Imagem da palma de uma mão com o desenho de uma digital flutuando em cima, representando a responsabilidade dos dados pessoais

A Lei Geral de Proteção de Dados (LGPD) regulamenta o tratamento de dados pessoais no Brasil, tanto pelo poder público, quanto pela iniciativa privada. Embora as regras estejam vigentes desde setembro e 2020, as multas só começaram a ser aplicadas em agosto de 2021. E, para 2022, outro ponto muito importante merece atenção do RH: a Resolução n° 01, da Autoridade Nacional de Proteção de Dados (ANPD) regulamenta como funciona o processo administrativo de fiscalização da LGPD, com início em janeiro.

Quer saber mais sobre o assunto e entender como a sua empresa pode se preparar? Especialistas da Metadados, empresa que é referência em tecnologia para o RH há mais de 35 anos, preparam esse artigo para você. Acompanhe a seguir:

Atividades de fiscalização da LGPD

É importante destacar que a LGPD entrou em vigor em 18 de setembro de 2020. Logo, todas as infrações cometidas após essa data podem ser objeto de fiscalização. As multas podem chegar a 2% do faturamento bruto da empresa, com teto de R$ 50 milhões por infração. Porém, antes de chegar na fase de sanção, a resolução da ANPD determina outras três etapas na fiscalização que antecedem a aplicação da multa propriamente dita. O funcionamento é o seguinte:

·         A atividade de monitoramento destina-se ao levantamento de informações e dados relevantes para subsidiar a tomada de decisões pela ANPD com o fim de assegurar o regular funcionamento do ambiente regulado.

·         A atividade de orientação caracteriza-se pela atuação baseada na economicidade e na utilização de métodos e ferramentas que almejam a promover a orientação, a conscientização e a educação dos agentes de tratamento e dos titulares de dados pessoais.

·         A atividade preventiva consiste em uma atuação baseada, preferencialmente, na construção conjunta e dialogada de soluções e medidas que visam a reconduzir o agente de tratamento à plena conformidade ou a evitar ou remediar situações que possam acarretar risco ou dano aos titulares de dados pessoais e a outros agentes de tratamento.

·         A atividade repressiva caracteriza-se pela atuação coercitiva da ANPD, voltada à interrupção de situações de dano ou risco, à recondução à plena conformidade e à punição dos responsáveis mediante a aplicação das sanções previstas no artigo 52 da LGPD, por meio de processo administrativo sancionador.

Quer entender os principais termos da LGPD no RH e como a empresa pode se adequar a ela? Confira no vídeo:

Proteção de dados é direito constitucional

A relevância da LGPD para o RH foi reforçada por outra medida legal de 2021. A proteção a dados pessoais, inclusive em meios digitais, ganha status de direito fundamental a partir da aprovação de uma Proposta de Emenda à Constituição (PEC) pelo Senado Federal (a medida ainda depende de promulgação do Congresso Nacional). Ou seja, a garantia de segurança das informações pessoais passa a ter a mesma importância de outros direitos constitucionais, como educação, saúde e segurança pública.

Na prática, isso reforça a obrigação do Estado brasileiro em preservar os dados dos cidadãos, assegurando mecanismos para efetivar esse direito. A PEC também atribui à União as competências de organizar e fiscalizar o tratamento dos dados pessoais dos indivíduos. Ou seja, mesmo que estados e município tenham legislado sobre o assunto, o que vale é a LGPD.

Como a LGPD estabelece a maneira como as informações pessoais devem ser protegidas, a fiscalização do seu cumprimento passa a ter ainda mais interesse por parte dos órgãos federais. Isso porque a União também pode ser responsabilizada judicialmente em casos de vazamentos de dados por parte de empresas, já que um episódio como esse pode significar que a União não garantiu o direito constitucional.

Os 10 princípios da LGPD

Um ponto muito importante para qualquer empresa que busca a adequação à LGPD é respeitar os 10 princípios previstos para o uso de dados pessoais. Esses princípios são:

1.      Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

2.      Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

3.      Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

4.      Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

5.      Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

6.      Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

7.      Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

8.      Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

9.      Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

  Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Como garantir a adequação à LGPD

Como vimos, as empresas precisam agir para evitar as penalidades LGPD. É importante lembrar que a lei determina que as organizações nomeiem um encarregado, conhecido no exterior como Data Protection Officer (DPO), que é a pessoa responsável dentro da empresa por gerenciar todas as situações que envolvam os dados pessoais.

Contudo, é necessária uma mudança cultural para que todos os colaboradores, fornecedores e sócios sintam-se (e sejam) responsáveis pelo uso consciente e adequado dos dados pessoais. Neste sentido, é papel do profissional de RH identificar e se certificar sobre quais são as informações dos funcionários que estão sob sua responsabilidade e de que forma estão armazenadas, além de saber por quanto tempo guardar esses dados e como protegê-los durante a permanência do funcionário na companhia.

Ou seja, a adequação do RH à LGPD é um processo constante. Quer saber como a sua empresa está se portando em relação a isso? Acesse agora o nosso checklist e saiba mais:

[Checklist da LGPD] Medidas de Segurança para Uso de Dados no RH