LGPD no RH: O que é, impactos e como aplicar na prática
A LGPD no RH estabelece regras para a coleta, o armazenamento, o compartilhamento e a proteção dos dados pessoais de colaboradores e candidatos. Como o setor de Recursos Humanos concentra algumas das informações mais sensíveis da empresa, adequar seus processos à legislação é essencial para garantir a privacidade dos dados e reduzir riscos.
Esse cuidado começa na triagem de currículos e acompanha toda a jornada do colaborador, passando por documentos pessoais, dados bancários, exames médicos e avaliações de desempenho. Mais do que uma obrigação legal, proteger essas informações se tornou parte de uma gestão de pessoas mais segura e estratégica.
Ainda assim, muitas organizações subestimam a dimensão desse desafio e os impactos de uma gestão inadequada dos dados.
O que é a LGPD?
A LGPD é a Lei Geral de Proteção de Dados, criada para regulamentar a coleta, armazenamento, compartilhamento e tratamento de dados pessoais no Brasil.
Seu principal objetivo é garantir mais privacidade, segurança e transparência no uso das informações dos titulares.
Na prática, a legislação define regras sobre como empresas podem coletar dados, por quanto tempo podem armazená-los, quem pode acessá-los, quais medidas precisam existir para evitar vazamentos e usos indevidos. Para o RH, a LGPD trouxe uma mudança importante, já que os dados dos colaboradores passaram a exigir o mesmo nível de cuidado e proteção que os dados de clientes e consumidores.
A quem a LGPD se aplica?
A LGPD se aplica a qualquer pessoa física ou jurídica que realize o tratamento de dados pessoais, independentemente do porte ou segmento da organização.
Isso significa que empresas privadas, órgãos públicos, instituições sem fins lucrativos e até profissionais autônomos precisam seguir as diretrizes da legislação quando coletam ou utilizam informações pessoais.
No contexto de Recursos Humanos, a lei se aplica desde o recebimento de currículos até a gestão de dados de colaboradores ativos, ex-colaboradores, estagiários, aprendizes e candidatos.
Quais as penalidades pelo descumprimento da LGPD?
O descumprimento da LGPD pode gerar consequências financeiras, jurídicas e reputacionais para as organizações. As penalidades previstas no Artigo 52 da Lei são aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) após processo administrativo e variam conforme a gravidade da infração.
Entre as penalidades previstas estão:
- Advertência: a empresa recebe uma notificação formal e um prazo para corrigir as irregularidades identificadas.
- Multa simples: pode chegar a até 2% do faturamento da empresa, grupo ou conglomerado no Brasil, limitada a R$ 50 milhões por infração.
- Multa diária: aplicada quando a organização não corrige a irregularidade dentro do prazo determinado, também respeitando o limite legal.
- Publicização da infração: a ANPD pode tornar pública a infração cometida, o que pode impactar diretamente a reputação da empresa perante colaboradores, clientes e parceiros.
- Bloqueio dos dados pessoais: a organização pode ser impedida de utilizar determinados dados até que a situação seja regularizada.
- Eliminação dos dados: a empresa pode ser obrigada a excluir informações coletadas ou tratadas de forma inadequada.
- Suspensão ou proibição das atividades de tratamento: em casos mais graves, a ANPD pode determinar a suspensão parcial do banco de dados ou até impedir a realização de determinadas operações envolvendo dados pessoais.
Além das sanções aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), incidentes envolvendo vazamento de informações podem comprometer a imagem da empresa e impactar a confiança de colaboradores, candidatos e parceiros.
Por que a LGPD impacta tanto o RH?
A LGPD impacta diretamente o RH porque essa é uma das áreas que mais coleta, armazena e compartilha dados pessoais dentro da empresa. Desde o recebimento de currículos até o desligamento de um colaborador, o setor lida diariamente com informações que exigem proteção e controle.
Além dos dados cadastrais, o RH também trata informações consideradas sensíveis, como atestados médicos, exames ocupacionais e dados biométricos. Isso aumenta a responsabilidade da área e exige processos mais estruturados para garantir privacidade, segurança e conformidade com a legislação.
Outro desafio é que muitas empresas ainda utilizam planilhas e controles manuais para gerenciar essas informações. Dados da última edição da Pesquisa do Cenário do RH no Brasil mostram que uma parcela significativa dos departamentos de RH ainda depende de planilhas para atividades estratégicas e operacionais, o que amplia os riscos de acesso indevido, perda de dados e vazamentos.
Por isso, adequar o RH à LGPD não é apenas uma obrigação legal, mas também uma forma de fortalecer a confiança dos colaboradores, reduzir riscos operacionais e modernizar a gestão de pessoas.
Onde a LGPD está presente na jornada do colaborador?
A proteção de dados acompanha toda a jornada do colaborador dentro da empresa. O tratamento das informações começa ainda no recrutamento e seleção, quando o RH recebe currículos, realiza entrevistas e avalia candidatos.
Com o avanço da Inteligência Artificial, esse cuidado ganhou uma nova dimensão. Hoje, muitas empresas utilizam ferramentas de IA para realizar a triagem de currículos, identificar perfis aderentes às vagas e apoiar decisões no recrutamento e seleção. Embora essas soluções tragam mais agilidade, a responsabilidade pela proteção dos dados continua sendo da empresa. Por isso, antes de contratar um fornecedor, é importante verificar como os dados dos candidatos são armazenados, por quanto tempo permanecem na plataforma, se são utilizados para treinar modelos de IA, quais medidas de segurança são adotadas e como a ferramenta busca reduzir possíveis vieses nas análises.
Após a contratação, novos dados passam a ser coletados para atender obrigações trabalhistas, previdenciárias e fiscais. Durante o vínculo empregatício, a LGPD também se aplica a processos como gestão de desempenho, feedbacks, benefícios, treinamentos e saúde ocupacional.
Mesmo após o desligamento, a empresa continua responsável por armazenar determinados documentos pelo prazo exigido em lei e realizar o descarte adequado das informações quando elas não forem mais necessárias.
Quais dados são considerados sensíveis?
Segundo a LGPD, são dados pessoais sensíveis aqueles que revelam características potencialmente discriminatórias ou de extrema privacidade. No contexto de RH, incluem‑se:
- Origem racial ou étnica.
- Convicções religiosas ou filosóficas e opiniões políticas.
- Filiação sindical ou a organizações religiosas, filosóficas ou políticas.
- Dados genéticos e biométricos (digitais, rosto, íris, voz, etc.).
- Dados relacionados à saúde e à vida sexual (ex.: exames, atestados, prontuários médicos, orientação sexual).
Esses dados exigem proteção reforçada e só podem ser tratados com base legal específica (como consentimento, necessidade para benefícios de saúde, etc.).
Como fazer o descarte adequado de dados sensíveis?
O descarte adequado não é só apagar um arquivo. A empresa precisa verificar primeiro se existe obrigação legal ou regulatória de manter aqueles dados por um período determinado. Só depois disso é que as informações podem ser eliminadas ou anonimizadas com segurança.
No RH, isso significa ter regras claras de retenção, para não armazenar dados além do necessário e nem descartar antes da hora. A eliminação deve abranger tanto documentos físicos quanto arquivos digitais, garantindo que as informações não possam ser recuperadas ou acessadas indevidamente.
Imagine que o RH queira analisar índices de afastamento médico dos últimos cinco anos.
Em vez de manter informações como:
Os dados podem ser anonimizados para algo como:
Dessa forma, a empresa consegue utilizar as informações para gerar indicadores e análises sem identificar quem são as pessoas envolvidas.
Alguns outros exemplos práticos:
- Um currículo de um candidato não contratado pode ser excluído após o prazo definido pela empresa, caso não exista uma justificativa para mantê-lo armazenado.
- Um atestado médico deve ser descartado de forma segura após o cumprimento dos prazos legais de guarda, evitando que permaneça em pastas compartilhadas ou arquivos desnecessários.
- Dados de ex-colaboradores podem ser anonimizados para que a empresa continue analisando indicadores de turnover, tempo médio de permanência ou afastamentos sem identificar os profissionais envolvidos.
LGPD no RH: principais pontos de atenção
A adequação à LGPD vai além da proteção de documentos e sistemas. O RH precisa garantir que todas as etapas do tratamento de dados estejam alinhadas aos princípios da legislação, desde a coleta até o descarte das informações.
Na prática, isso envolve alguns cuidados essenciais no dia a dia da área:
- Coletar apenas dados necessários para cada processo
- Definir quem pode acessar informações sensíveis
- Estabelecer regras de armazenamento e retenção
- Garantir transparência sobre o uso dos dados
- Proteger o compartilhamento de informações entre áreas e fornecedores
Quais são os erros mais comuns na LGPD cometidos pelo RH?
Muitos problemas relacionados à LGPD surgem por falhas de processo e não necessariamente por ataques cibernéticos ou vazamentos externos.
Entre os erros mais comuns estão:
- armazenar currículos sem prazo definido
- compartilhar planilhas com diversas pessoas
- conceder acesso excessivo a informações sensíveis
- manter documentos por mais tempo do que o necessário
Outro ponto crítico é a falta de conscientização dos gestores e equipes. Sem treinamento adequado, aumentam as chances de compartilhamentos indevidos e tratamentos inadequados de dados pessoais.
Por que as planilhas representam um risco?
As planilhas continuam presentes na rotina de muitos departamentos de RH, mas apresentam limitações importantes quando o assunto é proteção de dados.
Em geral, elas oferecem pouco controle sobre quem acessa as informações, dificultam a rastreabilidade de alterações e aumentam a dependência de processos manuais.
Como por exemplo, arquivos compartilhados por e-mail ou armazenados em dispositivos pessoais podem ser facilmente copiados, enviados para destinatários incorretos ou acessados por pessoas não autorizadas, aumentando os riscos de incidentes relacionados à LGPD.
O que a empresa precisa fazer para se adequar à LGPD?
A adequação à LGPD exige mais do que ajustes pontuais. A empresa precisa criar uma estrutura de governança que garanta o tratamento adequado dos dados pessoais dos colaboradores e candidatos, reduzindo riscos e fortalecendo a conformidade com a legislação.
Para isso, vale utilizar o seguinte checklist:
✅ Mapear todas as operações de tratamento de dados realizadas pelo RH.
✅ Criar ou atualizar o Aviso de Privacidade para colaboradores.
✅ Revisar contratos, formulários e documentos internos.
✅ Avaliar a conformidade de fornecedores e parceiros que recebem dados pessoais.
✅ Definir regras de acesso e permissões para informações sensíveis.
✅ Estabelecer uma política de retenção e descarte de dados.
✅ Criar procedimentos para atender solicitações dos titulares de dados.
✅ Capacitar gestores e colaboradores sobre proteção de dados.
✅ Revisar periodicamente processos e práticas relacionadas à LGPD.
✅ Utilizar ferramentas que aumentem a segurança e a rastreabilidade das informações.
Além disso, a empresa deve investir na conscientização de líderes e equipes, garantindo que todos compreendam seu papel na proteção dos dados dos colaboradores.
Como aplicar a LGPD no RH na prática?
1. Entenda onde os dados do RH realmente estão hoje
Antes de qualquer ajuste, o RH precisa enxergar a realidade completa da operação. Isso significa mapear não só sistemas oficiais, mas também planilhas, e-mails, pastas compartilhadas e controles paralelos usados por gestores e áreas de apoio.
O objetivo aqui não é documentar por obrigação, mas identificar onde os dados estão “vazando estruturalmente” dentro do processo.
2. Ajuste a coleta de dados ao que o RH realmente usa
Uma das falhas mais comuns é coletar mais informações do que o necessário. O RH deve revisar formulários, processos de admissão, recrutamento e gestão de pessoas para garantir que cada dado coletado tenha uma finalidade clara e seja efetivamente utilizado.
Se a informação não tem uso prático ou obrigação legal, ela não deveria estar sendo coletada.
3. Organize o fluxo de uso das informações entre áreas
Os dados do RH raramente ficam só no RH. Eles circulam entre financeiro, gestores, jurídico, benefícios e fornecedores.
Por isso, é essencial definir como essa troca acontece: o que pode ser compartilhado, em qual formato e com quais controles. Sem isso, o risco não está no dado em si, mas na circulação desorganizada dele dentro da empresa.
4. Separe o que é operacional do que é sensível
Nem toda informação de colaborador precisa do mesmo nível de proteção. Dados como avaliações de desempenho, informações médicas e registros disciplinares exigem um cuidado maior do que dados cadastrais básicos.
Quando tudo é tratado da mesma forma, o risco aumenta justamente onde ele deveria ser menor.
5. Defina o que acontece com os dados ao longo do tempo
Um dos pontos mais negligenciados no RH é o “fim da vida útil” do dado. Informações são coletadas, usadas e depois simplesmente acumuladas.
A LGPD exige que exista uma lógica clara: o que precisa ser mantido, por quanto tempo e o que deve ser eliminado ou anonimizado quando não tiver mais finalidade.
6. Reduza dependência de controles paralelos
Grande parte dos riscos de LGPD no RH não vem de sistemas oficiais, mas de controles paralelos criados para “facilitar o dia a dia”, como planilhas pessoais ou bases duplicadas.
O problema não é o uso pontual dessas ferramentas, mas quando elas passam a ser o principal repositório de informação sensível.
7. Padronize o comportamento do RH sobre dados
Mais do que regras escritas, a LGPD no RH depende de consistência. Isso significa que todos os envolvidos no processo precisam agir da mesma forma ao lidar com informações: coletar menos, compartilhar com critério e evitar circulação desnecessária.
Sem isso, qualquer política vira apenas formalidade.
Como a tecnologia ajuda na proteção de dados?
A tecnologia é uma das principais aliadas do RH na adequação à LGPD. Sistemas e Soluções especializadas como a Umanni permitem centralizar informações, controlar acessos e registrar todas as movimentações realizadas dentro da plataforma.
E também, recursos como criptografia, backups automáticos, autenticação multifator e trilhas de auditoria ajudam a reduzir riscos e aumentar a segurança das informações.
Com uma solução de Gestão de Desempenho e Consultoria como a Umanni, o RH ganha mais controle sobre os dados dos colaboradores, reduz a dependência de planilhas e fortalece sua estratégia de proteção de dados.
Perguntas Frequentes
A LGPD se aplica aos currículos recebidos pelo RH?
O RH pode acessar informações médicas dos colaboradores?
Planilhas são proibidas pela LGPD?
Quais dados dos colaboradores são considerados sensíveis?
A empresa pode armazenar dados de ex-colaboradores?
O consentimento é obrigatório para todos os dados tratados pelo RH?
Como evitar vazamentos de dados no RH?
Um software de RH ajuda na adequação à LGPD?
Gostou da leitura e quer mais insights como este?
Deixe seu e-mail na nossa newsletter para receber em primeira mão os novos artigos, pesquisas de mercado e ferramentas gratuitas que lançamos para a comunidade de RH.
É rápido, gratuito e pensado para o seu desenvolvimento!