8/4/2021 –
Especialista indica que é fundamental que organizações planejem ações proativas para minimizar os riscos e impactos em caso de incidentes de segurança da informação, estando mais preparadas caso estes venham a acontecer
A Lei Geral de Proteção de Dados (LGPD), que regulamenta o tratamento de informações pessoais no Brasil, em vigor desde 2020, pode ser considerada um grande avanço para a área de Recursos Humanos. No entanto, as empresas precisam de muita atenção às novas responsabilidades na proteção de seus clientes, funcionários e fornecedores.
Para falar sobre o assunto, o SEPRORGS realizou o Grupo de Gestão de Pessoas de março com o tema “Conexões de RH e LGPD”, ministrado pelo diretor de Relações com Instituições de Ensino da Entidade, Roberto Mazzilli. Na ocasião, ele compartilhou informações importantes para adequação à LGPD, que exigirá dos gestores estratégias e programas para a conscientização das novas regras.
O uso correto dos recursos de tecnologia para validar processos será decisivo para as organizações. “O debate neste momento de vazamento de dados de muitos brasileiros é fundamental, visto que todas as informações que tornam uma pessoa identificável devem ser levadas em consideração, como voz, gostos e imagem”, diz Mazzilli, referindo-se ao vazamento recente de 240 milhões de dados de brasileiros, inclusive os biométricos.
Além disso, é preciso cuidado redobrado com dados considerados sensíveis e que podem provocar algum tipo de discriminação ou violência, como a questão política e religiosa, por exemplo. “Sabemos que é praticamente impossível fechar todas as portas para esses incidentes. Se as empresas que investem milhões em segurança não conseguem, imagine as que não têm esse poder de investimento”, alerta.
É fundamental que as organizações planejem ações proativas para minimizar os riscos e impactos quando o incidente acontecer. O processo de adequação requer esse planejamento e alguns segmentos devem atentar ainda mais para isso. “Os hospitais e empresas de planos de saúde, por exemplo, compartilham muitos dados e informações sensíveis de seus clientes, até porque o processo durante a pandemia está todo ou quase todo digital”, explica.
O que todas as empresas têm em comum é que lidam com pessoas e seus dados. O executivo recomenda que as companhias escolham uma metodologia para que o processo não fique incompleto ou até errado. Temos alguns exemplos de metodologias, mas existe um padrão a ser seguido. “É preciso ter em mente que não se trata de um projeto, mas de um programa. Projetos têm fim e programas são cíclicos”, acrescenta.
Analisando a área de recursos humanos, alguns tópicos são importantes. A fase contratual, processo seletivo, admissão, benefícios, controle de acesso físico e lógico, SST e outros. O consentimento é um dos pilares da LGPD, sendo fundamental tratar com responsabilidade informações de menores, de dados coletados não previstos nas obrigações legais e outros que envolvem a saúde do colaborador, como exames e documentos médicos.
Mazzilli recomenda dar o mínimo acesso possível para cada área da empresa. “As informações não devem ser compartilhadas sem parcimônia. É preciso questionar se a área financeira, por exemplo, necessita das informações adicionais que são repassadas”, explica. Para ele, apenas isso já representa uma importante revisão geral dos processos.
Na fase de recrutamento e seleção, a experiência profissional, os testes admissionais ou de manutenção do emprego e antecedentes criminais – legítimo apenas em alguns casos, são dados que precisam de atenção extrema. Além do que, para fins de contratação, o empregador não poderá exigir do candidato a comprovação de experiência prévia por tempo superior a seus meses no mesmo tipo de atividade.
Durante a captação de currículos, quando o titular fornece dados pessoais e sensíveis, o cuidado também deve ser ao máximo, visto que muitos possuem informações excessivas e são obtidos de forma online. O teste de gravidez, por exemplo, é um exemplo definido no ordenamento jurídico. “A pessoa pode fotografar o documento solicitando o teste e usar isso contra a empresa”, completa Mazzilli.
Em relação às entrevistas para emprego, a empresa figura como controladora dos dados e deve atentar para a aplicação de testes, pois fazendo o perfil do colaborador pode construir um dado sensível. “Poderão ser igualmente considerados como dados pessoais, para os fins desta lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa”, explica.
Na fase contratual, alguns pontos precisam ser analisados, como se há mesmo a necessidade da geolocalização para o colaborador. “Se é um motorista de caminhão transportando uma carga importante até faz algum sentido. Porém, em outros casos é necessário analisar com parcimônia, como para funcionários em home office, por exemplo”, alerta. O mesmo cuidado deve ser tomado com atestados, avaliações de desempenho, performance e outros.
A parte de segurança e saúde do trabalho também requer atenção, visto que diversos documentos são compartilhados. É o caso de CAT, CIPA, PPRA e PCMSO. “Muitas empresas acabam utilizando serviço terceirizado para isso. É preciso informar aos seus funcionários que existe esse processo na empresa”, indica.
O período de guarda dos documentos é outra questão que precisa ser analisada, afinal, administrar esses períodos e regulamentar esses dados requer conhecimento. Algumas políticas que podem regrar o programa quanto à proteção de dados são os códigos de conduta, regulamento interno, aviso de monitoramento de e-mail corporativo, políticas organizacionais, de segurança da informação, de utilização de dispositivos pessoais na organização, de mesa, área limpa e proteção de tela e atendimento à requisição de privacidade de dados por parte dos titulares.