LGPD no RH: Tratamento de Dados de Empregados e Candidatos

---

title: "LGPD no RH: Tratamento de Dados de Empregados e Candidatos" description: "LGPD no RH: Tratamento de Dados de Empregados e Candidatos: guia completo e atualizado para advogados em 2026 com legislação, jurisprudência e aplicação prática." date: "2026-03-02" category: "Direito Digital" tags: ["direito digital", "tecnologia", "LGPD RH", "empregados", "dados"] author: "BeansTech" readingTime: "16 min" published: true featured: false

A Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) revolucionou a forma como as empresas brasileiras lidam com informações pessoais, impactando profundamente o departamento de Recursos Humanos (RH). Este artigo analisa as nuances do tratamento de dados de empregados e candidatos à luz da legislação, destacando os desafios e as melhores práticas para garantir a conformidade e mitigar riscos jurídicos em um setor que, por sua natureza, lida com um volume massivo de dados sensíveis e pessoais.

O Impacto da LGPD no Setor de Recursos Humanos

O setor de RH é, indiscutivelmente, um dos mais afetados pela LGPD. Desde a fase pré-contratual (recrutamento e seleção) até a fase pós-contratual (desligamento e guarda de documentos), o RH coleta, armazena, processa e compartilha uma infinidade de dados pessoais. A lei impõe um novo paradigma, exigindo que as empresas adotem medidas técnicas e organizacionais para proteger esses dados, garantindo a privacidade e a segurança dos titulares.

Dados Pessoais vs. Dados Pessoais Sensíveis

A LGPD estabelece uma distinção crucial entre dados pessoais e dados pessoais sensíveis, com implicações diretas no tratamento realizado pelo RH:

• Dados Pessoais: Qualquer informação relacionada a uma pessoa natural identificada ou identificável (Art. 5º, I). Exemplos comuns no RH: nome, CPF, RG, endereço, e-mail, telefone, histórico profissional, escolaridade.
• Dados Pessoais Sensíveis: Dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (Art. 5º, II). Exemplos no RH: atestados médicos, laudos de exames ocupacionais, informações sobre deficiência (PCD), filiação sindical, biometria para controle de ponto.

O tratamento de dados sensíveis exige maior rigor, sendo permitido apenas em hipóteses específicas, como consentimento do titular ou para cumprimento de obrigação legal ou regulatória pelo controlador (Art. 11).

O Ciclo de Vida dos Dados no RH

Para garantir a conformidade, é essencial mapear e gerenciar os dados em todas as etapas do vínculo empregatício.

1. Fase Pré-Contratual (Recrutamento e Seleção)

Nesta fase, a coleta de dados deve observar o princípio da necessidade (Art. 6º, III), limitando-se ao mínimo indispensável para avaliar a qualificação do candidato.

• Currículos: A coleta deve ser feita por meios seguros, informando o candidato sobre a finalidade do tratamento e o período de retenção.
• Entrevistas e Testes: O RH deve evitar perguntas discriminatórias ou que solicitem dados sensíveis desnecessários (ex: estado civil, religião, orientação sexual).
• Antecedentes Criminais: A solicitação de certidão de antecedentes criminais só é permitida em casos excepcionais, justificados pela natureza da função (ex: vigilantes, cuidadores de crianças). O Tribunal Superior do Trabalho (TST) pacificou o entendimento de que a exigência injustificada configura dano moral (IRR-243000-58.2013.5.13.0023).

2. Fase Contratual (Vigência do Contrato de Trabalho)

Durante a vigência do contrato, o RH coleta uma vasta gama de dados para o cumprimento de obrigações legais (eSocial, folha de pagamento, benefícios, etc.).

• Bases Legais: O tratamento de dados nesta fase geralmente se fundamenta no cumprimento de obrigação legal ou regulatória (Art. 7º, II) e na execução de contrato (Art. 7º, V).
• Consentimento: O consentimento (Art. 7º, I) deve ser utilizado com cautela nas relações de trabalho, pois a subordinação jurídica pode comprometer a livre manifestação de vontade do empregado. Deve ser reservado para situações em que não há outra base legal aplicável (ex: uso de imagem em campanhas de marketing interno).
• Benefícios: O compartilhamento de dados com fornecedores de benefícios (plano de saúde, vale-refeição) exige contratos claros que estabeleçam as responsabilidades de cada parte no tratamento dos dados.

3. Fase Pós-Contratual (Desligamento)

Após o término do contrato, a empresa não pode simplesmente descartar todos os dados do ex-empregado.

• Retenção: A LGPD permite a guarda de dados para o cumprimento de obrigação legal ou regulatória (ex: prazos prescricionais trabalhistas e previdenciários) e para o exercício regular de direitos em processo judicial, administrativo ou arbitral (Art. 16).
• Descarte: Os dados que não são mais necessários para as finalidades legais devem ser eliminados de forma segura.

Direitos dos Titulares (Empregados e Candidatos)

A LGPD garante aos titulares de dados (empregados e candidatos) uma série de direitos que devem ser respeitados pelo RH (Art. 18):

• Confirmação da existência de tratamento e acesso aos dados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.
• Portabilidade dos dados a outro fornecedor de serviço ou produto.
• Eliminação dos dados pessoais tratados com o consentimento do titular.
• Informação sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
• Revogação do consentimento.

O RH deve estabelecer canais de comunicação eficientes para atender às solicitações dos titulares de forma tempestiva e adequada.

Desafios e Melhores Práticas para o RH

Implementar a LGPD no RH exige um esforço contínuo e multidisciplinar.

Mapeamento de Dados (Data Mapping)

O primeiro passo é identificar todos os processos do RH que envolvem o tratamento de dados pessoais, documentando:

• Quais dados são coletados?
• Qual a finalidade da coleta?
• Qual a base legal que justifica o tratamento?
• Onde os dados são armazenados?
• Com quem são compartilhados?
• Qual o período de retenção?

Política de Privacidade e Avisos de Privacidade

A empresa deve elaborar uma Política de Privacidade clara e acessível, informando aos empregados e candidatos como seus dados são tratados. Além disso, é recomendável utilizar Avisos de Privacidade em momentos específicos, como no formulário de candidatura ou no momento da contratação.

Treinamento e Conscientização

A capacitação da equipe de RH é fundamental. Os profissionais devem compreender os princípios da LGPD, os riscos envolvidos no tratamento inadequado de dados e as medidas de segurança que devem ser adotadas.

Segurança da Informação

O RH deve trabalhar em conjunto com a área de TI para implementar medidas técnicas e organizacionais de segurança, como:

• Controle de acesso aos sistemas e arquivos físicos.
• Criptografia de dados sensíveis.
• Políticas de senhas fortes.
• Backup regular dos dados.

Gestão de Terceiros

Os contratos com fornecedores (operadores de dados) devem incluir cláusulas específicas sobre proteção de dados, garantindo que eles também cumpram as exigências da LGPD.

O Papel do Encarregado pelo Tratamento de Dados Pessoais (DPO)

A LGPD exige a nomeação de um Encarregado (DPO - Data Protection Officer) na maioria das empresas. O DPO é o ponto de contato entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). No contexto do RH, o DPO atua como um consultor interno, auxiliando na implementação das políticas de privacidade, no atendimento às solicitações dos titulares e na gestão de incidentes de segurança.