LGPD e RH: protegendo dados sensíveis de funcionários

A Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) impôs uma nova lógica à forma como as empresas coletam, tratam, armazenam e descartam dados pessoais — especialmente os dados sensíveis. No setor de Recursos Humanos, a responsabilidade é ainda maior, já que o RH lida com uma gama ampla e complexa de informações pessoais de colaboradores e candidatos.

Dados sensíveis, segundo a LGPD, exigem tratamento diferenciado e medidas reforçadas de segurança, pois envolvem informações que podem expor a pessoa a situações de discriminação ou risco à sua dignidade.

Neste artigo, você entenderá o que são dados sensíveis, quais riscos estão envolvidos no seu tratamento e como gerenciar e armazená-los com segurança e conformidade, evitando penalidades legais e fortalecendo a confiança dos colaboradores.

1. O Que São Dados Sensíveis Segundo a LGPD?

A LGPD define como dados pessoais sensíveis aqueles relacionados a:

• Origem racial ou étnica;
• Convicção religiosa;
• Opinião política;
• Filiação a sindicato ou organização de caráter religioso, filosófico ou político;
• Dados referentes à saúde ou à vida sexual;
• Dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

Exemplos práticos no RH:

• Resultados de exames admissionais, laudos médicos, prontuários ocupacionais;
• Dados de biometria para controle de ponto;
• Declaração de dependentes com condições especiais para fins de plano de saúde;
• Registro de uso de medicamentos ou afastamentos por doença.

Esses dados, se tratados de forma inadequada, podem gerar danos morais, discriminação e sérios riscos legais.

2. Fundamentos Legais para o Tratamento de Dados Sensíveis

Ao tratar dados sensíveis, o RH precisa fundamentar legalmente esse tratamento, respeitando o artigo 11 da LGPD. As principais hipóteses legais aplicáveis no contexto trabalhista são:

• Cumprimento de obrigação legal ou regulatória pelo controlador (ex: laudos médicos obrigatórios por norma do Ministério do Trabalho);
• Execução de políticas públicas previstas em leis e regulamentos;
• Execução de contrato de trabalho, quando o dado for indispensável para o vínculo empregatício;
• Proteção da vida ou da incolumidade física do titular ou de terceiro;
• Consentimento do titular, nos casos em que nenhuma das hipóteses anteriores se aplica.

Dica: O consentimento deve ser específico, destacado e facilmente revogável, mas evite usá-lo quando houver outra base legal mais adequada.

3. Boas Práticas para o Gerenciamento de Dados Sensíveis de Funcionários

3.1. Mapeie os Dados Sensíveis Coletados

• Identifique todos os dados sensíveis coletados ao longo do ciclo de vida do colaborador (admissão, exames, jornada, desligamento).
• Classifique as informações por nível de sensibilidade e finalidade do uso.

Elabore um relatório de impacto à proteção de dados (DPIA) quando necessário.

3.2. Restrinja o Acesso a Pessoas Autorizadas

• Crie perfis de acesso limitados por função (ex: apenas a equipe médica acessa dados de saúde).
• Use controle de identidade e autenticação forte (como login biométrico ou autenticação em dois fatores).
• Implemente o princípio do "need to know": somente quem precisa do dado, acessa.

3.3. Utilize Medidas Técnicas de Proteção

• Armazene dados sensíveis com criptografia.
• Proteja pastas, e-mails e sistemas com antivírus, firewall e monitoramento de acessos.
• Nunca armazene dados sensíveis em planilhas abertas, dispositivos pessoais ou serviços de nuvem não autorizados.

3.4. Estabeleça Políticas Internas de Segurança

• Crie uma Política de Proteção de Dados Sensíveis, com orientações claras sobre coleta, uso, compartilhamento e descarte.
• Promova treinamentos periódicos para o RH, jurídico, TI e demais envolvidos no tratamento de dados de colaboradores.
• Formalize a responsabilidade dos gestores por meio de termos de confidencialidade e responsabilidade digital.

3.5. Registre o Consentimento Quando Necessário

Nos casos em que o consentimento for a única base legal aplicável, adote boas práticas:

• Apresente um documento claro, com linguagem acessível, informando: Finalidade do tratamento>Tempo de retenção> Direitos do titular> Possibilidade de revogação
• Guarde o registro do consentimento de forma segura e auditável.

4. Como Armazenar Dados Sensíveis com Segurança e Conformidade

?Soluções Recomendadas:

• Plataformas de RH com certificações de segurança (ISO 27001, SOC 2).
• Servidores dedicados ou ambientes de nuvem seguros (com criptografia em repouso e em trânsito).
• Sistemas com logs de acesso e backup automatizado.
• Processos definidos para retenção e descarte seguro de dados (ex: trituradores físicos para documentos e exclusão segura de arquivos digitais).

 Prazos e Retenção de Dados:

• Dados de saúde ocupacional: manter por até 20 anos, conforme exigências da legislação trabalhista (NR 7, NR 9, etc.).
• Currículos ou exames de candidatos não contratados: manter por tempo determinado (ex: 6 a 12 meses), com base legal ou consentimento.
• Demais dados: manter conforme obrigações legais, fiscais ou previdenciárias, societárias. (ex: verificar as exigências das obrigações acessórias).

Importante: Sempre que a finalidade for encerrada e não houver exigência legal para a guarda, os dados sensíveis devem ser excluídos ou anonimizados.

5. Riscos da Má Gestão de Dados Sensíveis e Penalidades da LGPD

O tratamento inadequado de dados sensíveis pode resultar em:

- Multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.- Danos morais coletivos ou individuais, com repercussões judiciais e trabalhistas.- Bloqueio ou exclusão compulsória de bancos de dados pela ANPD.- Prejuízos à reputação da empresa, perda de confiança e exposição negativa na mídia.

6. Conclusão: Gestão Ética e Legal de Dados Sensíveis é Essencial para o RH Moderno

Gerenciar e armazenar dados sensíveis de forma adequada não é mais uma recomendação — é uma exigência legal e um compromisso ético. A LGPD veio para empoderar os titulares de dados, e cabe às empresas mostrar que estão preparadas para lidar com essas informações de forma transparente, segura e legal.

Principais ações para conformidade no RH:

• Identifique e classifique dados sensíveis
• Defina base legal clara para cada tratamento
• Implemente controles técnicos e organizacionais de segurança.
• Limite acessos e treine equipes
• Estabeleça políticas e práticas de retenção e descarte.

Sua empresa já protege os dados sensíveis dos seus colaboradores de forma correta? Se precisar de apoio para revisar seus processos e implementar soluções jurídicas e tecnológicas eficazes, conte com uma consultoria especializada em LGPD e compliance digital.