RGPD em RH: Tratamento de Dados dos Colaboradores

A gestão de recursos humanos gera, diariamente, um volume considerável de dados pessoais: contratos de trabalho, contracheques, dados de saúde, avaliações de desempenho, coordenadas bancárias… Desde a entrada em vigor do Regulamento Geral sobre a Proteção de Dados (RGPD) em maio de 2018, as direções de RH tornaram-se atores centrais da conformidade dentro das organizações. Porém, de acordo com o relatório de atividades 2024 da CNIL, o setor de recursos humanos permanece um dos três domínios mais frequentemente investigados em controles. Este artigo orienta você através das obrigações-chave, das melhores práticas e das ferramentas disponíveis para tratar os dados dos seus colaboradores em total conformidade.

Que dados pessoais os RH tratam?

As categorias de dados comuns

Os serviços de RH manipulam um espectro muito amplo de dados pessoais. Distinguem-se duas grandes famílias:

Os dados ordinários, coletados no contexto do contrato de trabalho: nome, sobrenome, endereço, número de segurança social, IBAN, CV, diplomas, histórico profissional, avaliações anuais, horários de trabalho, dados de presença e ausência.

Os dados sensíveis, sujeitos a restrições reforçadas conforme o artigo 9 do RGPD: dados de saúde (licenças médicas, declarações de acidentes de trabalho, restrições médicas), dados sindicais (filiação sindical, mandatos representativos), dados relativos a condenações penais em certos contextos de recrutamento.

Estes últimos apenas podem ser tratados sob a reserva de uma exceção explícita prevista pelo regulamento — como a execução de obrigações legais em matéria de direito do trabalho, ou o consentimento explícito da pessoa interessada.

O caso particular do recrutamento

A fase de recrutamento gera tratamentos específicos, frequentemente mal enquadrados. A coleta de CVs, cartas de motivação e resultados de testes implica durações de conservação precisas: de acordo com as recomendações da CNIL, os dados dos candidatos não selecionados devem ser suprimidos ou anonimizados no prazo máximo de dois anos após o último contacto. Conservar CVs indefinidamente num diretório partilhado não seguro constitui uma violação caracterizada.

O recurso a ferramentas de rastreamento nos ATS (Sistemas de Rastreamento de Candidatos) ou a algoritmos de análise comportamental deve ser objeto de uma menção explícita na política de confidencialidade transmitida aos candidatos, em conformidade com os artigos 13 e 14 do RGPD.

As bases legais do tratamento no contexto de RH

Identificar a base legal apropriada

O RGPD impõe que todo tratamento de dados pessoais se baseie numa das seis bases legais definidas no artigo 6. No contexto de RH, três bases são principalmente mobilizadas:

1. A execução do contrato de trabalho (art. 6.1.b): justifica o tratamento dos dados necessários à gestão da folha de pagamento, licenças ou formação.
2. A obrigação legal (art. 6.1.c): aplica-se às declarações sociais obrigatórias (DSN), aos registros de pessoal ou ao acompanhamento de acidentes de trabalho.
3. O interesse legítimo (art. 6.1.f): pode ser invocado para tratamentos como gestão de crachás de acesso ou vigilância por vídeo, sob a condição de um teste de balanceamento rigoroso.

O consentimento (art. 6.1.a) é, porém, uma base legal frágil no contexto de trabalho: a CNIL e o Comité Europeu de Proteção de Dados (CEPD) recordam que o desequilíbrio estrutural entre empregador e trabalhador torna difícil a comprovação de um consentimento livre. Deve ser utilizado apenas como último recurso.

O registro dos tratamentos, obrigação incontornável

Toda organização que emprega pelo menos 250 pessoas — ou que trata dados sensíveis em menor escala — deve manter um registro das atividades de tratamento (art. 30 do RGPD). Em RH, este registro deve documentar, para cada tratamento: a finalidade, as categorias de dados, os destinatários, as durações de conservação e as medidas de segurança implementadas.

Este documento, disponibilizado à CNIL em caso de controle, é também uma ferramenta de governança valiosa. Combinado com uma solução de assinatura eletrônica dedicada a RH, permite rastrear e registar a data e hora de cada etapa do ciclo de vida de um documento de RH, reforçando assim a auditabilidade dos processos.

Direitos dos colaboradores e obrigações do empregador

Informar os colaboradores: uma obrigação imediata

O artigo 13 do RGPD impõe informar as pessoas interessadas no momento da coleta dos seus dados. Na prática, os RH devem fornecer aos colaboradores — idealmente no momento da assinatura do contrato de trabalho — uma notificação de informação RGPD detalhando: a identidade do responsável pelo tratamento, as finalidades e bases legais, a duração de conservação, os direitos disponíveis e as coordenadas do DPD (Delegado de Proteção de Dados) se a empresa o possuir.

Digitalizar e proteger esta troca é essencial. O recurso à assinatura eletrônica na empresa para a entrega desta notificação garante uma prova de entrega com data e hora e incontestável, alinhada com as exigências do regulamento eIDAS.

Os direitos dos colaboradores a respeitar imperiosamente

Os colaboradores dispõem de direitos amplos sobre os seus dados:

• Direito de acesso (art. 15): todo colaborador pode solicitar uma cópia de todos os dados que o concernem tratados pelo empregador.
• Direito de retificação (art. 16): correção de um dado inexato (ex.: endereço postal, IBAN).
• Direito ao apagamento (art. 17): aplicável em certos casos, nomeadamente após o fim do contrato e decurso dos prazos legais de conservação.
• Direito de oposição (art. 21): o colaborador pode opor-se a um tratamento baseado no interesse legítimo.
• Direito à limitação (art. 18): congelamento temporário de um tratamento contestado.

O empregador dispõe de um prazo de um mês para responder a qualquer solicitação de exercício de direitos, extensível a três meses em caso de complexidade (art. 12 do RGPD).

Segurança dos dados de RH e gestão de subcontratantes

Medidas técnicas e organizacionais

O artigo 32 do RGPD impõe a implementação de medidas de segurança "apropriadas ao risco". Para dados de RH, as melhores práticas incluem:

• Encriptação de ficheiros contendo dados sensíveis (contracheques, dossiês médicos).
• Controlo de acessos: princípio do menor privilégio — um gestor de folha de pagamento não tem acesso a dados disciplinares.
• Registo de acessos aos sistemas de RH (SIRH, ferramentas de folha de pagamento).
• Plano de resposta a violações: em caso de fuga de dados, o empregador dispõe de 72 horas para notificar a CNIL (art. 33), e potencialmente as pessoas interessadas se o risco for elevado (art. 34).

Uma auditoria completa através do guia de assinatura eletrônica pode ajudar as equipes de RH a identificar tratamentos não seguros persistindo em suporte papel e a digitalizá-los de forma conforme.

Enquadrar os prestadores de RH por DPA

Os serviços de RH recorrem a numerosos subcontratantes: software de folha de pagamento, plataformas de formação, ferramentas de gestão de horários. Cada prestador com acesso a dados pessoais deve ser objeto de um acordo de tratamento de dados (Data Processing Agreement — DPA), em conformidade com o artigo 28 do RGPD. Este contrato deve especificar as instruções de tratamento, as garantias de segurança, as modalidades de devolução ou destruição dos dados, e as obrigações em caso de violação.

Selecionar prestadores cujas infraestruturas estejam alojadas na União Europeia, ou enquadrados por cláusulas contratuais padrão (CCT) aprovadas pela Comissão, permanece uma exigência fundamental para evitar qualquer transferência ilícita para fora da UE.

Durações de conservação: uma questão estruturante

Os prazos legais aplicáveis ao dossiê do colaborador

A duração de conservação dos dados de RH é enquadrada por um conjunto de textos: o RGPD (princípio de limitação da conservação, art. 5.1.e), o Código do Trabalho, e várias disposições fiscais e sociais. Na prática, os principais prazos a respeitar são:

| Tipo de documento | Duração mínima de conservação | |---|---| | Contracheque | 5 anos (prescrição social) | | Contrato de trabalho | 5 anos após o fim do contrato | | Dados de folha de pagamento (DSN) | 3 anos (controle URSSAF) | | Registro de pessoal | 5 anos após partida do colaborador | | Dados disciplinares | Duração proporcional à medida | | Dossiê médico (medicina do trabalho) | 50 anos (regulamentação específica) |

A implementação de uma política de arquivo e purga automatizada no SIRH, combinada com workflows de assinatura eletrônica que registam a data e hora de criação dos documentos, constitui atualmente a melhor prática para demonstrar a conformidade à CNIL.

As armadilhas a evitar

Os erros mais frequentes observados durante os controles da CNIL em matéria de dados de RH são: a conservação indefinida de CVs de candidatos não selecionados, a manutenção de acessos informáticos de antigos colaboradores, a ausência de encriptação dos ficheiros de folha de pagamento exportados, e a não-supressão dos dados de crachá para além dos prazos regulamentares. Para proteger estes pontos, consultar o comparativo das soluções de assinatura eletrônica permite identificar ferramentas integrando nativamente funções de arquivo probatório e gestão do ciclo de vida dos documentos.

Quadro legal aplicável ao tratamento de dados de RH

O tratamento de dados pessoais dos colaboradores inscreve-se num quadro normativo denso, articulando vários níveis de regulamentação.

O Regulamento (UE) 2016/679 — RGPD constitui a pedra angular. Os seus artigos 5 a 11 definem os princípios fundamentais (legalidade, lealdade, transparência, limitação das finalidades, minimização dos dados, exatidão, limitação da conservação, integridade e confidencialidade). O artigo 9 estabelece as condições rigorosas aplicáveis às categorias especiais de dados, incluindo dados de saúde e sindicais, particularmente frequentes em RH. O artigo 83 prevê multas podendo atingir 20 milhões de euros ou 4% do volume de negócios mundial em caso de violação grave.

A Lei Informática e Liberdades modificada (Lei n.º 78-17 de 6 de janeiro de 1978), na sua versão consolidada, adapta o RGPD ao direito francês. Confere à CNIL os seus poderes de controle e sanção, e prevê nomeadamente derrogações setoriais para dados de saúde em medicina do trabalho.

O Código do Trabalho enquadra os tratamentos relacionados com a vigilância dos colaboradores (art. L. 1121-1 sobre respeito da vida privada), com a consulta dos representantes do pessoal sobre ferramentas digitais (art. L. 2312-38), e com registros obrigatórios.

O Regulamento eIDAS (n.º 910/2014), completado por eIDAS 2.0 (Regulamento UE 2024/1183), rege o valor jurídico das assinaturas eletrônicas appostas em documentos de RH. Uma assinatura eletrônica qualificada (SEQ), conforme ao anexo I do eIDAS e às normas ETSI EN 319 132 e ETSI EN 319 122, oferece a presunção de equivalência à assinatura manuscrita conforme o artigo 1367 do Código Civil francês.

O artigo 1366 do Código Civil estabelece que "o escrito eletrônico tem a mesma força probatória que o escrito em suporte papel, sob a condição de que possa ser devidamente identificada a pessoa de quem emana e que seja estabelecido e conservado em condições adequadas para garantir a sua integridade". Esta disposição é diretamente aplicável a contratos de trabalho, aditamentos, acordos de confidencialidade e outros documentos de RH desmaterializados.

A Diretiva NIS2 (UE 2022/2555), transposta para o direito francês pela lei de 26 de fevereiro de 2025, impõe às entidades essenciais e importantes (nomeadamente grandes empresas industriais e operadores de serviços numéricos) exigências reforçadas em matéria de gestão dos riscos relacionados com a segurança da informação, incluindo a proteção de dados de RH sensíveis.

As sanções pronunciadas pela CNIL estão em forte aumento: em 2024, o montante total das multas excede 100 milhões de euros, com várias decisões envolvendo diretamente incumprimentos na gestão de dados de colaboradores. O não-respeito das durações de conservação, a ausência de DPA com subcontratantes de RH, e a insuficiência das medidas de segurança figuram entre os fundamentos mais frequentemente retidos.

Cenários de uso: a conformidade RGPD em RH na prática

Cenário 1 — Uma PME industrial de 450 colaboradores digitaliza os seus processos de integração

Uma empresa industrial de tamanho médio, distribuída por três sites em França, geria os seus contratos de trabalho e aditamentos em suporte papel. Os dossiês dos novos contratados eram transmitidos ao serviço de folha de pagamento apenas após um prazo médio de 12 dias úteis, gerando erros de folha de pagamento em aproximadamente 8% dos casos. Além disso, nenhuma notificação RGPD era fornecida de forma formal aos novos contratados: a informação figurava apenas no rodapé do regulamento interno, não assinado separadamente.

Após a implementação de uma solução de assinatura eletrônica integrada no seu SIRH, com entrega simultânea de uma notificação RGPD co-assinada pelo colaborador e pelo Diretor de RH, a empresa reduziu o prazo de integração documentária para 2 dias úteis (redução de 83%). Os erros de folha de pagamento relacionados com dados ausentes caíram para menos de 1%. Cada documento assinado é arquivo com registro de data e hora qualificado, fornecendo uma prova oponível em caso de controle da CNIL ou contencioso laboral.

Cenário 2 — Um grupo de distribuição de 1 200 colaboradores coloca em conformidade a sua política de conservação

Um grupo operando na distribuição especializada foi sujeito a um controle da CNIL na sequência de uma reclamação de um antigo colaborador. A inspeção revelou que ficheiros Excel contendo dados de folha de pagamento de colaboradores partidos há mais de 8 anos ainda eram acessíveis num servidor partilhado não seguro, sem encriptação. Um aviso formal foi pronunciado, acompanhado de uma injunção de conformidade no prazo de 3 meses.

O grupo então realizou uma auditoria completa dos seus tratamentos de RH, mapeou as suas 23 atividades de tratamento, e implementou um plano de purga automatizada acionado pelo SIRH. Os documentos assinados eletronicamente foram migrados para um cofre digital com durações de retenção configuradas conforme as obrigações legais. O DPD produziu um registro completo das atividades de tratamento de RH, apresentado numa segunda inspeção da CNIL 18 meses depois, que se concluiu sem consequências. O custo da conformidade foi estimado em menos de 60% do montante de uma potencial multa.

Cenário 3 — Um gabinete de consultoria de RH de 35 pessoas protege os dados dos seus próprios consultores e dos seus clientes

Um gabinete especializado em recursos humanos gere simultaneamente os dados dos seus próprios consultores e dos candidatos e colaboradores das suas empresas clientes (no contexto de missões de avaliação ou recolocação). Encontra-se assim numa dupla posição: responsável pelo tratamento para os seus próprios RH, e subcontratante (ou coresponsável) para dados de terceiros.

O gabinete implementou uma arquitetura documentária diferenciada: assinaturas eletrônicas simples para as trocas internas correntes, assinaturas avançadas para os contratos de missão com os clientes, e acordos de tratamento de dados (DPA) sistematicamente integrados nas cartas de missão. Os consultores receberam todos uma carta RGPD atualizada, assinada eletronicamente e conservada num registro dedicado. Esta organização permitiu ao gabinete exibir a sua conformidade como argumento comercial perante grandes clientes sujeitos a auditorias rigorosas de fornecedores, reduzindo o prazo médio de contratação de 7 para 2 semanas.

Conclusão

O RGPD impõe às direções de recursos humanos uma transformação profunda das suas práticas: identificação rigorosa das bases legais, informação efetiva dos colaboradores, gestão dos direitos, enquadramento contratual dos subcontratantes, segurança dos dados e respeito das durações de conservação. Estas obrigações não são simples formalidades administrativas — elas condicionam a capacidade da empresa em evitar sanções podendo atingir vários milhões de euros e em manter a confiança das suas equipas.

A digitalização dos processos de RH, através de soluções de assinatura eletrônica conformes ao eIDAS, constitui um dos alavancas mais eficazes para conciliar eficiência operacional e conformidade regulamentária. A Certyneo acompanha as equipas de RH nesta transição, da assinatura do contrato de trabalho ao arquivo seguro dos dossiês de colaboradores.

Descubra como a Certyneo pode proteger os seus processos de RH consultando a nossa oferta dedicada às equipas de RH ou iniciando gratuitamente para testar a solução sem compromisso.