Lei Geral da Proteção de Dados – LGPD

Publicado dia 30 de janeiro de 2020.

Projeto de Lei pode alterar início da aplicação de multas e sanções administrativas.

Com a aprovação do PL 1.179/2020 pelo Senado Federal, a LGPD – Lei Geral de Proteção de Dados tem sua vigência mantida em 08/2020. Ainda neste Projeto de Lei existe a possibilidade da vigência das multas e sanções administrativa passarem a vigorar a partir de 01/08/2021, e com isso as empresas terão mais tempo para se adaptar a esse novo regime jurídico.

Atualmente está vigente a Medida Provisória 959/2020 que prevê o início da vigência da aplicação de multas e sanções administrativas para 03/05/2021, mas ela está aguardando para votação e caso não seja aprovada, e sem o PL 1.179/2020 ser sancionado causa certa insegurança jurídica para que as empresas possam se adaptar a LGPD.

Entenda a Lei Geral de Proteção de Dados Pessoais (LGPD) e seu Impacto nos Contratos de Trabalho

Em agosto de 2020 começa a valer a LGPD, Lei nº 13.709/2018, cujo objetivo é regular a proteção de dados pessoais dos indivíduos pelas empresas públicas e privadas, trazendo maior transparência para clientes e usuários e um ciberespaço mais seguro.  Empresas de todos os portes serão impactadas pela norma e devem se preparar para as novas demandas de privacidade e segurança da sociedade brasileira, dados pessoais e dados sensíveis só poderão ser obtidos com a autorização do cidadão. Primeiramente, se faz necessária a realização de um diagnóstico pela equipe de TI para constatar possíveis fatores de riscos e pontos de vulnerabilidade em seus sistemas e que mostre o tipo de dados que a organização possui e se conta com uma estrutura segura para armazená-los. As empresas deverão contar com novas figuras no seu quadro de funcionários, responsáveis pelo tratamento dos dados, o controlador, pessoa natural ou jurídica, de direito público ou privado, que determina as finalidades e meios de processamento dos dados pessoais, o operador, pessoa natural ou jurídica, de direito público ou privado que realiza o tratamento dos dados pessoais em nome do agente controlador, e o encarregado, um especialista em proteção de dados pessoais indicado pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Dados Pessoais

Informações que podem identificar ou localizar uma pessoa, tais como e-mail, endereço, RG, CPF, contato telefônico, etc. O titular dos dados é a pessoa física da qual os dados foram coletados e que tem o direito de estar ciente sobre como será feito o tratamento das informações e com que fim serão utilizadas. Dados denominados pela Lei de anonimizados, ou seja, que não são passíveis de rastreamento ou identificação, e que foram submetidos a processos técnicos que dificultam sua associação, não são considerados dados pessoais.

Dados Pessoais Sensíveis

Dados pessoais que podem gerar preconceito e discriminação, sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, informações relacionadas à saúde ou à vida sexual, dados genéticos ou biométricos quando vinculados a uma pessoa natural.

Consentimento para o Tratamento de Dados Pessoais

É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Os dados podem ser utilizados de diversas formas, podendo ser acessados, armazenados, compartilhados, avaliados, processados, transferidos, eliminados, entre outras ações. O titular dos dados tem o direito de saber a qualquer tempo, como seus dados estão sendo tratados, quais entidades compartilharam seus dados, podendo corrigir, atualizar ou apagar dados, bem como transferir esses dados para outra instituição privada ou pública, ou ainda revogar o consentimento.

Contratos de Trabalho

Nos processos de admissão, as empresas tratam dos dados pessoais de candidatos e empregados, visto que, tratamento de dados é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 5º, X).

Atenção especial deverá ser dispensada ao tratamento dos dados pessoais “sensíveis” (art.5º, II), pois é necessário o consentimento expresso do funcionário para coleta dessas informações. Mesmo com consentimento, esses dados só poderão ser utilizados com finalidade específica e destacada, devendo após o uso ser eliminados.

Nos documentos utilizados no dia a dia em departamentos de RH, são encontrados diversos dados pessoais e dados sensíveis, portanto, deve existir cautela, sendo importante o registro expresso do empregado concomitante à coleta de dados pessoais, através de documento que demonstre a anuência do empregado com a disposição de seus dados para a instituição.

Uma medida recomendada é a inclusão de cláusula específica nos contratos de trabalho ou celebração de temo aditivo aos contratos já vigentes, dando ciência inequívoca aos trabalhadores da política de segurança da instituição. Será necessário ainda, que os empregadores (controladores) forneçam treinamentos específicos aos seus empregados (operadores), esclarecendo sobre as medidas adotadas para adequação a nova norma, incluindo a política de segurança da informação nos Regulamentos Internos das organizações, demonstrando que os trabalhadores estão cientes da política de segurança no tratamento de dados da instituição.

Tais medidas permitirão ao empregador aplicar penalidades aos empregados que descumprirem as normas de política de segurança da instituição, podendo inclusive, servir de fundamento para possível ação de regresso contra os seus empregados, nos casos em que a empresa (controlador), seja condenada a indenizar um titular de dados que tenha sofrido dano decorrente de ato do empregado (operador).

Penalidades no Descumprimento da LGPD

As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e podem variar de uma advertência simples, com indicação de prazo para adoção de medidas corretivas até multa simples de 2% do faturamento líquido da empresa, limitada a R$ 50 milhões por infração, com possibilidade de aplicação de multa diária.  A organização pode ser punida com a divulgação da irregularidade do tratamento de dados após devidamente apurada e confirmada a sua ocorrência, bem como ter os dados bloqueados ou até mesmo retirados do seu sistema.