O Regulamento da UE (União Europeia), 2016/679também conhecido como Regulamento Geral de Proteção de Dados (RGPD), entrou em vigor maio 25, 2018 após um período de transição de dois anos. O regulamento exige que todas as empresas que operam na União Europeia adotem novas políticas, processos e práticas ao gerenciar os dados pessoais de seus clientes, usuários, fornecedores e trabalhadores.
O RGPD tem um impacto enorme sobre os departamentos de RH, pois eles devem adaptar seus processos para cumprir os requisitos deste regulamento.
O objetivo do RGPD é padronizar e fortalecer os direitos dos residentes europeus em relação aos seus dados pessoais. Isso significa que qualquer empresa que lide com dados pessoais de residentes da UE deve cumprir os novos padrões de transparência, segurança e responsabilidade.
Como o GDPR afeta os recursos humanos?
O RGPD exige que as empresas armazenem apenas dados essenciais, precisos e atualizados de funcionários. Além disso, as empresas devem comunicar claramente como, onde e por quanto tempo as informações pessoais de um funcionário serão armazenadas. Da mesma forma, os funcionários podem utilizar suas informações a qualquer momento, bem como solicitar uma cópia dos dados armazenados e solicitar sua exclusão.
As equipes de RH devem entender o risco e a responsabilidade envolvidos no tratamento das informações dos funcionários para evitar sanções, pois a não conformidade pode resultar em multas de até € milhões20, ou 4 por cento do faturamento anual.
Principais fatores do GDPR em Recursos Humanos
Para cumprir o RGPD, as equipes de RH devem ajustar e melhorar seus processos de gestão de funcionários para garantir os direitos dos funcionários e seguir as diretrizes de proteção de dados.
Aqui estão os fatores mais críticos que os recursos humanos devem levar em consideração:
1. Coleta de dados pessoais
A coleta e o processamento de dados pessoais são legítimos e limitados a informações relevantes para o cumprimento do contrato de trabalho (por exemplo, sistemas de ponto e frequência), ou informações que são necessárias para o cumprimento de uma obrigação legal (por exemplo, folha de pagamento).
O consentimento é necessário quando não há outra base legal que valide o processamento dos dados (por exemplo, uma conta de e-mail pessoal).
2.Direito dos funcionários de serem informados
As empresas são obrigadas a informar os funcionários sobre a finalidade e a base legal do processamento de dados e o período de retenção dos dados pessoais. Essas informações devem ser fornecidas no momento em que os dados pessoais do funcionário são obtidos.
3. Novos direitos para os funcionários
O RGPD introduziu novos direitos dos funcionários, como o direito à portabilidade de dados, que permite aos funcionários obter e reutilizar seus dados pessoais para seus próprios fins em diferentes serviços. Ela também regula direitos específicos, como o direito de ser esquecido, que permite aos funcionários solicitar a exclusão de seus dados pessoais, e o direito de retificação, que concede aos funcionários o direito de obter a retificação de dados pessoais imprecisos.
O direito de se opor às atividades de criação de perfil impede que as empresas tomem decisões baseadas exclusivamente no processamento automatizado, o que terá um impacto importante na implementação de software de inteligência artificial na área de recursos humanos.
4. Responsável pela proteção de dados
As empresas devem nomear um responsável de proteção de dados (DPO) que atue com independência e com os recursos necessários para o desempenho de suas funções. O DPO é responsável por monitorar a política de proteção de dados da empresa e sua implementação para garantir a conformidade com o RGPD.
5. Avaliações de impacto e violações de segurança
As empresas devem realizar avaliações de impacto para identificar as operações que representam um risco significativo para os direitos dos trabalhadores ou uma violação de segurança. No caso de violação de dados pessoais, as empresas devem notificar as autoridades em até 72 horas após a identificação.
6. Telemática e códigos de conduta
Para se ajustar às novas exigências de proteção de dados, as empresas devem examinar suas políticas internas e códigos de conduta relativos ao uso de telemática. Além disso, as empresas devem adaptar seu conteúdo à jurisprudência do Tribunal Europeu dos Direitos Humanos (TEDH), bem como ao impacto das novas tecnologias no local de trabalho.
7.Vigilância por vídeo
As empresas também devem revisar seus procedimentos de instalação e uso de vigilância por vídeo. O TEDH estabelece que, para a instalação de câmeras fixas, os trabalhadores devem ser prévia e claramente informados de sua finalidade, de acordo com o disposto nos regulamentos de proteção de dados.
8. Transferência internacional de dados fora da UE
A transferência de dados pessoais de funcionários para países fora da UE representa um risco enorme, pois não há garantia de proteção. O RGPD impôs certas restrições para limitar a capacidade de uma empresa de transferir esses dados e para fazer cumprir os direitos dos funcionários.
9. Contratos de fornecedores terceirizados
É necessário atualizar os contratos com fornecedores ou prestadores de serviço que têm acesso a dados pessoais da empresa para garantir que haja conformidade com as exigências do RGPD. Isso inclui contratos com prestadores de serviço de folha de pagamento e recrutamento.
Devido ao volume de dados pessoais que uma empresa gerencia durante todos os seus processos, a contribuição do departamento de RH para o cumprimento do RGPD é crucial. Portanto, é essencial considerar todos os elementos do RGPD para implementar um plano de ação eficaz.
O que as equipes de RH podem fazer para cumprir o GDPR?
O RGPD exige que as empresas sejam proativas e responsáveis pela implementação de medidas técnicas e organizacionais que garantam o processamento de dados de reclamações.
As empresas devem analisar o tipo de dados que processam, a finalidade e como o fazem. Aqui estão algumas dicas para ajudar as equipes de RH a cumprir o RGPD:
1. Contratar um diretor de proteção de dados (Data Protection Officer, DPO)
Conforme ditado por Artigo 37 do RGPD, contratar um DPO é crucial. Um DPO é responsável por supervisionar as estratégias de proteção de dados das empresas e garantir a conformidade com as exigências do RGPD.
2. Fazer um inventário do processamento de dados pessoais.
Fazer o inventário de dados importantes facilita o rastreamento e o processamento e ajuda a verificar a conformidade. Aqui estão algumas considerações importantes ao rastrear as informações da sua empresa:
- Identifique dados pessoais e dados sensíveis, bem como operações de processamento existentes e verifique a conformidade.
- Descubra quem (funcionários, prestadores de serviço ou fornecedores) tem acesso aos dados e por quê.
- Monitore funcionários, prestadores de serviço e fornecedores que trabalham com os dados da empresa e analise os contratos.
- Verifique se todo processamento de dados concluído por prestadores de serviço e fornecedores está em conformidade com o RGPD.
- Analise as práticas de arquivamento e o tempo de retenção dos dados pessoais de RH.
- Certifique-se de que as soluções de RH e seu Sistema de Informação de Recursos Humanos (HRIS), se aplicável, estejam em conformidade com o RGPD.
3. Tome uma atitude
Depois de fazer um inventário e identificar as correções necessárias, é importante criar e implementar um plano de ação no qual você define as etapas a seguir.
Certifique-se de:
- Auditar os dados
- Realizar avaliações de impacto
- Revisar suas medidas de proteção e segurança
- Revisar seus processos e procedimentos.
4.Implementar um plano de comunicação
É importante implementar um plano de comunicação interna para que todos os funcionários saibam como acessar suas informações e o que fazer caso haja alguma alteração neste processo. Parte do novo regulamento exige que as empresas comuniquem claramente como, onde e por quanto tempo as informações pessoais de um funcionário serão armazenadas.
5. Certifique-se de que os dados armazenados estão corretos
As empresas devem garantir a manutenção apenas de dados corrigidos e atualizados. Elas também devem identificar quais dados precisam manter e quais devem ser excluídos. Quanto menos dados você tiver, mais fácil será cumprir o RGPD.
6. Revise as políticas de privacidade
As empresas devem ser transparentes com os dados com que lidam. A revisão de acordos de privacidade gera transparência e aumenta a confiança. Atualize as políticas e procedimentos de segurança de dados usando uma linguagem clara e simples e certifique-se de que essas políticas sejam facilmente acessíveis.
7. Aplicar os direitos dos funcionários
Como mencionamos, o RGPD estabelece novos direitos para os funcionários. É crucial garantir que esses direitos sejam cumpridos para evitar sanções.
8. Adote o RGPD como parte da cultura da empresa
É importante que as empresas divulguem os regulamentos por toda a organização. Ao integrá-los à cultura da empresa, você garante que todos os funcionários conheçam e compreendam os regulamentos.
9. Melhore a segurança
Certifique-se de que os dados estão seguros e evite vazamentos. Em caso de violação de dados, as partes afetadas devem ser informadas dentro de 72 horas. Para evitar vazamentos, deve-se contratar serviços confiáveis de armazenamento de dados, além de estabelecer políticas de segurança atualizadas.
10. Obtenha o consentimento do funcionário
É imprescindível informar os funcionários sobre as medidas e procedimentos em curso e obter seu consentimento para o tratamento e transferência dos dados. O consentimento deve ser uma expressão de acordo livre, informada e clara.
Além da obrigação que representa, o RGPD pode contribuir para melhorar o desempenho da sua empresa e para a confiança e o bem-estar dos funcionários. No entanto, isso ocorre apenas se seus dados e segurança, ferramentas, métodos e processos forem simplificados.
Esses novos desafios estão dando aos departamentos de RH a oportunidade de serem os impulsionadores da internacionalização de suas empresas, fortalecendo a qualidade de sua cooperação com seus fornecedores e prestadores de serviço. Ter uma política clara de gerenciamento de dados pessoais também melhora a reputação das empresas e as torna atraentes como empregadores.
