Aplicação da lei 13.709/2018 que trata da LGPD nas áreas de saúde e segurança no trabalho, meio ambiente e qualidade de uma organização.
Escrito por Consultor e Auditor Sandro Sabino
1 – INTRODUÇÃO
Embora a LGPD abrange a todos os processos da empresa, pretendemos aqui abordar aplicação da Lei somente para os processos de saúde e segurança no trabalho, meio ambiente e qualidade com objetivo de trazer um melhor entendimento para os profissionais que atuam nestas áreas para que possam entender suas responsabilidades, riscos e controles necessários para aplicação da respectiva Lei, evitado dessa forma possíveis consequências para empresa onde atuam.
2 – LEI Nº 13.709, DE 14 DE AGOSTO DE 2018
Primeiro precisamos entender sobre a lei 13.709/2018, também conhecida como Lei Geral de Proteção de Dados, ou LGPD que dispõe sobre a proteção dos dados pessoais de todas as pessoas naturais em território brasileiro.
Conforme o Projeto de Lei de Conversão nº34/2020, resultado da MP nº 959/2020 e convertido na Lei 14.058, em 17 de setembro de 2.020 a “LGPD” passou a valer a partir de 18/09/2020.
Por força da Lei 14.010/20, as sanções entram em vigor a partir de 1º de agosto de 2021. As punições podem chegar até 2% do faturamento até o limite de 50 milhões de reais.
Aplicabilidade da Lei 13.709/2018
Conforme Lei 13.709/2018 – Todas as empresas estão sujeitas às implicações da lei, no Art. 3º defini que a Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I – a operação de tratamento seja realizada no território nacional;
II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
III – os dados pessoais objeto do tratamento tenha sido coletados no território nacional.
Definições contidas na Lei 13.709/2018
Para compreender melhor a aplicabilidade da LGPD para as áreas abordadas, será necessário conhecer algumas definições disponível na Lei em seu – Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
Princípios contidas na Lei 13.709/2018
As áreas em abordadas devem observar alguns princípios definidos na Lei conforme Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
3 – APLICAÇÃO LGPD NAS ÁRES DE SAÚDE E SEGURANÇA NO TRABALHO, MEIO AMBIENTE E QUALIDADE
Todos estes processos são porta de entrada de dados pessoais, quer sejam de funcionários da própria empresa, prestadores de serviços, fornecedores, clientes da empresa e de todas as partes interessadas identificadas pela empresa.
Dessa forma, cabe o tratamento de dados por estes processos e toda operação realizada com dados pessoais, que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração será necessário estabelecer procedimentos e práticas para atender a LGPD nestas áreas.
Aplicação da LGPD no processo de Segurança no Trabalho
Neste processo existem vários documentos, sistemas e práticas com dados pessoais utilizados na gestão de saúde e segurança no trabalho, que precisam de tratamento, tais como:
- Lista de Presença de treinamentos com dados pessoais
- Atas de reunião com dados pessoais
- Fotos de pessoas para divulgação dos treinamentos/simulações
- Planos de treinamentos com dados pessoais
- Dados pessoais em documentos de segurança, tais como: Planos de emergências, listagens de equipes de emergências com dados pessoais, ordens de serviços etc. documentos de terceiros com dados pessoais
- Monitoramento por Câmeras CFTV
- Contratos e/outros documentos de fornecedores e clientes com dados pessoais
Tem ainda o processo de medicina do trabalho que deve tratar dados, tais como: ASO Atestado de Saúde Ocupacional e exames que são considerados dados sensíveis.
Enfim, todos estes dados relatados entre outros documentos e/ou sistemas, práticas realizadas neste processo que contenham dados pessoais devem ser tratadas corretamente, com base na LGPD.
No item 4 deste artigo vamos abordar orientação para gestão e tratamento destes dados.
Aplicação da LGPD no processo de Meio Ambiente
Neste processo existem vários documentos, sistemas e práticas com dados pessoais utilizados na gestão meio ambiente, que precisam de tratamento, tais como:
- Lista de Presença de treinamentos com dados pessoais
- Atas de reuniões com dados pessoais
- Fotos para divulgação dos treinamentos/simulações
- Plano de treinamentos com dados pessoais
- Dados pessoais em documentos de meio ambiente, tais como: Planos de emergências, listagens de equipes de emergências com dados pessoais.
- Dados pessoais em documentos para licenciamentos, tais como: Contrato social, documentos pessoais (Identidade, CPF, e-mails) dos responsáveis legais da empresa.
Enfim, todos estes dados relatados entre outros documentos e/ou sistemas, práticas realizadas neste processo que contenham dados pessoais devem ser tratadas corretamente, com base na LGPD.
No item 4 deste artigo vamos abordar orientação para gestão e tratamento destes dados.
Aplicação da LGPD no processo de Qualidade
Neste processo existem vários documentos, sistemas e práticas com dados pessoais utilizados na gestão da qualidade, que precisam de tratamento, tais como:
- Lista de Presença de treinamentos com dados pessoais
- Atas de reuniões com dados pessoais
- Fotos para divulgação dos treinamentos
- Plano de treinamentos com dados pessoais
- Dados pessoais em documentos de qualidade, tais como: Procedimentos, Politicas, registros
Enfim, todos estes dados relatados entre outros documentos e/ou sistemas, práticas realizadas neste processo que contenham dados pessoais devem ser tratadas corretamente, com base na LGPD.
No item 4 deste artigo vamos abordar orientação para gestão e tratamento destes dados.
4 – GESTÃO E TRATAMENTO DE DADOS
Para o controle de dados nestes processos recomendamos a empresa fazer uma gestão da LGPD, contemplando:
1- Inventario de dados: Tipo de dados armazenados? Local? Quem utiliza estes dados? Qual a finalidade? Necessita de consentimento? Quem é o responsável destes dados nos processos?
2- Obtenção do consentimento: É uma etapa mais demorada, deve ser iniciada após inventário de dados, quando tenho todos os dados identificados e inventariados. Deve-se acionar todos os titulares dos dados, informar a finalidade do uso daqueles dados, obter e armazenar as autorizações.
3- Limpar os dados que não são necessários: Descartar o desnecessário e o que não pode ser justificado, porque quanto mais dados na empresa, maior o risco e maior o esforço para protegê-los e para buscar consentimento.
4- Proteção dos dados: Avaliar a segurança dos dados que restaram após a limpeza e implementar ações para garantir sua proteção e monitoramento, com segurança física, lógica, controles de acesso, rastreabilidade, etc.
5- Gestão dos dados: Fazer o gerenciamento, governança e funções para responder demandas de usuários, clientes e órgãos de controle.
CONSIDERAÇÕES FINAIS
Como estes processos estão inseridos dentro de um contexto de cada organização, estando vinculados como saída ou entrada de outros processos, importante não tratar isoladamente o tratamento de dados, mas de forma integrada com os demais processos.
Caso a empresa que tenham estes processos, mas ainda não planejaram e não estão aplicando a LGPD em toda a organização, recomendo que sejam montados comitês internos para discussão e aplicação da LGDP, pois nada vai adiantar estarem tomando algumas ações isoladas e a empresa que é a controladora dos dados, não entender que toda responsabilidade do controle de dados ser da empresa, que é o controlador, conforme dispõe na lei 13.709/2018, Art. 5º Para os fins desta Lei, considera-se controlador toda pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Nos casos de empresas que terceirizam os processos de segurança, saúde, segurança, meio ambiente e qualidade, devem definir em contratos e/ou acordos com estes operadores a aplicação da Lei, considerando o Art. 5º Para os fins desta Lei, considera-se o operador como pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
O artigo publicado não representa todas as obrigações e dispositivos contidas na lei 13.709/2018 – LGPD, mas somente uma orientação geral para empresas e profissionais que atuam nestes processos, possam entender a importância e com isso busquem se inteirar mais do assunto através de cursos e/ou na busca de uma consultoria para aplicação da LGPD na empresa.
————————————————-
———————————————-
Quer implementar a LGPD em sua empresa?
Fale com nossa equipe de consultores e esclareça suas dúvidas.