Recursos Humanos e a aplicação do RGPD: os 5 erros mais comuns
Assim que entrou em vigor, o Regulamento Geral de Proteção de Dados (conhecido como “RGPD”) (Regulamento UE 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016) impôs novas obrigações às empresas – de todos as dimensões – em matéria de proteção de dados pessoais, conduzindo a inúmeras alterações internas.
É agora fortemente recomendado – ou até mesmo obrigatório, dependendo das obrigações da empresa em determinados aspetos relacionados com o tratamento de dados pessoais – o cumprimento das obrigações legais, nomeadamente no que diz respeito à Gestão de Recursos Humanos. O empregador tem a responsabilidade de garantir a segurança efetiva dos dados pessoais dos seus empregados, bem como de respeitar os seus direitos nessa matéria.
Porém, na prática, ainda observamos muitos erros cometidos pelos departamentos de Recursos Humanos. Neste artigo, convidamo-lo/a a descobrir os cinco erros mais comuns cometidos por departamentos de RH ou empregadores e as melhores práticas a implementar para os evitar.
Erro n.º 1 - Recolher muita informação
Qual é o erro cometido?
No exercício das suas funções, o gestor de RH está obrigado a recolher dados pessoais em três situações muito específicas:
– Ao conduzir entrevistas de emprego, analisando várias candidaturas.
– No recrutamento de um candidato, através da assinatura do contrato de trabalho e do cumprimento das formalidades subsequentes.
– Durante a vigência do contrato de trabalho: mudança ou evolução de cargo, avaliações anuais, cálculo de contribuições para a segurança social, etc.
Isto significa que o gestor de Recursos Humanos terá em mãos um fluxo substancial de dados e, em cada etapa, a mesma pergunta que se repete: que dados posso coletar?
Às vezes, especialmente no recrutamento, existe uma grande tentação de reunir o máximo de informações possível sobre um candidato, principalmente para tentar encontrar o colaborador ideal. No entanto, este é um erro cometido com demasiada frequência pelos departamentos de RH: a recolha de dados inúteis ou supérfluos.
O objetivo desta recolha de dados parece razoável. É necessário analisar todas as candidaturas recebidas, certificar-se de que sabe tudo sobre um candidato a um determinado cargo e evitar surpresas desagradáveis, recolher informações essenciais sobre um funcionário para a realização de procedimentos administrativos. Entre todas estas questões, muitas vezes os dados são recolhidos pelo único motivo de “Nunca se sabe, pode ser útil”.
No entanto, isto vai contra um princípio estabelecido pelo RGPD, o da minimização de dados. O princípio da minimização de dados é uma das recomendações estabelecidas pelo RGPD para permitir um tratamento dos dados pessoais que respeite os direitos das pessoas singulares e evitar excessos.
Em si, este princípio é relativamente simples: só podemos recolher e tratar os dados estritamente necessários para cumprir a finalidade do tratamento. Em termos mais concretos: apenas recolhemos os dados de que necessitamos em relação ao objetivo a que nos propusemos (art.º 5.1 c) do RGPD).
Aqui estão alguns exemplos de recolha de dados que não atendem a este princípio:
– Guardar os números de segurança social de todos os candidatos durante as entrevistas de emprego (o que fará com este dado de candidatos reprovados?).
– Manter dados obsoletos sobre um funcionário.
– Pedir a um candidato informações sobre a sua situação familiar e a sua vida privada.
– Instalar câmaras de videovigilância nas casas de banhos da empresa.
Como implementar o princípio da minimização de dados no RH?
Interrogue-se sobre a necessidade dos dados recolhidos! Eu realmente preciso destes dados? Se sim, por quê?
Se a resposta for “talvez eu precise” ou “nunca se sabe”, o melhor é evitar a recolha dos dados em questão.
Trata-se, portanto, de nos colocarmos as seguintes questões:
– De quais dados eu preciso especificamente? Os dados devem ser relevantes e vinculados à finalidade do tratamento.
– Esses dados são essenciais para mim? Caso exista uma solução alternativa para realizar o tratamento em questão, essa solução deverá ser privilegiada e não serão recolhidos dados desnecessários.
Erro n.º 2 - Armazenar dados desnecessários
Qual é o erro cometido?
Este erro é frequentemente cometido:
– No momento do recrutamento, o departamento de RH guarda dados sobre os candidatos que não foram selecionados para uma vaga.
– Durante a execução do contrato de trabalho, o departamento de RH retém dados obsoletos sobre os colaboradores existentes (por exemplo, se o colaborador mudou de casa e a empresa manteve a sua morada antiga).
O RGPD e a Comissão Nacional de Proteção de Dados alertam que os dados não podem ser mantidos por períodos de tempo ilimitados. Existem dois cenários:
– Ou a lei impõe um período de retenção para dados específicos.
– Ou a lei é silenciosa. Cabe, portanto, ao responsável pelo tratamento definir ele próprio o período de conservação dos dados. Mas deve fixar uma duração proporcional ao objetivo.
Decorridos os prazos (fixados por lei ou pelo responsável pelo tratamento), os dados deverão ser eliminados ou anonimizados. Por exemplo, no caso dos softwares de Gestão de Recursos Humanos, referimo-nos a esta questão como “purgar” dados.
Como estabelecer períodos de conservação adequados para os dados tratados pelos RH?
Relativamente aos seus candidatos, a CNPD impôs a obrigação de eliminação dos dados pessoais do candidato por um período de dois anos após o último pedido que ficou sem resposta. Ou seja, se após dois anos não tiver recebido resposta de um candidato, deverá eliminar os dados pessoais que possui.
Relativamente aos dados obsoletos dos seus atuais colaboradores, deverá garantir que todos os dados que possui são exatos e mantidos atualizados. Quaisquer dados imprecisos devem ser eliminados ou retificados.
Para o ajudar neste processo de eliminação de dados desnecessários ou obsoletos, recomendamos que configure um repositório de retenção de dados pessoais, que lhe permita monitorizar os períodos de retenção de dados pessoais.
Além disso, todos os períodos de conservação de dados devem ser inscritos no registo de tratamento de dados da empresa.
Erro n.º 3 - Não proteger os dados dos funcionários
Qual é o erro cometido?
Os erros mais comumente observados são:
– As informações pessoais dos funcionários não estão sujeitas a nenhuma proteção específica (por exemplo, não há senhas nos computadores, os ficheiros nos quais os dados aparecem não estão protegidos ou criptografados).
– As informações pessoais são fornecidas a várias pessoas terceiras (por exemplo, subcontratados, escritórios de contabilidade, escritórios de advocacia) sem reger esse acesso por cláusulas contratuais que delimitem a responsabilidade das partes.
– Em caso de mudança de cargo, o acesso aos dados dos colaboradores não é atualizado.
Contudo, em termos de proteção de dados pessoais, cada entidade que trata dados pessoais deve garantir um nível de segurança adequado, adaptado aos seus meios e necessidades. Esta obrigação de segurança dos dados pessoais está prevista no artigo 32.º do RGPD.
Portanto, em termos de segurança de dados, as obrigações pesam sobre as empresas tanto a nível físico como a nível virtual e informático.
Consideramos que a empresa deve tomar medidas adaptadas aos seus meios e capacidades financeiras e materiais. Durante uma fiscalização, caberá ao empregador comprovar que utilizou todos os meios ao seu alcance para proteger os dados pessoais tratados e recolhidos dos seus colaboradores.
Como proteger eficazmente os dados pessoais dos colaboradores?
Aqui estão algumas recomendações:
Estabeleça e registe um processo para proteger os dados pessoais dos seus funcionários: limite o acesso, estabeleça um procedimento de renovação de senha, criptografe dados confidenciais, exclua dados obsoletos ou dos seus ex-candidatos. O software de gestão Kelio RH permite, por exemplo, o estabelecimento de direitos de acesso a dados muito refinados, dependendo dos perfis dos utilizadores e das suas autorizações.
Nas relações com os seus subcontratados e prestadores de serviços, estabeleça cláusulas contratuais nos seus contratos detalhando os termos de utilização dos dados pessoais partilhados com terceiros. Estabelecer as regras de responsabilidade entre o subcontratado (os seus prestadores de serviços) e o responsável pelo tratamento dos dados (serviços de RH), estabelecer obrigações de confidencialidade e proteção. Se necessário, solicite a redação destas cláusulas por um advogado especializado em dados pessoais.
Estabeleça uma verdadeira cultura corporativa de proteção de dados pessoais para consciencializar os seus funcionários sobre as suas obrigações no tratamento desses dados: planeie formações, consciencialize os seus funcionários sobre os riscos da fuga de dados.
Utilize ferramentas que atendam aos padrões de segurança ditados pela CNPD e pela Comissão Europeia. Escolha servidores e ferramentas informáticas em servidores portugueses ou europeus que facilitem a implementação da sua conformidade com o RGPD.
Lembre-se de realizar backups regulares de dados e realizar testes de segurança informática anualmente para evitar qualquer intrusão. Por outro lado, implemente limpezas regulares de dados, com base nos períodos de retenção recomendados para cada tipo de dados pessoais.
Erro n.º 4 - Não estar atento às novas tecnologias
Qual é o erro cometido?
Um exemplo recente é o aumento da utilização de sistemas de videovigilância. Com demasiada frequência, estes sistemas são implementados sem respeitar as obrigações legais e regulamentares, em detrimento do respeito pela vida privada dos trabalhadores.
Como garantir o respeito pela vida privada dos colaboradores de uma empresa?
Em primeiro lugar, colocar-nos-emos a questão da necessidade do recurso à videovigilância. Embora a lei não proíba os empregadores de utilizar estes sistemas, isso não os isenta de questionar a relevância de tal sistema. Antes mesmo de usá-lo, pergunte-se o seguinte:
– Eu realmente preciso de um sistema de videovigilância na minha empresa? Não existem soluções alternativas menos invasivas à vida privada do trabalhador?
– Se sim, porquê? Como posso justificar o uso da videovigilância? Qual é o meu interesse legítimo?
Depois de colocar essas perguntas a si mesmo, precisará de garantir uma série de etapas práticas para instalar esses dispositivos em conformidade com os regulamentos aplicáveis.
Em primeiro lugar, existe uma série de locais que não podem ser sujeitos a videovigilância: áreas de descanso e sanitários, instalações sindicais ou de representantes do pessoal (nem o seu acesso quando estes conduzem apenas a estes locais). Além disso, não pode instalar câmaras apontadas diretamente para os funcionários nos seus postos de trabalho. Se, por exemplo, quiser monitorizar um bancário que está a movimentar dinheiro, terá de apontar a câmara para a caixa e não para o funcionário.
Para instalar as câmaras, irá, portanto, privilegiar as entradas e saídas dos edifícios, as áreas onde são armazenadas mercadorias ou valores, as saídas de emergência e vias de tráfego.
Além disso, para dar continuidade ao erro nº 2 acima mencionado, terá de apagar as imagens assim que elas não tiverem mais utilidade para si. Não pode manter as imagens para sempre. Em princípio, as imagens serão guardadas durante um mês. No entanto, poderá conservá-las por mais tempo se forem necessárias para efeitos probatórios no contexto de um processo disciplinar ou criminal.
Adicionalmente, tem o dever de informar os seus funcionários sobre a implementação do sistema de videovigilância, bem como os órgãos representativos do pessoal. Informe-os sobre a finalidade pretendida (a utilidade das câmaras), o período de conservação das imagens, os direitos dos indivíduos sobre as imagens, os destinatários das imagens, a base jurídica do dispositivo e os dados de contacto do responsável pelo tratamento dos dados.
Não se esqueça dos cartazes nas instalações da empresa sujeitos a videovigilância bem como do pictograma que indica a presença de câmara de videovigilância.
Por último, e tal como recorda a CNPD, é obrigatória a realização de uma análise de impacto antes da instalação de sistemas de videovigilância para avaliar o risco para a vida privada dos seus colaboradores.
Erro n.º 5 - Não dar formação suficiente à sua equipa sobre o RGPD
Os quatro erros anteriores são consequências diretas deste quinto erro. Na verdade, poderiam ter sido facilmente evitados se primeiro tivesse dedicado algum tempo à formação dos seus colaboradores sobre as questões relacionadas com o tratamento de dados pessoais.
Sensibilizar os seus colaboradores para o tratamento e proteção de dados pessoais pode ser útil na formação dos seus colaboradores em procedimentos fundamentais, uma vez que hoje os dados estão no centro da atividade de todas as empresas. Esta formação permitirá que cada colaborador conheça as suas obrigações e possa cumprir o procedimento aplicável.
Como tal, deverá ministrar formação aos seus colaboradores sobre a proteção de dados pessoais. Esta formação consciencializa todos os seus colaboradores sobre as medidas de vigilância relativas à segurança dos dados pessoais.
Também recomendamos que desenvolva um manual de boas práticas para utilização dos meios digitais na sua empresa. Este manual, distribuído a todos os seus atuais e futuros colaboradores e que pode, por exemplo, ser solicitada a assinatura via Kelio, é uma garantia da preocupação que a sua empresa tem relativamente à proteção dos dados pessoais e contribui para a documentação do seu cumprimento.
Por último, pode recorrer à nomeação de um responsável pela proteção de dados pessoais (DPO) para o/a apoiar nesta conformidade. Na verdade, o papel do DPO é:
– Informar e aconselhar o responsável pelo tratamento.
– Monitorar a conformidade com o GDPR.
– Cooperar com as autoridades de supervisão.
– Realizar estudos de impacto sobre a proteção de dados e implementar medidas de segurança de dados (por exemplo, manutenção de um registo de tratamento).
– Gerir continuamente a conformidade da sua empresa com o RGPD.
Este responsável irá ajudá-lo/a na formação e sensibilização dos seus colaboradores e garantirá o melhor cumprimento das suas obrigações relativas ao tratamento de dados pessoais.
O software Kelio e os nossos especialistas apoiam-no/a na gestão diária dos dados pessoais dos seus colaboradores. Conheça as funcionalidades das soluções e serviços Kelio que podem ajudá-lo nesta tarefa no dia a dia!
