Guia da

Lei de Dados
para o RH
Entenda a responsabilidade do RH
sobre as informações armazenadas
de seus colaboradores.
Dicas de leitura deste eBook
Este eBook é interativo, ou seja, ao longo
do texto você encontrará links e botões
que irão melhorar sua experiência de
leitura.
No índice, você poderá navegar nos as-
suntos que mais lhe chamarem a aten-
ção. Assim, sua leitura será ainda mais
rica.
Além disso, propomos outros conteúdos
para aprofundar ainda mais o conheci-
mento sobre o assunto. Esses conteúdos
são disponibilizados por links que te dire-
cionarão ao tema.
Boa leitura!
2
Índice
O que você faz com seus dados?...................................................................... 4
Afinal, o que é a LGPD?.................................................................................... 6
A LGPD descomplicada..................................................................................... 8
Entenda as nomenclaturas utilizadas na LGPD............................................. 10
O responsável pela LGPD na empresa........................................................... 15
Justificativas para tratamentos dos dados pessoais..................................... 17
Fiscalização e penalidades............................................................................. 19
Direito dos titulares dos dados pessoais....................................................... 21
Relatório de impacto da LGPD....................................................................... 24
O que o RH precisa saber sobre a LGPD?...................................................... 25
Próximos passos para o RH............................................................................ 36

O que você faz com
seus dados?
Nossos dados pessoais são confidenciais.
Só dizem respeito a nós e é de nossa
responsabilidade zelar por eles. Mas,
será que os guardamos da maneira mais
adequada?
Será que sabemos exatamente o que são
feitos com nossos dados ao informá-los
nas redes sociais, no cadastro de uma
portaria, em uma loja, ao baixar um
aplicativo e até mesmo em um processo
de recrutamento e seleção?
INTRODUÇÃO
E mais do que isso: os dados de outras
pessoas que eu possuo, o que estou
fazendo com eles? Qual é minha
responsabilidade sobre eles e o que a
legislação prevê? Será que eu sei de tudo
isso?
Em um primeiro momento parecem
questões óbvias. Mas, se analisarmos
mais a fundo, percebemos as lacunas
existentes na regulamentação desses
dados.
GUIA DA LEI DE DADOS PARA O RH 4

Até então, não havia uma lei específica —
“apenas” cerca de 50 regramentos
diversos sobre o tema no Brasil — que
garantisse nossos direitos como cidadãos
e que resguardasse as empresas que, de
alguma forma, coletam dados pessoais.
O que havia eram algumas legislações,
mais amplas, que tratavam sobre o tema,
como a Constituição Federal (1988), o
Código de Defesa do Consumidor (1990),
o Código Civil (2002), o Decreto sobre
Contratação no Comércio Eletrônico
(2013) e o Marco Civil da Internet (2014).
Contudo, a Lei Geral de Proteção de
Dados – LGDP, que já está em vigor
desde setembro de 2020, objetiva
organizar
INTRODUÇÃO
a maneira como tratamos os dados
pessoais, inclusive nos meios digitais, por
pessoa física ou pessoa jurídica.
Entender seu impacto no nosso dia a
dia e, principalmente nos processos das
empresas, como no setor de Recursos
Humanos é nosso dever. Esta é mais
uma legislação que implicará nas rotinas
diárias e que precisa de atenção.
Continue acompanhando o Guia
desenvolvido pela Metadados em
parceria com o Garrido, Tozzi e
Dalenogare Advogados, fique informado
e, acima de tudo, preparado para a LGPD.
GUIA DA LEI DE DADOS PARA O RH 5

Afinal, o que é a LGPD?
Devido à evolução dos modelos de
negócios das empresas brasileiras, cada
vez mais, os dados pessoais coletados
ganharam crescente valor no mercado,
seja para atividades de pesquisas, vendas,
treinamentos, entre outros.
E isso é fácil de percebermos. A todo
momento somos solicitados a fornecer
nossos dados e, muitas vezes, os
informamos sem ao menos saber o que
farão com eles, não é mesmo?
IMPACTOS
Em função da ausência de
regulamentação objetiva e unificada sobre
o tema, como falamos anteriormente,
os titulares dos dados pessoais
acostumaram-se a ter seus direitos
fundamentais desrespeitados e a não
ter qualquer controle sobre o uso e
circulação de suas informações.
Assim, inspirando-se em legislações
estrangeiras sobre o tema, como a GDPR
(União Europeia) criou-se a Lei Geral de
GUIA DA LEI DE DADOS PARA O RH 6

Análise de Dados
Marketing
Desenvolvimento de Software e TI
Gerenciamento de Produtos
Jurídico
Compliance
Recursos Humanos
Serviços e Logística
Segurança da Informação
Titular dos Dados Pessoais
IMPACTOS
Proteção de Dados Pessoais (LGPD) –
sob o nº 13.709/2018, com o objetivo de
trazer clareza a respeito do uso de dados
pessoais no Brasil e maior segurança
jurídica para as empresas e para os
titulares dos dados.
Por sua complexidade, entende-se
que a LGPD trará efeitos práticos em
todos os departamentos das empresas
brasileiras, como: marketing, jurídico,
desenvolvimento de produto, segurança
da informação e TI, compliance, logística
e, é claro, Recursos Humanos.
GUIA DA LEI DE DADOS PARA O RH 7

A LGPD descomplicada
Em vigor desde o dia 18 de setembro de
2020, a lei será aplicada sempre que
houver o tratamento de dados pessoais,
por pessoa física ou jurídica, inclusive nos
meios digitais.
Sua aplicação será para qualquer
operação de tratamento,
independentemente do meio, do país de
sua sede ou do país onde estejam
localizados os dados. Ou seja, sempre
que:
LGPD
A operação de tratamento seja
realizada no território nacional;
A atividade de tratamento
tenha por objetivo a oferta ou o
fornecimento de bens ou serviços
ou o tratamento de dados
de indivíduos localizados no
território nacional;
Os dados pessoais, objeto
do tratamento, tenham sido
coletados no território nacional.
GUIA DA LEI DE DADOS PARA O RH 8

Isso quer dizer que a LGPD impactará
todos os tipos de negócio no Brasil,
pois toda empresa realiza manuseio
de dados pessoais, sejam de clientes,
colaboradores, parceiros ou sócios.
Entretando, a lei não será aplicada para
coleta de dados jurídicos, como CNPJ,
telefone, endereço, etc., desde que não
identifiquem uma pessoa. Afinal, a lei
é destinada apenas para informações
pessoais.
Neste sentido, a LGPD estipulou que são
exceções:
I - Realizado por pessoa natural para
fins exclusivamente particulares e não
econômicos;
II - Realizado para fins exclusivamente:
a) jornalísticos e artísticos;
b) acadêmicos, aplicando-se a esta
hipótese os arts. 7º e 11 desta Lei;
LGPD
III - Realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado;
d) atividades de investigação e repressão Consideram-se dados
de infrações penais; anonimizados os dados
IV - Provenientes de fora do território
nacional e que não sejam objeto de que não permitem
comunicação, uso compartilhado de identificar qualquer
dados com agentes de tratamento
brasileiros ou objeto de transferência titular dos dados,
internacional de dados com outro país isto é, não conseguem
que não o de proveniência, desde que o
país de proveniência proporcione grau de conectar um dado a
proteção de dados pessoais adequado ao uma pessoa física.
previsto nesta Lei.
Por fim, os dados anonimizados não
serão considerados dados pessoais para
os fins da LGPD, salvo quando o processo
de anonimização puder ser revertido.
GUIA DA LEI DE DADOS PARA O RH 9
 NOMENCLATURAS

Entenda as
nomenclaturas
utilizadas na LGPD

Agora que já entendemos o objetivo e as

aplicações da LGPD, é hora de conhecer
as diferentes nomenclaturas que
ouviremos falar muito. As primeiras delas
são sobre os dados pessoais e dados
pessoais sensíveis.

Entenda as diferenças:

GUIA DA LEI DE DADOS PARA O RH 10

 NOMENCLATURAS

DADO PESSOAL

Dado pessoal é qualquer informação relacionada a pessoa física

identificada ou identificável. Isto é, dado pessoal será qualquer
informação que possa identificar uma pessoa física, bem como
informações utilizadas para formação do perfil comportamental.

São exemplos de dados pessoais: nome, endereço, e-mail, identidade,

CPF (essenciais para o RH), bem como dados de localização (função de
dados de localização em telefones ou GPS), endereço de IP (protocolo de
internet); testemunhos de conexão (cookies), etc.

DADO PESSOAL SENSÍVEL

Dado sensível é qualquer dado pessoal sobre origem racial ou étnica,

convicção religiosa, opinião política, filiação a sindicato ou a organização
de caráter religioso, filosófico ou político, dado referente à saúde ou
à vida sexual, dado genético ou biométrico, quando vinculado a uma
pessoa física.
TITULAR
No RH, são exemplos: biometria do ponto eletrônico, atestados médicos,
filiação a sindicato, entre outros.

GUIA DA LEI DE DADOS PARA O RH 11


Além disso, ao longo do processo de
implementação da LGPD, precisamos
distinguir quem é o titular dos dados
pessoais e o que é tratamento de dados
pessoais. Confira:
TITULAR DOS DADOS
PESSOAIS
É a pessoa física a quem se
referem os dados pessoais
tratados.
Você é o titular dos seus dados.
NOMENCLATURAS
TRATAMENTO DOS DADOS
PESSOAIS
É toda operação realizada com
dados pessoais, como coleta,
utilização, processamento,
armazenamento e eliminação.
GUIA DA LEI DE DADOS PARA O RH 12
 NOMENCLATURAS

Há também os agentes de tratamento de

dados pessoais. Entenda quem são e suas
atribuições na LGPD: AGENTES DE TRATAMENTO
DE DADOS PESSOAIS

Os agentes de tratamento de dados pessoais são as pessoas físicas ou

jurídicas que realizarem quaisquer usos destes, tais como coleta, recepção,
produção, reprodução, transmissão, classificação, utilização, processamento,
arquivamento, transferência, difusão, dentre outros.

Tais agentes deverão adotar medidas de segurança, técnicas e administrativas

aptas a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer
forma de tratamento inadequado ou ilícito. A LGPD elencou dois tipos de
agentes: Controlador e Operador.

GUIA DA LEI DE DADOS PARA O RH 13


CONTROLADOR DOS DADOS PESSOAIS
O Controlador é pessoa física ou jurídica a
quem compete as decisões referentes ao
tratamento de dados pessoais.
Ex: ao contratar novos colaboradores e
colher seus dados, a empresa passa a ser
a controladora.
NOMENCLATURAS
OPERADOR DOS DADOS PESSOAIS
O Operador é a pessoa física ou
jurídica que realiza o tratamento de
dados pessoais em nome e ordem do
Controlador.
Ex: Se você possui um Sistema de RH, ele
é operador dos dados.
GUIA DA LEI DE DADOS PARA O RH 14

O responsável pela LGPD na
empresa
Segundo a LGPD, as empresas deverão
nomear um encarregado, conhecido no
exterior como Data Protection Officer
(DPO), que será a pessoa responsável
dentro da empresa por gerenciar todas
as situações que envolvam os dados
pessoais.
RESPONSÁVEIS
Contudo, vale lembrar, que a empresa
deverá realizar uma mudança cultural
para que todos os colaboradores,
fornecedores e sócios sintam-se (e
sejam) responsáveis pelo uso consciente
e adequado dos dados pessoais.
GUIA DA LEI DE DADOS PARA O RH 15
 RESPONSÁVEIS

CARACTERÍSTICAS:
Se reporta diretamente à direção;

Deve ter autonomia e estabilidade;

Independência orçamentária;
DIRETORIA ENCARREGADO
Obrigatório para empresas que tratam
dados como controladoras.

ATIVIDADES:
Recepcionar e atender demandas dos
titulares dos dados;

Interagir com a Autoridade Nacional de

ENCARREGADO Proteção de Dados;

Orientar funcionários e contratados

quanto a práticas de proteção de dados.

GUIA DA LEI DE DADOS PARA O RH 16


Justificativas para
tratamentos dos dados
pessoais
Para que a empresa possa realizar o
tratamento de dados pessoais deverá
obrigatoriamente enquadrar-se em
alguma das seguintes justificativas legais:
a) Mediante o fornecimento de
consentimento pelo titular (Ex: clicar no
“li e aceito” na política de privacidade);
b) Para o cumprimento de obrigação legal
ou regulatória pelo controlador (envio de
informações para o eSocial);
JUSTIFICATIVAS
c) Pela administração pública, para o
tratamento e uso compartilhado de dados
necessários à execução de políticas
públicas previstas em leis e regulamentos
ou respaldadas em contratos, convênios
ou instrumentos congêneres;
d) Para a realização de estudos por
órgão de pesquisa, garantida, sempre
que possível, a anonimização dos dados
pessoais;
GUIA DA LEI DE DADOS PARA O RH 17
 JUSTIFICATIVAS

e) Quando necessário para a execução i) Quando necessário para atender aos

de contrato ou de procedimentos interesses legítimos do controlador ou de
preliminares relacionados a contrato terceiros, exceto no caso de prevalecerem
do qual seja parte o titular, a pedido do direitos e liberdades fundamentais do
titular dos dados (processo seletivo de RH titular que exijam a proteção dos dados
ou cumprimento do contrato de trabalho); pessoais;
f) Para o exercício regular de direitos j) Para a proteção do crédito, inclusive
em processo judicial, administrativo ou quanto ao disposto na legislação.
arbitral;
g) Para a proteção da vida do titular ou de
terceiros;
h) Para a tutela da saúde, em
procedimento realizado por profissionais
da área da saúde ou por entidades
sanitárias;

GUIA DA LEI DE DADOS PARA O RH 18

 ANPD

Fiscalização e
penalidades

Inicialmente, a fiscalização da Lei Geral

de Proteção de Dados Pessoais deverá
ocorrer mediante denúncia de titulares
de dados pessoais e concorrentes,
inclusive através de ações indenizatórias
contra o controlador dos dados pessoais.

Porém, a LGPD criou a Autoridade

Nacional de Proteção de Dados (ANPD),
que terá entre suas atribuições: zelar pela
proteção dos dados em questão; criar
diretrizes e normas; fiscalizar e aplicar

GUIA DA LEI DE DADOS PARA O RH 19

 ANPD

sanções; apreciar petições; promover o Por isso, é fundamental que a empresa

conhecimento da Lei à população; realizar
auditorias; comunicar às autoridades
competentes as infrações penais das
quais tiver conhecimento; implementar
mecanismos simplificados para o registro
de reclamações; entre outros.
tenha o controle total dos dados que
já têm coletado ou que está coletando,
sempre respeitando as normas
estabelecidas.

As possíveis punições previstas na

LGPD dependerão e cada caso e de seus
agravantes, podendo ser: advertência,
multa de até 2% do faturamento do último
exercício, publicação da infração, multa
diária, bloqueio dos dados, eliminação
dos dados.

GUIA DA LEI DE DADOS PARA O RH 20

 DIREITOS

Direito dos
titulares dos
dados pessoais

Claramente, a LGPD foi criada para

que os titulares dos dados pessoais
tenham seus direitos atendidos. Assim,
a qualquer momento e mediante
requisição, esses titulares podem obter
da empresa:

GUIA DA LEI DE DADOS PARA O RH 21


I - Confirmação da existência de
tratamento;
II - Acesso aos dados;
III - Correção de dados incompletos,
inexatos ou desatualizados;
IV - Anonimização, bloqueio ou eliminação
de dados desnecessários, excessivos
ou tratados em desconformidade com o
disposto nesta Lei;
V - Portabilidade dos dados a outro
fornecedor de serviço ou produto,
mediante requisição expressa e
observados os segredos comerciais
e industriais, de acordo com a
regulamentação do órgão controlador;
DIREITOS
VI - Eliminação dos dados pessoais
tratados com o consentimento do titular,
exceto nas hipóteses previstas no art. 16
desta Lei;
VII - Informação das entidades públicas
e privadas com as quais o controlador
realizou uso compartilhado de dados;
VIII - Informação sobre a possibilidade de
não fornecer consentimento e sobre as
consequências da negativa;
IX - Revogação do consentimento, nos
termos do § 5º do art. 8º desta Lei.
GUIA DA LEI DE DADOS PARA O RH 22

Atenção!
Os dados de crianças
e adolescentes têm tratamento
diferenciado. Primeiramente, eles
deverão ser tratados no seu melhor
interesse, isto é, observando o que for
melhor para a criança, sempre com a
necessidade de consentimento dado por,
pelo menos, um dos pais ou responsável
legal.
Ainda, os responsáveis pelo tratamento
desses dados deverão manter pública
a informação sobre os tipos de dados
DIREITOS
coletados, a forma de sua utilização e os
procedimentos para o exercício dos seus
direitos.
Neste contexto, vale lembrar da
organização interna da empresa que,
normalmente, possui seus dados
armazenados no RH. Hoje, na sua
empresa, seu Sistema de RH atende às
exigências da LGPD ou você receberia
uma punição logo de início?
Saiba como a Metadados, que já segue as
orientações da LGPD, pode ajudar.
GUIA DA LEI DE DADOS PARA O RH 23

Relatório de impacto da
LGPD
Outro documento que você ouvirá falar
quando o assunto é a LGPD é o relatório
de impacto à proteção de dados pessoais,
um arquivo do controlador que contém a
descrição dos processos de tratamento
de dados pessoais que podem gerar
riscos às liberdades civis e aos direitos
fundamentais, bem como ações que
a empresa realizou e as ferramentas
utilizadas para diminuir os riscos que
envolvam dados pessoais.
Esse relatório poderá ser solicitado pela
Autoridade Nacional de Proteção de
Dados quando o controlador realizar o
tratamento de dados pessoais baseado
RELATÓRIO DE IMPACTO
exclusivamente em seu legítimo
interesse, bem como quando a referida
Autoridade entender necessário.
O relatório deverá conter, no mínimo, a
descrição dos tipos de dados coletados, a
metodologia utilizada para a coleta e para
a garantia da segurança das informações
e a análise do controlador com relação a
medidas e ações realizadas pela empresa
para minimizar riscos aos dados.
Para ajudar nesta construção, já existem
consultorias especializadas, como o
Garrido, Tozzi e Dalenogare Advogados.
GUIA DA LEI DE DADOS PARA O RH 24

O que o RH precisa saber
sobre a LGPD?
A empresa, como empregadora,
armazena e utiliza diversas informações
pessoais dos seus colaboradores. Apesar
da LGPD autorizar o empregador a utilizar
os dados pessoais de seus colaboradores
e fornecedores para a execução
de contratos, principalmente para
benefício do colaborador, é importante
que a empresa tenha cautela e adote
diversos procedimentos para atuar em
conformidade com a lei, seja na fase de
processo seletivo, durante o contrato ou
após sua efetivação.
A LGPD E O RH
ENTRE OS PRINCIPAIS PROCESSOS
AFETADOS PELA LGPD NO RH ESTÃO
O RECRUTAMENTO E SELEÇÃO,
CONTRATAÇÃO DE BENEFÍCIOS, PLANO
DE SAÚDE, VALE-TRANSPORTE, ENTRE
OUTROS.
Para que o RH entenda seu papel,
sua responsabilidade e obrigações,
respondemos às principais dúvidas para
que o setor possa iniciar seu trabalho.
Veja:
GUIA DA LEI DE DADOS PARA O RH 25

1. PRECISO DE UM RESPONSÁVEL PELOS DADOS
PESSOAIS DENTRO DO RH? QUEM É O ENCARREGADO
PELOS DADOS PESSOAIS?
Não é necessário que haja uma pessoa
encarregada exclusivamente pelos dados
pessoais dentro do RH. Contudo, a LGPD
estabelece que o controlador dos dados
pessoais deverá indicar um encarregado
pelo tratamento dos dados pessoais
em toda a empresa, que deverá ter
suas informações divulgadas de forma
clara e objetiva, e terá, basicamente, as
seguintes atribuições:
# Aceitar reclamações e comunicações
dos titulares, prestar esclarecimentos e
adotar providências;
# Receber comunicações da autoridade
nacional e adotar providências;
# Orientar os funcionários e os
contratados da entidade a respeito das
práticas a serem tomadas em relação à
proteção de dados pessoais; e
# Executar as demais atribuições
determinadas pelo controlador
ou estabelecidas em normas
complementares.
A Autoridade Nacional poderá estabelecer
normas complementares sobre a
definição e as atribuições do encarregado,
A LGPD E O RH
inclusive hipóteses de dispensa da
necessidade de sua indicação, conforme
a natureza e o porte da entidade ou o
volume de operações de tratamento de
dados.
Contudo, todos os membros do
departamento de recursos humanos
terão responsabilidades de realizar
o uso adequado dos dados pessoais
e de realizar contato direto com o
encarregado.
GUIA DA LEI DE DADOS PARA O RH 26

2. QUAIS CUIDADOS SÃO INDICADOS DURANTE O
PROCESSO DE RECRUTAMENTO DE COLABORADORES?
Primeiramente, indica-se que a empresa
colha o consentimento expresso do
candidato à vaga para a utilização e
armazenamento dos seus dados pessoais
presentes no currículo e colhidos durante
as entrevistas e etapas do processo
seletivo, principalmente se a empresa
desejar mantê-los armazenados após o
processo seletivo para eventuais vagas
futuras (Banco de Talentos).
Caso o candidato não seja contratado e
não esteja previsto de forma diferente
A LGPD E O RH
no documento em que houve o seu
consentimento, a empresa deverá excluir
os dados pessoais disponibilizados pelo
candidato, com exceção a eventuais dados
que a guarda é obrigatória pela lei.
Caso o candidato seja contratado e
torne-se colaborador da empresa,
apesar da autorização legal para
uso das informações pessoais desse
profissional para os fins do contrato de
trabalho, indica-se que seja colhido o
consentimento do colaborador para o
GUIA DA LEI DE DADOS PARA O RH 27

uso de seus dados pessoais, de forma
destacada das demais cláusulas do
contrato de trabalho. Isto porque, além de
resguardar ainda mais a empregadora,
a autorizará a realizar o uso dos dados
pessoais para envios de comunicados
internos, análises de bem-estar laboral,
entre outras ações.
Vale destacar novamente, neste
ponto, que o uso dos dados pessoais
dos empregados indispensáveis à
relação trabalhista não necessita de
consentimento do colaborador, como, por
exemplo, para envio de informações ao
Ministério do Trabalho e Emprego, INNS,
Caixa Econômica Federal, CAGED, RAIS,
eSocial, entre outras.
Os empregadores que apenas utilizem os
referidos dados pessoais indispensáveis
ao contrato de trabalho e não queiram
colher o consentimento adicional deverão
enviar um comunicado aos empregados,
informando quais dados são tratados,
quais obrigações serão cumpridas com
esses dados e com quais entidades
públicas os dados serão compartilhados.
Após o término da relação de trabalho,
indica-se que a empregadora realize a
exclusão de todos os dados pessoais que
A LGPD E O RH
não seja obrigada a armazenar em razão
de previsões legais. Além disto, durante e
após a relação de emprego, o colaborador
poderá revogar o uso dos dados pessoais
que não sejam indispensáveis, a qualquer
momento.
Cabe salientar acerca da importância de
identificar as informações que realmente
são importantes para a empresa. Por
exemplo, histórico de mensagens
trocadas pelo skype e de sites acessados
durante o período de trabalho, realmente
são fundamentais para meu negócio?
Avalie!
GUIA DA LEI DE DADOS PARA O RH 28

3. PRECISO ME PREOCUPAR SE A EMPRESA CONTRATA
OU FORNECE SERVIÇOS TERCEIRIZADOS?
A empresa que optar por contratar ou
fornecer serviços terceirizados terá
preocupações adicionais em seus
procedimentos de RH. Isto porque será
necessário obter consentimento dos
colaboradores terceirizados, por escrito,
para que a empresa faça o tratamento dos
seus dados pessoais, seja para transmiti-
los aos tomadores de serviço, seja para
recebê-los por ser a tomadora dos
serviços ou mesmo por exigências legais
e contratuais.
A LGPD E O RH
Nesse sentido, será necessário
especificar no referido documento,
de maneira clara, quais dados serão
repassados, para quem e para qual
finalidade.
Além do documento com o colaborador,
é necessário que a empresa possua
cláusulas específicas sobre o uso
responsável de dados pessoais em seus
contratos comerciais, seja com clientes
ou com fornecedores.
GUIA DA LEI DE DADOS PARA O RH 29

4. O QUE OCORRE SE A EMPRESA ARMAZENAR DADOS
PESSOAIS NO EXTERIOR OU TRANSFERI-LOS PARA
OUTRAS EMPRESAS, DO MESMO GRUPO ECONÔMICO OU
NÃO, QUE ESTEJAM NO EXTERIOR?
A LGPD estabelece que somente
será possível realizar a transferência
internacional:
I - Para países ou organismos
internacionais que proporcionem grau de
proteção de dados pessoais adequado ao
previsto na LGPD;
II - Quando o controlador oferecer e
comprovar garantias de cumprimento
dos princípios, dos direitos do titular e do
regime de proteção de dados previstos
nesta Lei, na forma de:
A LGPD E O RH
a) cláusulas contratuais específicas para
determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta
regularmente emitidos;
III - Quando a transferência for necessária
para a cooperação jurídica internacional
entre órgãos públicos de inteligência,
de investigação e de persecução, de
acordo com os instrumentos de direito
internacional;
GUIA DA LEI DE DADOS PARA O RH 30

IV - Quando a transferência for
necessária para a proteção da vida ou
da incolumidade física do titular ou de
terceiros;
V - Quando a autoridade nacional
autorizar a transferência;
VI - Quando a transferência resultar em
compromisso assumido em acordo de
cooperação internacional;
VII - quando a transferência for
necessária para a execução de política
pública ou atribuição legal do serviço
público, sendo dada publicidade nos
termos do inciso I do caput do art. 23
desta Lei;
A LGPD E O RH
VIII - quando o titular tiver fornecido o seu
consentimento específico e em destaque
para a transferência, com informação
prévia sobre o caráter internacional da
operação, distinguindo claramente esta
de outras finalidades;
IX - Quando necessário para atender as
hipóteses previstas nos incisos II, V e VI
do art. 7º desta Lei.
O nível de proteção de dados do
país estrangeiro ou do organismo
internacional será avaliado pela
Autoridade Nacional de Proteção de
Dados.
GUIA DA LEI DE DADOS PARA O RH 31

5. CASO OCORRA ALGUM VAZAMENTO DE DADOS, O QUE
A EMPRESA DEVE FAZER?
Caso haja episódio de vazamento de
dados pessoais que possa acarretar risco
ao titular das informações, o controlador
deverá comunicar ao titular dos dados
pessoais e à Autoridade Nacional de
Proteção de Dados.
A comunicação, segundo a LGPD, deverá
ser realizada em prazo razoável, a
ser definido, e conterá, no mínimo, os
seguintes itens:
a) Descrição da natureza dos dados
pessoais afetados;
b) Informações sobre os titulares
envolvidos;
c) Indicação das medidas técnicas e de
segurança utilizadas para a proteção
dos dados, observados os segredos
comerciais e industriais;
d) Riscos relacionados ao incidente;
e) Motivos da demora, no caso de a
comunicação não ter sido imediata; e
A LGPD E O RH
f) Medidas que foram ou que serão
adotadas para reverter ou mitigar os
efeitos do prejuízo.
Após o comunicado, a ANPD verificará
a gravidade do incidente e poderá,
caso entenda necessário, determinar
à empresa a adoção de providências,
como a ampla divulgação do fato em
meios de comunicação e demais medidas
para reverter os efeitos do incidente de
segurança.
GUIA DA LEI DE DADOS PARA O RH 32

6. CASO A EMPRESA NÃO ESTEJA ADEQUADA À LGPD
NO PRAZO LEGAL OU OCORRA VAZAMENTO DE DADOS
PESSOAIS, QUAIS SÃO AS PUNIÇÕES PREVISTAS?
Se a empresa incorrer em falha
na segurança dos dados pessoais
ou simplesmente não estiver
adequada à LGPD, a ANPD poderá,
administrativamente, aplicar as seguintes
sanções:
a) Advertência, com a indicação de prazo
para adoção de medidas corretivas;
b) Multa simples de até 2% do
faturamento da pessoa jurídica de direito
privado, grupo ou conglomerado no
Brasil, no último exercício, excluídos os
tributos e limitada a R$ 50.000.000,00, por
infração;
c) Multa diária, observado o limite total a
que se refere o inciso anterior;
d) Publicação da infração, após apuração
e confirmação;
e) Bloqueio dos dados pessoais a que se
refere a infração até a sua regularização;
f) Eliminação dos dados pessoais a que se
refere a infração.
No cálculo do valor da multa do inciso b
da página anterior, a Autoridade Nacional
poderá considerar o faturamento total da
empresa ou grupo de empresas, quando
A LGPD E O RH
não dispuser do valor do faturamento no
ramo de atividade empresarial em que
ocorreu a infração, ou quando o valor for
apresentado de forma incompleta ou não
for demonstrado de forma inequívoca e
idônea.
As sanções citadas serão aplicadas
após procedimento administrativo
que possibilite a oportunidade da
ampla defesa, de forma gradativa,
isolada ou cumulativa, de acordo com
as peculiaridades do caso concreto e
considerados os seguintes parâmetros e
critérios:
GUIA DA LEI DE DADOS PARA O RH 33

I - A gravidade e a natureza das infrações
e dos direitos pessoais afetados;
II - A boa-fé do infrator;
III - A vantagem auferida ou pretendida
pelo infrator;
IV – A condição econômica do infrator;
V - A reincidência;
VI - O grau do dano;
VII - A cooperação do infrator;
VIII - A adoção reiterada e demonstrada
de mecanismos e procedimentos internos
capazes de minimizar o dano, voltados ao
tratamento seguro e adequado de dados;
IX – A adoção de política de boas práticas
e governança;
A LGPD E O RH
X - A pronta adoção de medidas
corretivas; e
XI - A proporcionalidade entre a gravidade
da falta e a intensidade da sanção.
As sanções serão aplicadas de forma
gradativa, isolada ou cumulativa, de
acordo com as peculiaridades do caso
concreto e considerando sua gravidade
e a natureza. Além das sanções
administrativas, o infrator poderá
responder judicialmente junto aos
titulares dos dados por repercussões
decorrentes do descumprimento da
LGPD, individual ou coletivamente.
GUIA DA LEI DE DADOS PARA O RH 34

7. CASO A EMPRESA NÃO ESTEJA ADEQUADA À
LGPD OU OCORRA VAZAMENTO DE DADOS PESSOAIS,
APENAS O CONTROLADOR SERÁ RESPONSÁVEL?
O controlador ou o operador que, em
razão do exercício de atividade de
tratamento de dados pessoais, causar
dano patrimonial, moral, individual
ou coletivo, em violação à legislação
de proteção de dados pessoais, será
obrigado a repará-lo.
Nesse sentido, o operador e os
demais controladores que tiverem
compartilhamento das referidas infrações
pessoais, inclusive, responderão
solidariamente com o controlador
quando:
A LGPD E O RH
a) Descumprirem a LGPD; ou
b) Não tiverem seguido as instruções
lícitas dadas previamente pelo
controlador.
Nesse sentido, em caso de ação judicial,
o juiz poderá inverter o ônus da prova
a favor do titular dos dados quando, a
seu juízo, for admissível a alegação,
houver carência para fins de produção
de prova ou quando a produção de prova
pelo titular resultar-lhe excessivamente
custosa.
GUIA DA LEI DE DADOS PARA O RH 35

Próximos passos para o RH
Para cumprir com a LGPD, a empresa
pode seguir alguns passos. Inicialmente,
a empresa deverá realizar o mapeamento
de todos os dados pessoais tratados
em sua estrutura empresarial. Isto é,
quais dados pessoais são armazenados,
em qual local estão armazenados e com
qual finalidade é realizado o tratamento?
Possuo autorização legal para o
tratamento de todos os dados pessoais?
Quais dados devo manter por obrigação
legal e por quanto tempo? Quais dados
precisam ser descartados?
ATENÇÃO, RH!
Concomitantemente, a empresa deve
designar profissionais especializados em
segurança da informação para a revisão
da segurança tecnológica da empresa e
de seus procedimentos.
Após o mapeamento inicialmente, a
empresa deverá realizar a revisão e
adequação dos contratos mantidos
com os operadores de dados, com as
instruções do controlador ao operador,
bem como a revisão e adequação dos
contratos com clientes, fornecedores,
colaboradores e parceiros.
GUIA DA LEI DE DADOS PARA O RH 36
 ATENÇÃO, RH!

Assim sendo, a empresa deverá
realizar a revisão e readequação dos
seus processos internos, tanto online
quanto off-line, realizar a revisão do
processo seletivo para a contratação de
colaboradores e estabelecer políticas
internas quanto a governança e métodos
assertivos de resolução de problemas
com dados pessoais.
Por fim, a empresa deverá definir
um encarregado pelo tratamento de
dados pessoais, que pode ser próprio
ou terceirizado e realizar treinamentos
internos os seus colabores, sócios e
fornecedores, quando possível.
Veja na imagem, de forma resumida:

PASSO 1 PASSO 2 PASSO 3 PASSO 4 PASSO 5 PASSO 6 PASSO 7

Mapeamento Revisão da Revisão e Revisão dos Definir Treinamento Auditorias

segurança adequação de processos encarregado dos constantes
tecnológica da contratos internos colaboradores
empresa

GUIA DA LEI DE DADOS PARA O RH 37

E então, conseguiu entender a
grandiosidade e complexidade da LGPD?
Ela impactará a empresa como um todo
e quem iniciar o processo antes, ganhará
tempo. Quer entender, detalhadamente,
o que precisa fazer em cada uma das
etapas citadas acima?

Então assista ao vídeo:

LEI DE DADOS:
O QUE O RH PRECISA SABER [E
FAZER] COM OS DADOS DE INSCREVA-SE AQUI!
COLABORADORES

com o advogado especialista em LGPD,

Luiz Gustavo Garrido, e com o diretor
administrativo e comercial da
Metadados, Robledo Luza.
A Metadados é uma empresa especialista
em Recursos Humanos, que desenvolve
sistemas para a gestão da área, como:
• Folha de Pagamento
• eSocial
• Frequência
• Saúde e Segurança do Trabalho
• Treinamento e Desenvolvimento
• Recrutamento e Seleção
• E muito mais!
Há mais de 30 anos, atende empresas
de todos os portes e segmentos,
contribuindo para a excelência no
desempenho das diferentes tarefas
dentro de uma organização.
Há mais de sete anos atuando em todo
território nacional, o escritório possui
uma banca full-service de advogados
especializados nas mais variadas áreas
do direito que impactam as atividades
empresariais, destacando-se como um
expoente em serviços de consultoria,
contencioso ou palestras In Company.
Com o foco na agilidade, excelência,
ética profissional e no resultado
eficiente, desempenha um papel
fundamental para o crescimento dos
seus clientes.
www. m eta da dos. co m.br