A Lei Geral de Proteção de Dados Pessoais (LGPD), representada pela Lei nº 13.709/2018, foi publicada com o objetivo de regulamentar as atividades envolvendo o tratamento de dados pessoais de cidadãos, além de ter alterado dispositivos importantes do Marco Civil da Internet. Trata-se de um marco regulatório importante para a sociedade e para o mercado, uma vez que determina regras para o tratamento de dados pessoais e influencia diretamente empresas.
Diante disso, uma questão importante que vem sendo discutida é a possibilidade de verificar antecedentes criminais antes de concluir a contratação de funcionários. Será possível dispensar um candidato após a consulta de sua ficha criminal? Nesse sentido, a lei trouxe mais maturidade para o procedimento e proporcionou mais segurança jurídica no que se refere à consulta e uso de dados por empresas e até mesmo por pessoas, garantindo maior controle dos titulares sobre os seus próprios dados.
Afinal, a LGPD permite o acesso a antecedentes criminais? Neste post, você vai entender se a Lei Geral de Proteção de Dados proibiu a verificação de antecedentes criminais e vai conhecer as principais questões sobre o tema, como os riscos que envolvem essa verificação. Boa leitura!
A LGPD (Lei nº 13.709/18) é a lei que regulamenta todo o procedimento que envolve o tratamento de dados pessoais de titularidade de qualquer pessoa. Além disso, ela também prevê penalidades para as empresas e demais órgãos que descumprirem as regras legais.
A LGPD foi inspirada na General Data Protection Regulation (GDPR), a legislação europeia que regulamenta o tratamento de dados dos cidadãos europeus e contém regras claras protegendo a privacidade e o sigilo das informações pertencentes a pessoas que vivem na União Europeia, garantindo o direito de seus titulares contra a obtenção não autorizada e o uso não consentido de seus dados pessoais.
Nesse sentido, o principal objetivo da LGPD é proteger os dados de pessoas naturais e jurídicas, atuando para garantir a preservação de direitos fundamentais básicos da pessoa humana, especialmente aqueles que se referem à defesa da sua intimidade, privacidade, honra, dignidade, a proteção ao livre desenvolvimento da personalidade e a autodeterminação informacional.
Além disso, a LGPD também proporciona a liberdade de informação, de comunicação e opinião, e pode ser invocada em qualquer atividade envolvendo o tratamento de dados realizado por pessoa jurídica de direito público ou privado, independentemente do meio em que ela é realizada e do país de sua sede ou do país onde os dados estejam situados.
De qualquer forma, é necessário atentar para o fato de que o tratamento deve ser efetuado dentro do território nacional e os dados pessoais, que são objeto do tratamento, devem ser coletados dentro do país.
A Lei Geral de Proteção de Dados foi editada com o objetivo de regulamentar o uso, a retenção, a administração, movimentação, armazenamento e demais procedimentos que abrangem a gestão de informações pertencentes a cidadãos, clientes e demais usuários. Nesse sentido, a LGDP traz proteção e evita o temido mercado de comercialização de dados pessoais que atua com fins comerciais e sem a autorização do usuário.
A proteção dos dados pessoais abrange os fundamentos de respeito à privacidade, autodeterminação das informações, a liberdade de expressão, liberdade de informação, de comunicação e opinião, a inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento tecnológico e a inovação, o fomento à livre iniciativa, à livre concorrência e à defesa do consumidor, a proteção aos direitos humanos, ao desenvolvimento da personalidade, a dignidade e o livre exercício da cidadania pelos cidadãos.
O Direito do Trabalho, Direitos Humanos e o Departamento de Pessoal sofreram impactos diretos com a vigência da LGPD, principalmente nas questões que envolvem o tratamento de dados pessoais de empregados, pois tais informações costumam ser utilizadas como exemplos em palestras, artigos, reuniões e demais eventos.
De fato, uma relação de emprego pressupõe a coleta efetiva de inúmeros dados pessoais de empregados, tanto para garantir a qualificação do profissional quanto para assegurar o cumprimento de obrigações legais, como a realização de pagamentos e a concessão de benefícios previdenciários, e a inclusão no e-Social, por exemplo.
A LGPD, por si só, não impede a coleta de dados referentes a antecedentes criminais de empregados e candidatos a vagas de emprego. Isso é um mito. Na verdade, a própria jurisprudência impede essa prática por ferir direitos fundamentais à liberdade e à privacidade. No entanto, o Tribunal Superior do Trabalho (TST) permitiu exceções e considerou legal a exigência de apresentação da certidão de antecedentes criminais pelos colaboradores em situações específicas, a depender do tipo de função desempenhada, como:
Nesse sentido, a empresa tem o papel de revisar todo o procedimento de RH, desde a contratação até o desligamento, com o objetivo de identificar novas possibilidades para aumentar a privacidade de empregados, como a observância dos princípios da transparência, a minimização e a qualidade dos dados.
Dessa forma, a empresa contratante deve atentar para a importância de coletar somente os dados considerados essenciais e que sejam estritamente necessários. Além disso, os empregados devem ter conhecimento das técnicas de tratamento de dados que estão sendo realizadas e assegurar que os dados coletados estão todos corretos.
A LGPD não impediu as empresas de monitorarem os seus empregados. Na verdade, essa prática é possível. No entanto, é necessário deixar clara a forma como o monitoramento será feito. Um exemplo comum é o uso de tecnologias para captar dados pessoais dos trabalhadores.
Nesse sentido, a empresa não poderá mais manter, por tempo indeterminado, um banco de currículos de candidatos que se inscreveram para determinado processo de seleção. Afinal, o intuito do profissional é que seus dados fossem utilizados para o preenchimento de determinada vaga.
Se a empresa tiver a intenção de permanecer com os currículos de candidatos para futuras oportunidades que surgirem, ela deverá informar os profissionais e solicitar a autorização para isso, e o candidato tem o direito de recusar.
Todo o procedimento de coleta e de tratamento de dados de pessoas sofreu algum tipo de transformação com a edição da LGDP. Antes de continuar a abordar o assunto, se faz importante conhecer mais sobre os dados que a LGPD menciona. Saiba mais sobre o conceito apresentado pela lei:
A partir da obtenção das informações pessoais de titularidade dos cidadãos, considerados como dados, é possível conhecer melhor o perfil dos indivíduos e permitir a operacionalização nas empresas.
Além disso, também se faz importante entender melhor alguns conceitos previstos na lei:
A edição da LGPD tem o intuito de regulamentar a forma como é realizado o tratamento de dados e de informações pessoais. Nesse sentido, as disposições legais obrigam as empresas, órgãos públicos e demais pessoas jurídicas de direito público e privado a se adaptarem a essas novas normas legais.
Da mesma forma, os escritórios de advocacia, empresas e demais instituições precisam conhecer o conteúdo da lei, a maneira como deve ser efetuado o tratamento de dados, incluindo as normas referentes à verificação de antecedentes criminais.
Diante desse cenário de mudanças e fiscalização referente à aplicação das novas regras, também se faz necessário realizar a contratação de uma equipe técnica especializada no assunto, com o intuito de analisar a situação da empresa e fazer as alterações que sejam necessárias.
Afinal de contas, o descumprimento das disposições legais pode acarretar a aplicação de penalidades, como a imposição de multa. Nesse sentido, o ideal é contar com o auxílio de uma equipe jurídica e de tecnologia da informação, com funcionários experientes e que dominam as disposições da lei.
A LGPD contém regras diretas sobre o tratamento de dados que devem ser obedecidas por todas as empresas, órgãos públicos, escritórios de advocacia e demais instituições. Nesse sentido, essa legislação exerce influência direta e prática em diversas operações, incluindo a análise de antecedentes criminais em departamentos policiais, escritórios de advocacia e empresas.
Confira, a seguir, os principais exemplos que demonstram a influência da LGPD nas empresas:
A lei prevê que o tratamento de dados deve ser realizado por 2 agentes, cada um deles tem funções e responsabilidades específicas. Confira, a seguir:
O art. 37 da LGPD determina que:
"O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse."
A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
No mesmo sentido, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança da informação e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
O art. 40 dispõe que:
“A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência”.
Com a entrada em vigor da LGPD, as empresas e todas as instituições devem começar a se adaptar às novas regras e lidar com essa nova realidade. Aí surgem muitas questões sobre como implementar a LGPD na empresa, garantir o máximo de proteção dos dados, evitar vazamentos e penalidades.
Confira, a seguir, algumas estratégias que podem ser utilizadas para garantir que as operações das empresas estejam de acordo com as determinações da LGPD e para que seja possível se adequar às novas regras.
As técnicas de compliance garantem que as empresas estejam em conformidade com as normas, leis, regulamentos, políticas e diretrizes determinadas pelas leis estabelecidas. Para isso, é essencial definir ações específicas, como o mapeamento de operações internas que envolvem a captação e o tratamento de dados, bem como o levantamento de dados pessoais para que possam ser analisados e organizados conforme a sua relevância e o departamento.
Além disso, o compliance também abrange a adequação das ferramentas de acordo com as orientações da LGPD, a revisão de conteúdos e materiais, como os Termos de Uso e as Políticas de Privacidade, além da releitura de contratos, de modo a garantir a adequação desses documentos com a LGPD.
Pode ser necessário corrigir contratos e ajustar contratos e acordos de prestação de serviços internos e externos referentes a empresas e equipes que tenham acesso direto a dados em seu nome.
É importante listar todas as mudanças a serem implementadas. Também é necessário investir em ferramentas de segurança e atualizar os sistemas. Nesse sentido, é essencial contar com o apoio de uma equipe de tecnologia da informação bem-estruturada e que garanta a proteção dos sistemas.
Como consequência, pode ser necessário oferecer treinamentos para a equipe para assegurar o bom trabalho e garantir a efetividade dos profissionais que atuam nesse setor. Além disso, também se faz importante a criação de manuais, guias e relatórios com o intuito de garantir boas práticas e a uniformidade das operações dentro das empresas.
A política de governança de dados consiste em regras e procedimentos baseados em uma estrutura organizacional e o gerenciamento de dados corporativos.
A implementação da governança de dados envolve um passo a passo, como a identificação dos titulares da informação, o desenvolvimento de uma estratégia específica, o uso correto das informações, a análise e medida dos riscos, e resultados.
Sendo assim, os membros da equipe terão a oportunidade de adquirir conhecimentos sobre o assunto e obterem a capacitação necessária, como medida efetiva para garantir a segurança das informações, a privacidade e a proteção de dados contra ações que vão contra as disposições legais.
Essas medidas têm natureza preventiva e visam a proteção dos dados, dotados de sigilo e de confidencialidade. É uma maneira de garantir a segurança e impulsionar a cultura de proteção de dados no ambiente interno de empresas.
Nesse sentido, confira a redação do art. 50 da LGPD:
Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Sendo assim, ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes do tratamento de dados do titular.
No mesmo sentido, o controlador poderá implementar um programa de governança em privacidade e demonstrar a efetividade dele quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas, ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta lei.
A edição da LGPD fez surgir a necessidade de efetuar a revisão de contratos que foram firmados com os clientes, fornecedores e demais parceiros que fornecem serviços antes da lei. Afinal, a lei promoveu várias alterações no que se refere ao consentimento e tratamento dos dados.
Nesse sentido, se faz importante reler, ajustar e reanalisar os contratos, e, caso seja necessário, incluir novas condições e cláusulas de adesão, como é o caso da introdução de políticas de confidencialidade, e demais questões envolvendo o sistema interno do escritório, o sistema ERP, os provedores de internet, hospedagens de sites etc.
A equipe de TI exerce uma função de grande importância no referente à segurança do sistema operacional e informatizado da empresa. Esses profissionais são responsáveis por arquitetar o sistema de segurança e proteger o sistema contra ações maliciosas de criminosos mal-intencionados que agem com o único objetivo de ter acesso ao sistema e promover o furto e perda de dados ou vazar arquivos sigilosos — e, assim, prejudicar as operações internas e manchar a reputação da empresa, diminuindo a confiabilidade perante os clientes e o mercado.
Diante desse risco, é essencial elaborar um planejamento estratégico com o objetivo de garantir a segurança dos sistemas e fazer a contratação de profissionais devidamente capacitados e que tenham experiência de atuação no ramo.
A LGPD determina a necessidade de consentimento expresso dos indivíduos titulares de dados pessoais para que essas informações possam ser coletadas e posteriormente utilizadas por empresas, escritórios e outras instituições. Isso significa que é obrigatória a autorização expressa do usuário ou cliente.
Antes disso, a instituição deve elaborar uma solicitação e esclarecer os motivos que levam ao pedido de autorização, esclarecendo a determinação contida na LGPD e a necessidade obrigatória de autorização para que seja possível utilizar os dados pessoais dos indivíduos. A empresa deve apresentar o objetivo de coleta e uso dos dados e como eles serão utilizados.
Além disso, o titular dos dados tem o direito de saber quais serão recolhidos, os meios utilizados, o período no qual eles serão armazenados, a identidade da pessoa responsável por manipular esses dados, se são compartilhados com terceiros, entre outras questões.
De qualquer forma, eventuais mudanças também devem ser comunicadas aos usuários, sob pena de imposição de penalidades previstas na lei. Mesmo após a autorização expressa, o indivíduo ainda tem a liberdade de voltar atrás e cancelar a autorização para o efetivo de tratamento dos dados que havia concedido anteriormente, se assim ele desejar. Também é possível modificar alguns elementos, corrigir, excluir ou complementar os dados.
Nesse sentido, confira a redação do art. 9º da LGPD:
O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso.
A LGPD garante a privacidade de dados pessoais de seus titulares e pressupõe o devido consentimento prévio para a coleta, armazenamento e demais operações envolvendo o tratamento de dados. Da mesma forma, a lei permitiu às empresas verificar antecedentes criminais de seus empregados em casos específicos. De qualquer forma, é essencial seguir as determinações legais e não extrapolar os limites para não incidir em penalidades.
Por falar em tratamento de dados, você sabe como se proteger os arquivos contra ações criminosas? Entenda como evitar o vazamento de dados!