LGPD no RH: Como Tratar Dados de Funcionários e Candidatos
Planilhas de candidatos, exames admissionais, ponto biométrico, integrações com folha e benefícios. Se o seu RH parece um “hub de dados”, é porque ele é. E isso significa uma coisa: sem LGPD no RH, você está um incidente de distância de um problema sério.
Não é sobre burocracia. É sobre proteger pessoas, reduzir riscos trabalhistas e blindar o negócio. A LGPD não paralisa o RH; ela organiza o jogo e coloca regras claras. Com os processos certos, você contrata melhor, guarda menos dados e dorme tranquilo.
Neste guia prático, vou te mostrar como enquadrar o tratamento de dados de funcionários e candidatos: bases legais, quando usar (ou não) consentimento, cuidados com dados sensíveis e boas práticas de armazenamento e descarte. É o que aplicamos todos os dias nas consultorias da LGPDPRO.
LGPD no RH: fundamentos e o que muda
Comece pelas bases legais. Nem tudo é consentimento; aliás, no RH, muitas vezes não deve ser.
- Execução de contrato (
Art. 7º, V): dados necessários para admitir, pagar, avaliar e gerir o vínculo. - Obrigação legal/regulatória (
Art. 7º, II): informações exigidas por normas trabalhistas, previdenciárias e fiscais. - Exercício regular de direitos (
Art. 7º, VI): guarda de documentos para defesa em processos. - Legítimo interesse (
Art. 7º, IX): casos específicos com balancing test, como segurança física e melhoria de processos, quando não houver base mais adequada. - Consentimento inequívoco (
Art. 7º, I): use com parcimônia, especialmente para banco de talentos e iniciativas optativas.
Regra de ouro: não condicione o emprego ao consentimento. Para rotinas obrigatórias do RH, as bases não são o consentimento.
O que isso significa na prática?
Candidatos
- Triagem e seleção: colete apenas o necessário. Evite campos “curiosos” (religião, filhos, estado de saúde) — são dados sensíveis sem necessidade.
- Testes e avaliações: informe objetivos, prazos e quem terá acesso. Transparência reduz atrito e risco.
- Banco de talentos: aqui sim, consentimento inequívoco e granular, com validade e opção de revogação clara.
- Background check: avalie a pertinência, registre a base legal e formalize o escopo com fornecedores.
Colaboradores
- Folha e benefícios: obrigação legal. Compartilhamentos com operadoras e parceiros devem ser mínimos e proporcionais.
- Saúde ocupacional e exames: dados sensíveis (
Art. 11). Guarde laudos apenas quando imprescindível; muitas vezes basta o “apto/inapto”. - Biometria e acesso: avalie necessidade e alternativas. Se optar por biometria, registre o RIPD (
Art. 38) e adote segurança reforçada. - Monitoramento de uso de ativos: possível, mas com política clara, informação prévia e limitação ao propósito.
Terceiros e prestadores
- Operadores de dados (payroll, benefícios, recrutamento): contratos com cláusulas de segurança, confidencialidade e auditoria.
- Compartilhamento: registre o porquê, com quem e por quanto tempo. Transparência no aviso de privacidade.
Dados sensíveis no RH: atenção redobrada
Dados sobre saúde, biometria, convicções e filiação sindical são dados pessoais sensíveis (Art. 5º, II). O tratamento exige bases específicas (Art. 11), como:
- Obrigação legal (exames ocupacionais, PCMSO, PPP).
- Tutela da saúde em procedimento realizado por profissionais ou entidades de saúde.
- Consentimento específico e destacado, quando a lei não impuser outra base — e apenas quando houver real liberdade de escolha.
Dado sensível exige mais: menos coleta, menos acesso, mais segurança e mais registro.
Por que isso é um risco para o seu negócio?
- Sanções e fiscalizações da ANPD: de advertências a multas, além de obrigações de adequação.
- Ações trabalhistas: uso indevido de dados vira passivo e prova contra a empresa.
- Incidentes de segurança: vazamento de currículo já preocupa; de exames e biometria, explode a crise.
- Reputação e confiança: candidato e colaborador não esquecem violações de privacidade.
Como começar a se adequar (passo a passo)?
- Mapeie os fluxos do RH e crie o Registro de Operações (
Art. 37): coleta, uso, compartilhamento e descarte, por atividade. - Defina bases legais por processo. Evite “consentimento por padrão”. Documente sua matriz.
- Atualize documentos: aviso de privacidade do candidato, cláusulas nos contratos de trabalho, políticas internas e acordos com operadores.
- Gerencie consentimentos do banco de talentos: granular, versionado, com trilha de auditoria e lembretes de expiração.
- Implemente retenção e descarte com base no
Art. 16: guarde o necessário pelo tempo necessário — e descarte com segurança. - Reforce segurança: controle de acesso por necessidade, MFA, criptografia, segregação de ambientes e logs de acesso.
- Qualifique operadores: due diligence, cláusulas contratuais e testes de segurança.
- Prepare o atendimento de direitos (
Art. 18): canal, SLA, identificação do titular e fluxo de resposta. - Treine o RH e lideranças. Na LGPDPRO, conduzimos workshops práticos focados em rotinas de RH.
Se quiser acelerar, nossa equipe conduz esse roteiro ponta a ponta, com templates e governança sob medida para o seu contexto.
Armazenamento e descarte seguro
- Centralize documentos do RH em repositórios controlados. Evite cópias em e-mails e pastas pessoais.
- Controle acessos por perfil e registre quem abriu o quê e quando.
- Backups e criptografia para dados críticos; remova dados de dispositivos ao desligar colaboradores.
- Descarte físico com fragmentação e e-waste certificado. Descarte lógico com wipe seguro.
- Retenção por finalidade: encerrou o prazo legal ou a finalidade? Elimine ou anonimiza.
O que a ANPD realmente fiscaliza
- Base legal e minimização: por que você coleta? Precisa mesmo de tudo?
- Documentação viva: registro de operações, políticas e evidências de treinamento.
- Contratos com operadores e garantias de segurança.
- Resposta a incidentes e prontidão para notificar quando necessário.
- Transparência com titulares: avisos claros e atendimento efetivo.
“Sem documentação, não há conformidade.” E sem minimização, qualquer coleta vira excesso.
Erros comuns que custam caro
- Coletar documentos em excesso na admissão “por via das dúvidas”.
- Usar consentimento para tudo, inclusive para o que é obrigatório por lei.
- Manter banco de talentos eterno, sem atualização e sem opção de revogação.
- Guardar laudos médicos completos quando bastava o resultado de aptidão.
- Implantar biometria sem RIPD e sem análise de necessidade.
- Trocar dados sensíveis em e-mails e grupos de mensagens, sem controle.
- Compartilhar dados com seguradoras e benefícios sem informar claramente o titular.
Dica de Ouro da LGPDPRO
Monte uma Matriz RH-LGPD que una processo, base legal, prazo de retenção, operador, risco e controle. Ela guia decisões rápidas e evita improvisos.
Processo: Banco de Talentos
Base legal: Consentimento (Art. 7º, I)
Prazo de retenção: 12 meses (renovável com novo consentimento)
Operadores: Plataforma de recrutamento X
Riscos: Acesso indevido, retenção excessiva
Controles: Consent box granular, trilha de auditoria, revisão trimestral
Modelos úteis (trechos)
Aviso de privacidade do candidato
Tratamos seus dados para avaliar sua candidatura e, com seu consentimento, mantê-los em nosso banco de talentos. Você pode revogar a qualquer momento. Saiba mais no nosso aviso de privacidade do candidato.
Cláusula de banco de talentos
Autorizo, de forma livre, informada e inequívoca, a permanência de meus dados no banco de talentos pelo prazo de [X] meses, para futuras oportunidades, podendo revogar este consentimento a qualquer tempo.
Cláusula com operador (recrutamento/folha)
O Operador compromete-se a tratar os dados pessoais somente conforme instruções documentadas do Controlador, adotar medidas técnicas e administrativas adequadas e notificar incidentes de segurança sem demora injustificada.
Próximos passos com a LGPDPRO
Na LGPDPRO, estruturamos o programa de LGPD no RH com diagnóstico, matriz de bases legais, política de retenção e treinamento prático. Se quiser acelerar a adequação com quem já esteve nas trincheiras:
- Conheça nossa Consultoria e leve governança para o seu RH.
- Conte com o DPO as a Service para sustentar a conformidade no dia a dia.
- Treine sua equipe com nossos Workshops focados em rotinas de RH.
Conclusão
LGPD no RH não é “mais uma tarefa”. É um sistema de proteção e eficiência que reduz risco e melhora a experiência do colaborador e do candidato. A pergunta é simples: sua área de RH está protegida ou exposta?
Se a resposta mexeu com você, agende um diagnóstico com a LGPDPRO. Vamos mapear, priorizar e implementar. Clique em Contato e comece agora.
Compartilhe este conteúdo
Publicar comentário