A Lei Geral de Proteção de Dados (LGPD - Lei 13.709/2018) impacta profundamente a gestão de Recursos Humanos (RH) da sua empresa, especialmente no contexto de licitações públicas. A conformidade com a LGPD não é apenas uma questão legal, mas também um diferencial competitivo, demonstrando responsabilidade e ética no tratamento de dados pessoais. Muitas empresas, principalmente as Pequenas e Médias Empresas (PMEs), enfrentam dificuldades em entender como aplicar a lei às suas rotinas diárias de RH, como recrutamento e seleção, controle de ponto e gestão de atestados médicos. Ignorar a LGPD pode resultar em multas significativas, danos à reputação e, consequentemente, na desqualificação em processos licitatórios.

Este artigo foi criado para orientar você, gestor ou proprietário de PME, a implementar práticas de RH em conformidade com a LGPD, minimizando riscos e aproveitando as oportunidades que a lei oferece. Abordaremos as bases legais para o tratamento de dados pessoais no RH, os cuidados específicos com currículos, dados de ponto e atestados, e forneceremos um framework prático para garantir a proteção da privacidade dos seus colaboradores e candidatos. A licitação pública cada vez mais exige comprovação de conformidade com a LGPD, tornando este um tema crucial para o sucesso da sua empresa.

TL;DR

  • A LGPD exige consentimento ou outra base legal para o tratamento de dados pessoais no RH.
  • Currículos devem ser tratados com extrema cautela, limitando a coleta de dados ao essencial e informando o candidato sobre o uso que será feito.
  • Dados de ponto são sensíveis e exigem justificativa legal clara para sua coleta e armazenamento.
  • Atestados médicos contêm informações de saúde protegidas pela LGPD, necessitando de medidas de segurança adicionais.
  • É fundamental ter um Termo de Consentimento claro e específico para cada finalidade de tratamento de dados.
  • Implemente políticas de privacidade e segurança de dados para o RH.
  • Nomeie um Encarregado de Proteção de Dados (DPO) para supervisionar a conformidade com a LGPD.

Framework passo a passo

Passo 1: Mapeamento de Dados

O primeiro passo é identificar quais dados pessoais sua empresa coleta, armazena, utiliza e compartilha no RH. Isso inclui dados de currículos, informações de contratação, dados de ponto, atestados médicos, avaliações de desempenho, dados bancários para pagamento e qualquer outra informação que possa identificar um indivíduo. Documente o fluxo desses dados, desde a coleta até o descarte, para entender como eles são processados em cada etapa.

Exemplo prático: Crie uma planilha listando todos os tipos de dados pessoais coletados no RH, a finalidade da coleta, a base legal utilizada, o tempo de retenção e os responsáveis pelo tratamento.

Passo 2: Base Legal

Determine a base legal que justifica o tratamento de cada tipo de dado pessoal. As bases legais mais comuns no RH são: o consentimento do titular, a execução de um contrato (de trabalho, por exemplo), o cumprimento de uma obrigação legal (retenção de documentos para fins fiscais) e o legítimo interesse da empresa (controle de acesso, segurança do trabalho). O legítimo interesse deve ser cuidadosamente avaliado para garantir que não prevaleça sobre os direitos e liberdades dos titulares dos dados.

Exemplo prático: Para o tratamento de dados de ponto, a base legal pode ser a execução do contrato de trabalho e o cumprimento de obrigações legais relacionadas à jornada de trabalho.

Passo 3: Transparência e Consentimento

Informe aos colaboradores e candidatos sobre como seus dados pessoais serão tratados, quais são seus direitos e como exercê-los. Utilize uma linguagem clara e acessível, evitando termos jurídicos complexos. Obtenha o consentimento explícito para o tratamento de dados que não se enquadram em outra base legal. O consentimento deve ser livre, informado e inequívoco.

Exemplo prático: Disponibilize uma política de privacidade no site da empresa e inclua um termo de consentimento no processo de admissão de novos colaboradores.

Passo 4: Segurança dos Dados

Implemente medidas técnicas e administrativas para proteger os dados pessoais contra acesso não autorizado, perda, alteração, destruição ou divulgação. Isso inclui a utilização de senhas fortes, criptografia, firewalls, backups regulares, controle de acesso físico e lógico, e treinamento dos colaboradores sobre segurança da informação. A LGPD exige que você adote medidas proporcionais aos riscos envolvidos.

Exemplo prático: Utilize um software de gestão de RH com recursos de segurança robustos e implemente políticas de acesso restrito aos dados pessoais.

Passo 5: Direitos dos Titulares

Esteja preparado para atender aos pedidos dos titulares dos dados, como o acesso, a correção, a exclusão, a portabilidade e a oposição ao tratamento de seus dados pessoais. Estabeleça um canal de comunicação claro e eficiente para receber e responder a esses pedidos. O prazo para responder aos pedidos é de, no máximo, 15 dias, prorrogáveis por mais 15 dias mediante justificativa.

Exemplo prático: Crie um formulário online para que os colaboradores e candidatos possam solicitar o acesso, a correção ou a exclusão de seus dados pessoais.

Passo 6: Monitoramento e Revisão

Monitore continuamente a conformidade com a LGPD e revise suas políticas e procedimentos regularmente para garantir que eles estejam atualizados e eficazes. Realize auditorias internas e externas para identificar e corrigir eventuais falhas. A LGPD é uma lei dinâmica, que pode ser alterada e interpretada de diferentes maneiras.

Exemplo prático: Realize uma auditoria anual para verificar se as práticas de RH da sua empresa estão em conformidade com a LGPD.

Currículos e Processo Seletivo

A coleta de informações em currículos deve ser estritamente limitada ao necessário para avaliar a adequação do candidato à vaga. Evite solicitar dados excessivos ou irrelevantes, como número de documentos, estado civil, religião, orientação sexual ou informações sobre saúde. A LGPD considera esses dados como sensíveis e exige proteção especial.

Informe aos candidatos sobre o uso que será feito de seus currículos e dados pessoais, e obtenha o consentimento explícito para o armazenamento e o compartilhamento dessas informações com terceiros, como outras empresas do grupo ou agências de recrutamento. Mantenha os currículos armazenados de forma segura e por um período de tempo razoável, apenas até que a finalidade da coleta seja atingida (por exemplo, a contratação do candidato ou o término do processo seletivo).

Ao utilizar plataformas de recrutamento online, verifique se elas estão em conformidade com a LGPD e se oferecem recursos para proteger os dados pessoais dos candidatos.

Controle de Ponto

O controle de ponto envolve a coleta de dados pessoais sensíveis, como a localização e os horários de trabalho dos colaboradores. A base legal para o tratamento desses dados deve ser claramente definida, geralmente a execução do contrato de trabalho e o cumprimento de obrigações legais. Informe aos colaboradores sobre a finalidade do controle de ponto e como seus dados serão utilizados.

Implemente medidas de segurança para proteger os dados de ponto contra acesso não autorizado, perda ou alteração. Utilize sistemas de controle de ponto com recursos de criptografia e controle de acesso. Garanta que os dados de ponto sejam armazenados por um período de tempo razoável, apenas até que a finalidade da coleta seja atingida (por exemplo, o cumprimento de obrigações trabalhistas).

A utilização de dados de ponto para fins de monitoramento da produtividade dos colaboradores deve ser feita com cautela, garantindo a transparência e o respeito à privacidade dos trabalhadores.

Atestados Médicos e Dados de Saúde

Atestados médicos contêm informações de saúde protegidas pela LGPD, consideradas como dados pessoais sensíveis. O tratamento desses dados exige medidas de segurança adicionais e o consentimento explícito do colaborador, exceto em situações de emergência ou quando o tratamento for necessário para proteger a saúde ou a segurança do próprio colaborador ou de terceiros.

Armazene os atestados médicos em locais seguros e de acesso restrito, garantindo a confidencialidade das informações. Evite compartilhar os atestados médicos com pessoas não autorizadas. Mantenha os atestados médicos armazenados por um período de tempo razoável, apenas até que a finalidade da coleta seja atingida (por exemplo, o cumprimento de obrigações trabalhistas ou previdenciárias).

Ao utilizar sistemas de gestão de saúde ocupacional, verifique se eles estão em conformidade com a LGPD e se oferecem recursos para proteger os dados de saúde dos colaboradores.

Transferência Internacional de Dados

Se sua empresa utiliza serviços de RH que envolvem a transferência de dados pessoais para fora do Brasil, é fundamental garantir que a transferência esteja em conformidade com a LGPD. A lei exige que a transferência seja feita para países que ofereçam um nível de proteção de dados adequado ou que sejam adotadas medidas contratuais e técnicas para garantir a proteção dos dados.

Verifique se o provedor de serviços de RH está em conformidade com a LGPD e se oferece garantias de proteção de dados adequadas. Inclua cláusulas de proteção de dados nos contratos com os provedores de serviços de RH.

Informe aos colaboradores sobre a transferência de seus dados pessoais para fora do Brasil e obtenha o consentimento explícito para a transferência, quando necessário.

Checklists acionáveis

Checklist de Conformidade com a LGPD no RH

  • [ ] Mapear todos os dados pessoais coletados e tratados no RH.
  • [ ] Definir a base legal para cada tipo de tratamento de dados.
  • [ ] Obter o consentimento explícito para o tratamento de dados que não se enquadram em outra base legal.
  • [ ] Implementar medidas de segurança para proteger os dados pessoais contra acesso não autorizado.
  • [ ] Disponibilizar uma política de privacidade clara e acessível.
  • [ ] Estabelecer um canal de comunicação para atender aos pedidos dos titulares dos dados.
  • [ ] Treinar os colaboradores do RH sobre a LGPD.

Checklist de Segurança de Dados no RH

  • [ ] Utilizar senhas fortes e únicas para cada sistema.
  • [ ] Implementar a autenticação de dois fatores (2FA) sempre que possível.
  • [ ] Criptografar os dados pessoais em repouso e em trânsito.
  • [ ] Realizar backups regulares dos dados pessoais.
  • [ ] Controlar o acesso físico e lógico aos dados pessoais.
  • [ ] Monitorar os sistemas de RH em busca de atividades suspeitas.
  • [ ] Implementar um plano de resposta a incidentes de segurança.

Tabelas de referência

Bases Legais para Tratamento de Dados no RH

Base Legal Exemplo de Aplicação
Consentimento Obtenção de consentimento para utilização de foto do colaborador em materiais internos.
Execução de Contrato Armazenamento de dados bancários para pagamento do salário.
Cumprimento de Obrigação Legal Retenção de documentos trabalhistas por 5 anos (ou mais, conforme a legislação).
Legítimo Interesse Utilização de câmeras de segurança para monitorar o acesso às instalações da empresa.
Proteção da Saúde Compartilhamento de informações médicas com o médico do trabalho para avaliação da aptidão do colaborador.

FAQ

O que acontece se minha empresa não cumprir a LGPD?
Sua empresa pode ser multada em até 2% do faturamento anual, limitado a R$ 50 milhões por infração. Além das multas, a empresa pode sofrer danos à sua reputação e perder oportunidades de negócios, especialmente em licitações públicas.
Preciso nomear um Encarregado de Proteção de Dados (DPO)?
A nomeação de um DPO não é obrigatória para todas as empresas, mas é recomendável, especialmente para aquelas que tratam um grande volume de dados pessoais ou que realizam atividades de tratamento de dados de alto risco. O DPO é responsável por supervisionar a conformidade com a LGPD e atuar como ponto de contato entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Como devo obter o consentimento dos colaboradores para o tratamento de seus dados pessoais?
O consentimento deve ser obtido de forma livre, informada e inequívoca. Utilize uma linguagem clara e acessível, explicando quais dados serão coletados, qual a finalidade do tratamento e quais os direitos do colaborador. O consentimento deve ser documentado e pode ser revogado a qualquer momento.
Qual o prazo para responder aos pedidos dos titulares dos dados?
O prazo para responder aos pedidos dos titulares dos dados é de, no máximo, 15 dias, prorrogáveis por mais 15 dias mediante justificativa. É importante responder aos pedidos dentro do prazo para evitar sanções.
A LGPD se aplica a dados de candidatos a emprego?
Sim, a LGPD se aplica a dados de candidatos a emprego desde o momento da coleta do currículo ou de qualquer outra informação pessoal. A empresa deve informar aos candidatos sobre o uso que será feito de seus dados e obter o consentimento para o tratamento, quando necessário.

Glossário essencial

LGPD
Lei Geral de Proteção de Dados (Lei nº 13.709/2018), que regulamenta o tratamento de dados pessoais no Brasil.
Dado Pessoal
Qualquer informação relacionada a uma pessoa natural, identificada ou identificável.
Dado Sensível
Dado pessoal que revela origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa.
Titular dos Dados
A pessoa natural a quem os dados pessoais se referem.
Tratamento de Dados
Qualquer operação realizada com dados pessoais, como coleta, armazenamento, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, eliminação ou avaliação.
DPO
Encarregado de Proteção de Dados, responsável por supervisionar a conformidade com a LGPD.

Conclusão e próximos passos

A LGPD não é um obstáculo, mas sim uma oportunidade para sua empresa demonstrar compromisso com a privacidade e a proteção de dados dos seus colaboradores e candidatos. Ao implementar as práticas recomendadas neste artigo, você estará minimizando riscos, fortalecendo a reputação da sua empresa e se preparando para participar de licitações públicas com maior segurança e competitividade.

Não deixe para depois! Comece agora mesmo a adaptar suas políticas e procedimentos de RH à LGPD. Se precisar de ajuda, conte com a expertise da nossa equipe. Entre em contato conosco para uma consultoria personalizada e descubra como podemos auxiliar sua empresa a alcançar a conformidade com a lei.

**Próximos Passos:**

1. Agende uma consultoria com nossos especialistas.

2. Baixe nosso modelo de Termo de Consentimento para RH.

3. Inscreva-se em nossa newsletter para receber atualizações sobre a LGPD e licitações.