LGPD para RH: como proteger os dados dos colaboradores da sua empresa

Introdução

O departamento de RH é um dos que mais coleta e processa dados pessoais em qualquer empresa. CPF, RG, endereço, dados bancários, histórico profissional, avaliações de desempenho, informações médicas de atestados, dados de dependentes, registros de ponto, a quantidade de informações sensíveis concentradas no RH é enorme.

E é exatamente por isso que o RH é um dos departamentos com maior responsabilidade sob a LGPD. Vazamento de dados de colaboradores pode resultar em multas da ANPD, processos trabalhistas e dano à reputação da empresa como empregadora. Este artigo explica o que a LGPD exige especificamente do RH e como adequar os processos sem paralisar a operação.

Quais dados de colaboradores a LGPD protege

A LGPD classifica os dados de colaboradores em duas categorias com tratamentos diferentes:

Dados pessoais comuns

Nome, CPF, RG, endereço, e-mail, telefone, dados bancários para pagamento, histórico profissional, avaliações de desempenho, registros de ponto, férias e afastamentos. São dados que o RH coleta e processa rotineiramente e que têm base legal clara na relação trabalhista.

Dados pessoais sensíveis

Informações de saúde (atestados médicos, laudos, condições de saúde), dados biométricos (impressão digital usada no ponto biométrico), filiação sindical, convicções religiosas ou políticas quando relevantes para benefícios. Esses dados têm proteção reforçada, só podem ser coletados quando estritamente necessário e com base legal específica.

A base legal para tratamento de dados de RH

A LGPD exige que todo tratamento de dados tenha uma base legal. Para dados de colaboradores, as bases mais usadas são:

Cumprimento de obrigação legal ou regulatória

A empresa é obrigada por lei a manter registros de emprego (CTPS, FGTS, INSS, eSocial). Esses dados podem ser processados sem consentimento do colaborador porque a lei exige.

Execução de contrato

Dados necessários para pagar salário, conceder benefícios e cumprir o contrato de trabalho têm base legal na própria relação contratual.

Legítimo interesse

Avaliações de desempenho, feedbacks e registros de advertência têm base no legítimo interesse do empregador em gerir a relação de trabalho.

Consentimento

Para dados que vão além da necessidade contratual ou legal, como uso de foto do colaborador em material de marketing, cadastro em plataforma de benefícios opcional, o consentimento explícito é necessário.

Os processos de RH que precisam ser adequados à LGPD

Recrutamento e seleção

Candidatos são titulares de dados pessoais. Currículos, resultados de testes e entrevistas devem ser tratados com cuidado. Defina por quanto tempo os currículos de candidatos não aprovados serão mantidos, o padrão de mercado é 6 meses a 1 ano. Após esse prazo, elimine os dados ou peça novo consentimento para mantê-los.

Admissão

A ficha de admissão coleta grande quantidade de dados. Colete apenas o que é estritamente necessário para a relação de trabalho. Dados de familiares para dependentes de plano de saúde precisam de consentimento específico dos próprios familiares (ou dos pais, em caso de menores).

Gestão de benefícios

Plano de saúde, vale-refeição e outros benefícios envolvem compartilhamento de dados com operadoras e fornecedores. Esses terceiros são operadores de dados, precisam de contrato que defina suas responsabilidades de proteção.

Atestados e dados de saúde

Atestados médicos são dados sensíveis. O RH pode verificar a existência e o período do atestado, mas não deve registrar o diagnóstico ou a condição médica, apenas a duração do afastamento. O acesso a atestados deve ser restrito ao RH, sem visibilidade para gestores diretos ou outros departamentos.

Avaliações de desempenho

Resultados de avaliações são dados pessoais do colaborador. Ele tem direito de acessar suas próprias avaliações. Defina por quanto tempo as avaliações são mantidas após o desligamento e quem tem acesso durante o período de trabalho.

Desligamento

Após o desligamento, a empresa pode manter dados pelo tempo necessário para obrigações legais trabalhistas, documentos do vínculo empregatício por até 5 anos, eSocial e FGTS pelos prazos legais. Dados que não têm obrigação legal devem ser eliminados após o desligamento.

Direitos dos colaboradores como titulares de dados

A LGPD garante direitos aos titulares, incluindo colaboradores, que o RH precisa estar preparado para atender:

Direito de acesso: o colaborador pode solicitar quais dados a empresa tem sobre ele e receber uma cópia.

Direito de correção: dados incorretos devem ser corrigidos mediante solicitação.

Direito de eliminação: após o desligamento, o colaborador pode solicitar eliminação de dados que não têm base legal para manutenção.

Direito de portabilidade: em alguns casos, o colaborador pode solicitar seus dados em formato portátil para levar a outro empregador.

Prazo para resposta: a empresa tem 15 dias para responder às solicitações dos titulares.

Como proteger tecnicamente os dados de RH

Acesso restrito

O sistema de RH deve ter controle de acesso por perfil, quem do RH pode ver o quê. O analista de folha de pagamento não precisa ver avaliações de desempenho. O gestor de benefícios não precisa ver dados bancários completos.

Criptografia

Dados sensíveis armazenados em sistema ou banco de dados devem ser criptografados. Planilhas Excel com dados de colaboradores sem senha e sem criptografia são uma violação em potencial.

Backup seguro

O backup dos dados de RH deve ter as mesmas proteções do sistema principal, criptografia e acesso restrito. Backup descriptografado em HD externo sem controle é uma vulnerabilidade.

Descarte seguro

Documentos físicos (fichas, contratos, atestados) devem ser descartados com fragmentadora, não no lixo comum. Computadores substituídos devem ter o HD formatado ou destruído antes do descarte.

Trilha de auditoria

Registre quem acessou dados de RH, quando e o que visualizou. Em caso de vazamento, a trilha de auditoria é fundamental para identificar a origem.

Como a Accertiva ajuda empresas a proteger dados de RH em SP

A Accertiva implementa controles técnicos para proteção de dados de RH: configuração de permissões de acesso por perfil, criptografia de dados, backup seguro, descarte adequado de equipamentos e documentação de trilha de auditoria.

Perguntas frequentes sobre LGPD no RH

O RH pode guardar foto do colaborador no sistema?

Sim, para fins de identificação interna (crachá, sistema de ponto com foto). Mas não pode usar a foto para outros fins sem consentimento específico, como publicar em redes sociais ou material de marketing da empresa.

Quanto tempo o RH deve guardar documentos de ex-colaboradores?

Documentos trabalhistas (CTPS, termo de rescisão, comprovantes de pagamento) devem ser mantidos por pelo menos 5 anos após o desligamento, prazo prescricional de ações trabalhistas. Documentos do FGTS por 30 anos. Para outros dados sem obrigação legal específica, o padrão é eliminar após 2 anos do desligamento.

O gestor direto pode ver os atestados médicos dos subordinados?

Não é recomendado. O gestor pode ser informado sobre o período de afastamento, mas não sobre o diagnóstico ou condição médica. O acesso ao conteúdo do atestado deve ser restrito ao RH e ao serviço médico da empresa, se houver.

A empresa pode monitorar e-mails e computadores dos colaboradores?

Sim, com condições. O monitoramento de equipamentos e e-mails corporativos é permitido desde que o colaborador seja informado sobre essa prática, geralmente no contrato de trabalho ou política de uso de recursos de TI. Monitoramento de dispositivos pessoais não é permitido.