitos de privacidade e segurança. Tudo isso para evitar que tais informações sejam usadas sem o consentimento do usuário proprietário.

Portanto, a lei, observada sob a visão do RH, aplica-se a qualquer empregador que processe e retenha dados pessoais de funcionários. Mesmo que uma empresa não tenha sede no Brasil, ela está sujeita aos requisitos da LGPD se houver funcionários ou freelancers residentes no país.

Para entender a importância da LGPD no RH, entrevistamos Thiago Magnani, Especialista em Segurança da Informação na VAGAS.com. No bate-papo, ele explica os principais cuidados na gestão de dados pelo RH e pelos times de recrutamento e seleção, assim como concede algumas dicas sobre o tema. Confira!

De que maneira a LGPD influencia a rotina no RH?

O RH é uma área que tem relação direta com a utilização de dados pessoais e sensíveis para a execução de suas atividades, desde o recrutamento e seleção, passando pela jornada do profissional na empresa, até o desligamento. Portanto, é imprescindível que entenda quais são as bases legais, princípios e direitos que devem ser seguidos e proporcionados para atender à LGPD.

Além disso, é importante que o RH tenha um inventário que permita entender quais são os tipos de dados utilizados, suas finalidades, agentes de tratamento, bases legais e fluxos. A área de gestão de pessoas, junto com a equipe responsável pelos assuntos da LGPD, deve ainda identificar controles de segurança que possam ser aplicados para proteger os dados e evitar violação ou vazamento deles.

Qual é a diferença entre dados sensíveis e anonimizados?

De acordo com a LGPD, dados pessoais sensíveis são aqueles que podem ser usados para causar prejuízo, discriminação ou dano ao titular. Entre eles, estão informações sobre raça/etnia, religião, sexualidade, saúde, opinião política, dados genéticos e biométricos e filiação a sindicato ou à organização de caráter religioso, filosófico ou político.

Já os dados anonimizados são relativos a um titular que não pode ser identificado. Eles não são tratados como pessoais e, portanto, não precisam estar em conformidade com a LGPD, salvo quando o processo de anonimização ao qual foram submetidos for revertido.

É importante que o RH entenda esses conceitos para ajudar na classificação do tipo de dado durante o mapeamento. Além disso, o departamento pessoal deve saber que é necessário aplicar controles de segurança ou medidas compensatórias, tanto para estar em conformidade com a lei, quanto para evitar incidentes de segurança.

Infográfico que mostra direitos e deveres perante a LGPD no RH.
Arte VAGAS

Para evitar problemas no futuro, que tipo de segurança jurídica o RH deve tomar?

É importante que o RH tenha um documento, termo ou contrato que informe aos profissionais e colaboradores a finalidade da utilização de dados pessoais e sensíveis. Ele deve ser assinado/autorizado [pelo colaborador].

Outro ponto de atenção é a segurança no compartilhamento de dados, principalmente com terceiros. O ideal é sempre envolver a equipe de segurança da informação para auxiliar na melhor estratégia, evitando problemas futuros.

Que tipo de dados de funcionário o RH deve preservar?

O RH deve preservar dados pessoais e sensíveis que apresentam uma finalidade, como nome, endereço, idade, dados da carteira de trabalho, entre outros, além dos que estão sujeitos a diversas regulamentações específicas que possam atingir algum setor ou ramo de negócio.

O recomendado é envolver a equipe jurídica da empresa para entender as regulamentações vigentes que devem ser seguidas.

Como as informações devem ser armazenadas e posteriormente enviadas para órgãos competentes?

Tanto os dados em meios físicos quanto em meios digitais devem estar armazenados em locais seguros e que possuam algum tipo de controle de acesso – como chaves, controles biométricos e autenticação – para garantir a confidencialidade das informações.

Também é importante que esses dados estejam em locais protegidos contra incêndios ou desastres naturais, com o objetivo de preservar a integridade e a disponibilidade das informações.

Posteriormente, para dados que serão compartilhados em rede para órgãos competentes, deve-se usar canais seguros, como o protocolo HTTPS em serviços web ou criptografias.

Em tempos de pandemia, empresas checam a temperatura e oferecem acompanhamento médico. Que tipo de cuidados devem haver com tais informações?

Por serem dados relacionados à saúde, são sensíveis de acordo com a LGPD e merecem atenção especial. Portanto, é necessário obter o consentimento do titular para uma finalidade específica, exceto na utilização de outras bases legais que permitem a realização do tratamento de dados.

Como o RH deve trabalhar dados de produtividade, engajamento e feedback?

Vale definir em contrato a necessidade da utilização de dados pessoais e sensíveis para fins específicos, trazendo transparência para colaboradores e proteção jurídica para empresas.

Então, os dados de produtividade, engajamento e feedback devem passar pelos princípios da LGPD, como ter finalidade específica, serem utilizados somente quando necessário, estarem seguros e serem precisos, claros e atualizados, entre outros.

Como preservar um banco de currículos com a LGPD no RH?

O banco de currículos deve conter somente dados precisos, atualizados e autorizados pelos candidatos. Para isso, é preciso criar políticas, processos e procedimentos para gerenciá-lo, assim como seu acesso e auditoria.

Vale criar procedimentos de backup e restauração de dados, assim como utilizar criptografia e ferramentas de monitoramento para detectar anomalias e possíveis ações maliciosas.

Como fica a LGPD no home office?

A aplicação da LGPD também ocorre no trabalho remoto. Portanto, é importante que a empresa estabeleça políticas de home office que mostrem ao colaborador como proteger seus dados e os da empresa.

Além disso, é recomendado que a empresa tenha um acordo de confidencialidade (NDA) assinado pelo colaborador/terceiro para manter determinadas informações em sigilo.

O especialista segurança da informação Thiago Magnani explica quais cuidados o RH deve tomar, juntamente com a equipe de segurança da empresa, para evitar incidentes que possam por em risco o sigilo dos dados pessoais e sensíveis de colaboradores e candidatos.

  • Utilizar Redes Virtuais Privadas (VPNs) para acessar ambientes corporativos com acesso via autenticação (usuário/senha/token/certificado)
  • Habilitar duplo fator de autenticação, como senha + token, sempre que possível
  • Adotar política com complexidade de senhas
  • Utilizar criptografia de disco nos dispositivos
  • Conscientizar todos os colaboradores e terceiros sobre segurança da informação e proteção de dados

 

Ainda tem dúvidas sobre a importância do RH preservar os dados? Leia, portanto, uma reportagem sobre o papel do RH na cibersegurança.