LGPD no RH: 6 práticas que sua empresa pode estar fazendo errado sem perceber

Quando se fala em LGPD, a maioria das empresas pensa em marketing, e-commerce, banco de dados de cliente. Quase ninguém olha para o RH. E é justamente lá que estão os dados mais sensíveis da operação: CPF, RG, atestado médico, salário, comprovante de residência, dados de dependentes, exames ocupacionais.

A ANPD já está autuando. E o RH é, hoje, uma das áreas mais expostas  exatamente porque é a menos preparada.

Por que o RH é uma das áreas mais expostas

Dados pessoais sensíveis, segundo a LGPD, incluem informações sobre saúde, dados biométricos, e dados de menores. O RH lida com tudo isso, todos os dias, em volume.

E faz isso, na maioria das empresas, com ferramentas inadequadas: e-mail, WhatsApp, pasta compartilhada, planilha aberta. Cada uma dessas práticas é, sozinha, uma vulnerabilidade.

Os 6 erros mais comuns

1. Currículos e documentos pessoais salvos em e-mail e WhatsApp Recebeu o RG do candidato no WhatsApp? Esse dado agora está em servidor de terceiro, fora do controle da empresa, sem termo de consentimento.

2. Pastas compartilhadas com acesso "para todo mundo" Pasta no drive com folha de pagamento que qualquer pessoa do RH acessa é violação direta da LGPD. Acesso precisa ser baseado em necessidade, não em conveniência.

3. Atestados médicos guardados sem critério Atestado tem dado de saúde  categoria mais sensível na LGPD. Deveria ter prazo de retenção, controle de acesso e descarte seguro. Quase ninguém faz.

4. Contratos antigos arquivados sem prazo de descarte Manter por dez anos faz sentido para fins trabalhistas. Manter para sempre, em pasta sem critério, é violação. Cada dado precisa ter prazo de descarte.

5. Falta de termo de consentimento no processo seletivo Coletou currículo? Precisa informar para que vai usar, por quanto tempo vai guardar, e o que faz se o candidato pedir exclusão. Sem isso, está em irregularidade.

6. Comunicações de RH expondo dados sensíveis em listas E-mail com aniversariantes do mês com data de nascimento completa, lista de afastados com CID, planilha de bonificação aberta. Tudo isso é exposto.

O que a ANPD já está autuando

Em 2024, a ANPD aplicou suas primeiras multas relevantes  incluindo casos envolvendo tratamento inadequado de dados de funcionários. Os valores chegam a 2% do faturamento, limitados a R$50 milhões por infração.

Não é mais "ameaça futura". É realidade.

Como um sistema de RH com LGPD nativa muda o jogo

Software de RH adequado à LGPD resolve, na origem, três coisas: controle de acesso por perfil (cada usuário só vê o que precisa), criptografia de dados sensíveis (mesmo se vazar, não se lê) e trilha de auditoria (quem acessou o quê, quando).

A WiseRH foi construída com essas camadas como padrão, não como adicional. Em um sistema desse porte, atestado médico só é visto pelo médico do trabalho. Folha só é vista pelo DP. A avaliação só é vista pelo gestor direto. E tudo fica registrado.

Checklist rápido

• Você sabe quem acessou cada documento sensível no último mês?

• Há prazo de descarte definido para cada tipo de dado?

• Existe termo de consentimento ativo no processo seletivo?

• O acesso aos sistemas é por perfil, com permissões granulares?

Se você titubeou em qualquer uma, há trabalho a fazer.

Quer entender como a WiseRH aplica LGPD em todos os módulos do sistema, com controle de acesso por perfil e trilha de auditoria? Agende uma demonstração com nosso especialista.