Com o advento da LGPD, importantes mudanças terão que ser estabelecidas nos dados coletados relativos a controle de acesso (pela batida de ponto biométrico) e de horário de trabalho. Essas informações já existiam há muito tempo, porém com o desenvolvimento de tecnologias esse controle foi facilitado, bem como possibilitou a captura de outras diversas informações sobre seus empregados.
Dessa forma, é necessário estabelecer limites do seu uso para preservar os direitos e liberdade daqueles que sofrem esse controle.
O empregador tem a sua disposição instrumentos de controle biométrico ou não. Ambos são eficazes na gestão dos horários e permanência de seus empregados.
Veja também: Blog Solere: Guia para proteção dos dados dos empregados
Essas ferramentas de controle de acesso individual visam garantir a segurança de entrada e saída nos estabelecimentos da empresa e dos locais em que há a necessidade de restrição na circulação de pessoas – seja de visitantes como de empregados.
Limites e Garantias
Como garantia à privacidade do empregado, o sistema de controle não pode ser usado para controlar o deslocamento interno do empregado dentro do seu local de trabalho.
Quanto aos dados pessoais coletados, o acesso a essas informações deve ser restrito a pessoas autorizadas da equipe de gestão de recursos humanos, financeira ou de segurança.
Período de Conservação
Recomenda-se a conservação dos dados relativos ao controle de acesso por três meses a contar do seu registro. Quanto aos dados usados no monitoramento do horário de trabalho, incluindo os relacionados a faltas, aconselha-se a sua manutenção nos arquivos da empresa por 5 anos.
Veja também: Blog Solere: LGPD e uso de geolocalização em veículos de funcionários
Direito à Informação
O empregado que sofre o controle, titular dos dados pessoais, tem direito de ser informado da finalidade do controle; da sua base legal; dos destinatários dos dados; do período de conservação dos dados; de seu direito de oposição, de acesso e de retificação; e, da possibilidade de fazer uma reclamação à ANPD.
Essas informações devem ser passadas ao empregado no momento da celebração do contrato de trabalho ou prestação de serviço.
Medidas de Segurança
É imprescindível a adoção medidas de segurança relativas ao acesso aos dados desse sistema de controle. Dentre elas, recomenda-se que o empregador institua uma política de autorização, troca de dados seguras, registro de acesso aos dados e das operações realizadas.
Veja também: Blog Solere: Escuta e gravação de chamadas no ambiente de trabalho
A elaboração de um estudo de risco de segurança de dados para definir as medidas adequadas também é indicada, especialmente quando um dispositivo biométrico é implementado.
Formalidades
O controle de acesso sem biometria deve ser privilegiado sempre que um sistema de crachás seja suficiente ou o local de trabalho não seja vulnerável/sensível.
No caso de opção pelo controle de ponto biométrico, o sistema deve estar sujeito a uma avaliação de impacto na proteção de dados no âmbito da LGPD. Isso permitirá identificar quais são os riscos associados aos dados pessoais envolvidos pelo dispositivo e reduzir a probabilidade ou a sua gravidade.
Sobre o armazenamento dos dados gerados pelo controle de ponto biométrico, aconselha-se ao empregador a usar um suporte individual.
Ademais, se a empresa nomeou um encarregado de proteção de dados (data protection officer – DPO), ele deve estar associado à implementação deste sistema de controle.
Por fim, o empregador deve registrar esse dispositivo de controle em seu registro de atividades de tratamento de dados pessoais.
(As orientações acima têm como base o Regulamento Europeu, tendo em vista que a lei europeia foi fonte de inspiração para a Lei Geral de Proteção de Dados. E, quanto ao tema, a LGPD não estabelece os parâmetros nem a Agência Nacional de Proteção de Dados (ANPD) não editou o regulamento nacional.)
Em conclusão, este texto procura tratar sobre quais são os impactos da LGPD no que tange o controle de ponto biométrico de uma empresa. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.
Imagem: ThinkStock