O departamento de Recursos Humanos é um dos maiores tratadores de dados pessoais dentro de qualquer empresa. Folha de pagamento, dados bancários, informações de saúde para plano médico, biometria de ponto eletrônico, documentos de admissão, histórico disciplinar, avaliações de desempenho — tudo isso são dados pessoais protegidos pela LGPD.
A boa notícia: o RH tem à disposição bases legais sólidas para a maioria dos tratamentos (cumprimento de obrigação legal, execução de contrato de trabalho). A má notícia: as práticas do dia a dia frequentemente extrapolam essas bases sem que o gestor perceba.
Quais dados o RH trata e quais bases legais aplicar
Dados de admissão e contrato de trabalho
Base legal: execução de contrato (Art. 7º, V) + cumprimento de obrigação legal (Art. 7º, II).
Dados: RG, CPF, CTPS, PIS/PASEP, endereço, estado civil, dependentes, escolaridade, conta bancária.
Esses dados são necessários para a relação de emprego e obrigações fiscais (eSocial, RAIS). Não precisam de consentimento — mas o funcionário precisa ser informado do tratamento na Política de Privacidade interna.
Dados de saúde (plano médico, afastamentos, laudos)
Base legal: dados de saúde são sensíveis — exigem base legal reforçada. As principais são tutela da saúde (Art. 11, II, f) e cumprimento de obrigação legal.
Atenção: laudos médicos e prontuários de saúde ocupacional só podem ser acessados pelo médico do trabalho — não pelo gestor de RH. O acesso irrestrito é uma violação.
Biometria de ponto eletrônico
Base legal: dado biométrico é sensível. A base mais adequada é o consentimento (com possibilidade de alternativa ao funcionário que não quiser fornecer biometria) ou cumprimento de obrigação legal, quando a legislação trabalhista exigir.
O armazenamento de biometria exige criptografia e controles de acesso rigorosos.
Dados de recrutamento e seleção
Base legal: legítimo interesse ou consentimento.
Currículos recebidos podem ser mantidos por até 1 ano para oportunidades futuras — mas o candidato precisa saber disso e poder solicitar exclusão. Bases de currículos compradas de terceiros são problemáticas: verificar a origem e a base legal do compartilhamento.
Dados de desempenho e histórico disciplinar
Base legal: execução de contrato + legítimo interesse.
Avaliações de desempenho, advertências e histórico disciplinar são necessários para a gestão da relação de trabalho. Devem ser armazenados com controle de acesso — apenas gestores autorizados e RH.
Prazos de retenção no RH
A legislação trabalhista e fiscal define prazos mínimos de retenção. Após esses prazos, os dados devem ser descartados de forma segura:
- 5 anos: documentos fiscais (holerites, GFIP, DCTF) — prazo de prescrição tributária;
- 5 anos: documentos trabalhistas (CTPS, contrato, rescisão) — prazo de reclamação trabalhista;
- 30 anos: CAT (Comunicação de Acidente de Trabalho) e laudos de saúde ocupacional — FGTS e previdência;
- Até o pedido de exclusão: currículos de candidatos não contratados (respeitar a solicitação do titular).
Os erros mais comuns do RH com a LGPD
- Compartilhar dados de funcionários via WhatsApp: grupo de RH com folha de pagamento, dados de afastamento ou laudos médicos compartilhados em app de mensagem — sem criptografia, sem controle de acesso.
- Solicitar dados desnecessários em processos seletivos: perguntar sobre estado civil, filhos, religião, filiação política — dados que não têm relação com o trabalho e são ou sensíveis ou discriminatórios.
- Não ter DPA com a empresa de folha de pagamento: o bureau de folha processa dados sensíveis dos funcionários. O contrato precisa de cláusula LGPD.
- Acesso irrestrito a laudos médicos: gestores e colegas não podem ter acesso a informações de saúde — apenas o médico do trabalho e, eventualmente, o RH com justificativa documentada.
- Manter dados de ex-funcionários indefinidamente: após o prazo legal, dados de ex-colaboradores devem ser eliminados ou anonimizados.
Como estruturar o RIPD do RH
O inventário de dados do RH deve mapear pelo menos:
- Recrutamento e seleção;
- Admissão e contrato de trabalho;
- Folha de pagamento e benefícios;
- Saúde ocupacional e afastamentos;
- Ponto e biometria;
- Desempenho e carreira;
- Desligamento e rescisão;
- Ex-funcionários e guarda de documentos.
Para cada processo, documente: quais dados, base legal, quem acessa, com quem compartilha (contabilidade, eSocial, operadora de plano de saúde) e por quanto tempo retém.
Direitos dos funcionários como titulares
O funcionário é titular dos seus dados pessoais — mesmo dentro da relação de emprego. Ele pode solicitar:
- Confirmação de que a empresa trata seus dados;
- Acesso ao que foi registrado (avaliações, histórico, dados cadastrais);
- Correção de dados incorretos;
- Informação sobre com quem os dados são compartilhados.
O prazo de resposta é o mesmo: 15 dias. O canal de atendimento — portal de titulares ou e-mail do DPO — deve ser divulgado na Política de Privacidade interna e no contrato de trabalho.
Conclusão
O RH não precisa ter medo da LGPD — a maioria dos tratamentos tem base legal sólida. O que precisa é de organização: inventário documentado, controles de acesso, contratos com fornecedores e canal para atendimento aos funcionários como titulares. Comece pelo mapeamento das atividades de tratamento e a adequação acontece naturalmente.