Limitações ao tratamento de dados pessoais não impedem o controlador de resguardar seus direitos. A LGPD autoriza o tratamento de dados pelo controlador para exercício regular de direito (artigo 7°, V), sempre que houver legítimo interesse (artigo 7°, IX).
O empregador é detentor de informações pessoais de seus empregados e embora a LGPD autorize as empresas a usarem os dados pessoais dos seus empregados para a legítima execução dos contratos, em benefício do próprio trabalhador, não se pode desconsiderar cautela e observância das regras da LGPD em todas as suas fases, nos atos praticados antes da contratação, durante a vigência do contrato, nas terceirizações e após a rescisão dos contratos.
Quando houver uma base legal, como as previstas na lei, é possível manter armazenados os dados pessoais, ou seja, não realizar o descarte desses dados. A LGPD elenca 10 bases legais que permitem o tratamento e, no caso do RH, algumas delas se aplicam muito bem.
O uso de dados dos colaboradores para questões empregatícias não exige o consentimento. Informações cedidas pelo Ministério do Trabalho, INSS, Caixa Econômica Federal, CAGED, RAIS, eSocial e afins são garantidos e protegidos pela LGPD.
O término do tratamento dos dados pessoais de um titular, e a sua consequente eliminação da base de dados da organização, ocorrerá quando:
- a finalidade para a qual foi coletado foi alcançada, ou na hipótese de os dados não serem mais necessários ou pertinentes para aquela finalidade informada;
- o titular exercer seu direito de revogação do consentimento (quando essa for a base legal para o tratamento), ou de oposição;
- pelo decurso do prazo de tratamento, como estabelecido pela organização por determinação da ANPD, quando constatada violação à LGPD.
Após o término do vínculo empregatício, orienta-se a exclusão de todos os dados pessoais que não sejam obrigatórios de serem armazenados. Dessa forma, a empresa se resguarda sobre qualquer eventual falha ou vazamento.
Entretanto, a LGPD prevê o direito de a organização, mesmo após o término do tratamento, conservar os dados pessoais, nas seguintes hipóteses:
- para cumprimento de obrigação legal ou regulatória pelo controlador;
- para fins de estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização.
Somente a título de exemplificação, cabe dizer que existem documentos que por força de legislação específica possuem prazo diferenciado para armazenamento, como é o caso dos prontuários médicos, que possuem o prazo para guarda de 20 anos contados do último registro realizado.
Sendo assim, deverá ser avaliado caso a caso, a necessidade de tratamento daquele dado e qual o prazo obrigacional para guarda dos documentos pertinentes.
Como tratar ameaças antes que elas causem danos maiores?
Quando um vazamento acontece, precisamos detectá-lo o mais rapidamente possível para minimizar seu impacto, além de entender quais informações foram afetadas.
Para tentar minimizar os danos devemos tratar muito bem as ameaças, por isso é importante que a sua empresa seja alertada imediatamente quando alguma atividade fora do comum for detectada e, a partir daí, monitorar comportamentos suspeitos. Esses alertas permitirão, em diversos casos, evitar um vazamento. Mesmo que o vazamento ocorra, é possível correlacionar todos os dados e atividades a fim de determinar seu impacto e, por fim, estancá-lo.