Para entender a questão da LGPD no RH vamos dividir em 3 fases e identificar os principais pontos de atenção que o RH precisa ter.
Fase Pré-Contratual
É a fase de recrutamento e seleção e deve ser solicitado o consentimento expresso do candidato para coleta e utilização dos dados para recrutamento, avaliação e seleção. Após finalizar o processo recomenda-se a eliminação dos dados pessoais obtidos. Caso o candidato não seja contratado, recomenda-se que a empresa elimine os dados pessoais obtidos. Mantendo-se os dados do candidato é bom deixar claro por quanto tempo será mantido o currículo, dando ciência ao candidato.
Fase Contratual
No ato da contratação a empresa deverá dar ciência da finalidade de uso dos dados pessoais, devendo o trabalhador autorizar expressamente sua utilização nas ações relacionadas ao seu contrato de trabalho. Revise o contrato de trabalho para inserir cláusulas de proteção de dados pessoais.
Deve ter uma previsão expressa constando a finalidade da utilização dos dados para plano de saúde (titular e dependentes), cartão refeição/transporte, seguro de vida e acidentes pessoais e gestão da folha de pagamento.
O consentimento para tratamento dos dados pessoais do empregado pode estar previsto no contrato de trabalho, desde que em cláusula individualizada e devidamente destacada.
O compartilhamento de informações de colaboradores aos sindicatos apenas se justifica em se tratando de obrigação decorrente de lei ou decisão judicial, norma coletiva ou concordância expressa do titular dos dados.
Atenção! Autorizações genéricas são NULAS.
A LGPD dispensa o consentimento do empregado no tratamento de dados pessoais indispensáveis ao cumprimento de obrigações legais ou regulatórias pelo empregador (ex.: envio de dados pessoais dos empregados ao Ministério do Trabalho e Emprego, INSS e CEF, por meio dos documentos denominados CAGED, RAIS e SEFIP).
Para as empresas que só tratam dados pessoais indispensáveis para o exercício de atribuições legais e regulatórias é necessário enviar um comunicado aos empregados, informando especificamente quais dados são tratados, quais obrigações serão cumpridas com esses dados e com quais entidades públicas os dados serão compartilhados.
Fase Pós-Contratual
Com a rescisão do contrato de trabalho, os dados pessoais do trabalhador devem ser eliminados, com exceção das hipóteses de obrigação legal de guarda de documentos para atendimento de fiscalizações e ações trabalhistas (artigo 15 da LGPD).
Processos de Terceirização
Na terceirização de serviços, é preciso obter consentimento dos empregados por escrito para que a empresa faça o tratamento dos seus dados, sobretudo quando for transmiti-los a terceiros (tomadores de serviço), em decorrência da atividade realizada, ou mesmo por exigências legais e contratuais, especificando de maneira clara quais dados serão repassados e para qual finalidade.
Além do consentimento do empregado, é recomendável que as empresas criem obrigações específicas em seus contratos comerciais, de acordo com as exigências impostas pela LGPD no tratamento de dados.