PORTFÓLIO
A adoção do KEY pelas empresas e os desafios para o cumprimento da LGPD
É importante considerar as implicações dessa abordagem em relação ao cumprimento da Lei Geral de Proteção de Dados (LGPD)
Por Antonielle Freitas
O KEY (Know Your Employee) trata-se de um conjunto de práticas que visa conhecer e monitorar os funcionários de uma empresa, prevenindo riscos como fraudes, corrupção e vazamento de informações.
Essas práticas envolvem desde a seleção e contratação, até a gestão e acompanhamento dos colaboradores, e podem incluir a verificação de antecedentes, análise de perfis nas redes sociais, monitoramento de atividades e avaliação periódica de desempenho.
No entanto, é importante considerar as implicações dessa abordagem em relação ao cumprimento da Lei Geral de Proteção de Dados (LGPD), uma vez que a privacidade e proteção dos dados dos funcionários são questões sensíveis e estão sujeitas a regulamentações rigorosas.
Uma das principais implicações da LGPD em relação ao KEY é a necessidade de as empresas agirem de forma transparente para a coleta, uso e tratamento dos dados pessoais.
Isso significa que as empresas devem informar claramente os candidatos ou funcionários sobre quais dados estão sendo coletados, com que finalidade e por quanto tempo serão armazenados, e obter seu consentimento expresso de forma inequívoca, quando necessário.
Além disso, os titulares de dados têm o direito de acessar, corrigir e excluir seus dados pessoais, bem como de se opor ao tratamento de seus dados em certas circunstâncias.
Outro aspecto importante é a necessidade de garantir a segurança e a confidencialidade dos dados pessoais coletados e armazenados no contexto do KEY.
As empresas devem adotar medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, perda, destruição, alteração ou divulgação indevida.
É importante também estabelecer políticas claras de acesso aos dados, limitando o acesso apenas a funcionários autorizados com base na necessidade de conhecimento, e implementar mecanismos de monitoramento e auditoria para garantir o cumprimento das políticas de proteção de dados.
Além disso, é fundamental que as empresas realizem uma análise de risco para identificar os tipos de dados pessoais que estão sendo coletados e tratados no contexto do KEY e avaliar os riscos associados, incluindo a possibilidade de violação da privacidade dos funcionários.
Com base nessa análise, as empresas devem implementar medidas de mitigação de risco apropriadas, como a adoção de práticas de anonimização ou pseudonimização de dados, sempre que possível.
Outro ponto relevante é o monitoramento de atividades dos funcionários no contexto do KEY. Embora o monitoramento de atividades possa ser legítimo em certas circunstâncias, como para fins de segurança ou cumprimento de obrigações legais, é importante garantir que o monitoramento seja realizado de forma proporcional e em conformidade com a LGPD.
As empresas devem estabelecer políticas claras de monitoramento de atividades, informando os funcionários sobre os tipos de atividades que podem ser monitoradas, os objetivos do monitoramento e os procedimentos envolvidos.
Além disso, é importante que o monitoramento seja restrito apenas às atividades relevantes e necessárias para os fins legítimos da empresa, evitando a coleta excessiva de dados ou o monitoramento indiscriminado de atividades pessoais dos funcionários, o que poderia violar a privacidade dos mesmos.
A análise de perfis nas redes sociais também pode ser uma prática controversa no contexto do KEY. Embora a análise de perfis nas redes sociais possa ser útil para avaliar a adequação dos candidatos a determinadas posições, é importante ter cuidado para não violar a privacidade dos candidatos ou funcionários.
A análise de perfis nas redes sociais pode revelar informações sensíveis, como origem étnica, orientação sexual, religião, entre outros, que são considerados dados sensíveis e requerem proteção especial segundo a LGPD.
A avaliação periódica de desempenho também pode levantar questões de conformidade com a LGPD no contexto do KEY.
É importante garantir que a avaliação de desempenho seja baseada em critérios objetivos e relevantes para as funções dos funcionários, evitando a coleta e uso de dados pessoais excessivos ou irrelevantes.
Além disso, os funcionários têm o direito de contestar os resultados da avaliação de desempenho e terem acesso aos dados pessoais utilizados nesse processo, de acordo com as disposições da LGPD.
É importante destacar que o não cumprimento das disposições da LGPD pode resultar em sanções financeiras significativas para as empresas, além de danos à reputação e perda de confiança dos funcionários e clientes.
Portanto, é fundamental que as empresas sejam cuidadosas em relação ao cumprimento da LGPD, garantindo o consentimento adequado, a segurança e confidencialidade dos dados pessoais, a proporcionalidade na coleta e uso de dados, e o respeito à privacidade dos funcionários em todas as etapas do processo de KEY.
Com uma abordagem ética e legalmente compatível, as empresas podem garantir a implementação eficaz do KEY, minimizando os riscos de não conformidade com a LGPD e protegendo os direitos e privacidade dos funcionários.
Sobre a autora
Antonielle Freitas DPO (Data Protection Officer) do escritório Viseu Advogados; Membro da Comissão Especial de Privacidade e Proteção de Dados da OAB/SP. É certificada como DPO junto ao EXIN e em Segurança Cibernética pela Cisco Networking Academy, formada pela Universidade Estadual de Ponta Grossa – UEPG, pós-graduada em Direito Digital pela Escola Brasileia de Direito – EBD e em Direito Processual Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP
