LGPD no Departamento Pessoal: o que a empresa precisa fazer
A LGPD exige que empresas tratem dados de colaboradores com base legal, transparência e segurança. Veja as obrigações do DP e como adequar processos de RH.
O Departamento Pessoal é um dos setores com maior volume de dados pessoais da empresa: documentos de admissão, dados de saúde do PCMSO, biometria do ponto eletrônico, prontuários médicos, dados bancários, informações de dependentes. A LGPD exige que todo esse tratamento tenha base legal, finalidade definida e medidas de segurança adequadas.
Que dados o DP trata
O DP coleta e processa dados pessoais em todas as etapas da relação de trabalho:
- Recrutamento e seleção: currículo, dados de saúde pré-admissionais, antecedentes criminais (quando exigidos pela função).
- Admissão: documentos pessoais, dados bancários, informações de dependentes, declaração de IR.
- Durante o contrato: controle de jornada (ponto, biometria, geolocalização), dados de saúde (PCMSO, atestados), avaliações de desempenho.
- Desligamento: termos rescisórios, dados para CAGED, retenção de documentos por prazo legal.
As obrigações principais da LGPD no DP
1. Mapeamento do fluxo de dados (RIPD)
O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) documenta quais dados são coletados, com qual finalidade, por quanto tempo são retidos e quem tem acesso. É o ponto de partida para a adequação.
2. Definição de base legal para cada tratamento
| Tratamento | Base legal mais adequada |
|---|---|
| Folha de pagamento e encargos | Cumprimento de obrigação legal |
| eSocial e CAGED | Cumprimento de obrigação legal |
| Atestados médicos e PCMSO | Cumprimento de obrigação legal / tutela da saúde |
| Monitoramento de e-mail corporativo | Execução de contrato / interesse legítimo |
| Câmeras de segurança | Interesse legítimo (com proporcionalidade) |
| Antecedentes criminais | Cumprimento de obrigação legal (quando exigido pela regulação da função) |
3. Transparência para o colaborador
O empregado tem direito de saber:
- Que dados a empresa coleta sobre ele.
- Para que esses dados são usados.
- Com quem são compartilhados (contabilidade, prestadores de saúde, sistemas de folha).
- Por quanto tempo são retidos.
Essa informação é passada pelo Aviso de Privacidade ao Colaborador, documento que deve ser entregue na admissão e atualizado quando os tratamentos mudarem.
4. Segurança dos dados
Dados de DP são alvo frequente de ataques e vazamentos, pois reúnem informações sensíveis e financeiras. A empresa deve:
- Controlar quem tem acesso ao sistema de folha e documentos pessoais.
- Usar senhas fortes e autenticação de dois fatores nos sistemas de DP.
- Criptografar arquivos com dados pessoais em repouso e em trânsito.
- Ter um plano de resposta a incidentes: o que fazer se houver vazamento.
5. Retenção e descarte
Os prazos legais determinam por quanto tempo os dados devem ser guardados — e obrigam o descarte seguro depois:
- Documentos trabalhistas (CTPS, TRCT, holerites): 5 anos após o desligamento (prescrição trabalhista).
- Dados de saúde (PCMSO, laudos): 20 anos (regulamentação NR-7).
- Documentos fiscais: 5 anos (prescrição tributária).
- Dados de candidatos não contratados: não há prazo legal — o ideal é descartar após 6 meses ou informar o prazo no aviso de privacidade.
Biometria e geolocalização: dados sensíveis
Impressão digital, reconhecimento facial e geolocalização são dados pessoais com tratamento mais restrito. Para o controle de ponto biométrico:
- Informar o colaborador na admissão e colher ciência formal.
- Não usar biometria para finalidades além do controle de jornada sem base legal adicional.
- Não vender ou compartilhar dados biométricos com terceiros.
Dados de colaboradores são dos mais sensíveis que uma empresa processa. A adequação à LGPD no DP não é opcional — e um vazamento de dados de folha ou saúde pode gerar multas da ANPD e ações judiciais dos próprios empregados.
Perguntas frequentes
A LGPD se aplica ao tratamento de dados de empregados?
Sim. A Lei Geral de Proteção de Dados (Lei 13.709/2018) se aplica a qualquer tratamento de dados pessoais, inclusive os realizados pelo empregador sobre seus colaboradores e candidatos a emprego.
Qual a base legal para tratar dados de empregados?
Para a maioria dos tratamentos no DP, a base legal é o 'cumprimento de obrigação legal ou regulatória' (art. 7º, II) — folha, eSocial, FGTS, INSS. Para dados sensíveis (saúde, biometria), a base é 'cumprimento de obrigação legal' ou 'tutela da saúde' (art. 11). Consentimento raramente é a base correta na relação de emprego.
Por que consentimento não é a base certa para dados de empregados?
Porque a LGPD exige que o consentimento seja livre — e numa relação de emprego, o trabalhador está em posição de vulnerabilidade em relação ao empregador. A ANPD orienta que o consentimento de empregados geralmente não é válido como base legal justamente por falta de liberdade real.
Câmeras de segurança no trabalho precisam cumprir a LGPD?
Sim. Imagens que identificam pessoas são dados pessoais. O uso de câmeras deve ser comunicado aos colaboradores, com finalidade definida e prazo de retenção das gravações. Câmeras em banheiros ou vestiários são proibidas.
