Tive recentemente uma conversa com alguém que me explicou ter tido de explicar educadamente a um colaborador que sim, ele poderia eliminar os seus dados bancários do sistema de RH. Isso estaria em conformidade com os novos requisitos do Regulamento Geral sobre a Proteção de Dados (RGPD), que estabelecem que as pessoas podem consultar todos os dados de identificação pessoal que uma empresa detém sobre elas e, em seguida, solicitar que todos ou alguns sejam eliminados no prazo de 30 dias. A pessoa explicou ainda ao colaborador que, se os dados bancários fossem eliminados, a empresa não teria forma de lhe pagar o salário no final do mês.
Da mesma forma, ao deixar um cargo, um colaborador pode pedir ao ex-empregador que apague todas as suas informações pessoais. No entanto, isso impede obviamente o ex-empregador de lhe fornecer uma referência no futuro.
Sem negar a importância de controlar a forma como as nossas informações pessoais são recolhidas, armazenadas e tratadas, pergunto-me se não fomos longe demais com o RGPD. Como funcionaria na prática o direito ao apagamento de um ex-colaborador? Os processos de pessoal seriam relativamente fáceis de encontrar e eliminar, especialmente se forem digitais. A empresa teria de determinar se foram feitas cópias em papel e onde se encontram. Os arquivos formais são uma coisa, mas as cópias aleatórias no fundo do arquivo do diretor financeiro ou em pen drives são outra.
Consideremos agora o orçamento do ano passado, ou do ano anterior, onde o Pedro estava incluído e identificado no orçamento salarial detalhado. O apagamento significaria que o orçamento não fecharia, pelo que em vez disso "anonimizaríamos" o Pedro, mantendo os seus valores, mas ocultando o seu nome. Pense nisso por um momento no contexto das taxas de rotatividade de pessoal… Voltar um ou dois anos atrás para perceber como o orçamento foi composto poderia resultar numa lista de "N. N.", privando o revisor da capacidade de analisar ou compreender o contexto e a composição do orçamento.
Outro pensamento: o que acontece numa auditoria, externa ou fiscal (que pode recuar potencialmente sete anos), quando não se consegue fornecer dados de suporte para lançamentos contabilísticos porque os dados pessoais da pessoa foram eliminados ao abrigo do RGPD? As autoridades fiscais aceitarão isso como resposta satisfatória a uma questão de auditoria? Suspeito que não.
Além disso, num mundo digital, o nosso rastro de dados pessoais espalha-se longe e depressa. Certo, por um lado é provavelmente mais fácil de pesquisar do que informações em papel, mas por outro: que teia emaranhada são as nossas vidas digitais. O endereço de e-mail desse ex-colaborador numa cadeia de e-mails envolvendo outras pessoas? Uma newsletter da empresa com uma fotografia legendada de um evento de team building, incluindo o colaborador? Uma publicação no LinkedIn escrita pelo colaborador em nome da empresa, com um debate animado nos comentários? Outros dados, comunicações e conteúdos simplesmente são destruídos para cumprir o RGPD? "Desculpe João, sei que esta foi uma conversa valiosa com um cliente e que seria bom guardar um registo, mas tem de ser eliminada porque menciona o Pedro. E, aliás, por favor elimine todas as cópias que ainda possa ter da newsletter de há quatro anos e substitua-a por esta versão redigida. Sim, sei que arruinámos a foto ao tapar o rosto do Pedro, mas é o que é…"
Como é que isto é exequível? E é sequer necessário: a menos que seja Jason Bourne, importa mesmo aparecer fotografado com a equipa vencedora do quiz da empresa de 2014? No entanto, empresas de todas as dimensões poderiam potencialmente ficar atoladas em tarefas administrativas, à procura das menções mais efémeras dentro do prazo de conformidade de 30 dias. A longo prazo, as empresas podem reavaliar as suas comunicações corporativas, ou os sistemas que utilizam — preferindo um sistema único para tudo, que facilite a pesquisa de dados, em vez das melhores soluções de cada categoria que permitem às suas pessoas trabalhar melhor. Ou as empresas começam a pedir aos colaboradores que renunciem ao seu direito ao apagamento para se protegerem para a eventual vez em que o Pedro é mencionado na newsletter da empresa? E isso seria sequer legal?
É preciso perguntar: a partir de que momento é que os dados pessoais se tornam dados da empresa? A história não pode ser alterada, o Pedro fazia parte da empresa, o salário do Pedro fazia parte do orçamento do ano passado. O blog e a newsletter da empresa representam a história da empresa. Tanto o orçamento como o blog e a newsletter são propriedade da empresa e refletem, de formas diferentes, a história dessa empresa. O RGPD estende-se a alterar ou reescrever essa história?
Alguns dos exemplos podem parecer um pouco irónicos, mas se aplicarmos a letra da lei na sua interpretação mais draconiana… Ainda estamos no início: o RGPD só entrou em vigor há um mês e sem dúvida alguns destes detalhes serão clarificados à medida que avançamos. Mas com os EUA, a Austrália e a Índia já a indicarem que seguirão o exemplo da União Europeia, é indubitável que isto poderá rapidamente tornar-se o padrão global. E o número de notificações de RGPD que vejo hoje de empresas sul-africanas é uma indicação de como o mundo digital não tem fronteiras. Espero que não tenhamos apenas limitado a nossa capacidade de operar num mundo cada vez mais digital e orientado por dados, ao soterrar esse mundo em burocracia.
Conforme publicado no AccountingWeb em 26 de junho de 2018