LGPD: Entrevista com Professor Josmar Lenine Giovannini Junior

Atualizado: 22 de Mar de 2019


A Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em fevereiro de 2020, trouxe várias obrigações que vão afetar as relações de trabalho, pois as empresas precisarão adotar medidas de segurança, técnicas e administrativas

para proteger os dados pessoais e sensíveis obtidos dos empregados. O RH, como uma área responsável por grande parte do processamento e do controle de dados pessoais das empresas, deverá trabalhar junto com TI e assessoria jurídica para conscientizar a empresa sobre a importância das mudanças, bem como identificar potenciais falhas em compliance, mapear quais dados dos empregados estão sob sua responsabilidade e de que forma es-

tão armazenados.



Dada a relevância do tema, a ABPRH entrevista o Professor Josmar Lenine Giovannini Junior, engenheiro eletricista, pós-graduado em administração de negócios, professor universitário nas áreas de Engenharia, Administração e Direito Digital, especialista no assunto e que vai liderar o Comitê de Proteção de Dados da ABPRH. Confira!


O Brasil já tinha algumas leis que tratavam da proteção de dados, tais como o Código Civil e Marco Civil da Internet. Por que agora mais uma lei foi criada para essa finalidade?

Eu diria que foi criada em função dos novos desafios trazidos pela economia digital.

Nos últimos meses, temos acompanhado diversos episódios de violação de dados que nos alertaram para a necessidade e importância da existência de uma lei que proteja os titulares de dados pessoais contra vazamentos de informações, bem como que tente coibi-los.


Quais foram as principais novidades trazidas pela LGPD para as empresas?

A lei traz princípios claros para o tratamento de dados pessoais, definições claras de hipóteses legais nas quais podem ser tratados dados pessoais, além de definir os agentes de tratamento de dados (operador e controlador), e o encarregado, que é o responsável pela interface entre o controlador, o titular de dados e a Agência Nacional de Proteção de Dados.

Traz também preocupações quanto à definição de produtos e serviços desde a concepção, com os conceitos de privacy by design e privacy by default.


Existem dúvidas quanto à questão de que qualquer tipo de dado não poderá mais ser tratado pelas empresas, em função dessa lei. O que você tem a dizer sobre isso?

Este é um dos mitos discutidos sobre a Lei Geral de Proteção de Dados Pessoais. Ela não abrange a totalidade de dados tratados pelas empresas, apenas o subconjunto deles referente a dados pessoais.


O conceito de tratamento de dados foi claramente definido pela Lei?

A lei foi bastante clara no tocante à definição do que significa tratamento de dados pessoais, englobando 20 significados para a ação com exemplos, porém deixando bem claro que toda operação realizada com dados pessoais é considerada tratamento de dados pessoais.


Em que condições se aplica a lei?

A LGPD aplica-se às empresas que tratam dados pessoais para a oferta de produtos ou serviços para titulares no território nacional, ou às empresas que realizam puramente o tratamento de dados pessoais de indivíduos localizados no Brasil.

Assim, não há nada que possa ser feito com dados pessoais que deixe de ser abrangido pela lei.


Então ela se aplica a todas as empresas?

Sim, uma vez que não existe nenhuma atividade econômica desenvolvida atualmente que não dependa de dados pessoais para existir.


Globalmente falando, como é tratada a questão da proteção de dados pessoais?

Atualmente, um grupo de 117 países já possuem leis específicas que tratam de proteção de dados e privacidade. Em outros 40 países, esta lei ainda está sendo discutida, mas em um outro grupo de 59 países nem sequer existe a iniciativa da criação de uma lei específica para o tema. Na Europa, temos o GDPR. Nos EUA, a lei de privacidade da Califórnia (lei estadual).


No sentido de tratamento de dados pessoais, quais são os maiores desafios gerais a serem enfrentados pelas empresas?

Acredito que podemos resumir tais desafios em:

a) Entendimento e interpretação da lei – a lei é bastante autoexplicativa e muito clara na sua redação. Porém, as empresas devem analisá-la segundo as suas realidades e operações.

b) Mapeamento do fluxo de dados pessoais – devem ser identificados a fim de serem definidas as devidas bases legais que legitimam os seus tratamentos.

c) Entendimento do ciclo de vida dos dados pessoais – desde o acesso dos dados na empresa até a eliminação deles.

d) Conscientização da importância do desenvolvimento de uma cultura interna de proteção de dados e privacidade (processo longo, que requer muito foco e dedicação).


Quais seriam os maiores impactos trazidos pela Lei Geral de Proteção de Dados para as áreas de Recursos Humanos das organizações?

Tratamento de dados pessoais presentes em CVs: as cautelas a serem tomadas pela área de RH começam antes mesmo da contratação dos funcionários, quanto aos dados pessoais que são coletados dos candidatos a vagas. Dados pessoais desnecessários não devem ser coletados, principalmente os considerados sensíveis, os quais, quando fornecidos, obrigarão os candidatos a confirmar que concordam de forma livre, informada e inequívoca com o tratamento deles. Proprietários devem ser informados como serão tratados os seus dados pessoais pelo RH, bem como se estes serão compartilhados. Assim sendo, deverão ser informados com quem e para qual propósito. Proprietários devem ser informados por quanto tempo os seus dados pessoais serão tratados pelo RH, bem como a forma como serão eliminados após esse período.

Processo de contratação de funcionários: os contratos de trabalho também deverão ser revisados, com a coleta de dados pessoais extremamente necessários aos processos internos da empresa, com cuidados para a coleta de dados pessoais sensíveis, os quais deverão ser armazenados mediante o consentimento de seus proprietários. Na contratação, deverão ser também coletados o consentimento dos funcionários para o compartilhamento dos seus dados e os dos seus dependentes com empresas terceiras de benefícios, plano de saúde e dental, bem como de gestão de folhas de pagamento, caso a empresa terceirize tais serviços.

Empresas terceiras

Revisão de contratos – empresas terceiras: os contratos com todas as empresas terceiras, prestadoras de serviço, também precisarão ser revistos, incluindo-se neles as obrigações definidas na Lei Geral de Proteção de Dados quanto à forma de tratamento e proteção dos dados pessoais transferidos, bem como das responsabilidades nos casos de eventuais vazamentos.

Dados biométricos: a coleta de dados biométricos de funcionários, prestadores de serviços e até mesmo de parceiros para controle de acesso as dependências da empresa somente poderá ser feita mediante consentimento dos titulares e para finalidade específica, por serem caracterizados como dados pessoais sensíveis.

Observação: as informações relacionadas à saúde dos trabalhadores também são dados sensíveis e, embora já protegidas em grande parte pelo sigilo médico, merecem especial atenção quanto ao armazenamento e divulgação de atestados e exames médicos, compra de medicamentos por meio de convênios e utilização do plano de saúde.

Além disso, é comum que, em casos de terceirização de atividades, empresas solicitem às prestadoras de serviços documentos comprobatórios de cumprimento das obrigações trabalhistas, os quais, via de regra, possuem dados pessoais dos trabalhadores terceirizados. Esses dados também devem ser protegidos.

Políticas internas de proteção de dados e privacidade: as empresas devem também estar atentas à elaboração ou revisão de suas políticas internas, definindo de forma bastante clara os setores que poderão ter acesso a dados de candidatos, empregados e terceiros, bem como a forma de utilização de tais informações, inclusive estabelecendo penalidades em caso de uso indevido de dados, tais como o envio a e-mails particulares ou empregados e terceiros sem autorização de acesso aos dados. Deve haver também políticas próprias relacionadas à forma de coleta, atualização e acesso dos dados pelos empregados.


Hoje sabemos que a maior parte dos dados pessoais tratados pelas empresas está no formato digital. Porém, ainda uma boa parcela de dados pessoais reside em documentos físicos. A lei também abrange documentos físicos?

Sim, a lei considera o tratamento de dados pessoais independentemente da mídia na qual sejam tratados. Assim, documentos físicos também deverão, da mesma forma que os princípios de segurança da informação devem ser levados em consideração, promovendo a guarda conveniente de tais documentos pelos tempos previstos, em salas-cofre, com acesso limitado a pessoas autorizadas, gabaritadas e treinadas. Da mesma forma, devem ser restringidos os acessos de pessoas não autorizadas a tais ambientes. Terminado o prazo de tratamento dos dados pessoais, os referidos documentos devem ser eliminados, segundo previsto na lei, com as devidas salvaguardas definidas pela lei.


Política de boas práticas e governança – foi prevista na lei a possibilidade da apresentação de boas práticas pelas empresas. Isso vale também para o RH?

Sem dúvida nenhuma. A lei, no seu artigo 50, define que controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Assim sendo, a ABPRH, por meio do seu Comitê de Proteção de Dados Pessoais e Privacidade, assumirá preponderante papel no encaminhamento das necessidades do setor juntamente à Autoridade Nacional de Proteção de Dados.


Todas as leis têm sansões. Quais são as sansões definidas para a Lei Geral de Proteção de Dados?

Advertências; multa simples, de até 2% do faturamento do grupo empresarial no Brasil, limitada a MR$ 50,00, por infração; multa diária de até MR$ 50,00 por infração.


Uma questão muito preocupante é a envolvida com os custos de violação de dados no Brasil. Quais são os custos envolvidos com a violação de dados?

Atualmente, estima-se que o custo médio por violação de dados gira em torno de R$ 4,7 milhões, sem contar os custos envolvidos com as sansões legais das respectivas violações.

Esse custo está associado a investimentos na investigação da violação, resposta à violação de dados e perda de clientes pós-violação.

O custo médio global beira US$ 4 milhões, chegando a quase US$ 8 milhões nos Estados Unidos.


Quais são as causas das violações de dados pessoais no Brasil?

Segundo levantamentos do instituto Ponemon, publicados em 2018 e referentes a 2017, 46% referem-se a ataques maliciosos, 27% a falhas sistêmicas e 27% a erros humanos.


O tempo para a detecção e contenção de um episódio de violação de dados é realmente grande?

Sim, é bastante grande. Em média, no Brasil, o tempo de detecção de uma violação de dados está em torno de 200 dias; o tempo para a contenção, por volta de 70 dias.


De forma geral, a respeito da Lei Geral de Proteção de Dados Pessoais, você gostaria de deixar alguma mensagem final?

Gostaria apenas de reforçar que as empresas devem investir seus recursos de forma conveniente em políticas de prevenção à violação de dados, a fim de que possam minimizar as consequências financeiras quanto aos inevitáveis episódios de vazamento de dados. O Brasil tem uma das maiores probabilidades de ocorrência de violação de dados do mundo, nos próximos 24 meses, com 43%.

© 2018 por ABPRH Associação Brasileira dos Profissionais de RH | Av. das Nações Unidas, 14.401 - Conj 1302 - Torre Tarumã

Parque da Cidade - São Paulo/SP - CEP: 04794-000 

Orgulhosamente criado por Eleven2You