Bom Dia LGPD

❤️RH é um microcosmo da conformidade com a LGPD

#bomdialgpd


Sepudesse voltar aos início dos projetos de conformidade com a LGPD ia procurar fazer um projeto fim-a-fim na área de RH e depois multiplicar por toda a empresa.


Pense grande, comece pequeno, cresça rapidamente.


O RH é a área que mais sabe tratar o principal insumo da LGPD: as pessoas, e mais ainda; as informações e os dados das pessoas. Antes do mundo digital, o RH já se preocupava com o sigilo, a privacidade e a ética no tratamento dos dados de pessoas.


Podemos dizer que o RH é o microcosmo da conformidade corporativa da LGPD, no RH acontecem praticamente todas as situações exigidas nos requisitos da LGPD. Na Módulo nosso RH ajudou bastante no nosso entendimento e ao dar sensibilidade quanto ao uso de dados pessoais em seus diferentes aspectos, e ainda foi importante na execução de vários projetos.


Escrevi em artigos anteriores que "fatiamos" a LGPD e a organizamos em assuntos que agrupam os artigos, parágrafos, incisos, itens e alíneas da LGPD. Veja alguns exemplos de como os processos do RH se aplicam aos requisitos da LGPD:


  • (Art 01.. 02.. 05.. 06) Fundamentos. Definições e Princípios - Capacitação, engajamento, conscientização, políticas;
  • (Art 03.. 04) Aplicação da Lei - Capacitação, engajamento, conscientização, políticas;
  • (Art 06 III) Minimização - Redução do número de bases de funcionários em planilhas nas mão de várias pessoas nas equipes, redução dos dados pessoais compartilhados;
  • (Art 07) Base Legal, Hipóteses de Tratamento - classificar as hipóteses de tratamento das operações de tratamento do RH e realizar reavaliação contínua;
  • (Art 08) Consentimento - Gestão do consentimento dos dados pessoais dos candidatos a vagas, ou classificar estas operações como legítimo interesse ou contrato;
  • (Art 09. 17 .. 22. 51) Direito do Titular - recepção de demandas dos colaboradores e gestão dos dados pessoais, apoio às respostas aos titulares que sejam colaboradores ou ex-colaboradores;
  • (Art 10) Legítimo Interesse - Identificação das hipóteses de tratamento e aplicação das avaliações do tipo LIA - Legitimate Interests Assessment. O RH tem ótima sensibilidade nas respostas ao LIA;
  • (Art 11) Dados Sensíveis - Plano de saúde, medicina corporativa, programas de diversidade, equidade e inclusão (d&i);
  • (Art 12) Anonimização - estruturar as consulta ao BI sem a necessidade de identificar os titulares, somente identificar o titular quando necessário;
  • (Art 13) Saúde Pública - não aplicável ao RH na maior parte das organizações;
  • (Art 14) Crianças e Adolescentes - dados pessoais dos dependentes dos funcionários associados aos benefícios e aplicações como eSocial;
  • (Art 15..16) Término do Tratamento. Eliminação. Temporalidade - tabelas de temporalidade conforme a legislação trabalhista;
  • (Art 20) Decisões Automatizadas - algoritmos de avaliação automatizada de perfis de candidatos;
  • (Art 23 .. 32.. 62) Poder Público - não aplicável ao RH na maior parte das organizações
  • (Art 24) Empresas Públicas e Soc de Economia Mista - não aplicável ao RH na maior parte das organizações;
  • (Art 33 .. 36. 61) Transferência Internacional - gestão de dados pessoais de expatriados e suas famílias e do encaminhamento de colaboradores ao exterior em jornadas curtas ou longas;
  • (Art 37) Registro de Operações (RoPA) - organização dos dados pessoais nas operações de tratamento utilizando sistemas internos e externos;
  • (Art 38) Relatório de Impacto (DPIA) - identificação das operações de tratamento candidatas ao RIPD e apoio à avaliação de riscos e elaboração do documento;
  • (Art 39) Agentes de Tratamento - gestão de agentes de tratamento como planos de saúde, vale transporte, bancos, cartão refeição, aplicativos de curriculuns, órgãos do governo;
  • (Art 40) Uso Compartilhado de Dados - compartilhamento de dados pessoais com prestadores de serviços e organizações governamentais;
  • (Art 41) Encarregado pelo Tratamento de Dados Pessoais (DPO) - apoio ao DPO, conforme a estrutura do RH vale destacar um ponto focal para o assunto de proteção de dados, algumas organizações os chamam de "privacy champions";
  • (Art 42 .. 44.. 52 .. 54) Responsabilidade e Sanções - dados pessoais em ações trabalhistas;
  • (Art 45) Relação de Consumo - não aplicável ao RH na maior parte das organizações;
  • (Art 46 .. 49) Segurança da Informação - parceria com a área de segurança da informação na proteção de dados em sistemas, pastas eletrônicas, papel e meios de comunicação (por exemplo email e whatsapp);
  • (Art 46 § 2) Privacy by Design e Privacy by Default - aplicação do modelo nos novos projetos e iniciativas;
  • (Art 48) Gestão de Incidentes e Monitoramento - identificação e apoio na gestão de incidentes;
  • (Art 49) Gestão do Inventário - identificação dos ativos internos e externos de tratamento de dados pessoais. A equipe do RH comumente utiliza sistemas de terceiros que tratam dados pessoais (curriculuns, governo, saúde, ...) e estes sistemas devem estar inventariados pois eles realizam o tratamento de dados pessoais;
  • (Art 50) Boas Práticas e Governança - apoio aos programas corporativos.


Em processos de melhoria contínua e atualização de obrigações, o RH é um bom candidato a estar no primeiro lugar na fila pois é uma área que tem motivação, conhecimento e experiência no tratamento de dados pessoais.


Obrigado,


Abraço,


FNery.


Descrição da imagem no DALL-E: "Can you draw a picture of different colorful planets, each with a person standing on top, in the style of the characters in 'The Little Prince' book? hyperrealistic, futuristic, 3d render, digital art"

Recursos Humanos (Art 37) Registro de Operações (RoPA)
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato