Lei Geral de Proteção de Dados
Conceitos gerais e impactos no RH e DPAula 02
LGPD e recursos humanos: quais os riscos e como se preparar
Sanções administrativas
● Advertência;
● Multa simples (até R$ 50 milhões); ● Multa diária;
● Publicização da infração;
● Bloqueio ou eliminação dos dados objeto da infração;
● Suspensão do tratamento ● Proibição do tratamento
Sanções administrativas
● Poderão ser aplicadas a partir de 1º de Agosto de 2021
● Demonstrar boa-fé e reiterada adoção de boas práticas no tratamento dos dados será
fundamental em eventuais processos
● A Lei prevê expressamente que o controlador deverá proceder com a reparação patrimonial e/ou moral, individual ou coletiva do dano
● Dano in re ipsa (dano presumido)?
● Solidariedade entre os agentes de tratamento (toda a cadeia de tratamento)
● Ônus dos agentes de tratamento de provar: I - que não realizaram o tratamento de dados pessoais que lhes é atribuído; II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro
● Aplicável concomitantemente as legislações paralelas, como o Código de Defesa do Consumidor, a CLT...
Como me prevenir? É hora de
iniciar um programa de
implementação!
● Diminuição de riscos e contenção de danos
● Projeto multidisciplinar (TI, Rh, Marketing, Jurídico…) ● Deve ser vertical, do topo até a base
● Processo que necessita de engajamento de toda a equipa e um esforço contínuo
Projeto de implementação ASSESSMENT DATA MAPPING
01
03
02
04
05
06
GAP ANALYSIS REVISÃO DOCUMENTAL WORKSHOP E WORKFLOW REVISÃO E IMPLEMENTAÇÃO1) Assessment
● Diagnóstico da atual situação da empresa
● Identificação das áreas de foco
● Compreensão de urgências e principais necessidades
2) Data Mapping
● Levantamento do inventário de dados ● “Coração” da implementação
● A ideia é conseguir responder: 1. Os dados são pessoais? 2. Quem utiliza os dados? 3. Como os dados são coletados? 4. Quem é o responsável pelo tratamento? 5. Por quanto tempo os dados são mantidos? 6. Onde os dados são tratados? 7. Quais dados devem ser retornados a pedido do titular? (SAR: subject access request) 8. Quais dados devem devem ser removidos a pedido do titular? (DDR: data deletion request) 9. Qual a base legal de tratamento? 10.. Qual a finalidade do tratamento? 11. Como é feito o armazenamento dos dados? (plain text, encrypted, hashed)
3) Gap Analisys
●
Localização da lacunas existentes
4) Revisão e elaboração de
documentos:
● Neste ponto, havendo maior clareza em relação ao tratamento realizado, surgem uma série de documentos a serem elaborados e adequados, por exemplo:
Termos de uso, Política de privacidade, Termo de consentimento, Relatório de impacto (legítimo interesse), Cláusulas contratuais (contratos de trabalho, prestação de serviço, fornecedores…), Política de retenção de dados, Notificação de violação de dados, Etc...
5) Workshops e Workflow:
● Treinar toda a equipe é essencial!
● Compreensão e conscientização são parte primordial para um bom compliance em proteção de dados
● Criação de procedimentos padrão a serem integrados ao dia a dia da empresa visando cumprir as disposições da Lei
6) Revisão:
●
Certificação de que todos os “Gaps”
foram preenchidos, assegurando-se da
plena compreensão das previsões legais
1) Façam registro de tudo
2) Como escolho o DPO? Há requisitos impostos pela lei?
Toda empresa necessita de um DPO? Quais as características necessárias para esse profissional? Pode ser uma empresa? Deve ser público!
3) O legado de dados é importante, não podemos ignorá-lo
E o RH e DP?
Dicas importantes:
4) Fase pré-contratual, atenção com o processo seletivo:
Quais dados vou solicitar? Por quanto tempo irei armazená-los? É preciso informar o candidato e colher seu consentimento. Dinâmica para traçar perfil comportamental gera dados pessoais (art. 12, parágrafo 2º). Posso colher informações disponíveis nas redes sociais do candidato?
E o RH e DP?
Dicas importantes:
5) Atenção com o compartilhamento de dados com terceiros: Necessário adequar os contratos firmados com
esses terceiros com previsão de obrigação de adequação, bem como possibilidade de auditoria. Esse compartilhamento deve ser informado ao titular (cláusula apartada e clara, com disposição de cada compartilhamento e indicando sua finalidade e necessidade
E o RH e DP?
Dicas importantes:
6) Sobre os contratos de trabalho: é possível ser feito por
aditivo, mas é necessário organização. É necessário constar quais dados são tratados, para qual fim, por quanto tempo durará e com quem será compartilhado. A base legal será o consentimento? Este deve ser obtido em cláusula apartada, granulada e clara
E o RH e DP?
Dicas importantes:
7) Crie políticas internas com regras a serem adotadas pelos colaboradores em prol das boas práticas em segurança da informação
8) Crie procedimento para que seus colaboradores, como titulares de dados, possam exercer os seus direitos
E o RH e DP?
Dicas importantes:
9) Treine, treine e treine! Seus colaboradores devem ter
ciência da responsabilida existente no tratamento de dados pessoais, bem como devem saber lidar com incidentes que possam ocorrer durante o tratamento
10) Atenção com ciclo de vida dos dados e duração do tratamento
E o RH e DP?
Dicas importantes:
11) Acordo coletivo pode ser útil para validar o tratamento 12) Responsabilidade do colaborador (solidariedade do
operador?)
Bônus: Covid-19 e Home Office
E o RH e DP?
Dicas importantes:
A palavra chave é:
Perguntas ou
comentários?
CREDITS: This presentation template was created by Slidesgo, including icons by Flaticon, and infographics & images by Freepik
Obrigado!
Quer entrar em contato comigo? lima@limabrandao.com
(44) 99922-2307 @igorbobl