Boas Práticas de Governança na Proteção de Dados: Proteção de Dados na Área de RH

Por Thaís Netto - 27/04/2024 as 12:19

Neste artigo objetiva-se discorrer sobre a proteção de dados na área de Recursos Humanos. Para tanto, em primeiro lugar, serão retomados alguns aspectos sobre a LGPD, em seguida serão indicados os impactos da proteção de dados na área de Recursos Humanos e posteriormente, serão abordados processos e mecanismos para adequação da área de recursos humanos às disposições da LGPD. 

Lei Geral de Proteção de Dados Pessoais - LGPD

Primeiramente, pode-se dizer que a Lei Geral de Proteção de Dados Pessoais - LGPD se aplica a qualquer operação de tratamento de dados pessoais efetuada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente, do meio, do país de sua sede ou do país em que estejam localizados os dados.

Salienta-se que a operação de tratamento de dados indicada deve ser realizada no território nacional; a atividade deve pretender ofertar ou fornecer bens ou serviços ou o tratamento de dados de indivíduos, que se localizem no território nacional ou que os dados pessoais objeto de tratamento tenham sido coletados no território nacional, com base no artigo 3º, da LGPD.

No artigo 5º da LGPD são indicados alguns conceitos, entre eles cabe indicar:

  • Dado pessoal: informação referente a pessoa natural identificada ou identificável;

  • Dado pessoal sensível: dado pessoal com relação à origem racial ou étnica, à convicção religiosa, à opinião política, à filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado relacionado à saúde ou à vida sexual, dado genético ou biométrico, quando ligado a uma pessoa natural;

  • Titular: pessoa natural a quem se referem os dados pessoais objeto de tratamento;

  • Operador (agente de tratamento): pessoa natural ou jurídica, de direito público ou de direito privado, que efetue o tratamento de dados pessoais em nome do controlador;

  • Controlador (agente de tratamento): pessoa natural ou jurídica, de direito público ou de direito privado, a quem competem as decisões relacionadas com o tratamento de dados pessoais;

  • Encarregado: pessoa designada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD);

  • Tratamento: operação realizada com o tratamento de dados pessoais, como as relacionadas com a coleta, a produção, a recepção, a classificação, a utilização, o acesso, a reprodução, a transmissão, a distribuição, o processamento, o arquivamento, o armazenamento, a eliminação, a avaliação ou o controle da informação, a modificação, a comunicação, a transferência, a difusão ou a extração.

  • Consentimento: manifestação livre, informada e inequívoca, em que o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

  • Eliminação: exclusão de dados ou de conjunto de dados que foram armazenados em banco de dados, independentemente do procedimento empregado;

  • Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de banco de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre eles e entes privados, com autorização específica, para uma ou mais modalidades de tratamento permitidas pelos entes públicos ou privados.

  • Autoridade Nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei em todo o território nacional. 

O tratamento de dados pessoais deve respeitar os princípios indicados no artigo 6º, da LGPD. Outrossim, o referido tratamento apenas pode ser realizado nas hipóteses indicadas no artigo 7º, da LGPD, por exemplo, por intermédio do fornecimento do consentimento do titular e quando necessário para execução do contrato ou de procedimentos preliminares referentes a contrato do qual seja parte o titular, a pedido do titular de dados. 

Com relação ao tratamento de dados pessoais sensíveis, cabe indicar que deve respeitar o disposto no artigo 11 da LGPD, entre as hipóteses, aponta-se as situações em que houver consentimento do titular ou do responsável legal, de maneira específica e acentuada, para finalidades específicas, assim como, as situações em que não houver consentimento do titular, mas for indispensável para o cumprimento de obrigação legal ou regulatória pelo controlador.

Quais os impactos da proteção de dados na área de recursos humanos?

Antes de adentrar nos impactos da LGPD na área de recursos humanos, cabe retomar alguns aspectos sobre a Administração de Recursos Humanos. 

Segundo Chiavenato (p. 12, 2016) a Administração de Recursos Humanos (ARH) é constituída pelas organizações e pelas pessoas que dela fazem parte. “As pessoas não são recursos que a organização consome, utiliza e que produzem custos”. Dessa forma, parece mais adequado falar em gestão de pessoas para destacar a administração com as pessoas e não sobre as pessoas, como meros recursos organizacionais. 

No novo conceito indicado Chiavenato (2016) são englobados três aspectos importantes: 

  • As pessoas como seres humanos, dotadas de personalidade própria e possuidoras de habilidades e de conhecimentos indispensáveis à gestão de recursos organizacionais;

  • As pessoas não são como meros recursos organizacionais, porém são como elementos impulsionadores da organização;

  • As pessoas como parceiros da organização, que são capazes de auxiliá-la a alcançar o sucesso.

Entretanto, embora seja mais adequado falar em gestão de pessoas, no presente artigo, chamaremos de área de recursos humanos por ser um conceito mais usual. Conforme indicado por Chiavenato (2014) são habilidades da área de recursos humanos: selecionar, recrutar, entrevistar, testar, registrar pessoas, analisar, descrever e ampliar cargos, promoções e transferências. 

Salienta-se que a área de recursos humanos coleta, processa e armazena grande quantidade de dados pessoais e dados pessoais sensíveis de colaboradores, de ex-funcionários e de candidatos a novas oportunidades de emprego. Pode-se dizer que é um dos setores das empresas e demais organizações que mais lida com as informações pessoais.

O setor indicado coleta dados pessoais em geral, como os documentos de identificação, os endereços, os dados bancários, o banco de currículos, os dados relacionados à saúde - os registros médicos -, o controle de jornada, os dados biométricos, a folha de pagamento e as férias. Dessa forma, percebe-se que o respectivo setor precisará passar por algumas adaptações para que esteja em conformidade com as disposições da Lei Geral de Proteção de Dados Pessoais - LGPD. 

Proteção de Dados na área de recursos humanos 

Para que o setor de RH se adeque a LGPD é necessário que sejam adotadas algumas medidas, como a elaboração do Termo de Consentimento, a coleta apenas de informações essenciais e necessárias, a garantia da segurança no compartilhamento de dados, a utilização de ferramentas de segurança da informação para prevenir ataques cibernéticos e o vazamento de informações confidenciais, bem como, o treinamento dos colaboradores com relação às disposições da LGPD e aos cuidados a utilizar a rede.

Destaca-se que o tratamento de dados pessoais conceituado anteriormente, tem início antes mesmo da contratação, ou seja, no momento da candidatura, em que são coletadas informações dos candidatos às vagas de trabalho. Para tanto, a organização deve elaborar o Termo de Consentimento, que deverá ser assinado pelos candidatos às vagas de emprego. 

No referido termo deve ser informada a finalidade para qual o consentimento foi concedido e se o candidato autoriza o compartilhamento das informações com outras organizações. Deve ficar claro ainda, que o consentimento pode ser revogado a qualquer tempo, bem como, as informações fornecidas podem ser atualizadas e excluídas a qualquer tempo. 

Outro ponto que tem chamado a atenção são as plataformas de e-recruiting. Segundo Marcelo Pergentino (2020) na maioria dessas plataformas são coletadas informações para além das curriculares e de identificação pessoal, ou seja, os candidatos são submetidos às dinâmicas e testes psicológicos, que possibilitam a descrição do perfil e do comportamento. 

O ponto crucial da situação indicada por Pergentino (2020) é o de que essa análise tem deixado de ser efetuada por humanos, total ou parcialmente, e tem sido processada por algoritmo da plataforma de recrutamento. Conforme indicado pelo autor, na LGPD está previsto que os dados pessoais não podem ser tratados de maneira discriminatória para fins ilícitos ou abusivos. 

Pode-se dizer que a utilização de algoritmo e de inteligência artificial para o recrutamento de novos colaboradores requer cautela. De acordo com Célio Oliveira Neto e Ricardo Calcini (2020) é recomendável que seja elaborado o Relatório de Impacto, pois o algoritmo pode realizar decisões que violem a LGPD. 

Diante do exposto, cabe informar que a parceria da área de recursos humanos com a área de Tecnologia da Informação - TI e o departamento jurídico é fundamental para que a organização se adeque às disposições da LGPD e sejam implementadas ferramentas de segurança da informação, como a política de segurança, as criptografias, as ferramentas antimalware e firewall. Além disso, é essencial que as organizações tenham cuidado ao adotar as plataformas de e-recruiting, para que não ocorram práticas discriminatórias.
 

Referências:

BRASIL. Lei Geral de Proteção de Dados Pessoais. Lei nº 13.709 de 14 de agosto de 2018. 

CHIAVENATO, Idalberto. Gestão de pessoas: o novo papel dos recursos humanos nas organizações. 4 ed. Barueri, SP: Manole, 2014. 

CHIAVENATO, Idalberto. Administração de recursos humanos: fundamentos básicos. 8 ed. Barueri, SP: Manole, 2016.

OLIVEIRA NETO, Célio Pereira.; CALCINI, Ricardo. Adequação à LGPD no recrutamento e seleção de candidatos a emprego. ConJur. 24 de set. 2020. 

PERGENTINO, Marcelo Carvalho. Crise da Covid-19, e-recruiting e LGPD. ConJur. 22 set. 2020.