/GUIA DO RH

Guia Completo da
LGPD PARA O RH
Conheça a responsabilidade do setor sobre as
informações pessoais dos empregados
 Níveis de aprofundamento
de conteúdo:

INICIANTE

Este conteúdo é ideal para profissionais que estão ingressando

no mundo de Recursos Humanos. Aqui, abordaremos os temas
relacionados ao RH deforma introdutória, didática e fácil. Estes são
os principais conteúdos para quem deseja aprender algo novo!

INTERMEDIÁRIO

Neste nível, estão os conteúdos direcionados para profissionais

que já estão familiarizados com os temas, processos e obrigações
de Recursos Humanos. Aqui, os conteúdos são mais aprofundados,
solucionando questões mais complexas.

AVANÇADO

Estes são os materiais mais completos produzidos pela Metadados. São

conteúdos indicados para profissionais com experiência na área e que
buscam aprofundar seus conhecimentos. Aqui, tratemos desde os conceitos
mais básicos de RH, até questões mais complexas e específicas da área.
SUMÁRIO
O que você faz com seus dados? 5
Afinal, o que é a LGPD? 8
A LGPD descomplicada 13
Entenda as nomenclaturas utilizadas na LGPD 15
O responsável pela LGPD na empresa 20
Hipóteses para tratamentos dos dados pessoais 22
Fiscalização e penalidades 25
Direito dos titulares dos dados pessoais 28
Relatório de impacto da LGPD 31
O que o RH precisa saber sobre a LGPD? 33
Próximos passos para o RH 54
Para saber mais 57
O QUE VOCÊ FAZ COM
SEUS DADOS?
 Nossos dados pessoais são confidenciais. Só dizem
respeito a nós e é nossa responsabilidade zelar por
eles. Mas, será que os guardamos da maneira mais
adequada? Será que sabemos exatamente o que são
feitos com nossos dados ao informá-los nas redes
sociais, no cadastro de uma portaria, em uma loja, ao
baixar um aplicativo e até mesmo em um processo de
recrutamento e seleção?
E mais do que isso: os dados de outras pessoas
que eu possuo, o que estou fazendo com eles?
Qual é minha responsabilidade sobre eles e o que a
legislação prevê? Será que eu sei de tudo isso? Em um
primeiro momento parecem questões óbvias. Mas, se
analisarmos mais a fundo, percebemos a importância
do cuidado e da atenção quando o assunto diz respeito
a informações pessoais.
Até o surgimento da Lei Geral de Proteção de
Dados (LGDP), em vigor desde 18 de setembro de
2020, não havia uma lei específica que garantisse
nossos direitos como cidadãos e que resguardasse
as empresas que, de alguma forma, coletam dados
pessoais. O que havia eram algumas legislações,

GUIA COMPLETO DA LGPD PARA O RH 6

mais amplas, que tratavam sobre o tema, como a
Constituição Federal (1988), o Código de Defesa do
Consumidor (1990), o Código Civil (2002), o Decreto
sobre Contratação no Comércio Eletrônico (2013) e o
Marco Civil da Internet (2014).
A LGPD objetiva organizar a maneira como
tratamos os dados pessoais, inclusive nos meios
digitais, por pessoa física ou pessoa jurídica. Entender
seu impacto no nosso dia a dia e, principalmente nos
processos das empresas, como na área de Recursos
Humanos é nosso dever. Esta é mais uma legislação
que impacta as rotinas diárias e que demanda atenção.
Para auxiliar nesse processo, a Metadados
em parceria com o Garrido, Tozzi e Dalenogare
Advogados, elaborou esse guia completo. Acompanhe:

GUIA COMPLETO DA LGPD PARA O RH 7

AFINAL, O QUE É A
LGPD?
 Devido à evolução dos modelos de negócios das
empresas brasileiras, cada vez mais, os dados pessoais
coletados ganharam crescente valor no mercado, seja
para atividades de pesquisas, vendas, treinamentos,
entre outros. E isso é fácil de percebermos. A todo
momento somos solicitados a fornecer nossos dados
e, muitas vezes, os informamos sem ao menos saber o
que farão com eles, não é mesmo?
Em função da ausência de regulamentação
objetiva e unificada sobre o tema, como falamos
anteriormente, os titulares dos dados pessoais
acostumaram-se a ter seus direitos fundamentais
desrespeitados e a não ter qualquer controle sobre o
uso e circulação de suas informações.
Assim, inspirando-se em legislações estrangeiras
sobre o tema, como a GDPR (União Europeia) criou-se a
Lei Geral de Proteção de Dados Pessoais (LGPD) – sob
o nº 13.709/2018, com o objetivo de trazer clareza a
respeito do uso de dados pessoais no Brasil e maior
segurança jurídica para as empresas e para os titulares
dos dados.

GUIA COMPLETO DA LGPD PARA O RH 9

 Por sua complexidade, entende-se que a LGPD
apresenta efeitos práticos em todos os departamentos
das empresas brasileiras, como: marketing, jurídico,
desenvolvimento de produto, segurança da informação
e TI, compliance, logística e, é claro, Recursos
Humanos.

Análise de Dados

Marketing

Desenvolvimento de Software e TI

Gerenciamento de Produtos

Jurídico

Compliance

Recursos Humanos

Serviços e Logística

Segurança da Informação
Titular dos Dados Pessoais

GUIA COMPLETO DA LGPD PARA O RH 10

A LGPD
DESCOMPLICADA
 Em vigor desde o dia 18 de setembro de 2020,
a lei é aplicada sempre que houver o tratamento de
dados pessoais, por pessoa física ou jurídica, inclusive
nos meios digitais. Sua aplicação se dá para qualquer
operação de tratamento, independentemente do
meio, do país de sua sede ou do país onde estejam
localizados os dados. Ou seja, sempre que:

• a operação de tratamento seja realizada no território

nacional;
• a atividade de tratamento tenha por objetivo a oferta ou
o fornecimento de bens ou serviços ou o tratamento de
dados de indivíduos localizados no território nacional;
• os dados pessoais, objeto do tratamento, tenham sido
coletados no território nacional.

Isso quer dizer que a LGPD impacta todos os

tipos de negócio no Brasil, pois toda empresa realiza
manuseio de dados pessoais, sejam de clientes,
colaboradores, parceiros ou sócios. Entretanto, a lei
não será aplicada para coleta de dados jurídicos,
como CNPJ, telefone, endereço, etc., desde que não

GUIA COMPLETO DA LGPD PARA O RH 12

identifiquem uma pessoa. Afinal, a lei é destinada
apenas para informações pessoais.

Neste sentido, a LGPD não se aplica ao tratamento de

dados pessoais:

I - Realizado por pessoa natural para fins exclusivamente

particulares e não econômicos;
II - Realizado para fins exclusivamente:
a) jornalísticos e artísticos;
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta
Lei;
III - Realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado;
d) atividades de investigação e repressão de infrações penais;
IV - Provenientes de fora do território nacional e que não sejam
objeto de comunicação, uso compartilhado de dados com agentes
de tratamento brasileiros ou objeto de transferência internacional
de dados com outro país que não o de proveniência, desde que
o país de proveniência proporcione grau de proteção de dados
pessoais adequado ao previsto nesta Lei.

GUIA COMPLETO DA LGPD PARA O RH 13

 Por fim, os dados anonimizados não serão
considerados dados pessoais para os fins da LGPD,
salvo quando o processo de anonimização puder ser
revertido. Consideram-se dados anonimizados aqueles
que não permitem identificar qualquer titular das
informações, isto é, não conseguem conectar um dado
a uma pessoa física.

GUIA COMPLETO DA LGPD PARA O RH 14

ENTENDA AS
NOMENCLATURAS
UTILIZADAS NA LGPD
 Agora que já entendemos o objetivo e as
aplicações da LGPD, é hora de conhecer as diferentes
nomenclaturas que ouviremos falar muito. As
primeiras delas são sobre os dados pessoais e dados
pessoais sensíveis.

Entenda as diferenças:

DADO PESSOAL: qualquer informação

relacionada a pessoa física identificada ou
identificável, isto é, que possa identificar
o titular, bem como informações utilizadas
para formação do perfil comportamental.
São exemplos de dados pessoais: nome,
endereço, e-mail, identidade, CPF
(essenciais para o RH), bem como dados de
localização (função de dados de localização
em telefones ou GPS), endereço de IP
(protocolo de internet); testemunhos de
conexão (cookies), etc.

DADO PESSOAL SENSÍVEL: qualquer dado

pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política,
filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado
referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado TITULAR
a uma pessoa física. No RH, são exemplos:
biometria do ponto eletrônico, atestados
médicos, filiação a sindicato, entre outros.

GUIA COMPLETO DA LGPD PARA O RH 16

Além disso, ao longo do processo de implementação
da LGPD, precisamos distinguir quem é o titular
dos dados pessoais e o que é tratamento de dados
pessoais.

Confira:

TITULAR DOS DADOS PESSOAIS:

é a pessoa física a quem se referem os dados pessoais
tratados. Você é o titular dos seus dados.

TRATAMENTO DOS DADOS PESSOAIS:

é toda operação realizada com dados pessoais, como
coleta, utilização, processamento, armazenamento e
eliminação. Pode ser entendido como uso de dados
pessoais.

GUIA COMPLETO DA LGPD PARA O RH 17

 Há também os agentes de tratamento de dados
pessoais. Entenda quem são e suas atribuições na
LGPD:

AGENTES DE TRATAMENTO DE DADOS PESSOAIS: são as

pessoas físicas ou jurídicas que realizarem quaisquer
usos dos dados, tais como coleta, recepção, produção,
reprodução, transmissão, classificação, utilização,
processamento, arquivamento, transferência, difusão,
entre outros. Tais agentes devem adotar medidas de
segurança, técnicas e administrativas aptas a proteger
os dados pessoais de acessos não autorizados e
de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de
tratamento inadequado ou ilícito.

GUIA COMPLETO DA LGPD PARA O RH 18

 A LGPD elencou dois tipos de agentes: Controlador
e Operador.

CONTROLADOR DOS DADOS PESSOAIS:

é a pessoa física ou jurídica a quem compete as
decisões referentes ao tratamento de dados pessoais.
Ex: ao contratar novos colaboradores e colher seus
dados, a empresa passa a ser a controladora.

OPERADOR DOS DADOS PESSOAIS:

é a pessoa física ou jurídica que realiza o tratamento
de dados pessoais em nome e ordem do Controlador.
Ex: Se você possui um Sistema de RH, ele é operador
dos dados.

GUIA COMPLETO DA LGPD PARA O RH 19

O RESPONSÁVEL PELA
LGPD NA EMPRESA
 Segundo a LGPD, as empresas devem nomear
um encarregado, que é a pessoa responsável dentro
da organização por gerenciar todas as situações
que envolvam os dados pessoais. No exterior, essa
função é conhecida como Data Protection Officer
(DPO). Contudo, vale lembrar, que a empresa deve
realizar uma mudança cultural para que todos os
colaboradores, fornecedores e sócios sintam-se (e
sejam) responsáveis pelo uso consciente e adequado
dos dados pessoais.

CARACTERÍSTICAS:
• Se reporta diretamente à direção;
• Deve ter autonomia e estabilidade;
• Independência orçamentária;
• Obrigatório para empresas que tratam
DIRETORIA ENCARREGADO dados como controladoras.

ATIVIDADES:
Recepcionar e atender demandas dos
titulares dos dados;

Interagir com a Autoridade Nacional de

Proteção de Dados;
ENCARREGADO
Orientar funcionários e contratados
quanto a práticas de proteção de dados.

GUIA COMPLETO DA LGPD PARA O RH 21

HIPÓTESES PARA
TRATAMENTOS DOS
DADOS PESSOAIS
 Para que a empresa possa realizar o tratamento de
dados pessoais, deverá obrigatoriamente enquadrar-se
em alguma das seguintes hipóteses legais:

1. Mediante o fornecimento de consentimento pelo

titular (Ex: clicar no “li e aceito” na política de
privacidade);

2. Para o cumprimento de obrigação legal ou regulatória

pelo controlador (envio de informações para o eSocial);

3. Pela administração pública, para o tratamento e uso

compartilhado de dados necessários à execução de
políticas públicas previstas em leis e regulamentos ou
respaldadas em contratos, convênios ou instrumentos
congêneres;

4. Para a realização de estudos por órgão de pesquisa,

garantida, sempre que possível, a anonimização dos
dados pessoais;

GUIA COMPLETO DA LGPD PARA O RH 23

 5. Quando necessário para a execução de contrato ou de
procedimentos preliminares relacionados a contrato do
qual seja parte o titular, a pedido do titular dos dados
(processo seletivo de RH ou cumprimento do contrato
de trabalho);

6. Para o exercício regular de direitos em processo

judicial, administrativo ou arbitral;

7. Para a proteção da vida do titular ou de terceiros;

8. Para a tutela da saúde, em procedimento realizado

por profissionais da área da saúde ou por entidades
sanitárias;

9. Quando necessário para atender aos interesses

legítimos do controlador ou de terceiros, exceto
no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos
dados pessoais;

10. Para a proteção do crédito, inclusive quanto ao

disposto na legislação.

GUIA COMPLETO DA LGPD PARA O RH 24

FISCALIZAÇÃO E
PENALIDADES
 Todas as infrações cometidas desde a vigência
da LGPD, em setembro de 2020, podem ser objeto
de fiscalização, mediante denúncia de titulares de
dados pessoais e concorrentes, inclusive através de
ações indenizatórias contra o controlador dos dados
pessoais.
Porém, a LGPD criou a Autoridade Nacional
de Proteção de Dados (ANPD), que tem entre suas
atribuições: zelar pela proteção dos dados em questão;
criar diretrizes e normas; fiscalizar e aplicar sanções;
apreciar petições; promover o conhecimento da
Lei à população; realizar auditorias; comunicar às
autoridades competentes as infrações penais das
quais tiver conhecimento; implementar mecanismos
simplificados para o registro de reclamações; entre
outros.
Em outubro de 2021, a ANPD publicou uma
resolução que regulamenta o processo administrativo
de fiscalização da LGPD, a partir de janeiro de 2022.
São quatro etapas distintas:

GUIA COMPLETO DA LGPD PARA O RH 26

• A atividade de monitoramento destina-se ao levantamento de
informações e dados relevantes para subsidiar a tomada de decisões
pela ANPD com o fim de assegurar o regular funcionamento do
ambiente regulado.
• A atividade de orientação caracteriza-se pela atuação baseada na
economicidade e na utilização de métodos e ferramentas que almejam
a promover a orientação, a conscientização e a educação dos agentes
de tratamento e dos titulares de dados pessoais.
• A atividade preventiva consiste em uma atuação baseada,
preferencialmente, na construção conjunta e dialogada de soluções
e medidas que visam a reconduzir o agente de tratamento à plena
conformidade ou a evitar ou remediar situações que possam acarretar
risco ou dano aos titulares de dados pessoais e a outros agentes de
tratamento.
• A atividade repressiva caracteriza-se pela atuação coercitiva da ANPD,
voltada à interrupção de situações de dano ou risco, à recondução
à plena conformidade e à punição dos responsáveis mediante a
aplicação das sanções previstas no artigo 52 da LGPD, por meio de

processo administrativo sancionador.

As punições previstas na LGPD dependem de cada

caso e de seus agravantes, podendo ser: advertência,
multa de até 2% do faturamento do último exercício,
publicação da infração, multa diária, bloqueio dos
dados, eliminação dos dados. Por isso, é fundamental
que a empresa tenha o controle total dos dados
que já têm coletado ou que está coletando, sempre
respeitando as normas estabelecidas.
Saiba mais a seguir.

GUIA COMPLETO DA LGPD PARA O RH 27

DIREITO DOS
TITULARES DOS
DADOS PESSOAIS
 Claramente, a LGPD foi criada para que os titulares
dos dados pessoais tenham seus direitos atendidos.
Assim, a qualquer momento e mediante requisição,
esses titulares podem obter da empresa:

I - Confirmação da existência de tratamento;

II - Acesso aos dados;

III - Correção de dados incompletos, inexatos ou desatualizados;

IV - Anonimização, bloqueio ou eliminação de dados desnecessários,

excessivos ou tratados em desconformidade com o disposto nesta Lei;

V - Portabilidade dos dados a outro fornecedor de serviço ou produto,

mediante requisição expressa e observados os segredos comerciais e
industriais, de acordo com a regulamentação do órgão controlador;

VI - Eliminação dos dados pessoais tratados com o consentimento do

titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII - Informação das entidades públicas e privadas com as quais o

controlador realizou uso compartilhado de dados;

VIII - Informação sobre a possibilidade de não fornecer consentimento

e sobre as consequências da negativa;

IX - Revogação do consentimento, nos termos do § 5º do art. 8º desta

Lei.

GUIA COMPLETO DA LGPD PARA O RH 29

Atenção: os dados de crianças e adolescentes
têm tratamento diferenciado. Primeiramente, eles
deverão ser tratados no seu melhor interesse, isto
é, observando o que for melhor para a criança,
sempre com a necessidade de consentimento dado
por, pelo menos, um dos pais ou responsável legal.
Ainda, os responsáveis pelo tratamento desses dados
deverão manter pública a informação sobre os tipos
de dados coletados, a forma de sua utilização e os
procedimentos para o exercício dos seus direitos.

Neste contexto, vale lembrar da organização interna
da empresa que, normalmente, possui seus dados
armazenados no RH. Hoje, na sua empresa, seu Sistema
de RH atende às exigências da LGPD ou você receberia
uma punição logo de início? Saiba como a Metadados,
que já segue as orientações da LGPD, pode ajudar.

Acesse agora.

GUIA COMPLETO DA LGPD PARA O RH 30

RELATÓRIO DE
IMPACTO DA LGPD
 Outro documento importante quando o assunto é a
LGPD é o relatório de impacto à proteção de dados pessoais,
um arquivo do controlador que contém a descrição dos
processos de tratamento de dados pessoais que podem gerar
riscos às liberdades civis e aos direitos fundamentais, bem
como ações que a empresa realizou e as ferramentas
utilizadas para diminuir os riscos que envolvam dados
pessoais.
Esse relatório pode ser solicitado pela Autoridade
Nacional de Proteção de Dados quando o controlador realizar
o tratamento de dados pessoais baseado exclusivamente
em seu legítimo interesse, bem como quando a referida
Autoridade entender necessário. O relatório deverá conter,
no mínimo, a descrição dos tipos de dados coletados, a
metodologia utilizada para a coleta e para a garantia da
segurança das informações e a análise do controlador com
relação a medidas e ações realizadas pela empresa para
minimizar riscos aos dados.
Para ajudar nesta construção, já existem consultorias
especializadas, como o Garrido, Tozzi e Dalenogare
Advogados.

GUIA COMPLETO DA LGPD PARA O RH 32

O QUE O RH
PRECISA SABER
SOBRE A LGPD?
 A empresa, como empregadora, armazena e utiliza
diversas informações pessoais dos seus colaboradores.
Apesar da LGPD autorizar o empregador a utilizar os
dados pessoais de seus colaboradores e fornecedores
para a execução de contratos, principalmente para
benefício do colaborador, é importante que a empresa
tenha cautela e adote diversos procedimentos para
atuar em conformidade com a lei, seja na fase de
processo seletivo, durante o contrato ou após sua
efetivação.
Entre os principais processos afetados pela LGPD
no RH estão o recrutamento e seleção, contratação
de benefícios, plano de saúde, vale-transporte, entre
outros.
Para que o RH entenda seu papel, sua
responsabilidade e obrigações, respondemos às
principais dúvidas para que a área possa ter segurança
no seu trabalho.

Veja:

GUIA COMPLETO DA LGPD PARA O RH 34

PRECISO DE UM
RESPONSÁVEL PELOS
DADOS PESSOAIS DE
TRO DO RH? QUEM É O
ENCARREGADO PELOS
DADOS PESSOAIS?
 Não é necessário que haja uma pessoa
encarregada exclusivamente pelos dados pessoais
dentro do RH. Contudo, a LGPD estabelece que o
controlador dos dados pessoais deverá indicar um
encarregado pelo tratamento dos dados pessoais
em toda a empresa, que deverá ter suas informações
divulgadas de forma clara e objetiva, e terá,
basicamente, as seguintes atribuições:
• Aceitar reclamações e comunicações dos titulares, prestar
esclarecimentos e adotar providências;
• Receber comunicações da autoridade nacional e adotar
providências;
• Orientar os funcionários e os contratados da entidade a
respeito das práticas a serem tomadas em relação à proteção
de dados pessoais; e
• Executar as demais atribuições determinadas pelo controlador
ou estabelecidas em normas complementares.

A Autoridade Nacional poderá estabelecer normas

complementares sobre a definição e as atribuições
do encarregado, inclusive hipóteses de dispensa da
necessidade de sua indicação, conforme a natureza
e o porte da entidade ou o volume de operações de
tratamento de dados.
Contudo, todos os membros do departamento de
Recursos Humanos terão responsabilidades de realizar
o uso adequado dos dados pessoais e de realizar
contato direto com o encarregado.
GUIA COMPLETO DA LGPD PARA O RH 36
QUAIS CUIDADOS SÃO
INDICADOS DURANTE
O PROCESSO DE
RECRUTAMENTO DE
COLABORADORES?
 Primeiramente, indica-se que a empresa colha
o consentimento expresso do candidato à vaga
para a utilização e armazenamento dos seus dados
pessoais presentes no currículo e colhidos durante
as entrevistas e etapas do processo seletivo,
principalmente se a empresa desejar mantê-los
armazenados após esse momento para eventuais
vagas futuras em um banco de talentos.
Caso o candidato não seja contratado e não esteja
previsto de forma diferente no documento em que
houve o seu consentimento, a empresa deverá excluir
os dados pessoais disponibilizados pelo candidato,
com exceção a eventuais dados que a guarda é
obrigatória pela lei.
Caso o candidato seja contratado e torne-se
colaborador da empresa, apesar da autorização legal
para uso das informações pessoais desse profissional
para os fins do contrato de trabalho, indica-se que seja
colhido o consentimento do colaborador para o uso de
seus dados pessoais, de forma destacada das demais

GUIA COMPLETO DA LGPD PARA O RH 38

cláusulas do contrato de trabalho. Isto porque, além
de resguardar ainda mais a empregadora, a autorizará
a realizar o uso dos dados pessoais para envios de
comunicados internos, análises de bem-estar laboral,
entre outras ações.
Vale destacar que o uso dos dados pessoais dos
empregados indispensáveis à relação trabalhista não
necessita de consentimento do colaborador, como, por
exemplo, para envio de informações ao Ministério do
Trabalho e Emprego, INSS, Caixa Econômica Federal,
CAGED, RAIS, eSocial, entre outras.
Os empregadores que apenas utilizem os referidos
dados pessoais indispensáveis ao contrato de trabalho
e não queiram colher o consentimento adicional
deverão enviar um comunicado aos empregados,
informando quais dados são tratados, quais obrigações
serão cumpridas com esses dados e com quais
entidades públicas os dados serão compartilhados.
Após o término da relação de trabalho, indica-se que
a empregadora realize a exclusão de todos os dados

GUIA COMPLETO DA LGPD PARA O RH 39

pessoais que não seja obrigada a armazenar em razão
de previsões legais. Além disto, durante e após a
relação de emprego, o colaborador poderá revogar o
uso dos dados pessoais que não sejam indispensáveis,
a qualquer momento.
Cabe salientar a importância de identificar as
informações que realmente são necessárias para
a empresa. Por exemplo, histórico de mensagens
trocadas pelo Skype e de sites acessados durante o
período de trabalho realmente são fundamentais para
meu negócio?
Avalie!

GUIA COMPLETO DA LGPD PARA O RH 40

PRECISO ME
PREOCUPAR
SE A EMPRESA
CONTRATA OU
FORNECE SERVIÇOS
TERCEIRIZADOS?
 A empresa que optar por contratar ou fornecer
serviços terceirizados terá preocupações adicionais em
seus procedimentos de RH. Isto porque será necessário
obter consentimento dos colaboradores terceirizados,
por escrito, para que a empresa faça o tratamento
dos seus dados pessoais, seja para transmiti-los aos
tomadores de serviço, seja para recebê-los por ser a
tomadora dos serviços ou mesmo por exigências legais
e contratuais.
Nesse sentido, será necessário especificar no
referido documento, de maneira clara, quais dados
serão repassados, para quem e para qual finalidade.
Além do documento com o colaborador, é necessário
que a empresa possua cláusulas específicas sobre o
uso responsável de dados pessoais em seus contratos
comerciais, seja com clientes ou com fornecedores.

GUIA COMPLETO DA LGPD PARA O RH 42

O QUE OCORRE SE A
EMPRESA ARMAZENAR
DADOS PESSOAIS NO
EXTERIOR OU TRANSFERI-
LOS PARA OUTRAS
EMPRESAS, DO MESMO
GRUPO ECONÔMICO OU
NÃO, QUE ESTEJAM NO
EXTERIOR?
 A LGPD estabelece que somente será possível
realizar a transferência internacional:

I - Para países ou organismos internacionais que proporcionem grau

de proteção de dados pessoais adequado ao previsto na LGPD;

II - Quando o controlador oferecer e comprovar garantias de

cumprimento dos princípios, dos direitos do titular e do regime de
proteção de dados previstos nesta Lei, na forma de:

a) cláusulas contratuais específicas para determinada transferência;

b) cláusulas-padrão contratuais;

c) normas corporativas globais;

d) selos, certificados e códigos de conduta regularmente emitidos;

III - Quando a transferência for necessária para a cooperação jurídica

internacional entre órgãos públicos de inteligência, de investigação
e de persecução, de acordo com os instrumentos de direito
internacional;

IV - Quando a transferência for necessária para a proteção da vida ou

da incolumidade física do titular ou de terceiros;

V - Quando a autoridade nacional autorizar a transferência;

VI - Quando a transferência resultar em compromisso assumido em

acordo de cooperação internacional;

GUIA COMPLETO DA LGPD PARA O RH 44

 VII - quando a transferência for necessária para a execução de
política pública ou atribuição legal do serviço público, sendo dada
publicidade nos termos do inciso I do caput do art. 23 desta Lei;

VIII - quando o titular tiver fornecido o seu consentimento específico

e em destaque para a transferência, com informação prévia sobre o
caráter internacional da operação, distinguindo claramente esta de
outras finalidades;

IX - Quando necessário para atender as hipóteses previstas nos

incisos II, V e VI do art. 7º desta Lei.

O nível de proteção de dados do país estrangeiro

ou do organismo internacional será avaliado pela
Autoridade Nacional de Proteção de Dados.

GUIA COMPLETO DA LGPD PARA O RH 45

CASO OCORRA
ALGUM VAZAMENTO
DE DADOS, O QUE
A EMPRESA DEVE
FAZER?
 Caso haja episódio de vazamento de dados
pessoais que possa acarretar risco ao titular das
informações, o controlador deverá comunicar ao
titular dos dados pessoais e à Autoridade Nacional de
Proteção de Dados. A comunicação, segundo a LGPD,
deverá ser realizada em prazo razoável, a ser definido,
e conterá, no mínimo, os seguintes itens:
a) Descrição da natureza dos dados pessoais afetados;
b) Informações sobre os titulares envolvidos;
c) Indicação das medidas técnicas e de segurança utilizadas
para a proteção dos dados, observados os segredos comerciais e
industriais;
d) Riscos relacionados ao incidente;
e) Motivos da demora, no caso de a comunicação não ter sido
imediata; e
f) Medidas que foram ou que serão adotadas para reverter ou mitigar
os efeitos do prejuízo.

Após o comunicado, a ANPD verificará a gravidade

do incidente e poderá, caso entenda necessário,
determinar à empresa a adoção de providências, como
a ampla divulgação do fato em meios de comunicação
e demais medidas para reverter os efeitos do incidente
de segurança.

GUIA COMPLETO DA LGPD PARA O RH 47

CASO A EMPRESA NÃO
ESTEJA ADEQUADA À
LGPD NO PRAZO LEGAL
OU OCORRA VAZAMENTO
DE DADOS PESSOAIS,
QUAIS SÃO AS PUNIÇÕES
PREVISTAS?
 Se a empresa incorrer em falha na segurança dos
dados pessoais ou simplesmente não estiver adequada
à LGPD, a ANPD poderá, administrativamente, aplicar
as seguintes sanções:

a) Advertência, com a indicação de prazo para adoção de medidas

corretivas;
b) Multa simples de até 2% do faturamento da pessoa jurídica de
direito privado, grupo ou conglomerado no Brasil, no último exercício,
excluídos os tributos e limitada a R$ 50.000.000,00, por infração;
c) Multa diária, observado o limite total a que se refere o inciso
anterior;
d) Publicação da infração, após apuração e confirmação;
e) Bloqueio dos dados pessoais a que se refere a infração até a sua
regularização;
f) Eliminação dos dados pessoais a que se refere a infração.

GUIA COMPLETO DA LGPD PARA O RH 49

 No cálculo do valor da multa, a Autoridade
Nacional poderá considerar o faturamento total da
empresa ou grupo de empresas, quando não dispuser
do valor do faturamento no ramo de atividade
empresarial em que ocorreu a infração, ou quando o
valor for apresentado de forma incompleta ou não for
demonstrado de forma inequívoca e idônea.
As sanções serão aplicadas após procedimento
administrativo que possibilite a oportunidade
da ampla defesa, de forma gradativa, isolada ou
cumulativa, de acordo com as peculiaridades do caso
concreto e considerados os seguintes parâmetros e
critérios:

I- A gravidade e a natureza das infrações e dos direitos pessoais

afetados;
II - A boa-fé do infrator;
III - A vantagem auferida ou pretendida pelo infrator;

GUIA COMPLETO DA LGPD PARA O RH 50

 IV – A condição econômica do infrator;
V - A reincidência;
VI - O grau do dano;
VII - A cooperação do infrator;
VIII - A adoção reiterada e demonstrada de mecanismos e
procedimentos internos capazes de minimizar o dano, voltados ao
tratamento seguro e adequado de dados;
IX – A adoção de política de boas práticas e governança;
X - A pronta adoção de medidas corretivas; e
XI - A proporcionalidade entre a gravidade da falta e a intensidade da
sanção.

As sanções serão aplicadas de forma

gradativa, isolada ou cumulativa, de acordo com as
peculiaridades do caso concreto e considerando
sua gravidade e a natureza. Além das sanções
administrativas, o infrator poderá responder
judicialmente junto aos titulares dos dados por
repercussões decorrentes do descumprimento da
LGPD, individual ou coletivamente.

GUIA COMPLETO DA LGPD PARA O RH 51

CASO A EMPRESA NÃO
ESTEJA ADEQUADA À LGPD
OU OCORRA VAZAMENTO
DE DADOS PESSOAIS,
APENAS O CONTROLADOR
SERÁ RESPONSABILIZADO?
 O controlador ou o operador que, em razão
do exercício de atividade de tratamento de dados
pessoais, causar dano patrimonial, moral, individual
ou coletivo, em violação à legislação de proteção
de dados pessoais, será obrigado a repará-lo. Nesse
sentido, o operador e os demais controladores que
tiverem compartilhamento das referidas infrações
pessoais, inclusive, responderão solidariamente com o
controlador quando:
a) Descumprirem a LGPD; ou
b) Não tiverem seguido as instruções lícitas dadas previamente pelo
controlador.

Nesse sentido, em caso de ação judicial, o juiz

poderá inverter o ônus da prova a favor do titular dos
dados quando, a seu juízo, for admissível a alegação,
houver carência para fins de produção de prova ou
quando a produção de prova pelo titular resultar-lhe
excessivamente custosa.

GUIA COMPLETO DA LGPD PARA O RH 53

PRÓXIMOS PASSOS
PARA O RH
 Para cumprir com a LGPD, a empresa pode seguir
alguns passos. Inicialmente, a empresa deverá
realizar o mapeamento de todos os dados pessoais
tratados em sua estrutura empresarial. Isto é, quais
dados pessoais são armazenados, em qual local
estão armazenados e com qual finalidade é realizado
o tratamento? Possuo autorização legal para o
tratamento de todos os dados pessoais? Quais dados
devo manter por obrigação legal e por quanto tempo?
Quais dados precisam ser descartados?
Concomitantemente, a empresa deve designar
profissionais especializados em segurança da
informação para a revisão da segurança tecnológica
da empresa e de seus procedimentos. Após o
mapeamento inicialmente, a empresa deverá realizar
a revisão e adequação dos contratos mantidos
com os operadores de dados, com as instruções
do controlador ao operador, bem como a revisão e
adequação dos contratos com clientes, fornecedores,
colaboradores e parceiros.

GUIA COMPLETO DA LGPD PARA O RH 55

 Assim sendo, a empresa deverá realizar a revisão e
readequação dos seus processos internos, tanto online
quanto off-line, realizar a revisão do processo seletivo
para a contratação de colaboradores e estabelecer
políticas internas quanto a governança e métodos
assertivos de resolução de problemas com dados
pessoais.
Por fim, a empresa deverá definir um encarregado
pelo tratamento de dados pessoais, que pode ser
próprio ou terceirizado e realizar treinamentos
internos os seus colabores, sócios e fornecedores,
quando possível.

Veja na imagem, de forma resumida:

PASSO 1 PASSO 2 PASSO 3 PASSO 4P PASSO 5P ASSO 6 ASSO 7

Mapeamento Revisão da Revisão e Revisão dos Treinamento Auditorias

segurança adequação de processos encarregado dos constantes
tecnológica da contratos internos colaboradores
empresa

GUIA COMPLETO DA LGPD PARA O RH 56

PARA SABER MAIS
E então, conseguiu entender a grandiosidade e
complexidade da LGPD? Ela impacta a empresa como um
todo e pode trazer sérias consequências caso não receba a
atenção necessária.

Quer aprender como enfrentar os principais desafios para o

RH em relação à lei?
Assista ao vídeo:
 METADADOS
A Metadados é uma empresa especialista em Recursos Humanos,
que desenvolve sistemas para a gestão da área, como:
• Folha de Pagamento
• eSocial
• Frequência
• Saúde e Segurança do Trabalho
• Treinamento e Desenvolvimento
• Recrutamento e Seleção
• E muito mais!
Há mais de 35 anos, atende empresas de todos os portes e
segmentos, contribuindo para a excelência no desempenho das
diferentes tarefas dentro de uma organização.

GARRIDO, TOZZI & DALENOGARE

Há mais de sete anos atuando em todo território nacional,
o escritório possui uma banca full-service de advogados
especializados nas mais variadas áreas do direito que impactam
as atividades empresariais, destacando-se como um expoente em
serviços de consultoria,
contencioso ou palestras In Company.
Com o foco na agilidade, excelência, ética profissional e no resultado
eficiente, desempenha um papel fundamental para o crescimento
dos seus clientes.

GUIA COMPLETO DA LGPD PARA O RH 58

Quer ir além no
seu RH?
Receba uma análise gratuita
do seu RH e deixe os processos
burocráticos com a gente.
Uma conversa valiosa, sem custo ou compromisso.

FALAR COM ESPECIALISTA

Encerramento
Somos especialistas em gestão de Recursos
Humanos. Atendemos corporações dos
mais variados portes e segmentos, em todo
território nacional, contribuindo para a
excelência no desempenho das diferentes
tarefas dentro de uma organização.

+ de + de + de
1,2 mil 500 milhões 10x
clientes entre as
de trabalhadores
têm a folha de melhores
pagamento Fornecedoras
processada de RH

GUIA COMPLETO DA LGPD PARA O RH 60

 GOSTOU DO CONTEÚDO?
Acompanhe todas as novidades nas redes
sociais e no Blog do Rh Metadados

www.metadados.com.br

GUIA COMPLETO DA LGPD PARA O RH 61