RGPD em RH: Tratamento de Dados dos Colaboradores

O Regulamento Geral sobre a Proteção de Dados (RGPD) não se aplica apenas às relações comerciais entre uma empresa e seus clientes: ele também orienta, de forma muito precisa, o tratamento de dados pessoais dos colaboradores. Recrutamento, gestão de folha de pagamento, controle de acessos, avaliação de desempenho, videomonitoramento... cada etapa do ciclo de vida do contrato de trabalho gera dados pessoais que o empregador deve tratar em estrito cumprimento da lei europeia. Com multas podendo chegar a 20 milhões de euros ou 4% do faturamento anual mundial, o desafio é considerável. Este artigo detalha as bases legais aplicáveis, as obrigações práticas dos departamentos de RH e as melhores práticas para proteger seus tratamentos — incluindo durante a desmaterialização de documentos de RH.

Os fundamentos jurídicos do tratamento de dados de RH

As bases legais admitidas no direito do trabalho

O RGPD lista seis bases legais que permitem tratar dados pessoais (artigo 6). Em contexto de RH, três delas são usadas quase sistematicamente:

• A execução do contrato de trabalho (art. 6.1.b): constitui a base principal para a gestão de folha de pagamento, monitoramento do tempo de trabalho, entrega de contracheques ou ainda gestão de férias.

• A obrigação legal (art. 6.1.c): justifica os tratamentos impostos pelo Código do Trabalho ou pela legislação social, como a declaração prévia à admissão (DPAE), a declaração social nominativa (DSN) ou a manutenção do registro único de pessoal.

• O interesse legítimo (art. 6.1.f): pode fundamentar certos tratamentos de segurança de TI ou prevenção de fraude interna, desde que esse interesse não seja suplantado pelos direitos fundamentais dos colaboradores.

⚠️ A base do consentimento deve ser utilizada com extrema cautela em contexto salarial. A CNIL lembra regularmente que o desequilíbrio inerente à relação empregador-empregado torna o consentimento raramente "livre" no sentido do artigo 7 do RGPD. Recorrer ao consentimento para tratamentos que poderiam se basear em outra base legal expõe o empregador ao risco de requalificação.

As categorias especiais de dados: um regime reforçado

Alguns dados coletados pela RH se enquadram no regime de "dados sensíveis" referido no artigo 9 do RGPD, cujo tratamento é em princípio proibido exceto por exceções:

• Dados de saúde: atestados de doença, inaptidões pronunciadas pela medicina do trabalho, adaptações de função para deficiência.

• Dados sindicais: filiação a sindicato, mandatos representativos.

• Dados biométricos: controle de acesso por impressão digital ou reconhecimento facial.

• Dados relativos a infrações: verificação de antecedentes criminais, autorizada apenas em setores regulados (segurança, infância, etc.).

Para essas categorias, o empregador deve identificar uma exceção explícita (art. 9.2), realizar uma avaliação de impacto sobre a proteção de dados (AIPD) na maioria dos casos e frequentemente consultar a CNIL antes da implementação.

As obrigações práticas dos departamentos de RH

O registro de atividades de tratamento

Qualquer organização empregando mais de 250 colaboradores é obrigada a manter um registro de atividades de tratamento (art. 30 do RGPD). Abaixo desse limite, a obrigação persiste se os tratamentos não forem ocasionais ou abrangem dados sensíveis — o que é quase sempre o caso em RH. Este registro deve documentar:

• A finalidade de cada tratamento (ex.: "gestão de contracheques de folha de pagamento")

• As categorias de dados envolvidas

• Os destinatários (terceiros, prestadores, autoridades)

• Os prazos de conservação

• As medidas de segurança implementadas

A CNIL disponibiliza um modelo de registro para download gratuito. Sua manutenção rigorosa constitui a primeira linha de defesa em caso de inspeção.

Os prazos de conservação: um ponto frequentemente negligenciado

O artigo 5.1.e do RGPD impõe o princípio de limitação da conservação: os dados não devem ser conservados além do tempo necessário para a finalidade para a qual foram coletados. Em RH, os prazos legais de referência são os seguintes:

| Tipo de dado | Prazo de conservação recomendado | |---|---| | Contracheque de folha de pagamento | 5 anos (prescrição civil) | | Contrato de trabalho | 5 anos após a rescisão do contrato | | Dados de recrutamento (candidato não selecionado) | 2 anos no máximo após o último contato | | Dossiê disciplinar | Prazo variável conforme a punição (máx. 3 anos para uma advertência) | | Dados de videomonitoramento | 1 mês em geral | | DSN e registro de pessoal | 5 anos após a saída do colaborador |

Esses prazos devem ser registrados no registro de atividades e aplicados por meio de procedimentos de exclusão ou arquivamento definitivo.

A informação dos colaboradores: uma obrigação frequentemente subestimada

O artigo 13 do RGPD impõe fornecer um aviso de informação completo às pessoas interessadas no momento da coleta de seus dados. Em RH, este aviso deve idealmente ser entregue:

• Desde a candidatura: para os dados coletados durante o processo de recrutamento.

• Na admissão: integrado ao contrato de trabalho ou entregue em anexo na assinatura.

• Durante a relação contratual: a cada novo tratamento implementado (ex.: implantação de uma ferramenta de controle de ponto biométrico).

A desmaterialização do processo de integração, em particular por meio da assinatura eletrônica para RH, facilita a rastreabilidade dessa entrega de informações: a data de leitura e assinatura do aviso é registrada de forma comprobatória, o que constitui um elemento de prova precioso em caso de litígio.

A segurança dos dados de RH: medidas técnicas e organizacionais

Criptografia, controle de acessos e segregação

O artigo 32 do RGPD exige a implementação de medidas de segurança adequadas ao risco. Para dados de RH, que são por natureza sensíveis e alvos de intrusões, as melhores práticas mínimas incluem:

• Criptografia de dados em repouso e em trânsito: os arquivos de folha de pagamento, contratos e dossiês pessoais devem ser armazenados criptografados (AES-256 no mínimo) e transmitidos via protocolos seguros (TLS 1.3).

• Gestão de direitos de acesso baseada em funções (RBAC): apenas gestores de RH autorizados acessam dados de folha de pagamento; o gerente de equipe acessa apenas os dados necessários para a gestão.

• Rastreamento de acessos: qualquer consulta ou modificação de um dossiê de colaborador deve ser registrada com o identificador do usuário, data e hora.

• Pseudonimização para tratamentos analíticos (painéis de RH, estudos de remuneração).

A gestão de prestadores de RH

Os departamentos de RH fazem uso de vários prestadores: editores de SIRH, prestadores de folha de pagamento externalizada, plataformas de treinamento, ferramentas de recrutamento online. Cada um desses terceiros deve estar sujeito a um contrato de prestação de serviço conforme ao artigo 28 do RGPD, especificando em particular:

• A natureza e a finalidade dos tratamentos subcontratados

• As obrigações do prestador em matéria de segurança e confidencialidade

• A proibição de subcontratar sem autorização prévia

• As modalidades de devolução ou destruição de dados ao término do contrato

Ao escolher um prestador, também é apropriado verificar se seus servidores estão localizados no Espaço Econômico Europeu (EEE) ou se um mecanismo de transferência adequado (cláusulas contratuais-tipo, decisão de adequação) está em vigor para transferências fora do EEE.

A desmaterialização de documentos de RH e conformidade com o RGPD

A crescente digitalização dos processos de RH — contatos de trabalho eletrônicos, contracheques desmaterializados, aditivos assinados remotamente — levanta questões específicas de RGPD. Embora a assinatura eletrônica compatível com eIDAS ofereça garantias inegáveis de integridade e autenticidade, o empregador deve garantir que a plataforma utilizada:

• Não coleta dados desnecessários durante o processo de assinatura (princípio de minimização, art. 5.1.c)

• Preserva as provas de assinatura (trilha de auditoria) em condições seguras e por um período apropriado

• Permite o exercício dos direitos dos signatários (acesso, retificação, exclusão dentro dos limites legais)

Para ir além sobre a conformidade de ferramentas de assinatura, o guia completo de assinatura eletrônica da Certyneo detalha os critérios técnicos e jurídicos a verificar antes de qualquer implementação.

Os direitos dos colaboradores e seu exercício efetivo

Panorama dos direitos garantidos pelo RGPD

Os colaboradores gozam de todos os direitos previstos nos artigos 15 a 22 do RGPD. Em contexto de RH, os direitos mais frequentemente exercidos são:

• Direito de acesso (art. 15): o colaborador pode solicitar uma cópia de todos os dados sobre ele mantidos pelo empregador, incluindo trocas de e-mails profissionais em certas condições.

• Direito de retificação (art. 16): correção de dados inexatos (erro no número de conta, diploma mal registrado, etc.).

• Direito ao esquecimento (art. 17): limitado em RH pelas obrigações legais de conservação, mas aplicável aos dados de recrutamento de um candidato não selecionado.

• Direito de oposição (art. 21): pode ser exercido contra um tratamento fundamentado no interesse legítimo, como certos tratamentos de monitoramento.

• Direito de portabilidade (art. 20): aplicável aos dados fornecidos pelo próprio colaborador no contexto da execução do contrato.

O prazo de resposta e os procedimentos internos

O empregador dispõe de um mês para responder a qualquer solicitação de exercício de direitos, prazo extensível a três meses em caso de complexidade ou alto volume de solicitações (art. 12.3). Para organizar este tratamento de forma eficiente, recomenda-se:

• Designar um ponto de contato único (DPO ou responsável RGPD) para receber as solicitações

• Implementar um formulário dedicado acessível aos colaboradores

• Documentar cada solicitação e sua resposta em um registro de solicitações de exercício de direitos

• Treinar gestores de RH para identificar uma solicitação implícita (um colaborador que reclama "seu dossiê pessoal" está exercendo de fato seu direito de acesso)

O papel do DPO na empresa

O RGPD impõe a designação de um Delegado de Proteção de Dados (DPO) em três casos (art. 37): autoridade pública, tratamento em larga escala de dados sensíveis ou monitoramento sistemático em larga escala. Muitas empresas cujo tratamento de RH é significativo se enquadram nesta obrigação. O DPO pode ser interno ou terceirizado; deve gozar de independência funcional e estar envolvido em todas as decisões impactando a proteção de dados, incluindo a implantação de novas ferramentas digitais de RH. Seu papel é consultivo e não decisório: a responsabilidade final permanece a do responsável pelo tratamento, ou seja, o empregador.

Arcabouço jurídico aplicável ao tratamento de dados de RH

O RGPD: texto fundamental

O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (RGPD) constitui o fundamento regulatório do tratamento de dados pessoais na Europa. Diretamente aplicável em todos os Estados-membros desde 25 de maio de 2018, se impõe a todo empregador tratando dados de colaboradores residindo na UE, independentemente da nacionalidade da empresa. Os principais artigos aplicáveis em contexto de RH são:

• Art. 5: princípios fundamentais (licitude, lealdade, transparência, minimização, exatidão, limitação de conservação, integridade e confidencialidade, responsabilidade)

• Art. 6: bases legais de tratamento

• Art. 9: regime de dados sensíveis

• Art. 12 a 22: direitos das pessoas interessadas

• Art. 24 a 32: obrigações do responsável pelo tratamento e do prestador

• Art. 33-34: notificação de violações de dados (72 horas à CNIL e informação das pessoas se risco elevado)

• Art. 35: avaliação de impacto (AIPD) obrigatória para tratamentos de risco elevado

• Art. 83: sanções administrativas (até 20 M€ ou 4% do faturamento anual mundial)

A Lei de Informática e Liberdades modificada

No direito francês, a lei nº 78-17 de 6 de janeiro de 1978 relativa à informática, arquivos e liberdades, modificada pela lei nº 2018-493 de 20 de junho de 2018 e pela ordenança nº 2018-1125 de 12 de dezembro de 2018, complementa o RGPD oferecendo margem de manobra nacional ("cláusulas de abertura"). Entre as mais importantes em RH: a possibilidade de tratar dados sindicais no contexto da gestão das instituições de representação de pessoal (art. 9 da lei) ou as regras específicas para o tratamento de dados de saúde do trabalho.

O Código do Trabalho e a jurisprudência trabalhista

O Código do Trabalho impõe obrigações de informação e consulta prévia do Comitê Social e Econômico (CSE) antes de qualquer implementação de dispositivo de monitoramento ou controle de colaboradores (art. L. 2312-38). A falta de consulta expõe o empregador à inoponibilidade das provas coletadas bem como a sanções penais.

A jurisprudência da Corte de Cassação lembra regularmente que as ferramentas de controle (geolocalização, crachás, softwares de rastreamento de atividade) devem ser proporcionais ao objetivo perseguido e não podem ser desviadas de outras finalidades que as declaradas aos colaboradores e à CNIL.

A assinatura eletrônica de documentos de RH: eIDAS e Código Civil

Na desmaterialização de contratos de trabalho, aditivos ou documentos disciplinares, o empregador deve cumprir o Regulamento (UE) nº 910/2014 eIDAS, que define três níveis de assinatura eletrônica. Para documentos tão importantes quanto um contrato de trabalho por prazo indeterminado ou um documento de rescisão por acordo, uma assinatura eletrônica avançada (ou qualificada) é recomendada para garantir a identidade do signatário e a integridade do documento. O Código Civil nos artigos 1366 e 1367 consagra o valor probatório do escrito eletrônico e da assinatura eletrônica, desde que assegurada a identificação confiável do signatário e a garantia de integridade.

Sanções pronunciadas pela CNIL em matéria de RH

A CNIL pronunciou várias sanções significativas em matéria de tratamento de dados de RH: em 2022, uma empresa foi condenada a 400.000 € de multa por monitoramento excessivo de colaboradores em teletrabalho via softwares de captura de tela. Em 2023, uma empresa de segurança recebeu uma sanção de 200.000 € pela coleta excessiva de dados biométricos sem base legal válida. Essas decisões ilustram a crescente vigilância do regulador neste perímetro.

Cenários de uso: RGPD em RH na prática

Cenário 1 — Uma ETI industrial de 450 colaboradores coloca seu processo de recrutamento em conformidade

Uma empresa industrial de médio porte, empregando aproximadamente 450 pessoas em três unidades, recebia anualmente mais de 3.000 candidaturas espontâneas e respondia a cerca de 60 ofertas de emprego. CVs e cartas de apresentação eram armazenados sem limite de duração em uma caixa de e-mail compartilhada entre seis responsáveis de departamento. Nenhum aviso de informação era fornecido aos candidatos sobre o uso de seus dados.

Após uma auditoria RGPD, as seguintes ações foram implantadas em seis meses:

• Migração para um ATS (Sistema de Rastreamento de Candidatos) certificado como conforme ao RGPD, com purga automática de dossiês após 24 meses de inatividade

• Adição de um aviso de informação RGPD em cada formulário de candidatura online

• Assinatura eletrônica de cartas de admissão e contratos de trabalho via plataforma compatível com eIDAS, reduzindo o tempo de retorno de contratos assinados de 8 dias em média para menos de 48 horas

• Atualização do registro de atividades de tratamento com 12 novas fichas de tratamento de RH

Resultado: nenhuma solicitação à CNIL recebida nos 18 meses seguintes; ganho estimado de 1,2 ETP na gestão administrativa do recrutamento graças à desmaterialização.

Cenário 2 — Um grupo de distribuição de 1.200 colaboradores regula sua política de videomonitoramento

Um grupo especializado em distribuição alimentar havia implementado um sistema de videomonitoramento cobrindo 34 lojas. As imagens eram conservadas 45 dias em alguns locais, sem informação afixada para os colaboradores. Vários sensores cobriam os postos de caixa de forma permanente, gerando risco de monitoramento desproporcional.

Após uma reclamação de colaborador à CNIL, a empresa iniciou uma adequação incluindo:

• Redução do prazo de conservação para 30 dias no máximo em todos os locais

• Reposicionamento de câmeras para excluir o monitoramento contínuo de postos de trabalho individuais

• Consulta e concordância do CSE central antes de qualquer nova implantação

• Informação sistemática dos colaboradores via contratos de trabalho e regulamento interno afixado

Resultado: encerramento da reclamação à CNIL sem sanção; melhoria do clima organizacional medida na pesquisa de satisfação anual seguinte (+11 pontos no item "confiança no empregador").

Cenário 3 — Um escritório de consultoria de RH terceirizada garante as transferências de dados com seus clientes

Um escritório especializado em externalização de folha de pagamento e administração de pessoal gerenciava dossiês de colaboradores para cerca de vinte pequenas e médias empresas clientes, representando aproximadamente 1.800 contracheques mensais. Os arquivos de folha de pagamento eram transmitidos por e-mail não criptografado, sem contrato de prestação de serviço formalizado no sentido do artigo 28 do RGPD.

O escritório iniciou uma refundição completa de suas práticas:

• Assinatura de Data Processing Agreements (DPA) conformes ao artigo 28 com cada um de seus clientes, via plataforma de assinatura eletrônica avançada permitindo rastreabilidade

• Implementação de um portal de cliente seguro (criptografia TLS + autenticação de duplo fator) para depósito e recuperação de arquivos de folha de pagamento

• Hospedagem de dados em servidores localizados na França, certificados HDS para dados de saúde do trabalho

• Redação de uma política de prestação de serviço regulando o recurso a terceiros (editor de software de folha de pagamento, arquivador)

Resultado: redução de 100% das transmissões de dados de RH por e-mail não seguro; obtenção de dois novos contratos de clientes que fizeram da conformidade RGPD um critério de seleção obrigatório em suas chamadas de propostas.

Conclusão

O RGPD em RH não se resume a um constrangimento administrativo adicional: é uma alavanca de confiança entre o empregador e seus colaboradores e um fator de competitividade em um mercado de trabalho onde a transparência é cada vez mais valorizada. Registro de atividades mantido atualizado, prazos de conservação controlados, informação dos colaboradores formalizada, segurança reforçada de dados sensíveis e prestadores contratados: cada um desses pilares contribui para construir uma política de RH simultaneamente legal e responsável.

A desmaterialização de documentos de RH — contratos, aditivos, contracheques, avisos de informação — oferece uma oportunidade única de combinar conformidade RGPD e eficiência operacional, desde que se apoie em ferramentas certificadas. Certyneo o acompanha nesta abordagem com uma solução de assinatura eletrônica compatível com eIDAS, projetada para equipes de RH. Descubra nossos preços e inicie seu teste gratuito na Certyneo para proteger seus documentos de RH hoje mesmo.