RGPD em RH: Tratamento de Dados de Colaboradores

Introdução

Desde a entrada em vigor do Regulamento Geral sobre a Proteção de Dados (RGPD) em 25 de maio de 2018, os serviços de RH estão na linha de frente da conformidade. As funções de recursos humanos tratam diariamente dados pessoais sensíveis: currículos, contracheques, dados de saúde, avaliações, coordenadas bancárias. Uma gestão inadequada expõe a empresa a sanções que podem chegar a 20 milhões de euros ou 4% do faturamento mundial (artigo 83 do RGPD). Este artigo apresenta as obrigações-chave e as melhores práticas para garantir o tratamento dos dados dos colaboradores em todo o ciclo de RH.

Os princípios fundamentais aplicáveis aos dados de RH

O RGPD impõe seis princípios cardinais codificados no artigo 5: legalidade, lealdade, transparência, limitação de finalidade, minimização, exatidão, limitação de conservação e integridade/confidencialidade. Na prática, isso significa que o serviço de RH só pode coletar dados estritamente necessários para uma finalidade determinada. Por exemplo, solicitar o número de seguro social desde a candidatura é desproporcional: só se justifica após a contratação para a DSN.

A CNIL, por meio de sua deliberação nº 2019-160 relativa ao referencial de gestão de pessoal, especifica os prazos de conservação recomendados: 2 anos para candidaturas não selecionadas (exceto com consentimento), 5 anos após a saída para o dossiê administrativo, 6 anos para contracheques na versão do empregador.

Base legal e informação dos colaboradores

Contrariamente a uma ideia equivocada, o consentimento é raramente a base legal apropriada em RH, devido à relação de subordinação. As bases pertinentes são a execução do contrato de trabalho (artigo 6.1.b), obrigação legal (artigo 6.1.c) ou interesse legítimo (artigo 6.1.f). Para dados sensíveis (saúde, filiação sindical), o artigo 9 exige uma base específica, como obrigação em matéria de direito do trabalho.

O empregador deve entregar uma informação clara por meio de um aviso RGPD entregue na contratação, atualizar o registro de tratamentos (artigo 30) e consultar o CSE antes de qualquer novo tratamento impactando os funcionários (artigo L.2312-38 do Código do Trabalho).

Segurança e direitos dos colaboradores

A segurança técnica e organizacional (artigo 32) impõe: criptografia de SIRH, controle de acesso por perfil, rastreabilidade das consultas, cláusulas de confidencialidade com subcontratados de folha de pagamento ou recrutamento (artigo 28). Em caso de violação, notificação à CNIL em até 72 horas.

Os colaboradores têm direitos reforçados: acesso, retificação, supressão (limitada pelas obrigações legais de conservação), portabilidade, oposição. Um procedimento interno deve permitir responder em no máximo um mês. A recusa de acesso ao dossiê disciplinar deve ser fundamentada juridicamente.

Exemplos práticos

Exemplo 1 – Recrutamento: Uma PME conserva há 5 anos currículos de todos os candidatos em uma pasta compartilhada. Não conforme: duração excessiva, ausência de segurização. Solução: limpeza automatizada em 2 anos, acesso restrito aos recrutadores, menção RGPD na oferta de emprego.

Exemplo 2 – Videovigilância: Um armazém logístico filma continuamente os postos de trabalho. Sanção possível (a CNIL sancionou Amazon France Logistique com 32 M€ em 2024). Solução: limitar a áreas sensíveis, informação individual, consulta do CSE, prazo de conservação máximo de um mês.

Exemplo 3 – Ferramentas colaborativas: A implantação do Microsoft 365 exige uma análise de impacto (AIPD) se funções de monitoramento forem ativadas, bem como uma cláusula de subcontratação conforme com o editor.

Conformidade e sanções

Além das multas da CNIL, o empregador se expõe a ações trabalhistas por violação da privacidade (artigo 9 do Código Civil, artigo L.1121-1 do Código do Trabalho). A designação de um DPO é obrigatória para entidades que tratam dados em larga escala. Uma cartografia anual dos tratamentos de RH, associada a uma capacitação de gerentes, constitui a melhor proteção jurídica e operacional.

Conclusão

A conformidade RGPD em RH não é um projeto pontual, mas uma abordagem contínua de melhoria. Entre obrigações legais, direitos dos funcionários e desempenho operacional, os DRH devem pilotar a governança de dados com rigor. Investir em um SIRH conforme, capacitar as equipes e documentar cada tratamento transforma a restrição regulatória em alavanca de confiança colaborador.