Esqueça o tempo onde inglês fluente, MBA e experiência profissional eram os principais pontos a serem analisados em um currículo. De onde veio esse currículo? Como o dono do documento fará para atualizar os dados quando necessário? Por quanto tempo – e onde – eles serão armazenados?

A Lei Geral de Proteção de Dados (LGDP), sancionada no ano passado e que entrará em vigor em agosto de 2020, trouxe, além do necessário panorama de privacidade no contexto brasileiro, uma nova perspectiva sobre a relação das empresas com os dados das pessoas físicas a que elas têm acesso. 

Engana-se quem pensa que os dados pessoais tratados pelas empresas são apenas aqueles referentes aos clientes. Uma das fontes de coleta de dados pessoais de quase qualquer organização é justamente o recebimento de currículos de candidatos. Nome, endereço, e-mail e telefone são alguns exemplos de dados pessoais (conforme definição do artigo 5º, inciso I da LGPD) possíveis de se encontrar nesse tipo de documento. Receber currículos, portanto, é tratar conteúdo privado, ou seja, é incumbir-se do dever de fornecer uma abordagem jurídica e de segurança da informação adequadas.

Em linhas gerais, a LGPD exige que todas as atividades que envolvam dados de pessoas físicas (coleta, produção, utilização, transmissão e outros) recebam dois tipos de atenção: o primeiro diz respeito à segurança da informação. Esses dados deverão trafegar por ambientes seguros, ser acessados apenas por colaboradores autorizados e ter um fluxo validado por profissionais de tecnologia ou segurança da informação. Em segundo lugar, os fluxos que envolvem o tratamento de dados de pessoas físicas deverão ter uma justificativa legal – baseada nas dez possibilidades elencadas pelo artigo 7º da Lei n° 13.709.

Assim, sob o aspecto jurídico, espera-se que os Departamentos de Recursos Humanos entendam que o recebimento de currículos é uma coleta de dados pessoais sujeita à regulação e que informem sobre esse procedimento aos candidatos que desejem candidatar-se às vagas disponíveis.

Em linhas gerais, no momento da recepção de um currículo, independentemente da escolha pelo enquadramento legal, é importante que sejam destacados os seguintes pontos aos candidatos (e, portanto, titulares de dados pessoais): em primeiro lugar, com relação aos princípios da LGPD, é preciso informar aos candidatos o propósito específico da coleta, ou seja, se o currículo será simplesmente salvo e consultado para fins de recrutamento ou se outras áreas da empresa (ex. marketing) também farão uso das informações lá dispostas. Em segundo, sobre o fluxo do tratamento, ou seja, por quanto tempo o currículo será salvo no banco de talentos. Nesse caso, ser transparente com o titular de dados pessoais, além de ser uma obrigação legal, é também um valor com o qual muitas empresas querem construir um posicionamento.  Já sobre os direitos do usuário, o 18º artigo da LGPD confere ao titular de dados pessoais nove diferentes direitos. Assim, vale informar aos candidatos o que e como será preservado, por exemplo, o direito dele de acesso, correção e exclusão de informações. Por fim, sobre as transferências de dados para terceiros, o mais importante é se eles serão enviados para fora do Brasil (ponto especial de atenção para empresas multinacionais). Caso positivo, também é interesse chamar a atenção do candidato para essas questões.

Uma forma interessante de agregar todos os pontos acima pode ser o envio pela empresa (ou departamento) recrutadora de uma mensagem de confirmação, após o recebimento do currículo de um candidato, que explique como ele  deve agir para retificar e atualizar os dados, como fazer caso queira que o currículo seja apagado do Banco de Talentos e que também aponte, de forma simples e didática, o fim específico da coleta, se os dados serão transferidos a terceiros e demais pontos acima elencados.

Por fim, vale lembrar que a LGPD é uma oportunidade para as empresas fazerem uma grande faxina nos dados que tratam. Arquivar currículos que não estão atualizados não é apenas ineficiente como também apresenta um alto risco de exposição e de sanções pela Autoridade Nacional de Proteção de Dados. Lembre-se que o princípio de minimização significa coletar a menor quantidade de dados possíveis para um fim específico, mas também pode evocar a necessidade de armazenar, igualmente, o menor volume de informações necessárias.

 

 * Leandro Augusto é sócio da KPMG e Isabella Becker é gerente da KPMG, ambos da área de segurança cibernética.