Por que o RH se tornou o maior gargalo da LGPD
O RH sempre foi o lugar onde a empresa guardava a vida do trabalhador em pastas e arquivos. Mas, com a LGPD, essa confiança de bastidor virou uma responsabilidade jurídica pesada e exposta.
O problema é que a rotina do setor não mudou na mesma velocidade da lei: ainda se compartilham currículos por e-mail, planilhas de benefícios circulam sem trava e dados de saúde são manuseados como se fossem meros avisos administrativos.
O RH virou o maior gargalo da proteção de dados porque é o setor onde a teoria da lei mais bate de frente com o hábito do dia a dia. Gerir pessoas, agora demanda o policiamento de um fluxo invisível de informações que, se vazarem, trazem verdadeiro risco de continuidade da empresa.
A centralidade contemporânea da proteção de dados pessoais impõe uma releitura estrutural das rotinas empresariais de recursos humanos. Se, durante muitos anos, o RH foi compreendido sobretudo como área de gestão administrativa de admissões, folha, benefícios, afastamentos e desligamentos, a Lei nº 13.709/2018 alterou substancialmente esse enquadramento.
Essa alteração se deu ao submeter tais operações ao regime jurídico da proteção de dados pessoais, com incidência transversal sobre coleta, organização, armazenamento, consulta, comunicação, compartilhamento e eliminação de informações relativas a candidatos, empregados, dependentes, prestadores e ex-colaboradores. Mas não é só.
A compreensão é de que o departamento de RH deixou de ser apenas uma engrenagem interna de suporte e passou a constituir um núcleo sensível de tratamento de dados, frequentemente responsável por lidar com informações cadastrais, financeiras, biométricas, médicas, disciplinares e comportamentais de elevado potencial lesivo quando tratadas em desconformidade com a ordem jurídica.
A LGPD não criou regime específico para as relações de trabalho, mas sua aplicabilidade ao ambiente laboral decorre diretamente da amplitude do seu artigo 1º, que alcança o tratamento de dados pessoais por pessoas jurídicas de direito privado, e do artigo 5º, que define como tratamento toda operação realizada com dados pessoais.
No campo laboral, essa incidência não é periférica, mas central. O RH coleta currículos, realiza pesquisa de antecedentes, controla ponto, administra folhas de pagamento, encaminha exames ocupacionais, viabiliza benefícios, conduz apurações internas, mantém canais de denúncia, gerencia afastamentos, organiza documentos de saúde e segurança do trabalho e preserva arquivos funcionais mesmo após o encerramento do vínculo.
O guia institucional da FGV voltado especificamente a recursos humanos confirma essa extensão ao tratar, em sequência lógica, dos processos seletivos, da contratação, do acompanhamento da atividade profissional, das sindicâncias internas, da concessão de benefícios, da eliminação de dados e do tratamento de informações de ex-colaboradores. Não há, portanto, qualquer espaço metodológico para tratar a conformidade do RH como tema lateral.
Essa releitura é reforçada pela própria arquitetura principiológica da LGPD. O artigo 6º estabelece os princípios da finalidade, adequação, necessidade, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.
Tais vetores são especialmente exigentes em matéria laboral porque a relação entre empresa e trabalhador não se desenvolve em plano de simetria negocial plena. Em regra, o empregador detém poder diretivo, organizacional e disciplinar, enquanto o empregado, o candidato e mesmo o ex-colaborador se encontram em posição de maior vulnerabilidade informacional.
Essa assimetria torna juridicamente deficiente qualquer visão superficial segundo a qual bastaria a obtenção de assinaturas padronizadas ou cláusulas genéricas de ciência para legitimar rotinas invasivas de tratamento. O que a LGPD exige é aderência material entre a finalidade declarada e a operação realizada, com limitação ao mínimo necessário, documentação das escolhas, transparência real e proteção efetiva contra uso abusivo ou discriminatório.
Sob o ângulo das bases legais, o primeiro erro recorrente nas rotinas de RH consiste em superdimensionar o consentimento como fundamento universal. A legislação admite o consentimento como hipótese legal de tratamento sim, mas também o cerca de exigências rigorosas que partem da manifestação livre, informada, inequívoca, vinculada a finalidades determinadas, com vedação de autorizações genéricas e possibilidade de revogação.
Em relações de trabalho, essa base legal deve ser examinada com especial cautela precisamente por causa da desigualdade estrutural entre as partes. Em larga medida, as operações ordinárias do RH encontram fundamento mais consistente no cumprimento de obrigação legal ou regulatória, na execução do contrato ou de procedimentos preliminares a ele relacionados, no exercício regular de direitos, na tutela da saúde e, em hipóteses delimitadas, no legítimo interesse.
O próprio Guia da ANPD sobre agentes de tratamento e o Guia da ANPD sobre legítimo interesse oferecem base institucional segura para afastar o uso indiscriminado de justificativas genéricas, exigindo definição de papéis, delimitação de responsabilidades e exame concreto de finalidade, necessidade, transparência e compatibilidade com as expectativas legítimas do titular.
Essa distinção tem grande relevância prática no ciclo do recrutamento e da seleção. Na fase pré-contratual, o RH frequentemente lida com documentos de identificação, dados acadêmicos, históricos profissionais, informações de contato, referências, resultados de testes e, em algumas hipóteses, elementos sensíveis ou potencialmente discriminatórios.
O tratamento dessas informações não pode converter o processo seletivo em mecanismo informal de prospecção ilimitada de dados. A base legal da execução de procedimentos preliminares relacionados a contrato autoriza apenas o tratamento necessário à avaliação da aptidão do candidato para a vaga, e não a formação de repositórios indefinidos, a coleta de informações irrelevantes, o rastreamento expansivo em redes sociais ou o reaproveitamento genérico dos dados para outras finalidades comerciais.
O já mencionado guia da FGV chama atenção, inclusive, para a necessidade de disciplinar o destino dos dados após o término da seleção, o que recoloca no centro do debate a obrigação de eliminação ou retenção legitimada por fundamento jurídico específico. O quase sempre negligenciado ciclo de vida dos dados.
Os riscos tornam-se mais agudos quando o RH manuseia dados pessoais sensíveis, categoria que inclui, entre outros, dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, informações referentes à saúde, vida sexual, dados genéticos e biométricos.
Essa tipologia aparece com frequência nas rotinas laborais, seja em exames admissionais e periódicos, seja em laudos de medicina e segurança do trabalho, políticas de inclusão, concessão de benefícios, programas de diversidade, controle de acesso por biometria, registros de afastamentos, inclusão de dependentes ou apurações internas.
O artigo 11 da LGPD sujeita o tratamento desses dados a regime mais restritivo, o que impõe ao RH a necessidade de um cuidado redobrado com a base legal, a limitação de acesso, a segregação informacional, o registro de operações e as salvaguardas técnicas e administrativas.
Em contexto laboral, a má gestão de dados sensíveis não produz apenas risco abstrato de infração regulatória; ela pode desaguar em discriminação ilícita, assédio informacional, estigmatização interna e passivos simultaneamente trabalhistas, cíveis e reputacionais.
Essa gestão de dados sensíveis ganha uma camada adicional de complexidade com a redação da NR-1, que consolidou o Gerenciamento de Riscos Ocupacionais (GRO) como pilar da segurança do trabalho.
Ao exigir que as empresas mantenham um Inventário de Riscos e um Plano de Ação detalhados, a norma acaba por forçar o RH e o SESMT a coletarem informações pormenorizadas sobre as condições psicofisiológicas e o histórico de exposição dos trabalhadores.
O risco aqui é a "hipercoleta", pois sob a justificativa de cumprir a norma regulamentadora, muitas organizações acabam registrando mais dados de saúde do que o estritamente necessário para a prevenção de acidentes, criando um acervo de dados sensíveis que, se não for segregado com rigor, viola o princípio da minimização.
O gargalo se estreita ainda mais na integração entre o GRO e o controle de terceiros. A NR-1 impõe uma cooperação direta entre contratantes e contratadas para o inventário de riscos, o que frequentemente resulta no compartilhamento indiscriminado de dados de saúde e desempenho de prestadores de serviço.
Sem uma governança clara que limite o acesso a esses prontuários e laudos, o RH transita em uma zona de perigo jurídico: de um lado, a obrigação de zelar pela segurança ocupacional; de outro, a proibição de expor o perfil de saúde do trabalhador a terceiros. O desafio é garantir que a conformidade com a NR-1 não se torne, por via transversa, um canal de exposição indevida de dados sensíveis que a LGPD ordena proteger.
Essa interdependência regulatória revela uma falha estrutural comum: a ausência de cláusulas de proteção de dados em contratos com assessorias de medicina do trabalho e consultorias de segurança.
Não raro, o RH atua como um mero repassador de informações, enviando bases de dados completas via canais inseguros, sem questionar como esses fornecedores armazenam ou descartam os prontuários. Sob a ótica da LGPD, o RH não pode se eximir da responsabilidade ao terceirizar a operação. Ele permanece como o controlador que deve garantir que o operador — neste caso, a clínica ou a consultoria de segurança — mantenha o mesmo padrão de zelo exigido pela lei, sob pena de responsabilidade solidária por incidentes que sequer ocorreram dentro de suas dependências físicas.
Ademais, a efetiva proteção desses dados exige uma segregação de acesso que desafia a cultura de 'porta aberta' de muitos departamentos de recursos humanos. O acesso ao Inventário de Riscos Ocupacionais ou a laudos médicos detalhados não deve ser facultado a qualquer gestor ou analista administrativo sob o pretexto de gestão de pessoas.
É imperativo que o RH estabeleça barreiras lógicas e procedimentais para que informações sensíveis de saúde permaneçam restritas ao âmbito médico-ocupacional, impedindo que dados coletados para fins de segurança do trabalho sejam desviados para decisões disciplinares ou avaliações de desempenho, o que configuraria desvio de finalidade e abuso de direito.
A incidência do princípio da não discriminação merece especial destaque. A LGPD veda o tratamento para fins discriminatórios, ilícitos ou abusivos. No RH, essa vedação alcança desde práticas explícitas até mecanismos carentes de transparência de triagem e ranqueamento.
Um formulário que solicita informação excessiva sobre saúde reprodutiva, um procedimento seletivo que considera marcadores indiretos de perfil socioeconômico, um sistema automatizado que infere “risco comportamental” a partir de interações pretéritas, ou ainda a circulação interna de dados médicos além do estritamente necessário podem violar frontalmente a ordem legal.
A página oficial do STJ que reuniu precedentes da LGPD registra julgamento no qual a Terceira Turma reconheceu que dados utilizados em análise automática de perfis de prestadores de serviço configuram dados pessoais submetidos à proteção legal e que o titular pode requerer revisão de decisões automatizadas que afetem seu perfil profissional, com fundamento também nos princípios de transparência e no artigo 20 da LGPD.
Embora o caso concreto não envolva vínculo celetista clássico, sua racionalidade é altamente relevante para o RH empresarial, sobretudo em ecossistemas de people analytics, avaliação automatizada de desempenho, monitoramento de produtividade e decisões algorítmicas de contratação, promoção, suspensão ou desligamento.
O precedente acima é particularmente importante porque demonstra que a LGPD não se limita a restringir vazamentos. Ela organiza juridicamente o próprio processo decisório baseado em dados. Quando a empresa utiliza instrumentos automatizados para classificar trabalhadores, atribuir confiabilidade, identificar anomalias, prever comportamento ou definir permanência em determinada função, ingressa em zona de risco elevado, na qual a tutela da transparência, da explicabilidade possível e da revisão de decisões assume caráter de extrema relevância.
Em termos laborais, isso significa que a governança de dados do RH deve alcançar não apenas arquivos físicos e bancos cadastrais, mas também modelos de pontuação, critérios de ranqueamento, fornecedores de tecnologia, logs de tratamento e a justificativa jurídica e funcional de cada variável utilizada nos sistemas decisórios.
Outro vetor crítico diz respeito à segurança da informação. O artigo 46 da LGPD determina que agentes de tratamento adotem medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, devendo tais medidas ser observadas desde a concepção do produto ou do serviço até sua execução.
Em RH, essa exigência afasta soluções improvisadas que ainda persistem em parte do mercado, como o compartilhamento de documentos por email, sem controle, planilhas abertas com dados de remuneração, armazenamento desordenado de exames médicos, pastas sem segregação por perfil de acesso, guarda indiscriminada em aplicativos de mensagens, exportação de bases completas para consultorias sem cláusulas robustas e ausência de trilhas de auditoria.
O artigo 48, por sua vez, exige comunicação de incidente de segurança à autoridade nacional e ao titular quando houver risco ou dano relevante, o que torna o RH uma frente sensível na resposta corporativa a incidentes envolvendo folhas, benefícios, saúde ocupacional, dados bancários ou documentos funcionais.
A jurisprudência do STJ, embora ainda em consolidação, já oferece parâmetros relevantes sobre responsabilização e tratamento irregular. Em ambiente de RH, isso reforça a necessidade de controles aptos a evitar adulteração cadastral, acesso indevido a perfis funcionais, manipulação fraudulenta de benefícios, desvio de dados bancários e uso abusivo de informações laborais.
A urgência de conformidade também se explica pela densidade constitucional adquirida pela matéria. O julgamento da ADI 6387, assentou que o tratamento e a manipulação de dados pessoais devem observar os limites das cláusulas constitucionais de liberdade, privacidade e livre desenvolvimento da personalidade, exigindo mecanismos de proteção e segurança, finalidade definida, necessidade, adequação e proporcionalidade.
A ementa destaca ainda a insuficiência de medidas estatais que prevejam compartilhamento massivo de dados sem delimitação clara do uso, sem salvaguardas técnicas e administrativas adequadas e com conservação excessiva das informações.
Embora o caso tenha envolvido compartilhamento de dados de usuários de telefonia com o IBGE, os parâmetros constitucionais ali reafirmados são transponíveis para a realidade corporativa. Se o Supremo submeteu o poder público a escrutínio severo quanto à finalidade, minimização, segurança e temporalidade do tratamento, não há fundamento para tolerância maior em práticas empresariais de RH que operem com dados sensíveis de trabalhadores sem governança minimamente robusta.
A força normativa do tema foi reforçada com o reconhecimento constitucional expresso do direito à proteção de dados pessoais no artigo 5º, inciso LXXIX, da Constituição, circunstância já mencionada pelo próprio STJ em seu material institucional ao examinar precedente relacionado à divulgação de dados patrimoniais de agentes públicos.
Isso significa que as práticas do RH devem ser lidas não apenas à luz de uma legislação infraconstitucional de compliance, mas sob o prisma de um direito fundamental. A alteração desloca a matéria para patamar de maior exigência de interpretação normativa e amplia o potencial de irradiação da proteção de dados sobre contratos de trabalho, regulamentos internos, investigações corporativas, sistemas de monitoramento, acordos coletivos, políticas de integridade e instrumentos de gestão de pessoas.
Nesse contexto, a relevância institucional da ANPD merece exame próprio. O que se observa, é a consolidação jurisprudencial da proteção de dados como direito fundamental e a crescente centralidade institucional da agência no arranjo regulatório brasileiro. A importância desse dado não é meramente descritiva.
A consolidação estrutural da ANPD densifica a expectativa de fiscalização, normatização e indução de padrões de governança, retirando qualquer plausibilidade da ideia de que o tema possa ser relegado a regularização futura ou a programas meramente cosméticos. Para o RH, isso significa que práticas historicamente toleradas por inércia organizacional devem ser reavaliadas sob ambiente regulatório mais maduro, com maior capacidade institucional de orientação e sanção.
A perspectiva sancionatória, aliás, é suficientemente expressiva para afastar qualquer cálculo empresarial de adiamento. O artigo 52 da LGPD prevê advertência, multa simples de até 2% do faturamento da pessoa jurídica, limitada a cinquenta milhões de reais por infração, multa diária, publicização da infração, bloqueio ou eliminação de dados, suspensão parcial do funcionamento de banco de dados, suspensão da atividade de tratamento e até proibição parcial ou total de atividades relacionadas ao tratamento.
Além disso, a lei determina que, na dosimetria, sejam considerados critérios como gravidade da infração, grau do dano, cooperação do infrator, adoção de mecanismos internos de mitigação, políticas de governança e pronta adoção de medidas corretivas. Em outras palavras, a conformidade a conformidade influencia concretamente a avaliação institucional da resposta empresarial. O RH, por concentrar uma massa crítica de dados estratégicos e sensíveis, figura entre os setores mais expostos na hipótese de investigação, auditoria ou incidente.
Não menos importante é a responsabilidade civil prevista nos artigos 42 a 44 da LGPD. O controlador ou operador que causar dano patrimonial, moral, individual ou coletivo em violação à legislação de proteção de dados fica obrigado a repará-lo, respondendo o tratamento de dados de forma solidária em hipóteses legalmente estabelecidas.
O tratamento será considerado irregular, entre outras hipóteses, quando não fornecer a segurança que o titular pode legitimamente esperar, consideradas as circunstâncias relevantes e as técnicas disponíveis à época.
Portanto, não há mais espaço para desorganização documental no RH, nem tampouco ausência de segregação de acessos, muito menos terceirização sem instruções claras, retenção excessiva de arquivos funcionais, compartilhamento desnecessário com operadoras de benefícios, clínicas, escritórios terceiros e plataformas de recrutamento, bem como a adoção de controles invasivos sem justificação adequada, podem compor não apenas infração administrativa, mas também litígios indenizatórios e de disputas trabalhistas com forte componente informacional.
A urgência de adequação é maior quando se observa que a desconformidade do RH não costuma ser episódica, ela tende a ser sistêmica. O problema raramente reside em um ato isolado, mas na soma de pequenas rotinas normalizadas sem base jurídica bem delimitada.
Exigem-se com frequência cópias documentais excessivas no onboarding, mantêm-se currículos por tempo indefinido, centralizam-se laudos médicos em repositórios acessíveis a múltiplos setores, utilizam-se grupos informais de mensagens para circular atestados, terceiriza-se recrutamento sem governança contratual sobre dados, multiplicam-se planilhas paralelas com dados remuneratórios e admite-se monitoramento tecnológico sem definição clara de necessidade e proporcionalidade.
Cada uma dessas práticas pode parecer operacionalmente trivial, mas juridicamente falando, revelam déficit de governança, violação ao princípio da necessidade, fragilidade de segurança e, em alguns casos, risco direto de tratamento discriminatório.
Por essa razão, a adequação do RH à LGPD não pode ser confundida com providência meramente documental. Políticas de privacidade internas, termos de ciência e cláusulas contratuais são importantes, mas insuficientes se não vierem acompanhados de mapeamento real das operações, definição clara de papéis entre controlador e operador, revisão das bases legais por processo, políticas de retenção e descarte, segmentação de acessos, rastreabilidade dos compartilhamentos, avaliação de fornecedores, plano de resposta a incidentes, treinamento contínuo e revisão de fluxos automatizados.
A própria LGPD, no artigo 50, associa boas práticas e governança à organização do tratamento, aos procedimentos internos, às normas de segurança, aos mecanismos de supervisão e mitigação de riscos e aos planos de resposta a incidentes, deixando claro que a conformidade não se esgota em formalidades declarativas.
Também se impõe que a governança de RH seja pensada a partir do ciclo de vida do dado e não apenas do vínculo empregatício ativo. A LGPD disciplina o término do tratamento e a conservação apenas nas hipóteses legalmente autorizadas.
Assim, o encerramento do contrato de trabalho não legitima, a retenção irrestrita de dados. A empresa deve distinguir o que precisa ser conservado por obrigação legal, defesa em processos, cumprimento regulatório ou exercício regular de direitos daquilo que apenas permanece armazenado por inércia.
O mesmo raciocínio vale para bancos de currículos, programas de talentos, registros de ex-colaboradores e dados de dependentes. Em matéria de RH, a acumulação histórica de informação é um dos sinais mais nítidos de desconformidade estrutural.
Em conclusão, os departamentos de recursos humanos se encontram no ponto mais sensível de convergência entre poder empregatício, assimetria informacional, tratamento massivo de dados e risco de violação a direitos fundamentais.
A LGPD submeteu esse ambiente a um regime jurídico de alta densidade, baseado em finalidade, minimização, transparência, segurança, prevenção, não discriminação, governança e prestação de contas.
A proteção de dados no RH não é pauta acessória de modernização administrativa, mas exigência jurídica imediata de conformação operacional, documental e tecnológica.
Empresas que persistirem em tratar o RH como espaço informal de circulação de dados não apenas ampliarão sua exposição a sanções e litígios, como comprometerão a higidez da própria gestão de pessoas. Em cenário regulatório amadurecido e constitucionalmente densificado, a conformidade do RH à LGPD deixou de ser diferencial prudencial e passou a representar dever jurídico elementar de qualquer organização minimamente diligente.
