Introdução: O RH no centro do problema
Pense em quantos dados pessoais passam pelo setor de Recursos Humanos de uma empresa em um único dia. Currículos recebidos pela manhã. Atestados médicos protocolados antes do almoço. Registros de ponto processados ao longo do expediente. Dados bancários atualizados para a folha. Laudos de medicina ocupacional arquivados no sistema. Contratos assinados com informações de dependentes menores de idade.
O RH é, sem exagero, o setor que mais coleta, armazena, compartilha e descarta dados pessoais dentro de qualquer organização. E faz isso antes mesmo de a pessoa se tornar colaboradora, desde o momento em que um candidato envia o currículo, e continua fazendo muito depois do desligamento, quando documentos precisam ser retidos por obrigação legal.
Esse volume e essa abrangência fazem do RH um dos principais pontos de exposição de qualquer empresa à Lei Geral de Proteção de Dados Pessoais. Não por má-fé, mas por uma combinação de processos antigos, sistemas fragmentados e falta de clareza sobre o que a LGPD exige especificamente das relações de trabalho.
O problema é que essa exposição tem consequências concretas. Um colaborador que solicita acesso aos seus dados e não recebe resposta dentro do prazo pode acionar a Autoridade Nacional de Proteção de Dados. Uma empresa que compartilha atestados médicos de forma indevida pode responder por violação de dados sensíveis. Um RH que mantém banco de currículos sem consentimento e sem prazo de descarte está operando em desacordo com a lei e pode ser autuado por isso.
A adequação à LGPD no RH não é um projeto de TI nem uma pauta exclusiva do jurídico. É uma decisão estratégica que começa com processos claros, base legal definida para cada operação de tratamento e um canal estruturado para que colaboradores e candidatos possam exercer seus direitos quando quiserem. Empresas que ainda não fizeram essa estruturação não estão apenas fora da conformidade: estão acumulando passivo jurídico, trabalhista e reputacional a cada dia.
Este artigo explica o que a LGPD exige do setor de Recursos Humanos em cada fase da relação de trabalho, quais são os erros mais comuns, o que a ANPD está fiscalizando e como estruturar a conformidade de forma prática e sustentável.
O ciclo de vida dos dados no RH: três fases, três conjuntos de obrigações
A relação entre uma empresa e os dados de um trabalhador não começa na assinatura do contrato e não termina na rescisão. Ela atravessa três fases distintas, cada uma com suas próprias exigências sob a LGPD. Entender esse ciclo é o ponto de partida para qualquer empresa que queira sair da exposição e entrar em conformidade.
Fase pré-contratual
Tudo começa antes da contratação. Quando um candidato envia o currículo, ele está fornecendo dados pessoais: nome, endereço, telefone, histórico profissional, formação acadêmica e, frequentemente, informações que vão além do necessário para a vaga, como estado civil, número de filhos ou foto.
A LGPD impõe limites claros a essa coleta. A empresa só pode coletar o que for necessário para a finalidade declarada, que no caso é avaliar o candidato para aquela vaga específica. Informações que não têm relação com as competências exigidas para o cargo não devem ser solicitadas. E o candidato precisa ser informado sobre como seus dados serão usados e por quanto tempo serão mantidos.
Essa última parte é onde a maioria das empresas falha. O chamado banco de currículos, aquela pasta ou sistema onde os RHs guardam currículos de candidatos não selecionados para consultas futuras, só é legal se o candidato consentiu expressamente com essa finalidade. Guardar currículos indefinidamente, sem consentimento e sem prazo de descarte, é uma irregularidade sob a LGPD.
O mesmo vale para anotações feitas durante entrevistas. Observações escritas à mão em currículos, registros informais de impressões sobre o candidato ou qualquer dado coletado durante o processo seletivo precisa seguir as mesmas regras: finalidade definida, base legal, prazo de retenção e descarte seguro ao final.
Quando o processo seletivo termina, o candidato não selecionado tem o direito de solicitar a exclusão dos seus dados. Como o RH vai receber essa solicitação, registrá-la e comprovar que cumpriu o prazo legal de resposta? Sem um canal estruturado para isso, essa solicitação vira um e-mail que se perde em uma caixa de entrada. O Canal LGPD resolve esse problema desde o primeiro contato da empresa com o candidato: centraliza os pedidos, gera registro automático e garante que nenhuma solicitação fique sem resposta dentro do prazo legal.
Fase contratual
Durante a vigência do contrato de trabalho, o volume de dados tratados pelo RH aumenta expressivamente. Além dos dados de identificação e cadastrais, passam a ser coletados e processados dados bancários, informações de saúde, registros de ponto, dados biométricos, imagens de câmeras de segurança, resultados de exames periódicos, laudos médicos, informações sobre dependentes para fins de plano de saúde e declaração de imposto de renda, filiação sindical e, em alguns casos, dados de geolocalização para trabalhadores em campo ou em home office.
Cada um desses dados precisa ter uma base legal que justifique o seu tratamento. A LGPD prevê dez bases legais possíveis, e o RH precisa identificar qual delas ampara cada operação. Na prática, as mais relevantes para a relação de trabalho são o cumprimento de obrigação legal, para dados exigidos por lei como os utilizados no eSocial; a execução de contrato, para dados necessários para cumprir o contrato de trabalho; o interesse legítimo, em situações como prevenção de fraudes ou segurança do ambiente de trabalho; e o consentimento, para situações em que nenhuma outra base se aplica.
Um ponto de atenção importante: o consentimento do colaborador dentro da relação de emprego é juridicamente frágil como base legal. Isso porque a relação entre empregado e empregador é hierárquica e pode criar uma situação de desequilíbrio, em que o colaborador sente que precisa consentir para não sofrer consequências. Por isso, o consentimento deve ser usado com cautela no contexto trabalhista e, sempre que houver outra base legal aplicável, ela deve ser preferida.
Durante essa fase, o Canal LGPD exerce um papel central que vai além da conformidade formal. É por meio dele que os colaboradores exercem seus direitos como titulares de dados: solicitam acesso às informações que a empresa tem sobre eles, pedem correção de dados incorretos, questionam por que determinado dado está sendo tratado. Sem esse canal, esses pedidos chegam de forma desestruturada, por WhatsApp, e-mail pessoal do gestor ou conversa informal com o RH, sem registro, sem prazo controlado e sem garantia de resposta adequada. O risco não é apenas de descumprir a lei: é de não conseguir provar que a cumpriu.
Fase pós-contratual
O desligamento do colaborador não encerra as obrigações da empresa em relação aos seus dados. Documentos trabalhistas precisam ser retidos por prazos determinados pela legislação. Dados previdenciários têm prazo próprio de guarda. E o ex-colaborador continua sendo titular de dados pessoais, com todos os direitos que isso implica.
O RH precisa ter uma política clara sobre quais dados são mantidos após o desligamento, por quanto tempo e com qual justificativa legal. Dados que não precisam mais ser retidos devem ser descartados de forma segura: destruição adequada no caso de documentos físicos e exclusão definitiva dos sistemas no caso de dados digitais.
Ex-colaboradores também podem solicitar acesso aos seus dados, pedir correção de informações ou questionar o uso que a empresa faz de suas informações após o desligamento. O Canal LGPD precisa estar acessível também para esse público. Restringi-lo apenas a colaboradores ativos é um erro comum que expõe a empresa a reclamações e eventuais processos administrativos junto à ANPD.
Dados sensíveis no RH: quando o risco é maior e o cuidado precisa acompanhar
A LGPD distingue dados pessoais comuns de dados pessoais sensíveis. Os sensíveis são aqueles que, pela sua natureza, podem gerar discriminação ou causar danos graves aos titulares se expostos ou tratados de forma inadequada. O RH lida com vários deles cotidianamente, muitas vezes sem perceber o nível de responsabilidade que isso implica.
São dados sensíveis sob a LGPD: informações sobre saúde e vida sexual, dados genéticos e biométricos, origem racial ou étnica, convicções religiosas e filosóficas, opiniões políticas e filiação sindical, e dados referentes a crianças e adolescentes.
No contexto do RH, isso significa que laudos médicos, atestados, exames periódicos, impressões digitais coletadas para controle de ponto, informações sobre filiação sindical e dados de filhos menores cadastrados como dependentes são todos dados sensíveis. Seu tratamento exige base legal específica, mais restritiva do que a exigida para dados comuns, e medidas adicionais de segurança.
O problema não é apenas técnico. É de cultura organizacional. Atestados médicos circulam por e-mail sem criptografia. Laudos ficam em pastas acessíveis por vários profissionais do RH sem necessidade real de acesso. Dados biométricos são coletados por sistemas terceirizados sem contrato de operador que defina como serão protegidos. Cada uma dessas situações representa uma exposição concreta da empresa a sanções administrativas e a ações judiciais movidas pelos próprios colaboradores.
Quando um colaborador percebe que seus dados sensíveis foram tratados de forma inadequada, ele precisa ter um caminho formal para registrar sua preocupação e exigir esclarecimentos. Esse caminho é o Canal LGPD. Sem ele, o colaborador vai ao sindicato, ao Ministério do Trabalho ou diretamente à ANPD. Com ele, a empresa tem a oportunidade de receber o pedido, analisar internamente, corrigir o problema e responder de forma documentada, o que pode ser decisivo na dosimetria de uma eventual sanção.
Os maiores erros que o RH comete com dados pessoais
Conhecer os erros mais comuns é o primeiro passo para que a liderança entenda onde a empresa está exposta. Na prática, esses são os problemas que aparecem com mais frequência quando organizações fazem uma auditoria de conformidade do setor de RH.
O primeiro é o banco de currículos sem consentimento e sem prazo de descarte.
Guardar currículos de candidatos não selecionados sem informar sobre isso e sem definir por quanto tempo esses dados serão mantidos é uma das irregularidades mais comuns. Candidatos precisam consentir com o armazenamento dos seus dados para futuras oportunidades, e a empresa precisa ter um processo para descartar essas informações quando o prazo expirar ou quando o candidato solicitar a exclusão. O Canal LGPD é o mecanismo pelo qual essa solicitação chega, é registrada e é processada dentro do prazo legal.
O segundo é o compartilhamento de atestados médicos sem critério.
Encaminhar atestados por e-mail para gestores, incluir informações de saúde em comunicações internas ou manter laudos médicos em pastas acessíveis por várias pessoas do RH são práticas que violam as regras para tratamento de dados sensíveis. O acesso a informações de saúde deve ser estritamente necessário e documentado. Quando um colaborador questiona esse compartilhamento, precisa ter um canal formal para fazer isso, e a empresa precisa ter um fluxo definido para responder.
O terceiro é o monitoramento sem transparência.
Empresas que monitoram e-mails corporativos, registram a localização de colaboradores em campo ou usam softwares de produtividade sem informar os colaboradores sobre essa coleta estão operando sem a transparência exigida pela LGPD. O colaborador tem o direito de saber o que está sendo monitorado e com qual finalidade. Quando esse direito é exercido formalmente, é o Canal LGPD que recebe e organiza o pedido.
O quarto é o uso de planilhas de RH sem controle de acesso.
Dados de colaboradores armazenados em planilhas compartilhadas com acesso irrestrito dentro da empresa são um risco evidente. Informações como salário, dados bancários, histórico de saúde e situação contratual não devem estar disponíveis para qualquer pessoa com acesso à rede interna.
O quinto é a ausência de contratos com fornecedores de sistemas.
Sistemas de folha de pagamento, plataformas de recrutamento, software de ponto eletrônico e planos de saúde são operadores de dados pessoais dos colaboradores. A empresa precisa ter contratos formais com esses fornecedores que definam como os dados serão tratados, protegidos e descartados. Sem esse contrato, a empresa assume sozinha toda a responsabilidade por eventuais incidentes.
O sexto, e talvez o mais crítico do ponto de vista regulatório, é a ausência de canal para exercício de direitos.
Não ter nenhum processo definido para receber e responder pedidos de colaboradores e candidatos que queiram exercer seus direitos como titulares de dados é, ao mesmo tempo, o erro mais comum e o mais fácil de corrigir. Sem um Canal LGPD estruturado, esses pedidos chegam de formas diferentes, são respondidos fora do prazo ou simplesmente não são respondidos. E cada um desses casos é uma potencial infração à LGPD documentada contra a empresa.
O que a ANPD está fiscalizando e por que o RH precisa estar atento agora
A Autoridade Nacional de Proteção de Dados encerrou sua fase predominantemente educativa. A partir de 2024 e com intensidade crescente em 2025 e 2026, a ANPD passou a atuar de forma mais proativa na fiscalização do cumprimento da lei, e os dados mostram que o RH está no centro de suas preocupações.
Em dezembro de 2024, a ANPD iniciou processo de fiscalização envolvendo 20 grandes empresas que não tinham canal de comunicação efetivo com os titulares de dados. A notificação não foi motivada por vazamentos ou incidentes de segurança. Foi motivada pela ausência de um mecanismo funcional para que os titulares, incluindo colaboradores, pudessem exercer seus direitos de acesso, correção e exclusão de dados. Empresas que não regularizaram a situação estão sujeitas a processos administrativos sancionadores, com advertências e multas previstas no artigo 52 da LGPD.
A Deliberação CD-10/2025 introduziu multas diárias por descumprimento de medidas cautelares, reforçando que a ANPD não está mais apenas orientando: está exigindo conformidade e aplicando pressão financeira sobre quem não cumpre.
O Superior Tribunal de Justiça também deu um sinal importante ao mercado em setembro de 2025, ao decidir que a disponibilização indevida de dados pessoais sem consentimento gera dano moral presumido. Ou seja, a empresa responde mesmo sem que o titular precise provar que sofreu um dano específico. Para empregadores que tratam dados de colaboradores em larga escala, esse entendimento representa uma exposição judicial relevante que não pode ser ignorada.
Para o RH, o recado é direto: não ter um Canal LGPD estruturado não é mais uma questão de boa prática postergável. É o tipo de ausência que a ANPD verifica ativamente e que pode resultar em notificação, prazo para correção e, se não corrigida, em sanção administrativa com impacto financeiro e reputacional. A conformidade deixou de ser opcional para quem quer operar com segurança jurídica.
Como estruturar a conformidade do RH com a LGPD: um caminho em etapas
Adequar o RH à LGPD não exige que tudo seja feito de uma vez. Mas exige que seja feito com método e com patrocínio da liderança. A seguir, um caminho estruturado que qualquer empresa pode seguir, independentemente do porte.
A primeira etapa é mapear os dados.
O ponto de partida é saber quais dados pessoais o RH coleta, onde ficam armazenados, quem tem acesso e com quem são compartilhados. Esse mapeamento, chamado de Registro de Operações de Tratamento, precisa cobrir todas as fases: pré-contratual, contratual e pós-contratual. Sem esse mapa, não é possível identificar riscos nem definir prioridades de adequação.
A segunda etapa é identificar a base legal de cada operação.
Para cada tipo de dado coletado e cada operação de tratamento identificada no mapeamento, o RH precisa definir qual base legal da LGPD a justifica. Essa definição precisa ser documentada, pois é o que a ANPD vai solicitar em caso de fiscalização.
A terceira etapa é revisar contratos e documentos internos.
Contratos de trabalho, termos de uso de sistemas internos, políticas de privacidade para colaboradores e acordos com fornecedores precisam ser revisados à luz da LGPD. Isso inclui inserir cláusulas de proteção de dados nos contratos com operadores, atualizar os termos que o RH usa com candidatos durante processos seletivos e criar ou revisar a política interna de proteção de dados para colaboradores.
A quarta etapa é definir prazos de retenção e rotina de descarte.
Cada tipo de dado precisa ter um prazo de retenção definido, baseado em obrigações legais, contratuais ou na finalidade do tratamento. Após esse prazo, os dados precisam ser descartados de forma segura. O RH precisa ter um processo para isso: quem é responsável pelo descarte, com qual frequência ele acontece e como é documentado.
A quinta etapa é treinar a equipe de RH.
A maioria dos incidentes de proteção de dados não resulta de ataques externos. Resulta de erro humano: um e-mail enviado para o destinatário errado, um documento compartilhado sem controle de acesso, um atestado médico deixado em local acessível. Treinar a equipe sobre os princípios básicos da LGPD, os cuidados no tratamento de dados sensíveis e os procedimentos internos é uma das medidas mais eficazes e menos custosas que uma empresa pode adotar.
A sexta etapa é estruturar o Canal LGPD.
Esta é a etapa que fecha o ciclo e que mais impacta diretamente a conformidade com a lei. Colaboradores, candidatos e ex-colaboradores precisam ter um canal acessível, claro e funcional para exercer seus direitos como titulares de dados. Esse canal precisa ter fluxo definido: quem recebe o pedido, quem analisa, quem responde e em quanto tempo. Precisa gerar registro de cada interação. E precisa garantir resposta dentro dos prazos exigidos pela lei. Um e-mail genérico não cumpre essa função. Além de não gerar rastreabilidade adequada, não oferece garantias de que os pedidos serão tratados com o nível de organização que a LGPD exige. O Canal LGPD da BCompliance&Law resolve esse problema de forma integrada: recebe os pedidos, organiza o fluxo de tratamento, controla prazos e gera evidência documentada de conformidade para cada solicitação recebida.
O colaborador como titular de dados: uma mudança de perspectiva que o RH precisa incorporar
Há uma mudança de perspectiva importante que toda liderança de RH precisa fazer: enxergar o colaborador não apenas como alguém cujos dados são tratados, mas como titular de direitos que podem ser exercidos a qualquer momento, de forma legítima e com respaldo legal.
Um colaborador pode, a qualquer momento, solicitar acesso a todos os dados que a empresa tem sobre ele. Pode pedir a correção de informações incorretas. Pode questionar com qual base legal determinado dado está sendo tratado. Pode solicitar a portabilidade de seus dados. Pode pedir a eliminação de dados desnecessários ou tratados em desacordo com a lei. E pode revogar o consentimento dado anteriormente para qualquer operação de tratamento que tenha o consentimento como base legal.
A empresa tem prazo legal para responder a cada um desses pedidos. E o RH, sem um processo definido para recebê-los e tratá-los, vai improvisar, com todos os riscos que isso implica.
Imagine uma empresa com 200 colaboradores. Mesmo que apenas 5% deles façam algum tipo de solicitação relacionada aos seus dados em um ano, isso representa dez pedidos que precisam ser registrados, analisados e respondidos dentro do prazo. Sem um Canal LGPD estruturado, cada um desses pedidos vai chegar por um caminho diferente e sair de uma forma diferente, sem garantia de consistência ou rastreabilidade.
O Canal LGPD resolve exatamente esse problema. Ele centraliza todos os pedidos de titulares em um único ambiente, com fluxo definido, notificações automáticas de prazo e registro completo de cada interação. Para o RH, isso significa menos improviso e mais segurança jurídica. Para o colaborador, significa que seus direitos serão respeitados de forma organizada e transparente. E para a empresa, significa ter evidência documentada de conformidade disponível para qualquer fiscalização.
Canal LGPD: a ferramenta que transforma conformidade em processo gerenciável
Ao longo deste artigo, o Canal LGPD apareceu em diferentes contextos: como forma de receber pedidos de candidatos durante processos seletivos, como canal para colaboradores exercerem seus direitos durante o contrato, como ponto de acesso para ex-colaboradores, como resposta estruturada a questões sobre dados sensíveis e como evidência de conformidade perante a ANPD.
Não é coincidência. O Canal LGPD é, na prática, a interface entre a empresa e os titulares de dados. E sem essa interface funcionando adequadamente, toda a conformidade construída internamente corre o risco de não se sustentar no momento em que for testada, seja por um colaborador que exige seus direitos, seja por uma fiscalização da ANPD.
A BCompliance&Law oferece um Canal LGPD estruturado especificamente para esse tipo de demanda. Ele permite que qualquer titular, seja colaborador ativo, candidato em processo seletivo, ex-colaborador ou dependente, faça sua solicitação de forma simples e segura. Do lado da empresa, cada pedido é registrado, categorizado, encaminhado ao responsável e acompanhado com controle de prazo. O histórico completo fica disponível para consulta e pode ser apresentado como evidência em caso de fiscalização ou litígio.
Para o RH, isso significa sair do improviso e entrar em um fluxo gerenciável. Para o compliance, significa ter documentação de que os direitos dos titulares estão sendo respeitados. Para a empresa como um todo, significa operar com a segurança jurídica que a LGPD exige e que a ANPD está verificando ativamente.
Conclusão: o RH que protege dados fortalece a empresa
A LGPD transformou a forma como as empresas precisam pensar sobre os dados que coletam, e o RH está no centro dessa transformação. Não porque seja o setor mais exposto a ataques externos, mas porque é o setor que mais dados trata, das pessoas mais próximas da empresa, ao longo de um período mais longo e em situações mais sensíveis.
A adequação é possível e estruturável. Começa com mapeamento, passa por definição de bases legais, revisão de processos e treinamento de equipe, e se consolida com a criação de um canal que permita aos titulares exercer seus direitos de forma organizada e rastreável.
O RH que protege dados não está apenas cumprindo a lei. Está construindo uma relação mais transparente e respeitosa com seus colaboradores, reduzindo passivos trabalhistas e jurídicos, e demonstrando para a ANPD que a empresa leva a sério as obrigações que a LGPD impõe.
Empresas que têm processos documentados, Canal LGPD funcional e histórico de atendimento aos titulares partem de uma posição de segurança jurídica que nenhuma adequação emergencial consegue construir com a mesma solidez. A conformidade que protege é aquela construída antes de ser exigida.
Se hoje um colaborador solicitasse acesso a todos os dados que sua empresa tem sobre ele, o seu RH saberia exatamente o que fazer, para quem encaminhar e em quanto tempo responder?
Fale com a BCompliance&Law e descubra como estruturar um Canal LGPD que transforma essa pergunta em uma resposta segura.
