20.05.2025 - LGPD e RH: protegendo dados sensíveis de funcionários

(www.contabeis.com.br)

Boas práticas para gerenciar dados sensíveis de colaboradores e evitar penalidades.

A Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) impôs uma nova lógica à forma como as empresas coletam, tratam, armazenam e descartam dados pessoais — especialmente os dados sensíveis. No setor de Recursos Humanos, a responsabilidade é ainda maior, já que o RH lida com uma gama ampla e complexa de informações pessoais de colaboradores e candidatos.

Dados sensíveis, segundo a LGPD, exigem tratamento diferenciado e medidas reforçadas de segurança, pois envolvem informações que podem expor a pessoa a situações de discriminação ou risco à sua dignidade.

Neste artigo, você entenderá o que são dados sensíveis, quais riscos estão envolvidos no seu tratamento e como gerenciar e armazená-los com segurança e conformidade, evitando penalidades legais e fortalecendo a confiança dos colaboradores.

1.O Que São Dados Sensíveis Segundo a LGPD?

A LGPD define como dados pessoais sensíveis aqueles relacionados a:

- Origem racial ou étnica;
- Convicção religiosa;
- Opinião política;
- Filiação a sindicato ou organização de caráter religioso, filosófico ou político;
- Dados referentes à saúde ou à vida sexual;
- Dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

Exemplos práticos no RH:

- Resultados de exames admissionais, laudos médicos, prontuários ocupacionais;
- Dados de biometria para controle de ponto;
- Declaração de dependentes com condições especiais para fins de plano de saúde;
- Registro de uso de medicamentos ou afastamentos por doença.

Esses dados, se tratados de forma inadequada, podem gerar danos morais, discriminação e sérios riscos legais.

1. Fundamentos Legais para o Tratamento de Dados Sensíveis

Ao tratar dados sensíveis, o RH precisa fundamentar legalmente esse tratamento, respeitando o artigo 11 da LGPD. As principais hipóteses legais aplicáveis no contexto trabalhista são:

- Cumprimento de obrigação legal ou regulatória pelo controlador (ex: laudos médicos obrigatórios por norma do Ministério do Trabalho);
- Execução de políticas públicas previstas em leis e regulamentos;
- Execução de contrato de trabalho, quando o dado for indispensável para o vínculo empregatício;
- Proteção da vida ou da incolumidade física do titular ou de terceiro;
- Consentimento do titular, nos casos em que nenhuma das hipóteses anteriores se aplica.

Dica: O consentimento deve ser específico, destacado e facilmente revogável, mas evite usá-lo quando houver outra base legal mais adequada.

1. Boas Práticas para o Gerenciamento de Dados Sensíveis de Funcionários

3.1. Mapeie os Dados Sensíveis Coletados

- Identifique todos os dados sensíveis coletados ao longo do ciclo de vida do colaborador (admissão, exames, jornada, desligamento).
- Classifique as informações por nível de sensibilidade e finalidade do uso.

Elabore um relatório de impacto à proteção de dados (DPIA) quando necessário.

3.2. Restrinja o Acesso a Pessoas Autorizadas

- Crie perfis de acesso limitados por função (ex: apenas a equipe médica acessa dados de saúde).
- Use controle de identidade e autenticação forte (como login biométrico ou autenticação em dois fatores).
- Implemente o princípio do "need to know": somente quem precisa do dado, acessa.

3.3. Utilize Medidas Técnicas de Proteção

- Armazene dados sensíveis com criptografia.
- Proteja pastas, e-mails e sistemas com antivírus, firewall e monitoramento de acessos.
- Nunca armazene dados sensíveis em planilhas abertas, dispositivos pessoais ou serviços de nuvem não autorizados.

3.4. Estabeleça Políticas Internas de Segurança

- Crie uma Política de Proteção de Dados Sensíveis, com orientações claras sobre coleta, uso, compartilhamento e descarte.
- Promova treinamentos periódicos para o RH, jurídico, TI e demais envolvidos no tratamento de dados de colaboradores.
- Formalize a responsabilidade dos gestores por meio de termos de confidencialidade e responsabilidade digital.

3.5. Registre o Consentimento Quando Necessário

Nos casos em que o consentimento for a única base legal aplicável, adote boas práticas:

- Apresente um documento claro, com linguagem acessível, informando: Finalidade do tratamento>Tempo de retenção> Direitos do titular> Possibilidade de revogação
- Guarde o registro do consentimento de forma segura e auditável.

1. Como Armazenar Dados Sensíveis com Segurança e Conformidade

✔Soluções Recomendadas:
- Plataformas de RH com certificações de segurança (ISO 27001, SOC 2).
- Servidores dedicados ou ambientes de nuvem seguros (com criptografia em repouso e em trânsito).
- Sistemas com logs de acesso e backup automatizado.
- Processos definidos para retenção e descarte seguro de dados (ex: trituradores físicos para documentos e exclusão segura de arquivos digitais).

Prazos e Retenção de Dados:
- Dados de saúde ocupacional: manter por até 20 anos, conforme exigências da legislação trabalhista (NR 7, NR 9, etc.).
- Currículos ou exames de candidatos não contratados: manter por tempo determinado (ex: 6 a 12 meses), com base legal ou consentimento.
- Demais dados: manter conforme obrigações legais, fiscais ou previdenciárias, societárias. (ex: verificar as exigências das obrigações acessórias).

Importante: Sempre que a finalidade for encerrada e não houver exigência legal para a guarda, os dados sensíveis devem ser excluídos ou anonimizados.

1. Riscos da Má Gestão de Dados Sensíveis e Penalidades da LGPD

O tratamento inadequado de dados sensíveis pode resultar em:

- Multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.- Danos morais coletivos ou individuais, com repercussões judiciais e trabalhistas.- Bloqueio ou exclusão compulsória de bancos de dados pela ANPD.- Prejuízos à reputação da empresa, perda de confiança e exposição negativa na mídia.

1. Conclusão: Gestão Ética e Legal de Dados Sensíveis é Essencial para o RH Moderno

Gerenciar e armazenar dados sensíveis de forma adequada não é mais uma recomendação — é uma exigência legal e um compromisso ético. A LGPD veio para empoderar os titulares de dados, e cabe às empresas mostrar que estão preparadas para lidar com essas informações de forma transparente, segura e legal.

Principais ações para conformidade no RH:
- Identifique e classifique dados sensíveis
- Defina base legal clara para cada tratamento
- Implemente controles técnicos e organizacionais de segurança.
- Limite acessos e treine equipes
- Estabeleça políticas e práticas de retenção e descarte.

Publicado por JOSE EDUARDO MELO SILVA

Fonte: https://www.contabeis.com.br/artigos/70801/lgpd-e-rh-protegendo-dados-sensiveis-de-funcionarios/