Praticamente toda empresa trata dados sensíveis e de crianças e adolescentes, mas poucas se atentam a isto no momento da adequação à lei geral de proteção de dados (LGPD).
Neste aspecto, é importante que o mapeamento dos dados seja conduzido de forma minuciosa e em conjunto com representantes de todos os departamentos da organização.
O que são dados sensíveis?
Dados sensíveis são aqueles considerados de maior relevância pois podem levar a maiores danos aos titulares de dados e portanto exigem medidas mais efetivas de segurança.
Entre os exemplos citados no Art. 5º da LGPD está o “dado referente à saúde” do titular. Acontece que todas as empresas tem diversos dados de saúde dos seus funcionários, por exemplo os atestados médicos entregues pelo próprio funcionário ao RH ou ao departamento de pessoal.
O mesmo ocorre com exames admissionais, periódicos, demissionais, Perfil Profissiográfico Previdenciário (PPP), comunicação de acidentes de trabalho (CAT), programa de controle médico de saúde ocupacional (PCMSO), entre outras rotinas.
Apesar da empresa normalmente não ter acesso ao prontuário médico, o mero resultado do exame como “não apto” é suficiente para ser classificado como dado pessoal sensível.
Dados de crianças e adolescentes
Já com relação aos dados de crianças, o trabalhador deve entregar a certidão de nascimento de seus filhos menores de 21 anos para o pagamento do Salário Família, bem como para dedução do Imposto de Renda.
Além disso, empresas costumam oferecer benefícios que muitas vezes se estendem aos dependentes de seus colaboradores, como seguro saúde, seguro odontológico, auxílio-creche, etc.
Aqui, a empresa não apenas recolhe estes documentos, como os compartilha com terceiros.
E agora o que fazer?
O recolhimento dos dados sensíveis demonstrados acima podem ser enquadrados como cumprimento de obrigação legal por parte das empresas, no entanto, deve-se utilizar a respectiva base legal conforme determina o Art.11 da LGPD.
Entretanto, a empresa controladora não pode utilizar estes dados para nenhum outro fim sem o consentimento do titular.
Dado importante é que no caso de crianças de até 12 anos de idade incompletos, a empresa deve solicitar o consentimento de um dos pais ou pelo responsável legal para recolher e compartilhar o documento, lembrando que este consentimento deve ser “específico e em destaque” conforme §1º do Art.14 da LGPD.
Estes documentos, tanto os referentes aos dados de saúde quanto aos dados de crianças, exigem um maior cuidado por parte das empresas, porém muitas vezes estes encontram-se apenas impressos e arquivados em um armário ou arquivo do RH, sem as devidas medidas de proteção.
Eles podem ser encontrados sobre as mesas do setor ou ainda nos e-mails trocados entre o RH, departamento de pessoal, médico do trabalho, contabilidade, seguradora ou plano de saúde e funcionário.
A empresa controladora deve criar processos e tomar medidas para a proteção destes documentos, bem como para garantir os direitos do titular.
É importante ainda que estes documentos façam parte da Política de tratamento e retenção e tenham um prazo estipulado para seu descarte seguro.
Praticamente toda organização trata dados sensíveis de crianças e adolescentes em seu RH. Os processos de tratamento de dados deste departamento são alguns dos mais importantes a serem revistos em um processo de adequação a LGPD.
Sanções da LGPD
A LGPD impõe às empresas a necessária e imediata revisão de procedimentos já existentes, possivelmente com a criação de novos mecanismos, para demonstrar e provar o cumprimento da Lei.
Destaca o artigo 52 da LGPD, que especifica as sanções administrativas possíveis de aplicação:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Além das sanções administrativas, aquele que descumprir a LGPD poderá ser responsabilizado civilmente.
Conforme previsto no artigo 42 da LGPD, o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Eder Daré é Advogado na SEG ADVOGADOS ASSOCIADOS, especialista em LGPD, membro do Núcleo de Proteção de Dados do Oeste da Bahia, responsável pela cadeira da Medicina e Saúde.
