Conheça o posicionamento da Eva e o seu software de onboarding frente à nova Lei Geral de Proteção de Dados.
A Eva é, assim como seus clientes, uma controladora de dados — a quem, nos termos do art. 5º, V, da LGPD, “competem as decisões referentes ao tratamento de dados pessoais”. Isso porque a Eva (i) faz a coleta dos dados diretamente com os colaboradores; (ii) gerencia toda a comunicação com os colaboradores, inclusive apresentando-lhes sua a política de privacidade e fornecendo-lhes os meios para que exerçam seus direitos; (iii) estabelece política de retenção de dados e o fundamento legal para tratamento dos dados; (iv) realiza a gravação e transcrição de reuniões. Assim, as responsabilidades de controlador são divididas entre Eva e seus clientes, mas, para o melhor funcionamento da plataforma e para melhor atender nossos clientes, a Eva centraliza algumas ações, decisões e comunicações – assumindo a responsabilidade por eles.
Longe de trazer desvantagens para nossos clientes, a medida é uma forma de compartilhar responsabilidades e centralizar na Eva decisões e comunicações com os colaboradores, que os clientes teriam que fazer de forma independente. Pela nossa qualidade de controladores, nossa barra é tão alta quanto à de nossos clientes no que diz respeito ao cumprimento da lei.
A posição de controlador da Eva não retira nossos clientes de sua posição de controladores. Os clientes, como responsáveis e principais interessados pela realização de processos onboarding por meio da Plataforma Eva, sempre serão controladores dos dados dos colaboradores.
É o legítimo interesse dos nossos clientes e da Eva na participação de colaboradores, combinado com o interesse manifestado pelo funcionário, nos termos do artigo 10, II, da LGPD. Entendemos que esse interesse manifestado pelo colaborador persiste enquanto ele se mantém ativo na plataforma, acessando os conteúdos e participando de novas jornadas de treinamento. Uma vez que a atividade cessa, se aplica a nossa política de retenção de dados, discutida abaixo.
É com base nesse fundamento legal que os dados são compartilhados entre Eva e cliente e, em se tratando de consultoria de onboarding, também com o cliente que contratou a consultoria para que realizasse seus processos admissão e integração.
O novo funcionário não dá consentimento para uso dos seus dados pela plataforma quando do cadastro. Consentimento aqui sequer poderia ser aplicado. É que, para a LGPD, consentimento precisa ser livre, isto é, não pode ser dado como condição a algo. No caso, o tratamento dos dados é condição indispensável para a participação do processo de admissão e integração e, consequentemente, o consentimento não seria livre e, assim, ele não é uma base legal adequada.
Considerando que o fundamento legal utilizado para tratamento de dados é o legítimo interesse, quando o colaborador faz seu cadastro documentos na Eva, ele dá o aceite aos termos de uso e à política de privacidade, em que explicamos o tratamento de dados e como seus direitos são protegidos. Os termos de uso e política de privacidade ficam, a todo tempo, disponíveis para fácil acesso pelo colaborador em seu perfil na plataforma.
O consentimento, no entanto, é exigido para uso de dados sensíveis, como a informação sobre se o candidato é pessoa com deficiência. Caso o candidato não dê consentimento, nesses casos, o processo seletivo poderá seguir normalmente sem tais dados.
Coletamos nome completo, email profissional e email pessoal.
Obs: a coleta de dados adicionais como CPF, endereço, telefone, data de nascimento, gênero, formação acadêmica, experiência profissional fica a cargo do próprio cliente. Assim como a coleta de dados sensíveis.
O cliente também pode customizar seu processo admissional com a inclusão de perguntas adicionais. Tais informações são apenas armazenadas pela Eva, sendo de responsabilidade do cliente seu uso de acordo com as normas da lei.
É necessário que aqui seja aplicado o princípio da minimização dos dados, ou seja, que sejam feitos questionamentos e/ou incluídas apenas informações que façam sentido para o processo admissional e não prejudiquem o colaborador, sob pena de violação à LGPD. Também viola a LGPD a realização de perguntas que podem gerar discriminação, como se o colaborador tem filhos, é fumante, tem alguma condição de saúde, etc.
Dados sensíveis podem ser solicitados dos colaboradores (i) mediante consentimento, que precisa ficar registrado e deve poder ser retirado a qualquer tempo, e (ii) de forma não obrigatória. Essas exigências não são atendidas com a solicitação dos dados por meio das perguntas adicionais.
A Eva pede consentimento de pais ou responsáveis para tratamento de dados? Não. O consentimento como condição para tratamento de dados é solicitado apenas com relação a crianças, entendidas pela legislação como pessoas até 12 (doze) anos de idade. A Eva trata dados pessoais de pessoas a partir de 14 anos, considerados adolescentes por lei, para a participação em processos admissionais de vagas de jovem aprendiz. Com relação a dados de adolescentes, a LGPD prevê que esse tratamento deve ser feito no melhor interesse do adolescente, o que a Eva observa.
Na qualidade de controlador dos dados, Você, cliente, pode extrair os dados e usá-los da forma que entender necessária, desde que dentro dos limites da finalidade que justificou a coleta e o tratamento em primeiro lugar: o legítimo interesse das partes envolvidas na realização de um processo admissional. Qualquer uso fora desses limites, como envio de e-mails marketing para candidatos por exemplo, são considerados em descumprimento da LGPD.
Você pode manter os dados dos colaboradores pelo tempo que fizer sentido para o cumprimento da finalidade de tratamento de dados apresentada, ou seja, pelo tempo que permanecer o contrato de trabalho. Caso o colaborador solicite a destruição dos dados cadastrados da plataforma, a Eva deve notificar a contratante antes de realizar os procedimentos de exclusão e destruição.
Em caso de solicitação de exclusão/expurgo de dados por parte do titular. A empresa Eva, como operadora dos dados, deverá notificar o controlador dos dados por e-mail ao encarregado de dados em um prazo de até 48 horas.
Sim, a Eva, na qualidade de controladora dos dados, assume a responsabilidade pelos operadores que contrata para a prestação dos seus serviços. Tais operadores estão ligados ao armazenamento dos dados (Amazon Web Services, Google Cloud), análise de dados (Google Analytics e Hotjar), segurança (New Relic) e envio de e-mails (Postmark e Sendgrid) e mensagens no Whatsapp (Twilio).
Além disso, a Eva disponibiliza API pública, o que permite que nossos clientes façam a integração com seus sistemas internos. Em caso de integração, o cliente é responsável pelo compartilhamento de dados com o terceiro e pela observância da lei pelo terceiro.
Os dados ficam armazenados na Amazon Web Services, na Virgínia (EUA). A Amazon mantém medidas de segurança técnica e organizacional em estrutura e certificações de garantia de segurança reconhecidas mundialmente, incluindo ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, PCI DSS Level 1 e SOC 1, 2 e 3.
Todos os dados são salvos utilizando criptografia at rest por padrão. Dados armazenados incluem, mas não se restringem a, dados pessoais, dados sensíveis e quaisquer outros dados inseridos na plataforma durante o uso.
Nossa lista de subprocessors pode ser consultada aqui: Eva People – Subprocessors
Sim! Nosso encarregado é a Daniel Luz ([email protected]) e está disponível para auxiliar os colaboradores e vocês, clientes, com relação a dúvidas relacionadas à LGPD.