LGPD no RH: o que você precisa saber (guia atualizado)

A LGPD não é assunto só para o jurídico. Desde o primeiro currículo recebido até o contrato de desligamento arquivado, o RH lida diariamente com dados pessoais de colaboradores. E cada um desses dados está sujeito às regras da Lei nº 13.709/2018. O custo médio de um vazamento de dados no Brasil já supera R$6 milhões por ocorrência, segundo o relatório Cost of a Data Breach 2024, da IBM com o Ponemon Institute. O risco não é só financeiro: é reputacional, trabalhista e operacional. Este guia mostra o que o RH precisa saber para operar dentro da lei sem transformar privacidade em burocracia. Saiba mais abaixo.

Índice:

• A lei que deve ser levada a sério
  • Leia também: Como manter a LGPD no trabalho remoto?

A lei que deve ser levada a sério

A LGPD está em vigor desde 2020 e suas sanções administrativas desde 2021. Em 2023, a ANPD regulamentou a dosimetria das multas. Em 2024, tornou obrigatória a nomeação de um encarregado de dados (DPO) e sua publicização. O ritmo de fiscalização de empresas privadas ainda é lento, mas o risco cresceu de outra direção: os tribunais trabalhistas.

Em 2024, o Tribunal Superior do Trabalho (TST) registrou o maior número de ações desde 2017. Nesse ambiente de alta litigiosidade, um vazamento ou uso inadequado de dados de colaboradores pode gerar dupla responsabilização: administrativa, pela ANPD, e judicial, na esfera trabalhista. O passivo inclui multas, indenizações individuais ou coletivas, acordos e ações civis públicas. Como aponta análise da TI Inside, "o risco já não é apenas teórico, mas imediato."

Leia também: Como manter a LGPD no trabalho remoto?

O que o RH coleta que está na mira da LGPD

O RH é, por natureza, uma das áreas com maior volume de dados pessoais dentro de uma empresa. Boa parte desses dados é sensível, categoria que exige cuidados extras sob a LGPD. O que entra nessa lista:

• Dados de candidatos: CPF, endereço, histórico profissional, formação, referências pessoais e, em alguns processos, informações de saúde ou financeiras. Todo esse material precisa de base legal clara para ser coletado e prazo definido para ser descartado.
• Dados de colaboradores ativos: documentos, dados bancários, dependentes, registros de ponto, avaliações de desempenho, histórico de afastamentos, exames médicos ocupacionais e informações sobre benefícios. Cada categoria tem regras específicas de uso e retenção.
• Dados sensíveis: laudos médicos, informações sobre saúde mental, dados biométricos usados em controle de ponto e qualquer informação que revele origem racial, etnia, convicção religiosa ou orientação sexual. Esses dados têm tratamento restrito e só podem ser processados em situações específicas previstas na lei.
• Dados de ex-colaboradores: o encerramento do contrato não encerra a obrigação. Documentos trabalhistas precisam ser guardados por períodos determinados pela CLT e pelo FGTS, e esse armazenamento também está sujeito à LGPD.

Vale conferir: Critérios legais e cuidados essenciais na contratação

Base legal: a pergunta que o RH precisa responder

A LGPD não proíbe o tratamento de dados. Ela exige que exista uma justificativa legal para ele. No contexto do RH, as bases legais mais usadas são três:

• Obrigação legal ou regulatória: dados coletados porque a lei exige, como registros de admissão, folha de pagamento e exames ocupacionais. É a base mais sólida e a mais fácil de justificar.
• Execução de contrato: dados necessários para cumprir o contrato de trabalho, como dados bancários para pagamento de salário e endereço para comunicações oficiais.
• Consentimento: a mais usada e, no contexto trabalhista, a mais problemática. Consentimento pressupõe liberdade real de recusar. Numa relação de emprego com desequilíbrio de poder, esse consentimento pode ser questionado. Usar consentimento como base para dados que poderiam se enquadrar em obrigação legal é um risco que vale evitar.

Os erros mais comuns que colocam o RH na mira da ANPD

Mapear os dados é o primeiro passo. O segundo é não cometer os erros que tornam esse mapeamento inútil na prática:

Guardar mais do que o necessário

O princípio da minimização da LGPD diz que só devem ser coletados os dados estritamente necessários para a finalidade declarada. RHs que acumulam documentos e informações sem critério estão criando passivo sem perceber.

Compartilhar dados sem controle

Enviar planilhas com dados de colaboradores por e-mail sem criptografia, compartilhar acessos amplos a sistemas de RH ou integrar dados com fornecedores sem contrato de proteção são práticas comuns e arriscadas.

Não ter política de descarte

Cada tipo de dado tem um prazo de retenção. Documentos trabalhistas têm prazos definidos pela CLT e pelo FGTS. Dados de candidatos não selecionados precisam de prazo e política declarada. Guardar tudo indefinidamente não é precaução. É exposição.

Ignorar incidentes de segurança

A LGPD exige notificação à ANPD e aos titulares em caso de vazamento que possa causar dano significativo. Não reportar um incidente, ou demorar a identificá-lo, agrava a situação legal da empresa.

Confira também: CAGED e eSocial: o que o RH precisa saber

O que fazer para colocar o RH em conformidade

Conformidade com a LGPD não é projeto de uma vez. É processo contínuo, mas existem pontos de partida que fazem diferença imediata:

• Mapeamento de dados: inventariar quais dados são coletados, por qual finalidade, em qual sistema, quem tem acesso e por quanto tempo ficam retidos. Esse mapeamento é a base de qualquer programa de privacidade.
• Indicar um DPO: desde 2024, a ANPD tornou obrigatória a nomeação e publicização de um encarregado de dados. Pode ser um profissional interno ou externo, mas precisa ser identificável e acessível tanto para colaboradores quanto para a autoridade reguladora.
• Revisar contratos com fornecedores: toda empresa que processa dados de colaboradores em nome do RH, como plataformas de recrutamento, sistemas de ponto e operadoras de benefícios, precisa de cláusulas contratuais que garantam compliance com a LGPD.
• Capacitar as equipes: quem acessa dados precisa entender as regras. Isso vale para o time de RH, para gestores que acessam dados de equipe e para qualquer área que opere com informações de colaboradores. Treinamentos regulares reduzem o risco de falha humana, que é a causa mais comum de incidentes de segurança.

Aprofunde-se no assunto: Critérios legais e cuidados essenciais na contratação

Privacidade não é custo. É proteção do negócio

Em 2024, enquanto o Brasil ainda não aplicava multas a empresas privadas por infrações à LGPD, outros países somavam US$1,7 bilhão em penalidades, segundo levantamento do L.O. Baptista Advogados. O cenário brasileiro vai mudar. A ANPD se estrutura progressivamente, e os tribunais trabalhistas já abriram uma segunda frente de risco.

O RH que trata privacidade de dados como checklist de compliance vai chegar atrasado quando a fiscalização apertar. O que protege é construir uma cultura de proteção de dados no dia a dia: processos claros, acessos controlados, equipes treinadas e incidentes tratados com transparência.

A Lei Geral de Proteção de Dados prevê multas que podem chegar a 2% do faturamento, limitadas a R$50 milhões por infração. O custo de um vazamento, entre despesas legais, indenizações e perda reputacional, é muito maior do que o custo de estar em ordem.

Cuidar de pessoas começa pelo respeito às informações delas, e o iFood Benefícios é parceiro do RH nessa missão. Com uma solução multibenefícios que combina alimentação, bem-estar, mobilidade e muito mais em um único cartão, sua empresa mostra na prática que investe em quem faz tudo acontecer.

Continue acompanhando o Acrescenta para mais conteúdos sobre gestão de pessoas, compliance trabalhista e as tendências que estão redesenhando o mundo do trabalho.

Aproveite e siga o iFood Benefícios nas redes sociais:
📸 Instagram: @ifood.beneficios
🎵 TikTok: @ifoodbeneficios
💼 LinkedIn: iFood Benefícios