Escolar Documentos
Profissional Documentos
Cultura Documentos
Lei de Dados
para o RH
Entenda a responsabilidade do RH
sobre as informações armazenadas
de seus colaboradores.
Dicas de leitura deste eBook
Este eBook é interativo, ou seja, ao longo Além disso, propomos outros conteúdos
do texto você encontrará links e botões para aprofundar ainda mais o conheci-
que irão melhorar sua experiência de mento sobre o assunto. Esses conteúdos
leitura. são disponibilizados por links que te dire-
cionarão ao tema.
No índice, você poderá navegar nos as-
suntos que mais lhe chamarem a aten- Boa leitura!
ção. Assim, sua leitura será ainda mais
rica.
2
Índice
O que você faz com seus dados?...................................................................... 4
Afinal, o que é a LGPD?.................................................................................... 6
A LGPD descomplicada..................................................................................... 8
Entenda as nomenclaturas utilizadas na LGPD............................................. 10
O responsável pela LGPD na empresa........................................................... 15
Justificativas para tratamentos dos dados pessoais..................................... 17
Fiscalização e penalidades............................................................................. 19
Direito dos titulares dos dados pessoais....................................................... 21
Relatório de impacto da LGPD....................................................................... 24
O que o RH precisa saber sobre a LGPD?...................................................... 25
Próximos passos para o RH............................................................................ 36
INTRODUÇÃO
Nossos dados pessoais são confidenciais. E mais do que isso: os dados de outras
Só dizem respeito a nós e é de nossa pessoas que eu possuo, o que estou
responsabilidade zelar por eles. Mas, fazendo com eles? Qual é minha
será que os guardamos da maneira mais responsabilidade sobre eles e o que a
adequada? legislação prevê? Será que eu sei de tudo
isso?
Será que sabemos exatamente o que são
feitos com nossos dados ao informá-los Em um primeiro momento parecem
nas redes sociais, no cadastro de uma questões óbvias. Mas, se analisarmos
portaria, em uma loja, ao baixar um mais a fundo, percebemos as lacunas
aplicativo e até mesmo em um processo existentes na regulamentação desses
de recrutamento e seleção? dados.
Até então, não havia uma lei específica — a maneira como tratamos os dados
“apenas” cerca de 50 regramentos pessoais, inclusive nos meios digitais, por
diversos sobre o tema no Brasil — que pessoa física ou pessoa jurídica.
garantisse nossos direitos como cidadãos
e que resguardasse as empresas que, de Entender seu impacto no nosso dia a
alguma forma, coletam dados pessoais. dia e, principalmente nos processos das
O que havia eram algumas legislações, empresas, como no setor de Recursos
mais amplas, que tratavam sobre o tema, Humanos é nosso dever. Esta é mais
como a Constituição Federal (1988), o uma legislação que implicará nas rotinas
Código de Defesa do Consumidor (1990), diárias e que precisa de atenção.
o Código Civil (2002), o Decreto sobre
Contratação no Comércio Eletrônico Continue acompanhando o Guia
(2013) e o Marco Civil da Internet (2014). desenvolvido pela Metadados em
parceria com o Garrido, Tozzi e
Contudo, a Lei Geral de Proteção de Dalenogare Advogados, fique informado
Dados – LGDP, que já está em vigor e, acima de tudo, preparado para a LGPD.
desde setembro de 2020, objetiva
organizar
Análise de Dados
Marketing
Proteção de Dados Pessoais (LGPD) –
Desenvolvimento de Software e TI sob o nº 13.709/2018, com o objetivo de
trazer clareza a respeito do uso de dados
Gerenciamento de Produtos pessoais no Brasil e maior segurança
jurídica para as empresas e para os
Jurídico titulares dos dados.
A LGPD descomplicada
Isso quer dizer que a LGPD impactará III - Realizado para fins exclusivos de:
todos os tipos de negócio no Brasil, a) segurança pública;
pois toda empresa realiza manuseio b) defesa nacional;
de dados pessoais, sejam de clientes, c) segurança do Estado;
colaboradores, parceiros ou sócios. d) atividades de investigação e repressão Consideram-se dados
de infrações penais; anonimizados os dados
Entretando, a lei não será aplicada para IV - Provenientes de fora do território
coleta de dados jurídicos, como CNPJ, nacional e que não sejam objeto de que não permitem
telefone, endereço, etc., desde que não comunicação, uso compartilhado de identificar qualquer
identifiquem uma pessoa. Afinal, a lei dados com agentes de tratamento
é destinada apenas para informações brasileiros ou objeto de transferência titular dos dados,
pessoais. internacional de dados com outro país isto é, não conseguem
que não o de proveniência, desde que o
Neste sentido, a LGPD estipulou que são país de proveniência proporcione grau de conectar um dado a
exceções: proteção de dados pessoais adequado ao uma pessoa física.
I - Realizado por pessoa natural para previsto nesta Lei.
fins exclusivamente particulares e não
econômicos; Por fim, os dados anonimizados não
II - Realizado para fins exclusivamente: serão considerados dados pessoais para
a) jornalísticos e artísticos; os fins da LGPD, salvo quando o processo
b) acadêmicos, aplicando-se a esta de anonimização puder ser revertido.
hipótese os arts. 7º e 11 desta Lei;
Entenda as
nomenclaturas
utilizadas na LGPD
Entenda as diferenças:
DADO PESSOAL
Além disso, ao longo do processo de TITULAR DOS DADOS TRATAMENTO DOS DADOS
implementação da LGPD, precisamos PESSOAIS PESSOAIS
distinguir quem é o titular dos dados
pessoais e o que é tratamento de dados É a pessoa física a quem se É toda operação realizada com
pessoais. Confira: referem os dados pessoais dados pessoais, como coleta,
tratados. utilização, processamento,
Você é o titular dos seus dados. armazenamento e eliminação.
CARACTERÍSTICAS:
Se reporta diretamente à direção;
ATIVIDADES:
Recepcionar e atender demandas dos
titulares dos dados;
Justificativas para
tratamentos dos dados
pessoais
Para que a empresa possa realizar o c) Pela administração pública, para o
tratamento de dados pessoais deverá tratamento e uso compartilhado de dados
obrigatoriamente enquadrar-se em necessários à execução de políticas
alguma das seguintes justificativas legais: públicas previstas em leis e regulamentos
ou respaldadas em contratos, convênios
a) Mediante o fornecimento de ou instrumentos congêneres;
consentimento pelo titular (Ex: clicar no d) Para a realização de estudos por
“li e aceito” na política de privacidade); órgão de pesquisa, garantida, sempre
b) Para o cumprimento de obrigação legal que possível, a anonimização dos dados
ou regulatória pelo controlador (envio de pessoais;
informações para o eSocial);
Fiscalização e
penalidades
Direito dos
titulares dos
dados pessoais
Relatório de impacto da
LGPD
Outro documento que você ouvirá falar exclusivamente em seu legítimo
quando o assunto é a LGPD é o relatório interesse, bem como quando a referida
de impacto à proteção de dados pessoais, Autoridade entender necessário.
um arquivo do controlador que contém a
descrição dos processos de tratamento O relatório deverá conter, no mínimo, a
de dados pessoais que podem gerar descrição dos tipos de dados coletados, a
riscos às liberdades civis e aos direitos metodologia utilizada para a coleta e para
fundamentais, bem como ações que a garantia da segurança das informações
a empresa realizou e as ferramentas e a análise do controlador com relação a
utilizadas para diminuir os riscos que medidas e ações realizadas pela empresa
envolvam dados pessoais. para minimizar riscos aos dados.
Esse relatório poderá ser solicitado pela Para ajudar nesta construção, já existem
Autoridade Nacional de Proteção de consultorias especializadas, como o
Dados quando o controlador realizar o Garrido, Tozzi e Dalenogare Advogados.
tratamento de dados pessoais baseado
Não é necessário que haja uma pessoa # Receber comunicações da autoridade inclusive hipóteses de dispensa da
encarregada exclusivamente pelos dados nacional e adotar providências; necessidade de sua indicação, conforme
pessoais dentro do RH. Contudo, a LGPD # Orientar os funcionários e os a natureza e o porte da entidade ou o
estabelece que o controlador dos dados contratados da entidade a respeito das volume de operações de tratamento de
pessoais deverá indicar um encarregado práticas a serem tomadas em relação à dados.
pelo tratamento dos dados pessoais proteção de dados pessoais; e
em toda a empresa, que deverá ter # Executar as demais atribuições Contudo, todos os membros do
suas informações divulgadas de forma determinadas pelo controlador departamento de recursos humanos
clara e objetiva, e terá, basicamente, as ou estabelecidas em normas terão responsabilidades de realizar
seguintes atribuições: complementares. o uso adequado dos dados pessoais
e de realizar contato direto com o
# Aceitar reclamações e comunicações A Autoridade Nacional poderá estabelecer encarregado.
dos titulares, prestar esclarecimentos e normas complementares sobre a
adotar providências; definição e as atribuições do encarregado,
uso de seus dados pessoais, de forma Caixa Econômica Federal, CAGED, RAIS, não seja obrigada a armazenar em razão
destacada das demais cláusulas do eSocial, entre outras. de previsões legais. Além disto, durante e
contrato de trabalho. Isto porque, além de após a relação de emprego, o colaborador
resguardar ainda mais a empregadora, Os empregadores que apenas utilizem os poderá revogar o uso dos dados pessoais
a autorizará a realizar o uso dos dados referidos dados pessoais indispensáveis que não sejam indispensáveis, a qualquer
pessoais para envios de comunicados ao contrato de trabalho e não queiram momento.
internos, análises de bem-estar laboral, colher o consentimento adicional deverão
entre outras ações. enviar um comunicado aos empregados, Cabe salientar acerca da importância de
informando quais dados são tratados, identificar as informações que realmente
Vale destacar novamente, neste quais obrigações serão cumpridas com são importantes para a empresa. Por
ponto, que o uso dos dados pessoais esses dados e com quais entidades exemplo, histórico de mensagens
dos empregados indispensáveis à públicas os dados serão compartilhados. trocadas pelo skype e de sites acessados
relação trabalhista não necessita de durante o período de trabalho, realmente
consentimento do colaborador, como, por Após o término da relação de trabalho, são fundamentais para meu negócio?
exemplo, para envio de informações ao indica-se que a empregadora realize a Avalie!
Ministério do Trabalho e Emprego, INNS, exclusão de todos os dados pessoais que
Caso haja episódio de vazamento de b) Informações sobre os titulares f) Medidas que foram ou que serão
dados pessoais que possa acarretar risco envolvidos; adotadas para reverter ou mitigar os
ao titular das informações, o controlador efeitos do prejuízo.
deverá comunicar ao titular dos dados c) Indicação das medidas técnicas e de
pessoais e à Autoridade Nacional de segurança utilizadas para a proteção Após o comunicado, a ANPD verificará
Proteção de Dados. dos dados, observados os segredos a gravidade do incidente e poderá,
comerciais e industriais; caso entenda necessário, determinar
A comunicação, segundo a LGPD, deverá à empresa a adoção de providências,
ser realizada em prazo razoável, a d) Riscos relacionados ao incidente; como a ampla divulgação do fato em
ser definido, e conterá, no mínimo, os meios de comunicação e demais medidas
seguintes itens: e) Motivos da demora, no caso de a para reverter os efeitos do incidente de
comunicação não ter sido imediata; e segurança.
a) Descrição da natureza dos dados
pessoais afetados;
Se a empresa incorrer em falha c) Multa diária, observado o limite total a não dispuser do valor do faturamento no
na segurança dos dados pessoais que se refere o inciso anterior; ramo de atividade empresarial em que
ou simplesmente não estiver ocorreu a infração, ou quando o valor for
adequada à LGPD, a ANPD poderá, d) Publicação da infração, após apuração apresentado de forma incompleta ou não
administrativamente, aplicar as seguintes e confirmação; for demonstrado de forma inequívoca e
sanções: idônea.
e) Bloqueio dos dados pessoais a que se
a) Advertência, com a indicação de prazo refere a infração até a sua regularização; As sanções citadas serão aplicadas
para adoção de medidas corretivas; após procedimento administrativo
f) Eliminação dos dados pessoais a que se que possibilite a oportunidade da
b) Multa simples de até 2% do refere a infração. ampla defesa, de forma gradativa,
faturamento da pessoa jurídica de direito isolada ou cumulativa, de acordo com
privado, grupo ou conglomerado no No cálculo do valor da multa do inciso b as peculiaridades do caso concreto e
Brasil, no último exercício, excluídos os da página anterior, a Autoridade Nacional considerados os seguintes parâmetros e
tributos e limitada a R$ 50.000.000,00, por poderá considerar o faturamento total da critérios:
infração; empresa ou grupo de empresas, quando
Assim sendo, a empresa deverá internas quanto a governança e métodos dados pessoais, que pode ser próprio
realizar a revisão e readequação dos assertivos de resolução de problemas ou terceirizado e realizar treinamentos
seus processos internos, tanto online com dados pessoais. internos os seus colabores, sócios e
quanto off-line, realizar a revisão do fornecedores, quando possível.
processo seletivo para a contratação de Por fim, a empresa deverá definir
colaboradores e estabelecer políticas um encarregado pelo tratamento de Veja na imagem, de forma resumida:
LEI DE DADOS:
O QUE O RH PRECISA SABER [E
FAZER] COM OS DADOS DE INSCREVA-SE AQUI!
COLABORADORES