LGPD na comunicação interna: o que muda?

A Lei Geral de Proteção de Dados – LGPD – chegou impondo mudanças no dia a dia das empresas, criando demandas e gerando dúvidas diversas. A definição do papel de cada um dentro de uma organização ainda é um terreno instável, mas é indubitável que todos devem estar envolvidos.  

A LGPD na comunicação interna é um ponto em que há dúvidas. Quais os limites que precisam ser respeitados em trocas entre colaboradores de uma mesma empresa? Há o fluxo livre das informações dentro de uma equipe?  

Aplicação da LGPD na comunicação interna 

De maneira geral, as trocas de informação que acontecem dentro de uma empresa representam risco menor do que aquelas que envolvem a saída dos dados. Isso acontece já que há um maior controle sobre a forma como as informações serão utilizadas, além de uma subordinação ao sistema de governança de dados da companhia e seus controles, que já são conhecidos e considerados confiáveis e suficientes. 

Ao envolver um fornecedor ou parceiro comercial no tratamento de dados pessoais, perde-se parte do controle sobre o banco de dados, o que acarreta maior risco, já que é necessário confiar na estrutura de governança desse terceiro. Existem mecanismos contratuais para resguardar essa relação, mas o risco existe.   

No entanto, a menor preocupação não representa uma dispensa das determinações legais. A segurança advém exatamente da confiança no cumprimento das normas em todas as atividades que usam de dados pessoais internamente.  

Ao contrário do que muitos pensam, a LGPD não se aplica apenas àqueles que vendem dados pessoais ou que realizam operações e análises complexas. Todas as atividades que usam esse tipo de informação dentro de uma empresa precisam de adequar à legislação.  

Principais preocupações na comunicação interna

É preciso, portanto, estar atendo a alguns pontos na comunicação interna. Primeiramente, ainda é necessário respeitar os princípios da finalidade, adequação e necessidade. Isso significa que nenhum dado pessoal poderá ser compartilhado sem que haja um objetivo claro e legítimo, ou seja, equipes que não precisam de acesso às informações não deveriam tê-lo. Ainda, as informações não poderão ser utilizadas para propósitos que não sejam condizentes com a coleta dos dados. 

Para isso, é necessário que a função de cada dado dentro da estrutura da empresa esteja clara, e que os acessos de cada funcionário sejam configurados para atender às suas necessidades. As equipes de tecnologia e segurança da informação são essenciais para construir essa estrutura, e apenas após o mapeamento das atividades e ativos será possível definir qual nível de acesso cada um precisa.  

Outro ponto importante são as cópias de e-mail. Muitas vezes uma grande quantidade de pessoas é copiada em uma mensagem, como uma forma de facilitar a interlocução, diminuindo o risco de não acionar o responsável correto por aquela demanda. Quando os e-mails envolvem dados pessoais, essa medida não é recomendada, já que pode espalhar as informações para terceiros que não precisam de acesso e diminui o controle que se tem sobre elas.  

É prudente, ainda, não utilizar nomes ou números de CPF na comunicação interna, quando for possível evitar, preferindo apenas as iniciais. Essa é uma maneira de pseudoanonimizar os dados pessoais, protegendo-os em caso de incidentes. Se for necessário, podem ser utilizados identificadores internos para substituir essas informações, já que não seriam compreensíveis para terceiros.  

Se a empresa pretende utilizar fotos ou depoimentos de colaboradores em sua comunicação interna, é importante estar atento aos termos de autorização de uso de imagem.  

Muitas empresas optam por incluir cláusulas a esse respeito no contrato de trabalho, o que é uma forma válida de conseguir a autorização do titular. Para isso, no entanto, deve-se adequar esses instrumentos à LGPD, atualizando as reverências legais e incluindo referências à lei. É sempre boa prática avisar o colaborador e permitir que ele se manifeste quando sua imagem for utilizada, mesmo que haja uma autorização prévia.  

Importância da adequação no setor

A comunicação interna pode representar uma das situações em que há mais trocas de dados pessoais dentro de uma empresa. A atenção a esses processos, portanto, é essencial um projeto de adequação  

O fato de a empresa ter autorização para armazenar e utilizar os dados não significa que se pode fazer qualquer coisa com eles. Deve-se lembrar, ainda, que dados de colaboradores também são protegidos pela LGPD, assim como de fornecedores e qualquer pessoa física com quem a empresa tenha relação.  

A perspectiva de alterar tantas atividades e de forma tão significativa pode parecer assustadora, e é preciso contar com todo o corpo de trabalho para que o projeto de adequação funcione de maneira adequada. É necessário compreender as atividades em profundidade, de forma a criar medidas de adequação pertinentes para cada uma delas. Isso só poderá ser feito se o mapeamento das atividades for completo e profundo.  

Também é essencial que uma pessoa seja responsável por treinar a equipe regularmente, permitindo uma mudança de cultura real. De forma geral, o Encarregado de Proteção de Dados, também chamado de DPO, é aquele que responderá pelo projeto de adequação e pelas etapas posteriores.  

Se quiser saber mais sobre como a comunicação interna da sua empresa pode representar um risco para a proteção de dados pessoais e quais medidas deve adotar para mitigá-los, entre em contato conosco! A Camargo & Vieira possui profissionais capacitados e certificados pela IAPP – International Association for Privacy Professionals, que podem fornecer todo o apoio que você precisa!