RGPD em RH: Tratamento de Dados dos Colaboradores

A gestão de recursos humanos gera, diariamente, um volume considerável de dados pessoais: contratos de trabalho, recibos de salário, dados de saúde, avaliações de desempenho, coordenadas bancárias… Desde a entrada em vigor do Regulamento Geral sobre Proteção de Dados (RGPD) em maio de 2018, as direções de RH tornaram-se atores centrais da conformidade dentro das organizações. Porém, segundo o relatório de atividades 2024 da CNIL, o setor de recursos humanos permanece um dos três domínios mais frequentemente questionados durante inspeções. Este artigo o guia através das obrigações principais, boas práticas e ferramentas disponíveis para tratar os dados de seus colaboradores em total conformidade.

Que dados pessoais o RH trata?

As categorias de dados comuns

Os serviços de RH manipulam um espectro muito amplo de dados pessoais. Distinguem-se duas grandes famílias:

Os dados ordinários, coletados no âmbito do contrato de trabalho: nome, sobrenome, endereço, número de segurança social, RIB, CV, diplomas, histórico profissional, avaliações anuais, horários de trabalho, dados de presença e ausência.

Os dados sensíveis, sujeitos a restrições reforçadas no sentido do artigo 9 do RGPD: dados de saúde (licenças médicas, declarações de acidentes de trabalho, restrições médicas), dados sindicais (filiação a um sindicato, mandatos representativos), dados relativos a condenações penais em certos contextos de recrutamento.

Os últimos só podem ser tratados sob reserva de uma exceção explícita prevista pelo regulamento — como a execução das obrigações legais em matéria de direito do trabalho, ou o consentimento explícito da pessoa interessada.

O caso particular do recrutamento

A fase de recrutamento gera tratamentos específicos, frequentemente mal regulamentados. A coleta de CVs, cartas de motivação e resultados de testes implica durações de retenção precisas: de acordo com as recomendações da CNIL, os dados de candidatos não selecionados devem ser suprimidos ou anonimizados no prazo máximo de dois anos após o último contato. Conservar CVs indefinidamente em um diretório compartilhado não seguro constitui uma violação caracterizada.

O uso de ferramentas de rastreamento em ATS (Applicant Tracking Systems) ou de algoritmos de análise comportamental deve ser objeto de uma menção explícita na política de privacidade transmitida aos candidatos, em conformidade com os artigos 13 e 14 do RGPD.

As bases legais do tratamento em contexto RH

Identificar a base legal adequada

O RGPD impõe que todo tratamento de dados pessoais se baseie em uma das seis bases legais definidas no artigo 6. Em contexto RH, três bases são principalmente mobilizadas:

• A execução do contrato de trabalho (art. 6.1.b): justifica o tratamento dos dados necessários para a gestão da folha de pagamento, férias ou treinamento.

• A obrigação legal (art. 6.1.c): aplica-se às declarações sociais obrigatórias (DSN), registros de pessoal ou acompanhamento de acidentes de trabalho.

• O interesse legítimo (art. 6.1.f): pode ser invocado para tratamentos como gestão de crachás de acesso ou videovigilância, sob reserva de um teste de balanceamento rigoroso.

O consentimento (art. 6.1.a) é, por outro lado, uma base legal frágil em contexto de trabalho: a CNIL e o Comitê Europeu de Proteção de Dados (CEPD) recordam que o desequilíbrio estrutural entre empregador e empregado torna difícil a prova de um consentimento livre. Deve ser utilizado apenas como último recurso.

O registro de tratamentos, uma obrigação incontornável

Toda organização empregando pelo menos 250 pessoas — ou tratando dados sensíveis em menor escala — deve manter um registro das atividades de tratamento (art. 30 do RGPD). Em RH, este registro deve documentar, para cada tratamento: a finalidade, as categorias de dados, os destinatários, as durações de retenção e as medidas de segurança implementadas.

Este documento, mantido à disposição da CNIL em caso de inspeção, é também uma ferramenta de gerenciamento valiosa. Combinado com uma solução de assinatura eletrônica dedicada a RH, permite rastrear e registrar o horário de cada etapa do ciclo de vida de um documento RH, reforçando assim a auditabilidade dos processos.

Direitos dos colaboradores e obrigações do empregador

Informar os salariados: uma obrigação imediata

O artigo 13 do RGPD impõe informar as pessoas interessadas no momento da coleta de seus dados. Na prática, o RH deve fornecer aos salariados — idealmente no momento da assinatura do contrato de trabalho — um aviso de informação RGPD detalhando: a identidade do responsável pelo tratamento, as finalidades e bases legais, a duração da retenção, os direitos disponíveis e os contatos do DPO (Delegado de Proteção de Dados) se a empresa tiver um.

Digitalizar e securizar esta troca é essencial. O recurso à assinatura eletrônica na empresa para a entrega deste aviso garante uma prova de entrega com registro de hora e incontestável, alinhada com os requisitos do regulamento eIDAS.

Os direitos dos salariados a respeitar imperativamente

Os colaboradores dispõem de direitos estendidos sobre seus dados:

• Direito de acesso (art. 15): todo salariado pode solicitar uma cópia de todos os dados o concernindo tratados pelo empregador.

• Direito de retificação (art. 16): correção de um dado impreciso (ex.: endereço postal, RIB).

• Direito ao apagamento (art. 17): aplicável em certos casos, nomeadamente após o término do contrato e o decurso dos prazos legais de retenção.

• Direito de oposição (art. 21): o salariado pode se opor a um tratamento baseado no interesse legítimo.

• Direito de limitação (art. 18): congelamento temporário de um tratamento contestado.

O empregador dispõe de um prazo de um mês para responder a qualquer solicitação de exercício de direitos, prorrogável a três meses em caso de complexidade (art. 12 do RGPD).

Segurança de dados RH e gestão de subcontratados

Medidas técnicas e organizacionais

O artigo 32 do RGPD impõe a implementação de medidas de segurança "apropriadas ao risco". Para dados RH, as boas práticas incluem:

• Encriptação de ficheiros contendo dados sensíveis (recibos de salário, dossiers médicos).

• Controle de acessos: princípio do menor privilégio — um gestor de folha de pagamento não tem acesso a dados disciplinares.

• Registro dos acessos aos sistemas RH (SIRH, ferramentas de folha de pagamento).

• Plano de resposta a violações: em caso de vazamento de dados, o empregador dispõe de 72 horas para notificar a CNIL (art. 33), e potencialmente as pessoas interessadas se o risco for elevado (art. 34).

Uma auditoria completa via o guia de assinatura eletrônica pode ajudar as equipes de RH a identificar tratamentos não securizados persistindo em suporte de papel e digitalizá-los de forma conforme.

Enquadrar os prestadores RH por DPAs

Os serviços de RH recorrem a numerosos subcontratados: softwares de folha de pagamento, plataformas de treinamento, ferramentas de gestão de horários. Cada prestador acessando dados pessoais deve ser objeto de um acordo de tratamento de dados (Data Processing Agreement — DPA), em conformidade com o artigo 28 do RGPD. Este contrato deve especificar as instruções de tratamento, garantias de segurança, modalidades de devolução ou destruição de dados, e obrigações em caso de violação.

Selecionar prestadores hospedando suas infraestruturas na União Europeia, ou enquadrados por cláusulas contratuais tipo (CCT) aprovadas pela Comissão, permanece uma exigência fundamental para evitar qualquer transferência ilícita fora da UE.

Durações de retenção: um desafio estruturante

As durações legais aplicáveis ao dossier do salariado

A duração de retenção de dados RH é enquadrada por um conjunto de textos: o RGPD (princípio de limitação da retenção, art. 5.1.e), o Código do Trabalho, e várias disposições fiscais e sociais. Na prática, os principais prazos a respeitar são:

| Tipo de documento | Duração mínima de retenção | |---|---| | Recibo de salário | 5 anos (prescrição social) | | Contrato de trabalho | 5 anos após o término do contrato | | Dados de folha de pagamento (DSN) | 3 anos (controle URSSAF) | | Registro de pessoal | 5 anos após saída do salariado | | Dados disciplinares | Duração proporcional à medida | | Dossier médico (medicina do trabalho) | 50 anos (regulamentação específica) |

Implementação de uma política de arquivamento e purga automatizada no SIRH, acoplada a fluxos de assinatura eletrônica que registram a criação dos documentos, constitui hoje a melhor prática para demonstrar conformidade à CNIL.

As armadilhas a evitar

Os erros mais frequentes observados durante inspeções CNIL em matéria de dados RH são: conservação indefinida de CVs de candidatos não selecionados, manutenção de acessos informatizados de antigos salariados, ausência de encriptação de ficheiros de folha de pagamento exportados, e não supressão de dados de badgeagem além dos prazos regulamentares. Para securizar estes pontos, consultar o comparativo de soluções de assinatura eletrônica permite identificar ferramentas integrando nativamente funções de arquivamento probatório e gestão do ciclo de vida dos documentos.

Marco legal aplicável ao tratamento de dados RH

O tratamento de dados pessoais dos colaboradores se inscreve em um marco normativo denso, articulando vários níveis de regulamentação.

O Regulamento (UE) 2016/679 — RGPD constitui a pedra angular. Seus artigos 5 a 11 definem os princípios fundamentais (legalidade, lealdade, transparência, limitação de finalidades, minimização de dados, exatidão, limitação da retenção, integridade e confidencialidade). O artigo 9 estabelece as condições rigorosas aplicáveis às categorias especiais de dados, incluindo dados de saúde e sindicais, particularmente frequentes em RH. O artigo 83 prevê multas podendo atingir 20 milhões de euros ou 4% do faturamento mundial em caso de violação grave.

A Lei Informática e Liberdades modificada (lei n° 78-17 de 6 de janeiro de 1978), em sua versão consolidada, adapta o RGPD ao direito francês. Ela confere à CNIL seus poderes de inspeção e sanção, e prevê nomeadamente derrogações setoriais para dados de saúde em medicina do trabalho.

O Código do Trabalho enquadra tratamentos relacionados à vigilância de salariados (art. L. 1121-1 sobre o respeito da vida privada), à consulta dos representantes do pessoal sobre ferramentas numéricas (art. L. 2312-38), e aos registros obrigatórios.

O Regulamento eIDAS (n° 910/2014), complementado por eIDAS 2.0 (Regulamento UE 2024/1183), regula o valor jurídico das assinaturas eletrônicas apostas em documentos RH. Uma assinatura eletrônica qualificada (SEQ), conforme ao anexo I de eIDAS e às normas ETSI EN 319 132 e ETSI EN 319 122, oferece a presunção de equivalência à assinatura manuscrita no sentido do artigo 1367 do Código Civil francês.

O artigo 1366 do Código Civil estabelece que "o escrito eletrônico tem a mesma força probatória que o escrito em suporte de papel, sob reserva de que possa ser devidamente identificada a pessoa de cuja emissão se trata e de que seja estabelecido e conservado em condições capazes de garantir sua integridade". Esta disposição é diretamente aplicável a contratos de trabalho, aditivos, acordos de confidencialidade e outros documentos RH desmaterializados.

A diretiva NIS2 (UE 2022/2555), transposta ao direito francês pela lei de 26 de fevereiro de 2025, impõe às entidades essenciais e importantes (nomeadamente grandes empresas industriais e operadores de serviços numéricos) requisitos reforçados em matéria de gestão de riscos relacionados à segurança da informação, incluindo a proteção de dados RH sensíveis.

As sanções pronunciadas pela CNIL estão em forte aumento: em 2024, o montante total das multas ultrapassa 100 milhões de euros, com várias decisões envolvendo diretamente não conformidades na gestão de dados de salariados. O não respeito das durações de retenção, a ausência de DPA com subcontratados RH, e a insuficiência das medidas de segurança figuram entre as críticas mais frequentemente retidas.

Cenários de uso: a conformidade RGPD em RH na prática

Cenário 1 — Uma PME industrial de 450 salariados digitaliza seus processos de onboarding

Uma empresa industrial de tamanho médio, distribuída em três locais na França, gerenciava seus contratos de trabalho e aditivos em suporte de papel. Os dossiers dos novos entrados não eram transmitidos ao serviço de folha de pagamento senão após um prazo médio de 12 dias úteis, gerando erros de folha de pagamento em aproximadamente 8% dos casos. Além disso, nenhum aviso RGPD era entregue de forma formal aos novos entrados: a informação figurava apenas no rodapé do regulamento interno, não assinado separadamente.

Após a implantação de uma solução de assinatura eletrônica integrada ao seu SIRH, com entrega simultânea de um aviso RGPD co-assinado pelo salariado e pelo DRH, a empresa reduziu o prazo de onboarding documental para 2 dias úteis (redução de 83%). Os erros de folha de pagamento relacionados a dados faltantes caíram para menos de 1%. Cada documento assinado é arquivado com registro de hora qualificado, fornecendo uma prova oponível em caso de inspeção CNIL ou contencioso trabalhista.

Cenário 2 — Um grupo de distribuição de 1.200 colaboradores coloca em conformidade sua política de retenção

Um grupo operando na distribuição especializada sofreu uma inspeção CNIL na sequência de uma reclamação de um antigo salariado. A inspeção revelou que ficheiros Excel contendo dados de folha de pagamento de salariados partidos há mais de 8 anos ainda eram acessíveis em um servidor compartilhado não seguro, sem encriptação. Um aviso formal foi pronunciado, acompanhado de uma injunção de conformidade em 3 meses.

O grupo então realizou uma auditoria completa de seus tratamentos RH, mapeou suas 23 atividades de tratamento, e implementou um plano de purga automatizada disparado pelo SIRH. Os documentos assinados eletronicamente foram migrados para um cofre digital com durações de retenção configuradas segundo as obrigações legais. O DPO produziu um registro completo de tratamentos RH, apresentado durante uma segunda inspeção CNIL 18 meses depois, que se concluiu sem consequências. O custo da conformidade foi estimado em menos de 60% do montante de uma multa potencial.

Cenário 3 — Um escritório de consultoria RH de 35 pessoas securiza os dados de seus próprios consultores e de seus clientes

Um escritório especializado em recursos humanos gerencia tanto os dados de seus próprios consultores quanto aqueles de candidatos e salariados de suas empresas clientes (no contexto de missões de assessment ou recolocação). Assim se encontra em uma dupla postura: responsável pelo tratamento de seus próprios RH, e subcontratado (ou até corresponsável) para dados de terceiros.

O escritório implementou uma arquitetura documental diferenciada: assinaturas eletrônicas simples para trocas internas rotineiras, assinaturas avançadas para contratos de missão com clientes, e acordos de tratamento de dados (DPA) sistematicamente integrados às cartas de missão. Os consultores todos receberam uma carta RGPD atualizada, assinada eletronicamente e conservada em um registro dedicado. Esta organização permitiu ao escritório exibir sua conformidade como argumento comercial junto a grandes contas submetidas a auditorias de fornecedores rigorosas, reduzindo o prazo médio de contratualização de 7 a 2 semanas.

Conclusão

O RGPD impõe às direções de recursos humanos uma transformação profunda de suas práticas: identificação rigorosa das bases legais, informação efetiva dos colaboradores, gestão dos direitos, enquadramento contratual de subcontratados, securização de dados e respeito às durações de retenção. Estas obrigações não são meras formalidades administrativas — elas condicionam a capacidade da empresa em evitar sanções podendo atingir vários milhões de euros e em manter a confiança de suas equipes.

A digitalização dos processos RH, via soluções de assinatura eletrônica conformes eIDAS, constitui um dos alavancas mais eficazes para conciliar eficiência operacional e conformidade regulamentaria. Certyneo acompanha as equipes RH nesta transição, desde a assinatura do contrato de emprego até o arquivamento seguro dos dossiers de salariados.

Descubra como Certyneo pode securizar seus processos RH consultando nossa oferta dedicada às equipes RH ou começando gratuitamente para testar a solução sem compromisso.