Publicado na Exame.com, 30/06/2021.

Por Flávia Filhorini, sócia do escritório Filhorini Advogados Associados

A entrada em vigor da Lei Geral de Proteção de Dados (LGPD) disparou uma verdadeira revolução em todas as searas da organização empresarial, obrigando-as a um período de mudanças e adaptação, tendo em vista a possibilidade de impacto no seu resultado, a fim de viabilizar uma governança de dados mínima, o que somente poderá ser obtido com uma mudança cultural na organização.

Na área de recursos humanos, em relação ao primeiro contato com um candidato a uma vaga de emprego, as exigências da LGPD não são menores, e o seu descumprimento pode ter sérias consequências sob o ponto de vista de políticas trabalhistas e regulatório.

Este artigo não tem a pretensão de exaurir o tema, mas tão somente de alertar o empreendedor quanto aos principais pontos a serem cuidados na adequação à LGPD e indicar um caminho para iniciar essa tarefa que, idealmente, deve ser tratado por uma equipe multidisciplinar, envolvendo o próprio departamento pessoal, a área de sistemas e o jurídico.

Atenção deve existir desde o início

A atenção às disposições da LGPD deve ser observada desde a fase pré-contratual, com:

  • a coleta de informações, currículos, entrevistas e
  • a formalização do contrato de trabalho.

Tais documentos e processos são meios de se obter dados pessoais, desde aqueles equivocadamente considerados “triviais”, a exemplo de nome, endereço, grau de escolaridade, até os mais sensíveis, referentes à saúde do trabalhador, sindicalização e registros de avaliações.

O próprio fato de o candidato estar concorrendo a uma vaga é um dado pessoal que deve, obrigatoriamente, ser considerado sigiloso e tratado como tal, inclusive porque sua divulgação pode causar danos e prejuízos ao proponente.

Este último aspecto da fase pré-contratual mostra-se especialmente delicado, na medida em que apresenta, ao menos aparentemente, um importante conflito de interesses.

De um lado, a necessidade e a obrigação de sigilo e confidencialidade, essenciais para o candidato, e, de outro, a necessidade de a empresa avaliá-lo. Um deslize ou um erro de julgamento nesta fase pode trazer danos financeiros e morais relevantes para o candidato e também para a empresa, principalmente, de imagem.

A melhor maneira de enfrentar e mitigar esses novos riscos é conhecer a LGPD e a extensão das liberdades e vedações nela contidas.

Definições da LGPD

  • “Titular” é a pessoa natural a quem os dados pessoais se referem, no caso, o(s) candidato(s);
  • “Controlador” é a pessoa em nome da qual os dados pessoais são recebidos e a quem compete as decisões referentes ao tratamento de dados pessoais recebidos do titular/candidato, no caso, a empresa contratante;
  • Por fim, “Operador” é a pessoa que realiza o tratamento dos dados pessoais detidos pelo controlador. Em casos como esse, Controlador e Operador são a mesma pessoa, no entanto, muitas vezes, trata-se de uma empresa de recrutamento e seleção agindo em nome do Controlador.

Na fase pré-contratual, a responsabilidade do Controlador-Empregador começa pela correta informação quanto à vaga, principalmente, quando a contratação se dá por intermédio de um Operador-Empresa de recrutamento.

Cuidados durante a seleção

Mesmo que a seleção seja feita de forma fechada (sem informar o nome da contratante) e por empresa de recrutamento, é importante que o anúncio da vaga seja tão específico quanto possível, de modo que este não possa ser confundido com subterfúgio para a formação de banco de dados.

Neste ponto, vale abrir um parêntesis para comentar que, se a contratação for realizada por intermédio de uma empresa de recrutamento e seleção, o contratante, na qualidade de Controlador, deve assegurar contratualmente que os dados pessoais coletados por essa empresa na execução do contrato tenham, no mínimo, tratamento que observe as disposições da LGPD ou, idealmente, as políticas do Contratante-Controlador a esse respeito.

Em segundo lugar, o Contratante-Controlador deve assegurar-se de que serão solicitadas informações estritamente necessárias para a avaliação do candidato-titular da informação pessoal para a vaga. O excesso de informação, neste caso, é sempre um risco desnecessário. Por exemplo, não faz sentido pedir referências bancárias ou inclinação religiosa, se essas informações não forem essenciais ao desempenho do cargo.

Em terceiro lugar, tanto na coleta de currículos manual, quanto, principalmente, na coleta eletrônica de dados, é de suma importância informar ao candidato o que será feito da informação fornecida. Qual será o tratamento que esta receberá, quem poderá ter acesso, qual o tipo de avaliação, tempo que constará no banco de dados da empresa etc.

Somente então, depois de tudo cuidadosamente explicado, inclusive quanto ao sigilo e confidencialidade, solicitar do candidato sua autorização expressa para o prosseguimento.

Feito isto, restará evidente que o fornecimento dos dados pelo candidato-titular foi realizado para um fim determinado: o de se candidatar a uma vaga específica; e que a manutenção de seus dados pessoais somente se justificará enquanto não concluído o processo de seleção.

Portanto, a prática comum de manter o currículo do candidato em banco de dados, sem autorização expressa, além de constituir um risco desnecessário, é ilegal. Exceto se tal opção for oferecida ao candidato-titular, preferentemente, com a opção de ser considerado durante um período definido de tempo para vagas compatíveis com suas qualificações e que ele autorize expressamente esse tratamento de sua informação.

Entendemos que a melhor forma de obter tais atualizações seria mediante a apresentação de um texto padrão, na forma de termos e condições gerais, seja eletrônico ou físico, no qual o candidato-titular seria primeiramente informado quanto às garantias de confidencialidade e os tratamentos que serão feitos com os seus dados pessoais, e quando serão descartados, e autorizaria (ou não) cada tratamento.

Um ponto de início e um caminho viável para adequação à LGPD pode ser começar pelo mapeamento interno do processo de seleção, para identificação de fragilidades, adequação e treinamento dos colaboradores.

Além disso, perguntar-se, passo a passo, quais são os dados pessoais cuja coleta é necessária, para qual finalidade e com que base legal, seja para a coleta ou para os tratamentos pretendidos, o que deverá incluir o tempo até seu descarte. Dessa forma, será possível determinar a extensão da autorização a ser obtida do titular dos dados.