Esqueça o tempo onde inglês fluente, MBA e experiência profissional eram os principais pontos a serem analisados em um currículo. De onde veio esse currículo? Como o dono do documento fará para atualizar os dados quando necessário? Por quanto tempo – e onde – eles serão armazenados?
A Lei Geral de Proteção de Dados (LGDP), sancionada no ano passado e que entrará em vigor em agosto de 2020, trouxe, além do necessário panorama de privacidade no contexto brasileiro, uma nova perspectiva sobre a relação das empresas com os dados das pessoas físicas a que elas têm acesso.
Engana-se quem pensa que os dados pessoais tratados pelas empresas são apenas aqueles referentes aos clientes. Uma das fontes de coleta de dados pessoais de quase qualquer organização é justamente o recebimento de currículos de candidatos. Nome, endereço, e-mail e telefone são alguns exemplos de dados pessoais (conforme definição do artigo 5º, inciso I da LGPD) possíveis de se encontrar nesse tipo de documento. Receber currículos, portanto, é tratar conteúdo privado, ou seja, é incumbir-se do dever de fornecer uma abordagem jurídica e de segurança da informação adequadas.
Em linhas gerais, a LGPD exige que todas as atividades que envolvam dados de pessoas físicas (coleta, produção, utilização, transmissão e outros) recebam dois tipos de atenção: o primeiro diz respeito à segurança da informação. Esses dados deverão trafegar por ambientes seguros, ser acessados apenas por colaboradores autorizados e ter um fluxo validado por profissionais de tecnologia ou segurança da informação. Em segundo lugar, os fluxos que envolvem o tratamento de dados de pessoas físicas deverão ter uma justificativa legal – baseada nas dez possibilidades elencadas pelo artigo 7º da Lei n° 13.709.
Assim, sob o aspecto jurídico, espera-se que os Departamentos de Recursos Humanos entendam que o recebimento de currículos é uma coleta de dados pessoais sujeita à regulação e que informem sobre esse procedimento aos candidatos que desejem candidatar-se às vagas disponíveis.
Em linhas gerais, no momento da recepção de um currículo, independentemente da escolha pelo enquadramento legal, é importante que sejam destacados os seguintes pontos aos candidatos (e, portanto, titulares de dados pessoais): em primeiro lugar, com relação aos princípios da LGPD, é preciso informar aos candidatos o propósito específico da coleta, ou seja, se o currículo será simplesmente salvo e consultado para fins de recrutamento ou se outras áreas da empresa (ex. marketing) também farão uso das informações lá dispostas. Em segundo, sobre o fluxo do tratamento, ou seja, por quanto tempo o currículo será salvo no banco de talentos. Nesse caso, ser transparente com o titular de dados pessoais, além de ser uma obrigação legal, é também um valor com o qual muitas empresas querem construir um posicionamento. Já sobre os direitos do usuário, o 18º artigo da LGPD confere ao titular de dados pessoais nove diferentes direitos. Assim, vale informar aos candidatos o que e como será preservado, por exemplo, o direito dele de acesso, correção e exclusão de informações. Por fim, sobre as transferências de dados para terceiros, o mais importante é se eles serão enviados para fora do Brasil (ponto especial de atenção para empresas multinacionais). Caso positivo, também é interesse chamar a atenção do candidato para essas questões.
Uma forma interessante de agregar todos os pontos acima pode ser o envio pela empresa (ou departamento) recrutadora de uma mensagem de confirmação, após o recebimento do currículo de um candidato, que explique como ele deve agir para retificar e atualizar os dados, como fazer caso queira que o currículo seja apagado do Banco de Talentos e que também aponte, de forma simples e didática, o fim específico da coleta, se os dados serão transferidos a terceiros e demais pontos acima elencados.
Por fim, vale lembrar que a LGPD é uma oportunidade para as empresas fazerem uma grande faxina nos dados que tratam. Arquivar currículos que não estão atualizados não é apenas ineficiente como também apresenta um alto risco de exposição e de sanções pela Autoridade Nacional de Proteção de Dados. Lembre-se que o princípio de minimização significa coletar a menor quantidade de dados possíveis para um fim específico, mas também pode evocar a necessidade de armazenar, igualmente, o menor volume de informações necessárias.
* Leandro Augusto é sócio da KPMG e Isabella Becker é gerente da KPMG, ambos da área de segurança cibernética.
- Brasil pagou R$ 746,9 bilhões de juros sobre a dívida pública consolidada nos últimos…
Mesmo podendo conquistar a 8ª posição no ranking das maiores economias neste ano, o PIB…
Sergio Augusto Carvalho O Mundial do Queijo do Brasil realizado mês passado em São Paulo…
Presidente do Conselho de Administração do Sicoob Central Crediminas, João Batista Bartoli de Noronha Instituição teve…
Enóloga Marta Maia apresentou as vinícolas de Portugal Novidade foi divulgada durante eventos em Belo…
Maior fabricante de genéricos injetáveis do Brasil completa 40 anos de atividades neste mês e…