A primeira coisa a fazer é levantar todos os dados que o RH possui, como, onde e por quanto tempo eles ficam armazenados.

Com a LGPD, será preciso elaborar, ou revisar, políticas internas, definir as áreas que poderão ter acesso a dados de candidatos, colaboradores e terceiros, inclusive de ex-funcionários, bem como a forma de utilização de tais informações. Verifique se há a necessidade de termos de consentimento de uso de dados pela empresa e acordos de confidencialidade, caso não, providencie estes documentos o mais breve possível.

Todos os colaboradores devem ter conhecimento de quais dados pessoais são necessários para cumprimento de obrigações legais e quais podem ser considerados sensíveis, como informações médicas que podem inclusive, ser compartilhadas com operadoras de planos de saúde.

Nesse caso, devem ser incluídas cláusulas específicas nos contratos de trabalho, onde o colaborador concorda com o tratamento que será dado aos seus dados pessoais para uma determinada finalidade, no caso da inclusão no plano de saúde corporativo, e o contrato entre a empresa e a operadora de saúde também deve ser revisto, de modo a garantir a conformidade com a LGPD.

Garanta que cada dado esteja sendo utilizado para o fim correto. Se o RH pede informações sobre a formação acadêmica para um processo seletivo, por exemplo, não se pode usar esse mesmo dado para distinguir os candidatos em outros critérios.

Cabe ressaltar que o uso dos dados pessoais que são indispensáveis à relação trabalhista não necessita de consentimento do colaborador, como, por exemplo, para envio de informações ao Ministério do Trabalho e Emprego, INNS, Caixa Econômica Federal, CAGED, RAIS, eSocial, entre outras.

Aqui está uma lista de dados pessoais comuns usados por equipes de RH: nome; endereço; CPF; RG; PIS; formação acadêmica; número de telefone; e-mail; perfil no Linkedin e outras redes sociais; informações sobre saúde e registros médicos; dados bancários; e, biometria.

É muito importante estabelecer um roteiro com todas as ações processuais, físicas, tecnológicas e humanas necessárias para a aderência aos requisitos da LGPD de proteção e privacidades dos dados, então, a seguir estão algumas das atividades mais importantes para ajudar o RH neste trabalho:

  • Cenário atual

Compreender seu negócio, sua estrutura existente de privacidade e proteção de dados, suas políticas com diretrizes, normas e procedimentos, seu modelo de governança atual (papéis e responsabilidades), adquirindo entendimento sobre a postura existente na organização sobre o tema de proteção e privacidade dos dados.

Avaliar o alinhamento estratégico e os riscos auxiliará na determinação das exigências e na implementação das ações.

  • Mapeamento das entradas e saídas de dados pessoais

Identificar como, por que, e quais categorias de dados pessoais são tratadas pela organização e analisar o ciclo de tratamento de dados pessoais, desde a coleta até o descarte, identificando a finalidade da utilização.

É imprescindível fazer este levantamento com todas as áreas da empresa mapeando as entradas e saídas de dados pessoais para depois criar um inventário de sistemas, aplicativos celular e bases de dados que tratam dados pessoais.

Importante, ao realizar o mapeamento siga uma abordagem baseada em risco.

  • Cultura de privacidade

Disseminar na empresa a importância da privacidade por meio de treinamentos, mostrar que a privacidade é papel de todas as áreas da empresa e realizar campanhas e avisos constantes.

Capacitar a equipe técnica e, regularmente, criar treinamentos e palestras de sensibilização de toda equipe sobre a importância da privacidade dos dados.

Avaliar com frequência o nível de conscientização da organização quanto à privacidade de dados.

  • Registro de tratamento

Analisar e documentar as bases legais para o tratamento de dados, para aqueles submetidos à LGPD. Identificar o que é coletado e onde fica armazenado. Inventariar as bases de dados e adequar os fluxos, manter registro das operações de tratamento de dados pessoais e incluir a atualização contínua destes registros.

Estabelecer um método de uso de dados sensíveis baseado no consentimento e uso legítimo, com base nos direitos do titular.

Atenção: colete apenas dados estritamente necessários.

  • Processo de atendimento aos direitos dos titulares

Preparar seus processos e sistemas para receber solicitações dos titulares, adaptar os canais de comunicação e adaptar suas políticas e contratos para refletir estes direitos.

  • Encarregado (DPO)

Nomear e fornecer a identidade e as informações de contato publicamente e treinar o Encarregado.

  • Política de Privacidade

Revisar e detalhar a política de privacidade, tornando públicos os seus termos aos interessados.

  • Segurança da informação

Desenhar e implementar as medidas necessárias para garantir a segurança dos dados. Verificar se o tratamento de dados pessoais está sendo realizado de maneira segura e adotar medidas de segurança para proteger estes dados, ou seja, implementar restrições de acesso.

Certifique-se que os componentes de privacidade são inseridos no design de todos os novos produtos e serviços (privacy by design).

  • Vazamento de dados

Implementar políticas e procedimentos para lidar com a ocorrência de eventuais incidentes. Preparar a comunicação com a ANPD e ao titular da ocorrência de incidente de segurança e se preparar para realizar a divulgação pública do fato em meios de comunicação, caso determinado pela ANPD.

  • Relatório de impacto à proteção de dados

Elaborar o relatório de impacto à proteção de dados pessoais, mediante solicitação da ANPD. O relatório deverá conter o fluxo de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, tipos de dados coletados, a metodologia utilizada para coleta e para garantia da segurança das informações, medidas, salvaguardas e mecanismos de mitigação de riscos adotados.

  • Programa de Governança em Privacidade

Demonstrar o seu comprometimento, aplicável ao conjunto de dados pessoais sob seu controle, adaptado à estrutura, à escala e ao volume de suas operações. Estabeleça políticas e salvaguardas adequadas, além de uma relação de confiança com o titular.

Estas são algumas atividades que ajudarão o RH, e elas podem ter abrangências diferentes de acordo com o tamanho da sua empresa e seus produtos e serviços, então tenha sempre em mente que é necessário definir uma estratégia abrangente, diretrizes, normas e procedimentos relacionados à proteção e privacidade de dados, além do modelo de governança e certificar-se que as medidas implementadas garantem que as regras sejam observadas e possam ser reportadas e evidenciadas junto a ANPD e aos titulares dos dados.

Lembre-se que este não é um projeto somente do RH, então é importante acrescentar que, idealmente, o processo de adequação exige a participação de um time multidisciplinar, especialmente com a participação de representantes das áreas jurídica, negócios, tecnologia, compliance e processos.

Independentemente de como sua empresa irá realizar a jornada para adequação a LGPD, utilizando uma consultoria ou com os recursos internos, é de extrema importância para o sucesso do projeto obter apoio do corpo executivo.