Carregando agora

LGPD no RH: Como Tratar Dados de Funcionários e Candidatos

LGPD-NO-RH

Planilhas de candidatos, exames admissionais, ponto biométrico, integrações com folha e benefícios. Se o seu RH parece um “hub de dados”, é porque ele é. E isso significa uma coisa: sem LGPD no RH, você está um incidente de distância de um problema sério.

Não é sobre burocracia. É sobre proteger pessoas, reduzir riscos trabalhistas e blindar o negócio. A LGPD não paralisa o RH; ela organiza o jogo e coloca regras claras. Com os processos certos, você contrata melhor, guarda menos dados e dorme tranquilo.

Neste guia prático, vou te mostrar como enquadrar o tratamento de dados de funcionários e candidatos: bases legais, quando usar (ou não) consentimento, cuidados com dados sensíveis e boas práticas de armazenamento e descarte. É o que aplicamos todos os dias nas consultorias da LGPDPRO.

LGPD no RH: fundamentos e o que muda

Comece pelas bases legais. Nem tudo é consentimento; aliás, no RH, muitas vezes não deve ser.

  • Execução de contrato (Art. 7º, V): dados necessários para admitir, pagar, avaliar e gerir o vínculo.
  • Obrigação legal/regulatória (Art. 7º, II): informações exigidas por normas trabalhistas, previdenciárias e fiscais.
  • Exercício regular de direitos (Art. 7º, VI): guarda de documentos para defesa em processos.
  • Legítimo interesse (Art. 7º, IX): casos específicos com balancing test, como segurança física e melhoria de processos, quando não houver base mais adequada.
  • Consentimento inequívoco (Art. 7º, I): use com parcimônia, especialmente para banco de talentos e iniciativas optativas.

Regra de ouro: não condicione o emprego ao consentimento. Para rotinas obrigatórias do RH, as bases não são o consentimento.

O que isso significa na prática?

Candidatos

  • Triagem e seleção: colete apenas o necessário. Evite campos “curiosos” (religião, filhos, estado de saúde) — são dados sensíveis sem necessidade.
  • Testes e avaliações: informe objetivos, prazos e quem terá acesso. Transparência reduz atrito e risco.
  • Banco de talentos: aqui sim, consentimento inequívoco e granular, com validade e opção de revogação clara.
  • Background check: avalie a pertinência, registre a base legal e formalize o escopo com fornecedores.

Colaboradores

  • Folha e benefícios: obrigação legal. Compartilhamentos com operadoras e parceiros devem ser mínimos e proporcionais.
  • Saúde ocupacional e exames: dados sensíveis (Art. 11). Guarde laudos apenas quando imprescindível; muitas vezes basta o “apto/inapto”.
  • Biometria e acesso: avalie necessidade e alternativas. Se optar por biometria, registre o RIPD (Art. 38) e adote segurança reforçada.
  • Monitoramento de uso de ativos: possível, mas com política clara, informação prévia e limitação ao propósito.

Terceiros e prestadores

  • Operadores de dados (payroll, benefícios, recrutamento): contratos com cláusulas de segurança, confidencialidade e auditoria.
  • Compartilhamento: registre o porquê, com quem e por quanto tempo. Transparência no aviso de privacidade.

Dados sensíveis no RH: atenção redobrada

Dados sobre saúde, biometria, convicções e filiação sindical são dados pessoais sensíveis (Art. 5º, II). O tratamento exige bases específicas (Art. 11), como:

  • Obrigação legal (exames ocupacionais, PCMSO, PPP).
  • Tutela da saúde em procedimento realizado por profissionais ou entidades de saúde.
  • Consentimento específico e destacado, quando a lei não impuser outra base — e apenas quando houver real liberdade de escolha.

Dado sensível exige mais: menos coleta, menos acesso, mais segurança e mais registro.

Por que isso é um risco para o seu negócio?

  • Sanções e fiscalizações da ANPD: de advertências a multas, além de obrigações de adequação.
  • Ações trabalhistas: uso indevido de dados vira passivo e prova contra a empresa.
  • Incidentes de segurança: vazamento de currículo já preocupa; de exames e biometria, explode a crise.
  • Reputação e confiança: candidato e colaborador não esquecem violações de privacidade.

Como começar a se adequar (passo a passo)?

  1. Mapeie os fluxos do RH e crie o Registro de Operações (Art. 37): coleta, uso, compartilhamento e descarte, por atividade.
  2. Defina bases legais por processo. Evite “consentimento por padrão”. Documente sua matriz.
  3. Atualize documentos: aviso de privacidade do candidato, cláusulas nos contratos de trabalho, políticas internas e acordos com operadores.
  4. Gerencie consentimentos do banco de talentos: granular, versionado, com trilha de auditoria e lembretes de expiração.
  5. Implemente retenção e descarte com base no Art. 16: guarde o necessário pelo tempo necessário — e descarte com segurança.
  6. Reforce segurança: controle de acesso por necessidade, MFA, criptografia, segregação de ambientes e logs de acesso.
  7. Qualifique operadores: due diligence, cláusulas contratuais e testes de segurança.
  8. Prepare o atendimento de direitos (Art. 18): canal, SLA, identificação do titular e fluxo de resposta.
  9. Treine o RH e lideranças. Na LGPDPRO, conduzimos workshops práticos focados em rotinas de RH.

Se quiser acelerar, nossa equipe conduz esse roteiro ponta a ponta, com templates e governança sob medida para o seu contexto.

Armazenamento e descarte seguro

  • Centralize documentos do RH em repositórios controlados. Evite cópias em e-mails e pastas pessoais.
  • Controle acessos por perfil e registre quem abriu o quê e quando.
  • Backups e criptografia para dados críticos; remova dados de dispositivos ao desligar colaboradores.
  • Descarte físico com fragmentação e e-waste certificado. Descarte lógico com wipe seguro.
  • Retenção por finalidade: encerrou o prazo legal ou a finalidade? Elimine ou anonimiza.

O que a ANPD realmente fiscaliza

  • Base legal e minimização: por que você coleta? Precisa mesmo de tudo?
  • Documentação viva: registro de operações, políticas e evidências de treinamento.
  • Contratos com operadores e garantias de segurança.
  • Resposta a incidentes e prontidão para notificar quando necessário.
  • Transparência com titulares: avisos claros e atendimento efetivo.

“Sem documentação, não há conformidade.” E sem minimização, qualquer coleta vira excesso.

Erros comuns que custam caro

  • Coletar documentos em excesso na admissão “por via das dúvidas”.
  • Usar consentimento para tudo, inclusive para o que é obrigatório por lei.
  • Manter banco de talentos eterno, sem atualização e sem opção de revogação.
  • Guardar laudos médicos completos quando bastava o resultado de aptidão.
  • Implantar biometria sem RIPD e sem análise de necessidade.
  • Trocar dados sensíveis em e-mails e grupos de mensagens, sem controle.
  • Compartilhar dados com seguradoras e benefícios sem informar claramente o titular.

Dica de Ouro da LGPDPRO

Monte uma Matriz RH-LGPD que una processo, base legal, prazo de retenção, operador, risco e controle. Ela guia decisões rápidas e evita improvisos.

Processo: Banco de Talentos
Base legal: Consentimento (Art. 7º, I)
Prazo de retenção: 12 meses (renovável com novo consentimento)
Operadores: Plataforma de recrutamento X
Riscos: Acesso indevido, retenção excessiva
Controles: Consent box granular, trilha de auditoria, revisão trimestral

Modelos úteis (trechos)

Aviso de privacidade do candidato

Tratamos seus dados para avaliar sua candidatura e, com seu consentimento, mantê-los em nosso banco de talentos. Você pode revogar a qualquer momento. Saiba mais no nosso aviso de privacidade do candidato.

Cláusula de banco de talentos

Autorizo, de forma livre, informada e inequívoca, a permanência de meus dados no banco de talentos pelo prazo de [X] meses, para futuras oportunidades, podendo revogar este consentimento a qualquer tempo.

Cláusula com operador (recrutamento/folha)

O Operador compromete-se a tratar os dados pessoais somente conforme instruções documentadas do Controlador, adotar medidas técnicas e administrativas adequadas e notificar incidentes de segurança sem demora injustificada.

Próximos passos com a LGPDPRO

Na LGPDPRO, estruturamos o programa de LGPD no RH com diagnóstico, matriz de bases legais, política de retenção e treinamento prático. Se quiser acelerar a adequação com quem já esteve nas trincheiras:

  • Conheça nossa Consultoria e leve governança para o seu RH.
  • Conte com o DPO as a Service para sustentar a conformidade no dia a dia.
  • Treine sua equipe com nossos Workshops focados em rotinas de RH.

Conclusão

LGPD no RH não é “mais uma tarefa”. É um sistema de proteção e eficiência que reduz risco e melhora a experiência do colaborador e do candidato. A pergunta é simples: sua área de RH está protegida ou exposta?

Se a resposta mexeu com você, agende um diagnóstico com a LGPDPRO. Vamos mapear, priorizar e implementar. Clique em Contato e comece agora.

Compartilhe este conteúdo

Emerson Rocha é especialista em LGPD, DPO Profissional e fundador do blog LGPD Pro. Reconhecido por sua atuação técnica na área, foi membro da primeira composição do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), onde contribuiu para as discussões iniciais sobre a regulamentação da lei no Brasil. Através de seus artigos, busca descomplicar a LGPD e oferecer insights práticos para profissionais e empresas que buscam a conformidade.

Publicar comentário