LGPD e Recursos Humanos: o que o seu RH precisa saber — e como um DPO pode simplificar o caminho

O setor de Recursos Humanos é um dos maiores “cofres” de dados pessoais dentro de qualquer organização, boa parte deles considerados como “dados pessoais sensíveis”. Além dos cadastros de candidatos e funcionários, o RH lida diariamente com informações de folha de pagamento, saúde ocupacional, avaliações de desempenho, benefícios e programas de desligamento. Esse manuseio intensivo coloca o departamento no centro do risco regulatório da Lei 13.709/2018 (LGPD). Estudos recentes reforçam que RH e saúde estão entre os setores mais sujeitos a obrigações adicionais por tratarem dados sensíveis de modo contínuo.

Que dados o RH realmente trata?

Durante a fase pré-contratual, é comum o RH coletar dados como currículos, resultados de testes, anotações de entrevistas (vídeo inclusive) ou feedback de ex-gestores. Esses dados normalmente se baseiam em legítimo interesse da empresa, mas, dependendo do grau de detalhamento e finalidade, podem exigir o consentimento do titular. As escolhas das ferramentas de recrutamento e seleção também podem influenciar na necessidade de informação mais detalhada, como sistemas com dados armazenados no exterior (transferências internacionais de dados), que exigirão maior controle.

Já na fase contratual, durante a vigência do vínculo empregatício, o tratamento passa a envolver documentos admissionais, dados de folha de pagamento (incluindo registros biométricos de ponto), dados de dependentes (menores), atestados médicos de afastamento e informações sobre saúde ocupacional ou doenças preexistentes (ex. benefício de plano de saúde), que têm como base legal a execução de contrato e o cumprimento de obrigações legais.

Após o encerramento do contrato, o tratamento de dados persiste em casos como geração do TRCT (Termo de Rescisão de Contrato de Trabalho), registros históricos de salário e documentação para defesa em ações trabalhistas — sendo fundamentado por obrigações legais e exercício regular de direitos, além de que, em muitos casos a retenção dos documentos precisa ser realizada dentro de um prazo determinado pela legislação brasileira.

Dados pessoais sensíveis: TRCT, benefícios e o “tratamento invisível” na LGPD

O Termo de Rescisão do Contrato de Trabalho (TRCT), por exemplo e formulários relacionados a benefícios — como os de plano de saúde — muitas vezes contêm dados classificados como sensíveis pela LGPD. Nesses documentos, é possível encontrar informações de saúde, filiação sindical e dados sobre dependentes menores de idade e/ou incapazes. Ainda que muitas vezes esses dados sejam processados de forma rotineira, sua natureza sensível exige cuidados específicos, como o controle de acesso mais rigoroso que àqueles aplicados aos dados simplesmente “pessoais”, o potencial uso de criptografia ou segmentação lógica nos sistemas de folha e a inclusão da operação em um Relatório de Impacto à Proteção de Dados Pessoais (DPIA), quando aplicável.

Um problema recorrente é o desconhecimento da classificação desses dados, levando muitas empresas a armazená-los em locais inseguros, como pastas compartilhadas, planilhas não protegidas ou sistemas sem controle de acesso granular. Ou pior, compartilhar via métodos inseguros ou não homologados pelo time de segurança da informação e privacidade. Essa negligência, ainda que não intencional, aumenta significativamente a exposição da empresa a riscos regulatórios, vazamentos e responsabilização civil.

Coleta de dados pessoais na fase pré‑contratual: propósito e minimização

A prática de manter bancos de currículos por tempo indeterminado, sem uma finalidade clara ou política de retenção, ainda é comum no mercado, mas representa um sério risco à luz da LGPD.

A coleta de dados deve sempre ser limitada ao estritamente necessário (minimização de dados ou data minimization) para o processo seletivo vigente, e informações excessivas — como CPF, número de documentos ou estado civil — não devem ser exigidas na fase inicial do recrutamento. Além disso, é necessário definir um prazo para retenção dessas informações. O mais recomendado é que os currículos sejam excluídos após 6 a 12 meses, a menos que o candidato renove sua concordância ou haja uma base legal justificando a manutenção.

Outro ponto fundamental é a disponibilização de uma política de privacidade específica para processos seletivos, com linguagem acessível, que informe ao candidato quais dados estão sendo coletados, para que finalidade, por quanto tempo e com quem podem ser compartilhados. Ou ainda, se há algum tipo de transferências internacionais de dados para sistemas de terceiros ou o uso de inteligências artificiais para a seleção automatizada de currículos.

Dores mais comuns do RH na jornada LGPD

O papel do DPO (Encarregado pela proteção de dados) e das consultorias especializadas em privacidade e proteção de dados – Como um DPO pode simplificar o caminho?

O Encarregado pelo tratamento de dados pessoais, também conhecido como DPO (Data Protection Officer), tem papel estratégico na estruturação da governança de dados no RH e apoio continuado ao departamento. Segundo o Guia da ANPD, esse profissional deve ter autonomia técnica, acesso direto à alta direção e capacidade de dialogar com diferentes áreas da empresa — incluindo, de forma prioritária, o RH.

Na prática, a atuação de um DPO ou de uma consultoria especializada em proteção de dados permite traduzir os requisitos legais para as rotinas diárias do RH. Isso inclui, por exemplo, adaptar os checklists de admissão para identificar e tratar adequadamente os dados sensíveis, conduzir Relatórios de Impacto (RIPD / DPIAs) específicos sobre operações como folha de pagamento e gestão de saúde ocupacional, revisar os contratos com operadoras de benefícios para garantir cláusulas de sigilo e segurança, implementar políticas de retenção de dados que automatizem a exclusão de currículos expirados e, por fim, capacitar as equipes por meio de treinamentos específicos para cada função dentro do RH.

Soluções como o DPO Helper, da Macher Tecnologia, ajudam a organizar essas tarefas em um único ambiente, integrando gestão de consentimentos, mapeamento de dados, avaliação de riscos e relatórios exigidos pela LGPD.

Sanções: O risco real da não-conformidade

Embora as penalidades aplicadas pela ANPD ainda não tenham atingido valores elevados, a fiscalização está cada vez mais ativa, especialmente em operações que envolvem dados sensíveis e informações de menores de idade — temas recorrentes no ambiente de RH.

A tendência é que o setor se torne alvo prioritário de auditorias e autuações nos próximos anos, especialmente em empresas que não demonstram esforço proativo para se adequar à legislação.

Punições determinadas pelo TRT da 15ª Região com base na aplicação da LGPD

Importante ressaltar a recente decisão do TRT da 15ª Região que chama a atenção para a aplicação concreta da LGPD na fase pré-contratual das relações de trabalho, reconhecendo a ilicitude na coleta de dados sensíveis e de perfil comportamental durante processos seletivos.

Nesta decisão as empresas rés foram condenadas por:

• Coletar informações excessivas e desnecessárias via plataforma de recrutamento, como opiniões políticas e questões sobre saúde e hábitos pessoais;
• Descumprir obrigações legais como a indicação de encarregado (DPO), manutenção de registros de tratamento e clareza nas políticas de privacidade.

Além de determinar obrigações específicas de fazer e não fazer, a sentença fixou:

• Indenização por dano moral coletivo no valor de R$ 200 mil;
• Multa diária de R$ 1.000,00 em caso de descumprimento de ajustes de medidas, com destinação ao Fundo de Direitos Difusos.

Essa decisão reforça que o tratamento de dados pessoais deve observar os princípios de finalidade, necessidade, adequação e transparência — inclusive no contexto de recursos humanos e recrutamento digital.

Mas a LGPD não precisa ser um entrave para os processos de recrutamento, folha de pagamento ou desligamento. Pelo contrário: ela pode ser o ponto de partida para uma gestão mais estruturada, segura e transparente de dados no RH. Com o apoio de um DPO e ferramentas como o DPO Helper, a adequação se torna uma oportunidade de melhorar processos, reduzir riscos e fortalecer a confiança dos colaboradores na empresa.

Veja também:

• Empresa não deve fornecer dados pessoais ao sindicato, em conformidade com a LGPD, decidiu a 10ª Câmara do Tribunal Regional do Trabalho da 15ª Região (TRT15)
• LGPD: Justiça confirma demissão por uso indevido de dados de clientes

Sobre a Macher Tecnologia

A Macher Tecnologia é uma empresa especializada em soluções Digital, focada em privacidade e proteção de dados. No mercado desde 2018, suporta clientes de diferentes indústrias em suas jornadas de conformidade, de forma multidisciplinar e hands-on.

Com uma abordagem inovadora, a Macher Tecnologia auxilia empresas na implementação de estratégias eficazes de conformidade com LGPD e GDPR, fornecendo consultoria, treinamento e ferramentas tecnológicas para gestão de riscos e proteção de dados corporativos.

Entre em contato e saiba como podemos ajudar sua organização hoje mesmo!