Com o encerramento da vigência da Medida Provisória 959/2020, a LGPD teve sua vigência mantida a partir de 08/2020.
Assim as empresas precisam se adequar as mudanças que a LGPD trouxe, sendo uma das principais mudanças da LGPD a obrigatoriedade do consentimento do titular em atividades que envolvam o uso e compartilhamento de dados.
Nossos clientes já estão recebendo um modelo de termo aditivo ao contrato de trabalho para ser aplicado a todos os empregados, com o intuito de promover a regularização desta situação.
Destacamos informações relevantes para entender a Lei Geral de Proteção de Dados. Fique atento para não ficar irregular com o uso de dados de seus empregados e clientes.
Entenda a Lei Geral de Proteção de Dados Pessoais (LGPD) e seu Impacto nos Contratos de Trabalho
Em agosto de 2020 começou a valer a LGPD, Lei nº 13.709/2018, cujo objetivo é regular a proteção de dados pessoais dos indivíduos pelas empresas públicas e privadas, trazendo maior transparência para clientes e usuários e um ciberespaço mais seguro. Empresas de todos os portes serão impactadas pela norma e devem se preparar para as novas demandas de privacidade e segurança da sociedade brasileira, dados pessoais e dados sensíveis só poderão ser obtidos com a autorização do cidadão. Primeiramente, se faz necessária a realização de um diagnóstico pela equipe de TI para constatar possíveis fatores de riscos e pontos de vulnerabilidade em seus sistemas e que mostre o tipo de dados que a organização possui e se conta com uma estrutura segura para armazená-los. As empresas deverão contar com novas figuras no seu quadro de funcionários, responsáveis pelo tratamento dos dados, o controlador, pessoa natural ou jurídica, de direito público ou privado, que determina as finalidades e meios de processamento dos dados pessoais, o operador, pessoa natural ou jurídica, de direito público ou privado que realiza o tratamento dos dados pessoais em nome do agente controlador, e o encarregado, um especialista em proteção de dados pessoais indicado pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Dados Pessoais
Informações que podem identificar ou localizar uma pessoa, tais como e-mail, endereço, RG, CPF, contato telefônico, etc. O titular dos dados é a pessoa física da qual os dados foram coletados e que tem o direito de estar ciente sobre como será feito o tratamento das informações e com que fim serão utilizadas. Dados denominados pela Lei de anonimizados, ou seja, que não são passíveis de rastreamento ou identificação, e que foram submetidos a processos técnicos que dificultam sua associação, não são considerados dados pessoais.
Dados Pessoais Sensíveis
Dados pessoais que podem gerar preconceito e discriminação, sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, informações relacionadas à saúde ou à vida sexual, dados genéticos ou biométricos quando vinculados a uma pessoa natural.
Consentimento para o Tratamento de Dados Pessoais
É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Os dados podem ser utilizados de diversas formas, podendo ser acessados, armazenados, compartilhados, avaliados, processados, transferidos, eliminados, entre outras ações. O titular dos dados tem o direito de saber a qualquer tempo, como seus dados estão sendo tratados, quais entidades compartilharam seus dados, podendo corrigir, atualizar ou apagar dados, bem como transferir esses dados para outra instituição privada ou pública, ou ainda revogar o consentimento.
Contratos de Trabalho
Nos processos de admissão, as empresas tratam dos dados pessoais de candidatos e empregados, visto que, tratamento de dados é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 5º, X).
Atenção especial deverá ser dispensada ao tratamento dos dados pessoais “sensíveis” (art.5º, II), pois é necessário o consentimento expresso do funcionário para coleta dessas informações. Mesmo com consentimento, esses dados só poderão ser utilizados com finalidade específica e destacada, devendo após o uso ser eliminados.
Nos documentos utilizados no dia a dia em departamentos de RH, são encontrados diversos dados pessoais e dados sensíveis, portanto, deve existir cautela, sendo importante o registro expresso do empregado concomitante à coleta de dados pessoais, através de documento que demonstre a anuência do empregado com a disposição de seus dados para a instituição.
Uma medida recomendada é a inclusão de cláusula específica nos contratos de trabalho ou celebração de temo aditivo aos contratos já vigentes, dando ciência inequívoca aos trabalhadores da política de segurança da instituição. Será necessário ainda, que os empregadores (controladores) forneçam treinamentos específicos aos seus empregados (operadores), esclarecendo sobre as medidas adotadas para adequação a nova norma, incluindo a política de segurança da informação nos Regulamentos Internos das organizações, demonstrando que os trabalhadores estão cientes da política de segurança no tratamento de dados da instituição.
Tais medidas permitirão ao empregador aplicar penalidades aos empregados que descumprirem as normas de política de segurança da instituição, podendo inclusive, servir de fundamento para possível ação de regresso contra os seus empregados, nos casos em que a empresa (controlador), seja condenada a indenizar um titular de dados que tenha sofrido dano decorrente de ato do empregado (operador).
Penalidades no Descumprimento da LGPD
As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e podem variar de uma advertência simples, com indicação de prazo para adoção de medidas corretivas até multa simples de 2% do faturamento líquido da empresa, limitada a R$ 50 milhões por infração, com possibilidade de aplicação de multa diária. A organização pode ser punida com a divulgação da irregularidade do tratamento de dados após devidamente apurada e confirmada a sua ocorrência, bem como ter os dados bloqueados ou até mesmo retirados do seu sistema.