A GESTÃO DE RECURSOS HUMANOS E A LGPD

Ciências Sociais Aplicadas, Volume 28 - Edição 136/JUL 2024 / 01/08/2024

HUMAN RESOURCES MANAGEMENT ANO LGPD

REGISTRO DOI: 10.5281/zenodo.12826342

Paula Ramada1
Rosana Antunes2
Leclerc Victer3

RESUMO

Esta pesquisa apresenta uma análise sobre a importância de uma gestão adequada de dados pessoais em conformidade com a LGPD no contexto da gestão de recursos humanos. Para isto, utiliza-se o método de pesquisa em bases de dados que reúnem doutrina, jurisprudência e legislação. O artigo destaca alguns aspectos essenciais, desde os sistemas de informação na gestão de recursos humanos até a responsabilidade do agente, do tratamento devido a não conformidade do tratamento com a legislação vigente. Enfatizamos a necessidade da compreensão da implementação de medidas de segurança necessárias pelas organizações privadas, para proteção das informações pessoais de seus colaboradores.

Palavras-chave: Privacidade. consentimento. Transparência. Segurança.

ABSTRACT

This research presents an analysis of the importance of proper management of personal data in compliance with the LGPD in the context of human resources management. To this end, the research method is used in databases that bring together doctrine, jurisprudence and legislation. The article highlights some essential aspects, from information systems in human resources management to the agent’s liability for the processing due to non-compliance of the processing with current legislation. We emphasize the need to understand the implementation of necessary security measures by private organizations to protect the personal information of their employees.

Keywords: Privacy. Consent. Transparency. Security. Accountability

1 INTRODUÇÃO

O papel estratégico dos Recursos Humanos (RH) é vital para o sucesso de qualquer organização. A Gestão de RH é extremamente importante para qualquer empresa, pois tem o foco na administração estratégica do capital humano. Envolve atividades como recrutamento, seleção, treinamento, desenvolvimento, avaliação de desempenho, compensação e benefícios. Nos processos de melhoria contínua e atualização de obrigações, o RH está no topo das prioridades do negócio; é a área que lida com motivação e qualificação, e para isso demanda conhecimento e experiência no tratamento de dados. Por essa razão, é vital à inteligência e segurança do negócio, uma vez que é responsável pelo tratamento de dados de diferentes tipos de colaboradores, tais como RG, CPF, e-mail, e outros registros que, agregados, cruzados ou enriquecidos, podem tornar uma pessoa identificável (IP (internet protocol), cookies, histórico de navegação, formação, movimentação financeira etc.). 

A Lei Geral de Proteção de Dados (LGPD) surgiu para ressignificar o controle das informações e promover a transparência. O objetivo é proteger os dados pessoais e/ou dados sensíveis das pessoas que são os “proprietárias” ou “titulares” dos mesmos. Por isso a transparência é o princípio fundamental que rege os programas de proteção de dados. A LGPD estabelece regras claras para a coleta, armazenamento e compartilhamento de dados pessoais, incluindo os registros relacionados aos colaboradores (funcionários).

A proteção de dados pessoais é um aspecto organizacional cada vez mais relevante, uma vez que preocupações com a privacidade e outros direitos fundamentais vêm crescendo na sociedade, na mesma proporção em que crescem as exigências do mercado. Conformidade corporativa tornou-se um fator crítico de sucesso para a competitividade. E o RH, que antes mesmo do mundo digital, já se preocupava com o sigilo, a privacidade e a ética no tratamento dos dados de pessoas, tornou-se um setor-chave para empresas de todos os segmentos.

Este trabalho tem como objetivo central discutir a importância do gerenciamento adequado de dados pessoais em conformidade com a Lei Geral de Proteção de Dados Pessoais no contexto da Gestão de Recursos Humanos. Trata-se de pesquisa qualitativa, em caráter exploratório, em bases de dados doutrinário, legislativo, jurisprudencial, considerando que: a Legislação é o conjunto normativo que regula a convivência social; a Doutrina é o conjunto de princípios expostos nas obras, em que se firmam teorias ou se fazem interpretações sobre a ciência jurídica; e a Jurisprudência é a sábia interpretação e aplicação das leis a todos os casos concretos que se submetem a julgamento da justiça, que produz sentenças no primeiro grau, ou acórdãos e súmulas nos Tribunais. A partir do pressuposto, foi usada como procedimento metodológico a pesquisa bibliográfica para coleta de dados como base aportes da Ciência da Informação, em especial, voltados para os assuntos: “direito à privacidade”, “Proteção de dados”, “Lei Geral de Proteção de Dados”, e “Recursos Humanos”.

2 GESTÃO DE RECURSOS HUMANOS

A Gestão de Recursos humanos é multifacetada e muito abrangente. Afinal, trata-se de gerenciar o ciclo de vida completo de um colaborador, do recrutamento e seleção até a saída da empresa. O RH busca talentos qualificados, conduz os processos de entrevistas e seleção e promove a integração de novos colaboradores à cultura e processos das empresas. Portanto, o papel fundamental do RH, o core business da área, é a gestão das pessoas.

Gestão de Pessoas é função gerencial estratégica, voltada à cooperação entre pessoas e empresa – de forma sistêmica – para alcance dos objetivos organizacionais e individuais. Por isso, dados e informações pessoas se tornaram indicadores. Através das informações que os colaboradores registram e disponibilizam, as empresas tomam decisões importantes. Ações que movimentam recursos econômicos e tecnológicos. É por essa razão que dados deixaram de ser apenas registros. Passaram a ser vistos como informação, com ativos do negócio, vitais para o posicionamento, o alcance de metas e o desenvolvimento.

Contudo, no mundo atual, globalizado, acelerado e conectado, onde o volume de dados e informações circulantes é crescente e acessível, as empresas podem ficar vulneráveis, expostas, colocando em risco a privacidade e segurança de seus colaboradores e parceiros. Por isso, quando pensamos na manipulação e no uso de dados, na forma como as empresas lidam com as informações, a cada dia torna-se urgente o controle e a proteção de dados para mitigar o risco de utilização imprópria capaz de gerar prejuízos para os proprietários dos dados.

Empresas passaram a investir alto em sistemas integrados e softwares especializados para gerenciar e automatizar processos relacionados aos seus colaboradores (CHIAVENATO, 2020). Esses bancos de dados, quando agrupados, armazenam informações e conhecimentos de seus colaboradores como: os dados pessoais dos colaboradores, formando cadastros de pessoal; dados sobre potenciais candidatos às vagas; cadastros de cargos, cadastros médicos, cadastro sobre acidentes e ocorrências, entre outros (CHIAVENATO, 2020). Surge então o Sistema de Informações do RH. Quando são coletados e inseridos, o Sistema de Informações do RH inicia o tratamento dos dados: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (LGPD, ART. 5º). E é esse tratamento que deve ser realizado em conformidade com a Lei Geral de Proteção de Dados a fim de assegurar a transparência, segurança e licitude no tratamento de dados pessoais, respeitando os princípios de finalidade, adequação, necessidade, livre acesso e qualidade de dados (LGPD, ART. 6º).

O Artigo 7º da Lei Geral de Proteção de Dados determina que o processamento de dados pessoais só pode ocorrer em determinadas situações. No presente caso, são mencionados os incisos I, II e V desse dispositivo, in verbis:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

(…)

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

(…)

§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.

§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.

§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.  

No inciso I do Artigo 7º, o consentimento é a base legal para o tratamento de dados pessoais de natureza contratual, uma vez que o consentimento é um requisito de validade no negócio jurídico bilateral. O consentimento do titular de dados pessoais consiste na manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento dos dados pessoais para uma finalidade específica.  O consentimento de um titular de dados pessoais pode ser considerado como livre nas situações em que ele expressa sua escolha de forma espontânea e sem qualquer tipo de coerção ou coação. É importante notar também que o titular de dados deve ser informado sobre a possibilidade do não fornecer o consentimento e sobre as consequências da recusa.

No caso do tratamento de dados durante um processo seletivo para preenchimento de uma vaga, por exemplo, o candidato deverá ser informado, de maneira clara e transparente, sobre quais dados pessoais devem ser fornecidos, quais serão coletados independentemente do fornecimento do titular e quais as consequências de não consentir com o fornecimento ou a coleta desses dados (como a exclusão do processo seletivo).

A manifestação da vontade só pode ser confirmada por escrito?  Não necessariamente. Observa-se, a partir da leitura da legislação, que há a possibilidade de outros meios de manifestação da vontade como, por exemplo, tokens, SMS, áudio, autenticação por login, entre outros.

Na hipótese em que dados forem coletados por meio do envio de documentos físicos ou digitalizados, também deve ser preenchido um termo específico de consentimento sobre o tratamento dos dados pessoais, onde fique evidente a finalidade e o tratamento que será dado a esses dados. Se os dados forem coletados eletronicamente, deverá haver um campo para marcar o consentimento. Sugere-se um campo para marcar o consentimento sobre o tratamento dos dados pessoais, deixando clara a finalidade e o tratamento a ser dado a esses dados. O mesmo termo de consentimento pode ser adaptado para o formato eletrônico.

É essencial ressaltar, no entanto, que o consentimento só é válido quando direcionado a um fim específico, sendo termos genéricos considerados inválidos, por exemplo, melhorar a experiência do usuário ou a formação de cadastro. É fundamental garantir que a pessoa concorda com as operações que serão realizadas com suas informações, ou seja, o destaque das cláusulas de tratamento de dados pessoais deve ser sempre garantido ao titular de dados, seja por meio eletrônico ou impresso.

Sob a nova legislação de proteção de dados pessoais, a confirmação do titular deve ser decidida sem ambiguidades, confusões ou elementos que possam prejudicar a decisão. O consentimento deve sempre se referir a finalidades determinadas. Autorizações genéricas para o tratamento de dados pessoais serão nulas de acordo com a LGPD. E por finalidade, entende-se o propósito informado à pessoa sobre as operações que serão realizadas com os seus dados. A combinação do consentimento com a finalidade garante que o responsável pelo tratamento de dados pessoais tenha se esforçado para deixar claro os propósitos da coleta, armazenamento e uso dos dados; assegurando a concordância do titular da forma mais esclarecida possível.

Outra situação é o tratamento de dados pessoais conforme o inciso II, do Artigo 7º da LGPD, que trata da hipótese do cumprimento de obrigação legal ou regulatória. Nesse caso, por força da lei, os dados podem ser tratados independentemente do consentimento do titular dos dados pessoais, como nos casos de tratamento de dados pessoais de funcionários para entrega de obrigações acessórias como INSS, FGTS, e-Social.

Por fim, outro aspecto legal fundamentado no inciso V do Artigo 7º da LGPD que deve ser considerado refere-se à execução de contratos ou procedimentos preliminares e anteriores à sua produção. Ao analisar o dispositivo, verifica-se que a norma não permite o tratamento de dados pessoais na fase de formação de contrato, mas apenas na fase da execução do contrato, ou seja, na fase preliminar o tratamento só pode ser realizado com o consentimento expresso do titular (LGPD, inciso I do Artigo 7º). Vale destacar que alguns tipos de dados, obtidos por meio de certidões, merecem consideração especial, devido a limitações na exigência em processos seletivos, especialmente decorrentes do Direito do Trabalho. No entanto, a justificativa do ponto de vista da proteção de dados, depende da legislação específica aplicável ao processo seletivo permitir a exigência desses dados ou documentos. Portanto, em todos os casos, as orientações adicionais pertinentes devem ser buscadas junto ao departamento jurídico da organização.

Assim, o Sistema de Informações de RH tem papel essencial na gestão. O tratamento de dados pessoais deve ser realizado sempre de forma ética, em conformidade com a LGPD, assegurando a privacidade e a proteção das informações pessoais dos colaboradores.

2.1 DIREITO À PRIVACIDADE

Com a evolução da tecnologia e a facilitação do acesso à informação, muito tem se falado sobre privacidade e, recentemente, sobre a forma como os dados pessoais têm sido utilizados pelas empresas e a maneira como têm sido tratados. Por essa razão, surgiram normas reguladoras em todo o mundo sobre o tratamento de dados pessoais. No Brasil, foi publicada a Lei n.º 13.709, de 18 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados, em resposta ao movimento mundial de busca pela transparência nos processos de manipulação de dados pessoais dos cidadãos.

Há uma preocupação global com o Compliance. Ou seja, para que as empresas operem legalmente, precisam estar em conformidade com os padrões, leis e regulamentos, com uma conduta ética aplicada ao segmento em que se aplicam os negócios. Nesse sentido, falar de Compliance, tanto internamente como externamente, é falar de políticas e procedimentos, leis federais, estaduais e municipais, que ajudam as empresas a detectar as violações de regras, protegendo a organização em todos os sentidos. E mais que isso. O Compliance surge como ação estratégica para garantir que as organizações cumpram os requisitos da LGPD. E isso envolve a implementação de políticas, de processos e de controles internos apropriados para proteger os dados pessoais de clientes e usuários.

Estamos diante de uma discussão sobre desenvolvimento sustentável que deve levar em conta recursos econômicos, ambientais e humanos. Por isso o RH é essencial, central, às organizações. E essa discussão nos leva, primordialmente, ao conceito de privacidade.

Todos os seres humanos possuem direitos inalienáveis e relevantes que, devido à sua natureza, se manifestam como algo fundamental, tratados como bens de maior valor jurídico (DE CUPIS, 2004, p.29). Entre os direitos essenciais, de acordo com o escopo desta pesquisa, merece destaque o direito à privacidade, pois remete a valores que, em uma disposição hierárquica, são fundamentais a todo ser humano, capacitando-o a impor respeito perante o Estado e perante os outros indivíduos. Da mesma forma, cabe ao Estado proteger a privacidade, uma vez que sua proteção constitui uma modalidade de tutela da dignidade da pessoa humana (ASCENÇÃO, p. 2000, p. 40).

A Constituição Federal de 1988 assegura o direito à privacidade, tornando a proteção de dados pessoais um direito fundamental. Felizmente, em 2022, o Governo Federal incluiu o direito à privacidade no rol dos direitos, garantias e fundamentos por meio da Emenda Constitucional 115/2022 ao Artigo 5º da Constituição Federal, “o direito à proteção de dados pessoais, inclusive no ambiente digital”.

“É importante ressaltar que, embora inter-relacionados, o conceito de privacidade não se confunde com o conceito de dados pessoais”, como menciona Eduardo Magrani (2019, p. 56), citando Stefano Rodotà e Danilo Doneda como base jurídica para a distinção.

Para o jurista italiano, a privacidade pessoal está fundamentada no “direito de controlar suas próprias informações e determinar a maneira de construir sua própria esfera privada” (2008, p. 9), o que difere do conceito de privacidade associado aos dados pessoais: “a forma indireta de alcançar um objetivo final, que é a proteção da pessoa”, ou seja, “os dados pessoais representam algum atributo de uma pessoa identificada ou identificável e, portanto, mantêm uma ligação concreta e viva com a pessoa titular desses dados”, uma vez que “os dados pessoais são a pessoa e, como tal, devem ser tratados, justificando o uso de instrumentos jurídicos destinados à proteção da pessoa” (BRASIL, 2010, p. 39).

Essa distinção também é reconhecida tanto na Carta dos Direitos Fundamentais da União Europeia quanto no Tratado que estabelece uma Constituição para a Europa. Ambos reconhecem a privacidade e a proteção de dados pessoais como direitos autônomos (RODOTÀ, 2020). Para Stefano Rodotà, a diferença não é superficial. No que diz respeito à privacidade pessoal, ele afirma: “no direito ao respeito pela vida privada e familiar, manifesta-se, sobretudo, o momento individualista. O poder se esgota substancialmente na exclusão da interferência de terceiros; a tutela, portanto, é estática e negativa” (RODOTÀ, 2020). Já no que se refere aos dados pessoais, ele diz: “…a proteção de dados pessoais estabelece as regras sobre o tratamento dos dados e se concretiza em poderes de intervenção; a tutela é dinâmica, seguindo os dados em sua circulação” (RODOTÀ, 2020).

Mesmo com distinção nos conceitos, ao garantir o direito à privacidade não como uma concessão que o Direito faz à pessoa, mas como reconhecimento da individualidade do ser humano, assim como a proteção dos dados pessoais, o que se protege é a pessoa. Portanto, o descumprimento dos direitos e garantias fundamentais leva à indenização.

2.2 OS PRINCÍPIOS E GARANTIAS INDIVIDUAIS NA LEGISLAÇÃO

A Lei Geral de Proteção de Dados Pessoais, Nº 13.709, de 14 de agosto de 2018, enumera princípios fundamentais de proteção de dados que devem ser analisados em conformidade com os direitos à liberdade e com os avanços inerentes à sociedade da informação.

A legislação regula um conjunto de tratamentos de dados relativos a pessoas naturais identificadas ou identificáveis, exceto em situações específicas, como, por exemplo, nos tratamentos para prevenção, investigação ou infrações penais. Dessa forma, ao analisar a legislação brasileira, os princípios convergem para a essência do Direito, à autodeterminação informativa, tornando-se claros após a análise prática destes princípios:

i) Princípio da finalidade, adequação e necessidade: O inciso I do Artigo 6º da Lei Nacional de Proteção de Dados estabelece como deve ser o tratamento de dados: a “realização do tratamento de dados para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”. Salvo hipótese em que a lei dispensa o consentimento (LGPD, Art. 7º, II e X e art. 11, II, a – g). Estes princípios exigem que a correlação entre o tratamento dos dados e a finalidade informada seja respeitada, mantendo estreita relação entre adequação e necessidade. Em outras palavras, a “compatibilidade do tratamento com as finalidades informadas ao titular” e a “limitação do tratamento ao mínimo necessário para a realização de suas finalidades”.

Nesse contexto, o princípio da adequação complementa o princípio da finalidade, pois a legitimidade do tratamento de dados depende da compatibilidade (art. 6º, II da LGPD). O princípio da necessidade tem o papel de (1) delimitar os dados coletados ao “estritamente necessário para a finalidade pretendida” (LGPD, § 1º do art. 10), bem como; (2) estabelecer que “serão eliminados após o término do tratamento, no âmbito e nos limites técnicos das atividades” (LGPD. Art. 16); e (3) “solicitar a qualquer momento, perante o controlador, a eliminação dos dados tratados com o consentimento do titular” (LGPD. Art. 18).

ii) Princípio da Qualidade dos dados: Este princípio baseia-se em duas perspectivas: a qualidade dos dados pessoais e o objetivo do tratamento. Consequentemente, os dados alcançam certa qualidade se o tratamento é lícito, pois são dispostos em relação aos propósitos legítimos que inspiram o tratamento. Assim, os dados serão adequados quando estiverem diretamente relacionados ao propósito específico, quando for necessário cumpri-lo; porém, também serão adequados ao responder à exatidão e integridade das informações sobre a pessoa. Finalmente, os dados não serão excessivos quando forem fornecidos em adequação a tal propósito. O tratamento dos dados pessoais deve ser específico e explícito, uma vez que quanto maior a transparência sobre os objetivos, mais fácil será inseri-lo para os fins que justificam a sua avaliação.

iii) Princípio da publicidade: Este princípio é um dos pilares fundamentais da proteção de dados, uma vez que os titulares dos dados não saberão quais são seus direitos enquanto não conhecerem a realidade dos dados pessoais, nem o tratamento a que estão sendo submetidos. A garantia desse princípio assegura aos interessados o exercício dos direitos legalmente reconhecidos.

iv) Princípio do consentimento informado: Na LGPD, o consentimento do consumidor é necessário porque a propriedade dos dados tratados foi e sempre será do seu titular, motivo pelo qual pode revogar a qualquer momento o consentimento. Não basta dizer “aceito” ou “li e concordo”. É preciso que esse consentimento seja livre, informado e inequívoco.

v) Princípio da segurança dos dados: A completude da proteção de dados pessoais está conectada ao princípio da segurança, que não está relacionada à legalidade do tratamento, mas aos riscos do tratamento. O risco para os direitos fundamentais das pessoas naturais pode ter origem em procedimentos de tratamento de dados pessoais passíveis de danos físicos, materiais e imateriais.

Em resumo, a proteção de dados pessoais é essencial nos dias de hoje, e a aplicação correta dos princípios estabelecidos na LGPD é fundamental para garantir a privacidade e a segurança das informações dos cidadãos

3. PRÁTICAS DESENVOLVIDAS NA GESTÃO DE RH

A área de Recursos Humanos é a que mais lida com dados pessoais dentro da empresa. Na base de dados constam informações de colaboradores, da própria empresa e até mesmo dos candidatos às vagas de emprego. Portanto, o setor foi um dos mais impactados pelas mudanças propostas em lei com a chegada da LGPD.

3.1. Coleta de dados pessoais

A coleta de dados pessoais pelo RH é uma prática necessária para a gestão eficiente dos colaboradores de uma organização. Ao recrutar candidatos, o RH geralmente coleta uma quantidade significativa de dados pessoais como, por exemplo: nome, endereço, telefone, histórico escolar, experiência profissional etc. Dessa forma, é importante realizar a coleta de dados de maneira ética, informando aos candidatos sobre como seus dados serão usados para obter consentimento explícito para a coleta e processamento de dados pessoais, especialmente quando se trata de informações sensíveis.

3.1.1 Transparência e Comunicação

A área de gestão de pessoas deve ser transparente sobre a finalidade da coleta de dados e informar os colaboradores sobre como as suas informações serão usadas. A manutenção de uma comunicação clara sobre as práticas de privacidade da empresa é primordial para garantir que todos estejam cientes de seus direitos em relação às suas informações pessoais. A transparência é um princípio fundamental da LGPD, pois garante que as informações sejam claras, precisas e acessíveis em relação ao tratamento dos dados pessoais (LGPD, VI do art. 6º). Deixar de informar a abrangência do tratamento de dados realizado ou o acesso às informações de tratamento viola o princípio da transparência.

3.1.2 Acesso e Controle

É direito do titular dos dados pessoais acessar as próprias informações que são mantidas pela empresa. O que não diz respeito, no entanto, a dados que envolvam segredos comerciais e industriais. Cabe ao RH a Gestão do Conhecimento organizacional com clareza e seriedade para que dados registrados sejam devidamente qualificados e ordenados (LGPD, IV do Artigo 6º). Os Recursos Humanos devem garantir que existam processos estabelecidos para fornecer acesso a informações quando solicitado de forma clara e adequada, estejam elas online ou offline. Assim, todos os colaboradores terão controle das próprias informações, incluindo a possibilidade de corrigir dados imprecisos.

3.1.3 Segurança dos Dados

Dados pessoais armazenados devem ser protegidos contra acesso não autorizado. Isso envolve a implementação de medidas de segurança adequadas, como criptografia, firewalls e controle de acesso. A conscientização dos colaboradores sobre práticas seguras, como senhas fortes e a consciência sobre a importância da proteção para informações confidenciais são fundamentais. Nesse sentido, o inciso VII do Artigo 6º da LGPD estabelece que segurança é a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”. Assim, é obrigatória a implantação dessas medidas de segurança pelos agentes de tratamento (LGPD, Artigo 46), permanecendo mesmo após o término do tratamento (LGPD, Artigos 47 e 48).

3.1.4 Retenção e Descarte Seguro

O Setor de RH deve estabelecer políticas claras para a retenção de dados pessoais. Isso porque a manutenção desnecessária de informações pode representar um risco. Quando os dados não são mais necessários, devem ser descartados de forma segura; essa decisão é capaz de mitigar os riscos de violação de privacidade.

3.1.5 Treinamento e Conformidade

O treinamento dos funcionários numa organização é um fator crítico de sucesso para a segurança. Profissionais de RH devem ser treinados regularmente nas melhores práticas de proteção de dados e leis vigentes. A equipe de RH também deve garantir a conformidade com as regulamentações locais e internacionais sobre proteção de dados pessoais.

3.2 RESPONSABILIDADE DO AGENTE DE TRATAMENTO DE DADOS

Os agentes de tratamento, controladores e operadores, são essenciais para o exercício do tratamento de dados de acordo com a LGPD. O controlador é responsável pelas decisões relacionadas ao tratamento, enquanto o operador realiza o tratamento em nome do controlador. A responsabilidade desses agentes é fundamentada nos Artigos 42 e 45 da legislação, os quais devem ser interpretados à luz das leis vigentes.

É importante ressaltar que a legislação de proteção de dados estabelece que em casos de violação dos direitos dos titulares, especialmente nas relações de consumo, o controlador e operador devem cumprir as regras de responsabilidade previstas na legislação pertinente. Caso ocorra alguma violação que resulte em prejuízos para o titular, seja de ordem patrimonial, moral, individual ou coletiva, os agentes de tratamento devem reparar os danos causados, conforme previsto no Artigo 42 da LGPD.

A LGPD reforça a solidariedade entre a responsabilidade do controlador e do operador, conforme explicitado nos parágrafos 1º e 2º do Artigo 42. Isso significa que ambos os agentes podem ser responsabilizados em conjunto em caso de violação da norma jurídica, demonstrando a importância do cumprimento das disposições legais para garantir a proteção dos dados e direitos dos titulares.

§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:

I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;

II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.

§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.

A LGPD assegura o direito de regresso ao afirmar: “Aquele que reparar os dados ao titular tem o direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso” (§4º do Artigo 42 da LGPD). Além disso, destaca-se a exclusão da responsabilidade dos agentes em determinadas circunstâncias: “os agentes não serão responsabilizados quando comprovarem que não realizaram o tratamento de dados pessoais que lhes é atribuído; ou que, mesmo tendo realizado o tratamento de dados pessoais, não houve violação da legislação; ou que o dano é decorrente de causa exclusiva do titular ou de terceiros”.

Diante desse cenário, surge a dúvida: “a responsabilidade civil dos agentes de tratamento está fundamentada na teoria da culpa ou na teoria do risco da atividade? No trecho entre os Artigos 42 e 45 da LGPD, o legislador não deixa claro qual é a natureza do dever de indenizar, se objetiva ou subjetiva. Assim, surgem diferentes interpretações a partir desses dispositivos.

Existem aqueles que defendem a responsabilidade subjetiva, baseada na culpa do agente, por entenderem que a culpa é uma violação do dever de conduta que deve ser seguido pelo controlador e operador, sob pena de serem responsabilizados (GUEDES; MEIRELLES, 2019, p. 230-231). Nesse sentido, Gisela Sampaio e Rose Meireles (2019, p. 230-231) afirmam:

não faz sentido (…) o legislador criar uma série de deveres de cuidado se não for para implantar um regime de responsabilidade subjetiva. Apesar de a LGPD não se explicitar em relação à natureza da responsabilidade dos agentes de tratamento de dados, há na LGPD diversas pistas que levam à conclusão de que o regime adotado pela LGPD, como regra, foi primeiro o da responsabilidade subjetiva. A primeira é o próprio histórico de tramitação do Projeto de Lei que deu origem à LGPD. A segunda pista é o fato de a LGPD ter todo um capítulo dedicado a segurança e boas práticas. (p. 2019, p. 230-231)

Por outro lado, existem aqueles que defendem a responsabilidade objetiva com o argumento de que o próprio tratamento de dados apresenta riscos intrínsecos e extrínsecos aos seus titulares. De acordo com Danilo Doneda e Laura Mendes (2018, p. 477):

Essas limitações ao tratamento de dados, conjuntamente com a verificação de que a LGPD assume como regra a eliminação dos dados quando seu tratamento esteja encerrado e igualmente o aceno que faz diversas oportunidades à necessidade de se levar em conta o risco presente no tratamento de dados, sejam, em um sentido geral, úteis e necessárias, e que mesmo estas possam ser limitadas quando da verificação de risco aos direitos e liberdades do titular de dados. Trata-se, dessa forma, de uma regulação que tem como um de seus fundamentos principais a diminuição do risco, levando-se em conta que o tratamento de dados apresenta risco intrínseco aos seus titulares.

Há outra posição que adota a teoria proativa da responsabilidade civil, com foco na prevenção e com base no Artigo 6º, X da LGPD, uma vez que os agentes não devem agir de forma reativa. Maria Celina Bodin e João Quinelato (2019, p. 113-135) destacam que “a proteção da intimidade pela não interferência na esfera individual dá lugar à proteção positiva e proativa; ou seja, garante ao titular o pleno conhecimento das formas de tratamento, finalidade e destino de seus dados”.

Dessa forma, conclui-se que a LGPD está fundamentada na teoria do risco; os agentes de tratamento de dados exercem uma atividade que naturalmente pode gerar riscos aos direitos dos titulares dos dados.

4. CONCLUSÃO

A Lei Geral de Proteção de Dados tem como objetivo principal proteger os direitos fundamentais da pessoa natural contra o tratamento ilegal de dados pessoais realizado por qualquer pessoa jurídica, seja de direito público ou privado, e pessoa natural que utilize as informações para fins econômicos. Isso ajuda a reequilibrar a relação entre titulares e agentes.

É imprescindível que as organizações adotem medidas para garantir a proteção das informações pessoais de seus colaboradores (funcionários), em conformidade com a legislação. A falta de conformidade com a LGPD pode acarretar sanções civis, penais e administrativas para a organização. O cumprimento da legislação e a implementação de medidas adequadas de proteção de dados são essenciais para assegurar a segurança e a privacidade das informações no ambiente de trabalho.

Os dados pessoais coletados pela Gestão de Recursos Humanos demandam atenção rigorosa, pois estão sujeitos não apenas ao tratamento e responsabilidade civil dos agentes, mas também ao risco de compartilhamento das informações com outras entidades públicas ou privadas. Por esse motivo, o Sistema de Informações de RH deve iniciar o tratamento dos dados de maneira responsável e ética, garantindo a privacidade e a proteção das informações dos colaboradores (funcionários) ao longo de toda a existência dos dados pessoais na organização.

5. REFERÊNCIAS

ASCENSÃO, José Oliveira. Direito Civil: teoria geral. 2 ed. Coimbra: Coimbra, 2000.

BESSA, Leonardo Roscoe. Responsabilidade objetiva no Código de Defesa do Consumidor. Revista Jurídica da Presidência Brasília v. 20 n. 120 Fev./Maio 2018 p. 20-43 http://dx.doi.org/10.20499/2236-3645.RJP2018v20e120-1747. p.31.

BODIN DE MORAES, Maria Celina; QUEIROZ, João Quinelato de. Autodeterminação informativa e responsabilização proativa: novos instrumentos de tutela da pessoa humana na LGPD. In: Cadernos Adenauer – Proteção de dados pessoais: privacidade versus avanço tecnológico. Rio de Janeiro: Fundação Korad Adenauer, 2019, ano XX, n.3, p. 113-135.

BRASIL. Escola Nacional de Defesa do Consumidor. A proteção de dados pessoais nas relações de consumo: para além da informação creditícia. Elaboração Danilo Doneda. Brasília:SDE/DPDC, 2010.

CHIAVENATO, Idalberto. Recursos Humanos: o capital humano das organizações. 11 ed. São Paulo: Atlas, 2020.

DE CUPIS, Adriano. Direitos da Personalidade. Trad.: REZENDE, Afonso Celso Furtado. Campinas: Romana, 2004.

GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Vescelau. Término do Tratamento de dados. In. TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. São Paulo: RT, 2019.

MAGRANI, Eduardo. Entre dados e robôs: ética e privacidade na era da hiperconectividade. 2 ed. Porto Alegre: Arquipelágo, 2019.

MENDES, Laura; DONEDA, Danilo. Reflexões Iniciais sobre a Nova Lei Geral de Proteção de Dados.  In: Revista de Direito do Consumidor, São Paulo, n. 120, p. 469-483, 2018.

RODOTÁ, Stefano. A vida na Sociedade de Vigilância. A privacidade hoje. Organização, seleção e apresentação de Maria Celina Bodin de Moraes. Trad. Danilo Doneda e Luciana Doneda. Rio de Janeiro: Renovar, 2008.

RODOTÀ, Stefano. Tra diritti fondamentali ed elasticità della normativa: il nuovo códice sulla privacy. Disponível em http://www.litis.it. Acesso em 27 jan. 2020.

1Docente e Coordenadora Adjunta do NPJ do Curso Superior de Direito da Faculdade Lusófona, Campus do Rio de Janeiro. E-mail: paula.ramada@faculdadelusofonarj.com.br

2Coordenadora do Curso Superior de Direito da Faculdade Lusófona, Campus do Rio de Janeiro. E-mail: rosana.moraes@faculdadelusofonarj.com.br

3Coordenador dos Cursos Superiores de Administração e Tecnólogos da Faculdade Lusófona, Campus do Rio de Janeiro. E-mail: Leclerc.victer@faculdadelusofonarj.com.br