Embora já esteja em vigor, a Lei Geral de Proteção de Dados (LGPD) ainda tem grandes gaps no RH das empresas. Uma situação crítica que precisa ser corrigida – e rápido

Há mais de três anos, em agosto de 2018, foi publicada a Lei Geral de Proteção de Dados (LGPD), que entraria em vigor dois anos depois e somente no segundo semestre, em agosto de 2021, passou a promover multas e sanções como resposta às infrações à privacidade das informações das pessoas.

Com todo esse tempo de preparação, seria de se esperar que as empresas estivessem 100% adequadas à regra.

Correto?

Infelizmente não…

O cenário, na realidade, é preocupante. O setor de RH, de forma geral, tem contato com tecnologia e um certo grau de maturidade digital. Mas o apego aos meios físicos ou ao uso de simples planilhas mostra que o Brasil ainda está distante de termos um RH digital que prioriza a proteção dos dados de seus colaboradores.

Para entender o tamanho desse gap no mercado brasileiro, fizemos uma pesquisa com quase mil profissionais de RH de várias regiões do País em setembro deste ano. No questionário, abordamos o entendimento dos profissionais sobre a LGPD, o controle e armazenamento dos dados sensíveis dos colaboradores e as medidas de prevenção contra os ataques cibernéticos.

Por uma questão cultural brasileira, costumamos deixar tudo para a última hora. Com frequência, empresas e pessoas “pagam para ver”, esperando que leis não vinguem, ou que algum “jeitinho” possa fazer o problema desaparecer. Essa abordagem, porém, não funciona com a LGPD.

É hora de criar a cultura

O setor de RH lida com dados sensíveis, como informações pessoais e dados sobre condições de saúde e situação financeira. Com o aumento dos ataques cibernéticos no último ano, está cada vez mais claro o risco de expor informações como nomes, endereços e salários dos colaboradores ao risco de captura por criminosos.

Sem um time capacitado, a empresa fica mais exposta às ações de hackers e a sofrer as penalidades legais (que podem chegar a até 2% do faturamento da empresa, limitado a R$50 milhões).

Mesmo assim, esta área parece estar alheia a essa situação. Nossa pesquisa mostra que 53% dos profissionais de Recursos Humanos não receberam nenhum treinamento sobre a aplicação da LGPD ao seu departamento e sobre as medidas de adequação à lei.

Pouco mais de 20% dos entrevistados ainda disseram que não conhecem ninguém na empresa que tenha sido treinado sobre a LGPD, o que revela uma grande lacuna. Três anos depois da promulgação da Lei, grande parte das empresas continua na estaca zero.

E treinamento é um primeiro passo fundamental: profissionais que tiveram alguma preparação sobre a LGPD entendem melhor seus impactos não apenas sobre o RH, mas sobre todo o negócio.

Não basta treinar algumas poucas pessoas, pois a cultura de proteção de dados precisa estar disseminada na empresa. A capacitação das equipes, por meio de treinamentos claros e didáticos, é essencial, já que a LGPD é um tema complexo, que afeta toda a empresa.

A criação de uma cultura de dados deve começar pelos gestores. Afinal de contas, quando os líderes reforçam o cumprimento da lei e contribuem para prevenir danos e infrações, esse comportamento se dissemina por toda parte.

Entretanto, 20% dos profissionais de RH que receberam treinamento em LGPD (e 43% dos que não treinaram) acreditam que os gestores não estão plenamente conscientes dos riscos que correm caso a lei não seja cumprida.

Esse, infelizmente, é um ciclo de autoperpetuação. Quando os gestores não estão cientes dos riscos, eles não veem motivo para treinar as equipes.

O cenário preocupa

Além do treinamento, a adaptação à LGPD passa pelo mapeamento de todos os dados pessoais aos quais a empresa tem acesso, em meios físicos e digitais. No dia a dia do RH, isso passa por todos os dados pessoais dos colaboradores: de nome e data de nascimento às questões de saúde e salário.

O mapeamento é um levantamento de quais processos coletam e armazenam qualquer tipo de dado sobre as pessoas que trabalham na empresa. Do recrutamento e seleção até o desligamento.

Nossa pesquisa mostra que apenas 39,3% dos profissionais de RH disseram que o mapeamento já foi feito em suas empresas. É um cenário preocupante de despreparo: quatro em cada 10 empresas não deram nem mesmo o primeiro passo.

A LGPD também determina que toda empresa precisa ter um profissional responsável pelos dados da empresa – o Data Protection Officer (DPO). Mais da metade das empresas (51,3%) não determinaram um responsável e, entre os 31,3% que disseram já ter definido um DPO (15,1% não sabiam dizer), as áreas de TI, jurídico e RH são aquelas onde recai essa responsabilidade. É preciso que esses departamentos trabalhem em conjunto para formar times interdisciplinares, acelerar a adequação à lei e evitar incidentes.

Digitalizar é o caminho

É preciso priorizar a adequação à LGPD, treinar as equipes e criar uma cultura de proteção de dados nas empresas. O uso de ferramentas de assinatura digital (presentes apenas em 25,9% das empresas) ajuda a controlar as informações.

Outro aspecto importante é evoluir de processos manuais e planilhas para plataformas digitais especializadas na gestão e controle dos dados (algo presente em apenas 33% das empresas).

Plataformas digitais são de grande valia, pois permitem segmentar o acesso dos colaboradores aos dados e criar regras de uso desses dados. Essa é uma prática muito importante: definir que apenas algumas poucas pessoas podem acessar, por exemplo, os processos de folha de pagamento reduz a possibilidade de vazamentos de dados.

-Não é à toa que 47,5% dos entrevistados disseram contar com ferramentas de acesso segmentado às informações e apenas 6% ainda se baseiam em processos manuais: essa é uma informação sensível, estratégica para os negócios.

Por outro lado, a prática de armazenar autorizações e consentimentos de uso está presente em menos de 40% das empresas. E essa é uma condição essencial para a LGPD. O RH precisa contar com um sistema de armazenamento confiável e seguro para todos os seus documentos, especialmente os que se relacionam ao consentimento de uso das informações.

Esse cenário de atraso na adoção da LGPD mostra que as empresas precisam acelerar o passo. E, para isso, é preciso contar com os profissionais certos, desenvolver times interdisciplinares unidos no mesmo objetivo de segurança e modificar os processos de coleta e armazenamento de dados.

A LGPD não é uma moda passageira: ela veio para ficar e impacta todas as empresas. Já passou da hora de se adaptar a essa realidade.

LGPD e RH: um longo caminho a percorrer

 

Por Marcelo Furtado, CEO da Convenia. É administrador de empresas com pós-graduação em engenharia financeira pela Poli-USP. Iniciou sua carreira na Pepsico e posteriormente trabalhou 8 anos com gestão de ativos em hedge funds. É cofundador e CEO da Convenia, primeiro software na nuvem de gestão de departamento pessoal voltado para pequenas e médias empresas no Brasil. Marcelo também atua como professor de Inbound Marketing na ESPM-SP.