Conheça o posicionamento da Gupy e o seu software de contratação frente à nova Lei Geral de Proteção de Dados.
A Gupy é, assim como seus clientes, uma controladora de dados — a quem, nos termos do art. 5º, V, da LGPD, "competem as decisões referentes ao tratamento de dados pessoais". Isso porque a Gupy (i) faz a coleta dos dados diretamente com os candidatos; (ii) gerencia toda a comunicação com os candidatos, inclusive apresentando-lhes sua a política de privacidade e fornecendo-lhes os meios para que exerçam seus direitos; (iii) estabelece política de retenção de dados e o fundamento legal para tratamento dos dados; (iv) determina quais dados serão coletados e como será feito o tratamento; e (v) aplica a inteligência artificial para apontar os candidatos mais compatíveis com a vaga. Assim, as responsabilidades de controlador são divididas entre Gupy e seus clientes, mas, para o melhor funcionamento da plataforma e para melhor atender nossos clientes, a Gupy centraliza algumas ações, decisões e comunicações - assumindo a responsabilidade por eles.
Longe de trazer desvantagens para nossos clientes, a medida é uma forma de compartilhar responsabilidades e centralizar na Gupy decisões e comunicações com os candidatos, que os clientes teriam que fazer de forma independente. Pela nossa qualidade de controladores, nossa barra é tão alta quanto à de nossos clientes no que diz respeito ao cumprimento da lei.
A posição de controlador da Gupy não retira nossos clientes de sua posição de controladores. Os clientes, como responsáveis e principais interessados pela realização de processos seletivos por meio da Plataforma Gupy, sempre serão controladores dos dados dos candidatos.
É o legítimo interesse dos nossos clientes e da Gupy na participação de candidatos de processos seletivos e em bancos de talentos, combinado com o interesse manifestado pelo candidato nessa participação, nos termos do artigo 10, II, da LGPD. Entendemos que esse interesse manifestado pelo candidato persiste enquanto ele se mantém ativo na plataforma, inscrevendo-se em novas posições e participando de novos processos seletivos. Uma vez que a atividade cessa, se aplica a nossa política de retenção de dados, discutida abaixo.
É com base nesse fundamento legal que os dados são compartilhados entre Gupy e cliente e, em se tratando de consultoria de recrutamento, também com o cliente que contratou a consultoria para que realizasse seus processos seletivos.
O candidato não dá consentimento para uso dos seus dados pela plataforma quando do cadastro. Consentimento aqui sequer poderia ser aplicado. É que, para a LGPD, consentimento precisa ser livre, isto é, não pode ser dado como condição a algo. No caso, o tratamento dos dados é condição indispensável para a participação do processo seletivo e, consequentemente, o consentimento não seria livre e, assim, ele não é uma base legal adequada.
Considerando que o fundamento legal utilizado para tratamento de dados é o legítimo interesse, quando o candidato faz seu cadastro na Gupy, ele dá o aceite aos termos de uso e à política de privacidade, em que explicamos o tratamento de dados e como seus direitos são protegidos. Os termos de uso e política de privacidade ficam, a todo tempo, disponíveis para fácil acesso pelo candidato em seu perfil na plataforma.
O consentimento, no entanto, é exigido para uso de dados sensíveis, como a informação sobre se o candidato é pessoa com deficiência. Caso o candidato não dê consentimento, nesses casos, o processo seletivo poderá seguir normalmente sem tais dados.
Coletamos nome, CPF, endereço, telefone, data de nascimento, gênero, formação acadêmica, experiência profissional e, se o candidato quiser, perfis no LinkedIn e Facebook. Além desses dados, coletamos dados considerados sensíveis, como mencionado acima, como se o candidato é pessoa com deficiência.
O cliente também pode customizar seu processo seletivo com a inclusão de perguntas adicionais, bem como incluir informações sobre o candidato na timeline de seu perfil, obtidas quando das entrevistas. Tais informações são apenas armazenadas pela Gupy, sendo de responsabilidade do cliente seu uso de acordo com as normas da lei.
É necessário que aqui seja aplicado o princípio da minimização dos dados, ou seja, que sejam feitos questionamentos e/ou incluídas apenas informações que façam sentido para o processo seletivo e não prejudiquem o candidato, sob pena de violação à LGPD. Também viola a LGPD a realização de perguntas que podem gerar discriminação desnecessária para uma vaga, como se o candidato tem filhos, é fumante, tem alguma condição de saúde, etc.
Dados sensíveis precisam ser solicitados dos candidatos (i) mediante consentimento, que precisa ficar registrado e deve poder ser retirado a qualquer tempo, e (ii) de forma não obrigatória. Essas exigências não são atendidas com a solicitação dos dados por meio das perguntas adicionais.
A Gupy pede consentimento de pais ou responsáveis para tratamento de dados? Não. O consentimento como condição para tratamento de dados é solicitado apenas com relação a crianças, entendidas pela legislação como pessoas até 12 (doze) anos de idade. A Gupy trata dados pessoais de pessoas a partir de 14 anos, considerados adolescentes por lei, para a participação em processos seletivos de vagas de jovem aprendiz. Com relação a dados de adolescentes, a LGPD prevê que esse tratamento deve ser feito no melhor interesse do adolescente, o que a Gupy observa.
Na qualidade de controlador dos dados, Você, cliente, pode extrair os dados e usá-los da forma que entender necessária, desde que dentro dos limites da finalidade que justificou a coleta e o tratamento em primeiro lugar: o legítimo interesse das partes envolvidas na realização de um processo seletivo e formação de banco de talentos. Qualquer uso fora desses limites, como envio de e-mails marketing para candidatos por exemplo, são considerados em descumprimento da LGPD.
Dados podem ser incluídos na plataforma desde que o candidato tenha manifestado seu interesse nesse sentido. Assim é que, caso Você tenha uma base de talentos ou caso faça o hunting de candidatos, Você deverá enviar o link de uma posição específica ou da vaga de banco de talentos para o candidato via e-mail, convidando-o a se candidatar. Dessa forma, o interesse do candidato é manifestado e a lei, observada.
Você pode manter os dados dos candidatos pelo tempo que fizer sentido para o cumprimento da finalidade de tratamento de dados apresentada, ou seja, pelo tempo que permanecer o interesse do candidato. Conforme dito acima, entendemos que esse interesse do candidato persiste enquanto ele se mantém ativo na plataforma e, para implementar esse entendimento, um (1) ano após o início da inatividade do candidato enviaremos um e-mail questionando-o sobre seu interesse em manter seus dados na plataforma. Caso o candidato não se manifeste, excluiremos seus dados.
Tendo em vista que a Gupy também é controladora de dados, ela detém uma relação com os candidatos independente da relação Gupy-cliente. Assim, quando encerrado o contrato entre Gupy-cliente, o cliente pode extrair os dados dos candidatos da plataforma, mas eles também serão mantidos pela Gupy, que poderá continuar tendo sua relação com o candidato.
Como os candidatos exercem seus direitos na plataforma? O candidato tem acesso a todos os seus dados pessoais e pode alterar ou excluir dados, bem como solicitar a exclusão de sua conta, tudo em seu perfil na plataforma. Para que Você, cliente, possa verificar que candidatos solicitaram a exclusão de conta, basta acessar o relatório disponível na área “Analisar Dados”.
As alterações para que o candidato possa solicitar a portabilidade, com a extração de relatório com seus dados, também pelo seu perfil na plataforma, estão sendo implementadas. Atualmente o candidato exerce esses direitos por meio do nosso suporte.
Sim, a Gupy, na qualidade de controladora dos dados, assume a responsabilidade pelos operadores que contrata para a prestação dos seus serviços. Tais operadores estão ligados ao armazenamento dos dados (Amazon Web Services, Google Cloud, Metabase, Microsoft e Airflow), aos serviços de geolocalização (Here), suporte na plataforma (Zendesk), testes (Primeira Escolha), análise de dados (Google Analytics e Hotjar), segurança (sentry, Datadog e New Relic) e envio de e-mails (MailGun) e mensagens no Whatsapp (Facebook e Infobip).
Além disso, a Gupy disponibiliza API pública, o que permite que nossos clientes façam a integração com seus sistemas internos. Em caso de integração, o cliente é responsável pelo compartilhamento de dados com o terceiro e pela observância da lei pelo terceiro.
Os dados ficam armazenados na Amazon Web Services, na Virgínia (EUA). A Amazon mantém medidas de segurança técnica e organizacional em estrutura e certificações de garantia de segurança reconhecidas mundialmente, incluindo ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, PCI DSS Level 1 e SOC 1, 2 e 3.
Sim! Nossa encarregada é a Renata Benjamin (privacidade@gupy.com.br) e está disponível para auxiliar os candidatos e Vocês, clientes, com relação a dúvidas relacionadas à LGPD.