Notícia - Diversidade e inclusão: Entenda como coletar dados sensíveis de colaboradores com base na LGPD
Área: Pessoal Publicado em 26/06/2023
Foto: Divulgação Fonte: Jornal Valor Econômico
Não é incomum ver um embate entre iniciativas de privacidade e iniciativas de diversidade e inclusão (D&I). É importante considerar essas duas áreas como parceiras e não como rivais. No entanto, é verdade que as iniciativas de D&I dependem da captação de dados pessoais e pessoais sensíveis, um assunto que é regulado e merece a devida atenção.
No Brasil, a coleta de dados pessoais é regulada pela Lei Geral de Proteção de Dados Pessoais (Lei Federal Nº 13.709/18), a LGPD. Por isso, é preciso que toda e qualquer atividade realizada com os dados encontre uma justificativa nessa lei e siga os princípios que estão elencados ali.
De acordo com a advogada Maraísa Cezarino, especialista em proteção de dados na Daniel Advogados, o objetivo da LGPD é proteger as pessoas que fornecem seus dados para empresas, organizações e para o Estado. Por isso, diz, a lei não visa atrapalhar projetos que, como os de D&I, dependem de dados pessoais e sim garantir que as pessoas que fornecem os dados não serão prejudicadas pela iniciativa da empresa.
Abaixo, a advogada esclarece, em seis perguntas e respostas, sobre os cuidados no processo de captação e uso de dados pessoais em programas de diversidade:
Qual a diferença entre dados pessoais e dados pessoais sensíveis?
O primeiro passo para coletar e tratar os dados em conformidade com a LGPD é saber diferenciar esses dois conceitos. Muita gente tem dificuldade de separar os dados pessoais e os dados pessoais sensíveis, mas a lei é bem evidente ao determinar que dados pessoais são qualquer tipo de informação que torne uma pessoa identificada ou identificável. Isso quer dizer que não estamos falando só de nome, sobrenome, CPF e endereço, pois o comportamento de uma pessoa, o seu cargo, a sua escolaridade etc., também podem torná-la identificável.
Quando falamos de dados pessoais sensíveis, existe uma preocupação maior com a discriminação que as pessoas podem sofrer devido ao tratamento daquela informação. Assim, a lei elenca alguns tipos de dados pessoais sensíveis, que são a raça, a origem étnica, a orientação sexual, a religião etc. É bem evidente que são dados que efetivamente podem colocar as pessoas em situação de discriminação e até perseguição física.
Como a proteção de dados se relaciona com a diversidade?
Inevitavelmente, as características que marcam os grupos de pessoas que são o público das ações de diversidade são as mesmas que colocam essas pessoas em situação de discriminação, ou seja, são os dados que a LGPD rotula como sensíveis, por causa desse tipo de consequência.
Contudo, a LGPD não impede a coleta desse tipo de dado, ela apenas estabelece regras para que isso aconteça sem que a pessoa que fornece esses dados seja prejudicada. Na verdade, os Programas de Diversidade & Inclusão carregam o potencial de dar efetividade para fundamentos e princípios da Lei Geral de Proteção de Dados Pessoais. É o caso do fundamento da “Autodeterminação informativa” (art. 2º, II, da LGPD) e do princípio da “Não discriminação” (art. 6º, IX, da LGPD).
O que é autodeterminação informativa?
O conceito de “autodeterminação informativa” diz respeito ao direito de entender como os dados pessoais são tratados, como isso pode impactar a vida da pessoa e o que ela pode fazer a respeito.
Para que o Programa de Diversidade & Inclusão funcione, em conformidade com a LGPD, as pessoas que são suas interlocutoras devem ser informadas sobre como os seus dados serão utilizados, de forma que possam se posicionar a respeito deste tratamento.
O que é o princípio da Não Discriminação?
O princípio da “Não Discriminação” impede a discriminação ABUSIVA E ILÍCITA, mas não impede que isso seja feito para finalidades de ação afirmativa. Assim, a coleta de dados sensíveis, que é necessária nos programas de diversidade e inclusão, é permitida.
De toda forma, é importante garantir que o princípio da não discriminação seja respeitado, ou seja, impedir que esse tipo de dado seja usado para quaisquer outras finalidades.
Quais as dicas práticas para um programa de diversidade em conformidade com a LGPD?
Rapidamente, para que estejam em conformidade com a LGPD, é preciso pensar e estruturar o projeto se preocupando com o fluxo de dados desde o início. Note que os dados sensíveis são tratados pelo menos em três momentos: no processo seletivo, no monitoramento do crescimento das pessoas dentro das organizações e no momento de produzir pesquisas sobre as mudanças do quadro de funcionários e ambiente de trabalho.
A segunda dica é pensar na estruturação dessa e de outras etapas do programa de diversidade em uma Política de Diversidade e Inclusão. Ela é importante para determinar publicamente quais os objetivos do Programa de Diversidade & Inclusão, quais as medidas específicas serão adotadas para alcançar esses objetivos e quais os papéis desempenhados por cada membro da organização para tanto.
Por se tratar de uma iniciativa com perspectivas relativamente recentes, e muita margem para equívocos, o planejamento e a organização são essenciais para que o Programa alcance seus objetivos.
A terceira dica é: se for contratar uma consultoria externa de diversidade, que pode vir a acessar os dados pessoais sensíveis, feche um contrato que indique claramente suas responsabilidades em relação ao tratamento de dados pessoais e o que ela pode ou não fazer com essas informações.
Ainda, é importante combinar com o time de segurança da informação a adoção de medidas especiais capazes de garantir, por exemplo, que somente pessoas envolvidas nas ações de diversidade acessem os dados sensíveis coletados ao longo de todas essas etapas. A limitação do acesso é só uma das medidas, mas é preciso garantir que haja outras camadas de segurança estabelecidas no caso concreto.
Como coletar dados sensíveis em conformidade com a LGPD?
Em primeiro lugar, tenha uma justificativa para tratar os dados. O consentimento nem sempre é a opção mais interessante para isso. A LGPD traz em seu artigo 11 várias justificativas para legitimar o tratamento de dados sensíveis. É preciso que uma delas se adeque ao motivo pelo qual você coleta os dados.
Os dados sobre saúde, relacionados à inclusão de pessoas com algum tipo de deficiência intelectual, física ou motora, podem ser coletados porque existem leis que obrigam a organização a fazê-lo. Recentemente, o Estatuto da Igualdade Racial também foi alterado para tornar obrigatória a coleta de dados relativos à raça e etnia para garantir a entrada de pessoas não-brancas no mercado de trabalho. Portanto, nesses dois casos estamos falando que a justificativa para a coleta de dados é uma obrigação legal regulatória (Art. 11, §1º, II, b).
Por outro lado, dados relativos à orientação sexual devem ser tratados somente com base no consentimento. O funcionário precisa ter a possibilidade de escolher ativamente fornecer esses dados.
Depois de selecionar o motivo de uso dos dados e a justificativa, é importante documentar isso e garantir a transparência. As pessoas precisam saber como os seus dados pessoais sensíveis serão tratados e para que, aqui, de novo vemos a importância de uma política de diversidade e inclusão bem definida e de um aviso de privacidade quando da coleta dos dados.
Por fim, os mecanismos elencados no tópico anterior, como garantias contratuais e padrões robustos de segurança da informação também são imprescindíveis para garantir o tratamento de dados sensíveis em conformidade com a LGPD.
NULL Fonte: NULL
Não é incomum ver um embate entre iniciativas de privacidade e iniciativas de diversidade e inclusão (D&I). É importante considerar essas duas áreas como parceiras e não como rivais. No entanto, é verdade que as iniciativas de D&I dependem da captação de dados pessoais e pessoais sensíveis, um assunto que é regulado e merece a devida atenção.
No Brasil, a coleta de dados pessoais é regulada pela Lei Geral de Proteção de Dados Pessoais (Lei Federal Nº 13.709/18), a LGPD. Por isso, é preciso que toda e qualquer atividade realizada com os dados encontre uma justificativa nessa lei e siga os princípios que estão elencados ali.
De acordo com a advogada Maraísa Cezarino, especialista em proteção de dados na Daniel Advogados, o objetivo da LGPD é proteger as pessoas que fornecem seus dados para empresas, organizações e para o Estado. Por isso, diz, a lei não visa atrapalhar projetos que, como os de D&I, dependem de dados pessoais e sim garantir que as pessoas que fornecem os dados não serão prejudicadas pela iniciativa da empresa.
Abaixo, a advogada esclarece, em seis perguntas e respostas, sobre os cuidados no processo de captação e uso de dados pessoais em programas de diversidade:
Qual a diferença entre dados pessoais e dados pessoais sensíveis?
O primeiro passo para coletar e tratar os dados em conformidade com a LGPD é saber diferenciar esses dois conceitos. Muita gente tem dificuldade de separar os dados pessoais e os dados pessoais sensíveis, mas a lei é bem evidente ao determinar que dados pessoais são qualquer tipo de informação que torne uma pessoa identificada ou identificável. Isso quer dizer que não estamos falando só de nome, sobrenome, CPF e endereço, pois o comportamento de uma pessoa, o seu cargo, a sua escolaridade etc., também podem torná-la identificável.
Quando falamos de dados pessoais sensíveis, existe uma preocupação maior com a discriminação que as pessoas podem sofrer devido ao tratamento daquela informação. Assim, a lei elenca alguns tipos de dados pessoais sensíveis, que são a raça, a origem étnica, a orientação sexual, a religião etc. É bem evidente que são dados que efetivamente podem colocar as pessoas em situação de discriminação e até perseguição física.
Como a proteção de dados se relaciona com a diversidade?
Inevitavelmente, as características que marcam os grupos de pessoas que são o público das ações de diversidade são as mesmas que colocam essas pessoas em situação de discriminação, ou seja, são os dados que a LGPD rotula como sensíveis, por causa desse tipo de consequência.
Contudo, a LGPD não impede a coleta desse tipo de dado, ela apenas estabelece regras para que isso aconteça sem que a pessoa que fornece esses dados seja prejudicada. Na verdade, os Programas de Diversidade & Inclusão carregam o potencial de dar efetividade para fundamentos e princípios da Lei Geral de Proteção de Dados Pessoais. É o caso do fundamento da “Autodeterminação informativa” (art. 2º, II, da LGPD) e do princípio da “Não discriminação” (art. 6º, IX, da LGPD).
O que é autodeterminação informativa?
O conceito de “autodeterminação informativa” diz respeito ao direito de entender como os dados pessoais são tratados, como isso pode impactar a vida da pessoa e o que ela pode fazer a respeito.
Para que o Programa de Diversidade & Inclusão funcione, em conformidade com a LGPD, as pessoas que são suas interlocutoras devem ser informadas sobre como os seus dados serão utilizados, de forma que possam se posicionar a respeito deste tratamento.
O que é o princípio da Não Discriminação?
O princípio da “Não Discriminação” impede a discriminação ABUSIVA E ILÍCITA, mas não impede que isso seja feito para finalidades de ação afirmativa. Assim, a coleta de dados sensíveis, que é necessária nos programas de diversidade e inclusão, é permitida.
De toda forma, é importante garantir que o princípio da não discriminação seja respeitado, ou seja, impedir que esse tipo de dado seja usado para quaisquer outras finalidades.
Quais as dicas práticas para um programa de diversidade em conformidade com a LGPD?
Rapidamente, para que estejam em conformidade com a LGPD, é preciso pensar e estruturar o projeto se preocupando com o fluxo de dados desde o início. Note que os dados sensíveis são tratados pelo menos em três momentos: no processo seletivo, no monitoramento do crescimento das pessoas dentro das organizações e no momento de produzir pesquisas sobre as mudanças do quadro de funcionários e ambiente de trabalho.
A segunda dica é pensar na estruturação dessa e de outras etapas do programa de diversidade em uma Política de Diversidade e Inclusão. Ela é importante para determinar publicamente quais os objetivos do Programa de Diversidade & Inclusão, quais as medidas específicas serão adotadas para alcançar esses objetivos e quais os papéis desempenhados por cada membro da organização para tanto.
Por se tratar de uma iniciativa com perspectivas relativamente recentes, e muita margem para equívocos, o planejamento e a organização são essenciais para que o Programa alcance seus objetivos.
A terceira dica é: se for contratar uma consultoria externa de diversidade, que pode vir a acessar os dados pessoais sensíveis, feche um contrato que indique claramente suas responsabilidades em relação ao tratamento de dados pessoais e o que ela pode ou não fazer com essas informações.
Ainda, é importante combinar com o time de segurança da informação a adoção de medidas especiais capazes de garantir, por exemplo, que somente pessoas envolvidas nas ações de diversidade acessem os dados sensíveis coletados ao longo de todas essas etapas. A limitação do acesso é só uma das medidas, mas é preciso garantir que haja outras camadas de segurança estabelecidas no caso concreto.
Como coletar dados sensíveis em conformidade com a LGPD?
Em primeiro lugar, tenha uma justificativa para tratar os dados. O consentimento nem sempre é a opção mais interessante para isso. A LGPD traz em seu artigo 11 várias justificativas para legitimar o tratamento de dados sensíveis. É preciso que uma delas se adeque ao motivo pelo qual você coleta os dados.
Os dados sobre saúde, relacionados à inclusão de pessoas com algum tipo de deficiência intelectual, física ou motora, podem ser coletados porque existem leis que obrigam a organização a fazê-lo. Recentemente, o Estatuto da Igualdade Racial também foi alterado para tornar obrigatória a coleta de dados relativos à raça e etnia para garantir a entrada de pessoas não-brancas no mercado de trabalho. Portanto, nesses dois casos estamos falando que a justificativa para a coleta de dados é uma obrigação legal regulatória (Art. 11, §1º, II, b).
Por outro lado, dados relativos à orientação sexual devem ser tratados somente com base no consentimento. O funcionário precisa ter a possibilidade de escolher ativamente fornecer esses dados.
Depois de selecionar o motivo de uso dos dados e a justificativa, é importante documentar isso e garantir a transparência. As pessoas precisam saber como os seus dados pessoais sensíveis serão tratados e para que, aqui, de novo vemos a importância de uma política de diversidade e inclusão bem definida e de um aviso de privacidade quando da coleta dos dados.
Por fim, os mecanismos elencados no tópico anterior, como garantias contratuais e padrões robustos de segurança da informação também são imprescindíveis para garantir o tratamento de dados sensíveis em conformidade com a LGPD.
NULL Fonte: NULL
