Aplicação da LGPD nos processos de recrutamento e seleção

Por Rücker Curi Advocacia e Consultoria Jurídica

A Lei Geral de Proteção de Dados (Lei nº 13.709/18), agora em sua plena vigência e eficácia, visa a proteção dos direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural, dispondo sobre o tratamento dos dados pessoais no território nacional, quando realizado para fins econômicos.

As diretrizes contidas na LGPD demandam um novo olhar acerca do tratamento dos dados pessoais no ambiente comercial, alterando-se a cultura da máxima captação de dados, do armazenamento indeterminado e do livre compartilhamento, para outro viés, assegurando-se ao titular dos dados pessoais os direitos inerentes a sua personalidade, como a privacidade, a dignidade e as demais garantias constitucionais decorrentes.

É inequívoco que o processo de recrutamento e seleção também deve observar as diretrizes relativas à segurança e proteção dos dados pessoais dos candidatos, uma vez que a empresa, ao divulgar uma vaga de emprego, visa a contratação de um profissional para obter lucro por meio de sua força de trabalho.

Para tanto, deve-se pensar a proteção do dado de forma holística, revisando as práticas de tratamento dos dados, aplicando os mecanismos e processos adequados em todo o ciclo de vida do dado pessoal, adotando a privacidade desde a concepção, em todas as etapas do processo, e por padrão (privacy by design e privacy by default), bem como analisando-se os riscos e vulnerabilidades existentes, de modo a minimizá-los ou eliminá-los.

Em razão do alto volume de dados pessoais tratados nos processos de recrutamento e seleção, além de definir uma política de privacidade eficaz, é necessário que sejam elaboradas políticas e tratativas específicas para os diferentes fluxos de dados, com a orientação e treinamento dos colaboradores em relação à proteção dos dados pessoais e segurança da informação, pois um dos maiores fatores de risco à privacidade ainda é a falha humana.

Como parte dessa mudança de mindset e governança dos dados, uma medida importante é conscientizar os colaboradores sobre a necessidade de proteger os dados pessoais de acessos não autorizados, por meio do controle de usuários e da restrição apenas àqueles que atuam na fase de recrutamento e seleção; orientar quanto ao não compartilhamento de logins e senhas; sobre a adoção de política de mesa limpa; bloqueio do computador ao se ausentar da estação de trabalho, de preservar ao máximo o sigilo das informações obtidas, a fim de se garantir a disponibilidade, confidencialidade e integridade dos dados e evitar violações.

Os dados pessoais sempre devem ser processados de maneira segura e transparente, conforme a finalidade explícita, específica e justificada de tratamento, preservando-se a qualidade e integralidade dos dados, a não discriminação, o armazenamento adequado e por tempo compatível à finalidade.

Entretanto, mesmo antes da existência da relação laboral, ainda no processo de recrutamento e seleção, a empresa deve definir claramente os critérios de tratamento dos dados, informando na própria vaga (ainda que brevemente), que os dados pessoais dos candidatos serão coletados e compartilhados internamente e com parceiros (no caso do anúncio de vagas em empresas terceiras, como LinkedIn), para aquela finalidade.

É possível que no processo de recrutamento e seleção a empresa opte pela aplicação de inteligência artificial, ou então, siga os métodos tradicionais, de forma física ou digital. Independentemente do método, indica-se formalização de um aviso de privacidade, disponível em local acessível, contendo informações claras e precisas sobre o tratamento dos dados pessoais durante o processo seletivo, em especial com relação à finalidade do uso, do tempo em que serão mantidos, visando atender ao princípio da transparência.

Destaca-se que, quando o processo de recrutamento e seleção envolver menores aprendizes, o art. 14 da LGPD exige a formalização de termo de consentimento específico, de um dos pais ou responsável legal, admitindo-se o tratamento dos dados pessoais das crianças sempre em seu melhor interesse.

Outro aspecto a ser considerado é a minimização dos dados, ou seja, no processo de recrutamento e seleção deve-se coletar apenas os dados pessoais necessários às finalidades da vaga, evitando-se a solicitação de informações excessivas e, por vezes, de dados sensíveis, que nada interferem para a seleção ou não do candidato. Caso sejam necessárias informações complementares, é preferível que requerê-las no momento da contratação, de modo a proteger a privacidade dos dados dos demais concorrentes e a evitar exposição indevida.

Ainda, é importante ter cautela com relação aos dados pessoais sensíveis, os quais estão relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

A coleta e o tratamento dos dados sensíveis, inclusive em razão do princípio da não discriminação previsto na LGPD, que veda o tratamento de dados para fins discriminatórios, ilícitos ou abusivos, demanda especial cuidado pela empresa.

Deve-se realizar uma avaliação rigorosa acerca da efetiva necessidade daquele dado pessoal sensível para o recrutamento e seleção, ponderando-se os riscos envolvidos no processo. Por exemplo, não há razão para solicitar a inclinação religiosa ou política do candidato se essas informações não forem essenciais ao desempenho do cargo anunciado. Sendo o caso, deve-se explicar o motivo da coleta do dado ao candidato, solicitando consentimento expresso, específico e destacado para o tratamento do dado sensível, com a forma, duração e eventual compartilhamento. Ressalta-se a importância de um processo interno de gestão do consentimento, pois a qualquer tempo o candidato poderá revogá-lo e a empresa deve estar preparada para interromper o tratamento do dado tão logo isso ocorra.

Importante lembrar que o tratamento, como definido pela LGPD em seu art. 5º, inciso X, refere-se a toda operação realizada com os dados pessoais, inclusive seu armazenamento e eliminação. Portanto, a empresa deve definir e informar de forma clara quanto tempo os dados dos candidatos serão armazenados, o qual deve sempre estar vinculado à finalidade específica de coleta e utilização. Assim, após o encerramento do processo seletivo a empresa deverá excluir todas as informações dos candidatos não aprovados, salvo se existir banco de currículos e o titular dos dados expressamente consentir a continuidade do tratamento, em termo próprio, específico e com prazo estipulado. E isso não se restringe às hard skills curriculares, mas se estende a todos os testes eventualmente aplicados aos candidatos para definir seu perfil comportamental ou de personalidade, sendo ilegal a manutenção de tais dados pessoais sem expressa autorização do titular.

Por fim, é fundamental que a empresa desenvolva um canal de atendimento específico das demandas relativas à proteção de dados, uma vez que o candidato, como titular de dados pessoais, tem o direito de obter informações sobre o tratamento dos dados, solicitar acesso, correção, exclusão dos dados pessoais, informações sobre compartilhamento, revogação do consentimento e informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.

Os desafios de adequação à LGPD são inúmeros e envolvem um contínuo processo de melhoria da gestão dos dados pessoais, processos e cultura organizacional. Entretanto, para além de se evitar as penalidades administrativas e judiciais, a conformidade com a LGPD representa efetiva oportunidade ao negócio, na medida em que melhora a reputação e a imagem da empresa no mercado, confere destaque em relação à concorrência, aumenta a credibilidade perante os stakeholders, além de possibilitar a comunicação clara e o relacionamento mais assertivo com o cliente. Assim, implementar medidas adequadas na fase de recrutamento e seleção dos candidatos também repercute como boas práticas de governança, pois evidencia à sociedade a confiabilidade da empresa e o respeito à privacidade e proteção dos dados pessoais.

Referências:

GROSSI, Bernardo Menicucci (org.). Lei Geral de Proteção de Dados: Uma análise preliminar da Lei 13.709/2018 e da experiência de sua implantação no contexto empresarial. Porto Alegre: Editora Fi, 2020.

MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. 2. ed. São Paulo: Thomson Reuters Brasil, 2020.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD).    Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm Acesso em: 15 ago. 2021.

Quer saber mais sobre LGPD? Confira o webinar “Descomplicando a LGPD”, com participação da sócia-fundadora do escritório, Izabela Rücker Curi