Os 5 erros mais frequentes (em RH) na conformidade do RGPD. Conheça-os para evitar multas (pesadas)

Simão de Sant’Ana, advogado principal da Abreu Advogados e co-autor do livro “O RGPD e os Recursos Humanos – Guia Prático para a Conformidade”, identifica os cinco erros mais frequentes na conformidade do RGPD.

Simão de Sant’Ana, advogado principal da Abreu Advogados, e Vitorino Gouveia, COO (Chief Operating Officer) no XIS Group, são os autores do livro “O RGPD e os Recursos Humanos – Guia Prático para a Conformidade”, que amanhã é apresentado publicamente. Dedicado à temática da protecção dos dados pessoais no quotidiano das empresas, visa descortinar e resolver os problemas decorrentes da entrada em vigor do Regulamento Geral sobre a Protecção de Dados (RGPD) e da Lei n.º 58/2019. É um completo trabalho de análise às principais medidas e conselhos práticos para a sua aplicação no dia-a-dia da gestão de recursos humanos, integrando temas desde o recrutamento à cessação do contrato de trabalho ou a gestão da produtividade dos trabalhadores.

Simão de Sant’Ana identifica os cinco erros mais frequentes na conformidade do RGPD, complementados com extractos do livro.

1. A conformidade é um processo estático.

Um dos erros que mais frequentes a que assistimos em empresas nacionais e internacionais, mesmo naquelas que efetivamente se preocupam com a temática da protecção dos dados, é encararem a mesma como um assunto estático  – uma vez tratado, está encerrado.

Ora, tendo em consideração o facto de os processos internos estarem sempre em modificação e os sistemas informáticos (IT) também, as questões de protecção de dados têm de ser revistas de tempos em tempos, pois a realidade sobre a qual o processo de auditoria e compliance foi, em dado momento, implementada também já não será a mesma um ano mais tarde.

 «Periodicamente (no mínimo uma vez por ano) e sempre que existam alterações significativas às políticas e aos procedimentos de segurança do empregador ou código de conduta (caso exista), deverão ser realizadas sessões de atualização das políticas e procedimentos de segurança e proteção de dados que se aplicam às funções dos trabalhadores.»

2. A protecção de dados é uma matéria de cariz exclusivamente jurídica.

Apesar de o cariz predominantemente jurídico das matérias de protecção de dados, pois por base encontra-se a necessidade de dar cumprimento à Constituição da República, ao Regulamento Geral de Protecção de Dados e a um conjunto de diplomas legais, o cumprimento das obrigações legais previstas na referida legislação é apenas possível se existirem processos de tratamento de dados devidamente auditados e sistemas de IT que também sigam tais procedimentos internos. Por outras palavras trata-se de uma sinergia entre a auditoria, o legal e os IT’s.

 «Ao contrário do que muitos ainda hoje julgam, a conformidade com o RGPD e com a demais legislação nacional em matéria de proteção de dados não é alcançável através da mera revisão de políticas internas, de contratos, de declarações de consentimento, etc. Igualmente importante é criar mecanismos internos de auditoria, procedimentos que prevejam o fluxo dos dados, os acessos, os pontos de controlo, etc., o que apenas é possível mediante a aplicação das regras legais ao funcionamento dos sistemas de tecnologias de informação (TI) e a criação de procedimentos internos auditáveis.»

3. Dossiers, cadernos e fotocópias. O papel “não conta” para a protecção dos dados.

Empresas com grandes sistemas informáticos, devidamente auditados e em conformidade com o RGPD, frequentemente esquecem-se do básico, dos documentos em papel, dossiers e outros files deixados em cima da mesa de reuniões. Estes podem conter, para além de informação confidencial, dados pessoais de clientes, trabalhadores e/ou fornecedores, pelo que nunca deverão ser visualizados por quem não tem necessidade e legitimidade para aceder aos mesmos. Por outras palavras, a violação da protecção de dados pode advir dos documentos em papel não guardados nem catalogados.

«Tendo em consideração o facto de as organizações possuírem vários repositórios de dados: arquivos físicos, aplicações informáticas (atuais e históricas), sistemas de ficheiros e arquivos eletrónicos para salvaguarda de dados (backups), a retenção e a destruição de dados do trabalhador ao longo da relação laboral, ….. levantam importantes questões.»

4. O contrato já terminou, já podemos apagar tudo.

Ao contrário do que muitos julgam, existe um vasto conjunto de legislação dispersa que estabelece os prazos de conservação dos mais variados documentos, assim a cessação de um contrato, nomeadamente do contrato de trabalho, não deverá ser motivo para apagar os dados do trabalhador.

Aliás, esta matéria acarreta alguma complexidade, pois existindo um prazo legal aplicável, os dados devem ser guardados durante tal período, não mais nem menos. Mas, poderá não existir prazo legal de conservação aplicável, logo teremos de justificar a utilização de um determinado critério na conservação dos dados. E ainda poderemos, se aplicável, anonimizar os dados.

«De notar que, além do apagamento dos dados pessoais, o empregador poderá optar por anonimizar os dados, contanto que não seja possível proceder à sua posterior reversibilidade.»

5. O nosso Director Financeiro é o nosso Encarregado de Protecção de Dados.

Apesar de o RGPD não obrigar , especificamente, o EPD (Encarregado de Protecção de Dados) a possuir determinado grau académico, a pouca disponibilidade de outros directores de uma empresa para esta temática ou a pouca sensibilidade para a mesma, poderá levar a que o processo de compliance fique comprometido.

«No tocante ao perfil académico e à experiência profissional do EPD, devemos tomar em consideração o disposto nos números 5 e 6 do artigo 37.º do RGPD. Destes decorre que o EPD deverá possuir conhecimentos técnico-legais em matéria de proteção de dados, mas também na “prática de proteção dados no controlo do cumprimento do presente regulamento a nível interno”, adianta o considerando 97.º do RGPD.»

Nota: O livro será apresentado amanhã, dia 7 de abril, às 14h30, numa sessão promovida pela Abreu Advogados, dedicada aos profissionais de Recursos Humanos. Os autores irão discutir os desafios que a protecção de dados coloca à Gestão de Pessoas, numa conversa moderada por Ricardo Henriques, sócio da Abreu Advogados e corresponsável pelo serviço de RGPD, e com uma introdução de Luís Marques Mendes, consultor da Abreu Advogados e autor do prefácio do livro. A participação na sessão é livre, mediante inscrição obrigatória neste link.