RGPD em RH: Tratamento de dados de funcionários

O Regulamento Geral sobre a Proteção de Dados (RGPD) não se aplica apenas às relações comerciais entre uma empresa e seus clientes: também regulamenta, de forma muito precisa, o tratamento de dados pessoais de funcionários. Recrutamento, gestão de folha de pagamento, controle de acesso, avaliação de desempenho, videovigilância... cada etapa do ciclo de vida do contrato de trabalho gera dados pessoais que o empregador deve tratar em estrita conformidade com a lei europeia. Com multas que podem chegar a 20 milhões de euros ou 4% do faturamento anual mundial, a questão é considerável. Este artigo detalha as bases legais aplicáveis, as obrigações práticas dos departamentos de RH e as melhores práticas para proteger seus tratamentos — incluindo a desmaterialização de documentos RH.

Os fundamentos jurídicos do tratamento de dados RH

As bases legais admitidas no direito do trabalho

O RGPD lista seis bases legais que permitem o tratamento de dados pessoais (artigo 6). Em contexto RH, três delas são mobilizadas quase sistematicamente:

• A execução do contrato de trabalho (art. 6.1.b): constitui a base principal para a gestão de folha de pagamento, acompanhamento do tempo de trabalho, entrega de contracheques ou ainda gestão de licenças.

• Obrigação legal (art. 6.1.c): justifica os tratamentos impostos pelo Código do Trabalho ou pela legislação social, como a declaração prévia de contratação (DPAE), a declaração social nominativa (DSN) ou a manutenção do registro único de pessoal.

• Interesse legítimo (art. 6.1.f): pode fundamentar certos tratamentos de segurança da informação ou prevenção de fraude interna, desde que esse interesse não seja suplantado pelos direitos fundamentais dos funcionários.

⚠️ A base do consentimento deve ser manuseada com extrema cautela em contexto salarial. A CNIL lembra regularmente que o desequilíbrio inerente à relação empregador-empregado torna o consentimento raramente "livre" no sentido do artigo 7 do RGPD. Recorrer ao consentimento para tratamentos que poderiam se basear em outra base legal expõe o empregador a um risco de requalificação.

As categorias especiais de dados: um regime reforçado

Certos dados coletados por RH se enquadram no regime de "dados sensíveis" referido no artigo 9 do RGPD, cujo tratamento é em princípio proibido exceto em exceções:

• Dados de saúde: atestados de doença, incapacidades pronunciadas pela medicina do trabalho, acomodações de cargo para deficiência.

• Dados sindicais: filiação a sindicato, mandatos representativos.

• Dados biométricos: controle de acesso por impressão digital ou reconhecimento facial.

• Dados relativos a infrações: verificação de registros criminais, autorizada apenas em setores regulados (segurança, infância, etc.).

Para essas categorias, o empregador deve identificar uma exceção explícita (art. 9.2), realizar uma análise de impacto sobre a proteção de dados (AIPD) na maioria dos casos, e frequentemente consultar a CNIL antes do deploiement.

As obrigações práticas dos departamentos de RH

O registro das atividades de tratamento

Toda organização empregando mais de 250 funcionários é obrigada a manter um registro das atividades de tratamento (art. 30 do RGPD). Abaixo desse limite, a obrigação subsiste desde que os tratamentos não sejam ocasionais ou incidam sobre dados sensíveis — o que é quase sempre o caso em RH. Este registro deve documentar:

• A finalidade de cada tratamento (ex.: "gestão de contracheques")

• As categorias de dados envolvidas

• Os destinatários (terceiros, subcontratados, autoridades)

• Os prazos de retenção

• As medidas de segurança implementadas

A CNIL disponibiliza um modelo de registro para download livre. Sua manutenção rigorosa constitui a primeira linha de defesa em caso de inspeção.

Os prazos de retenção: um ponto frequentemente negligenciado

O artigo 5.1.e do RGPD impõe o princípio de limitação de retenção: os dados não devem ser retidos além do tempo necessário para a finalidade para a qual foram coletados. Em RH, os prazos legais de referência são os seguintes:

| Tipo de dado | Prazo de retenção recomendado | |---|---| | Contracheque | 5 anos (prescrição civil) | | Contrato de trabalho | 5 anos após o término do contrato | | Dados de recrutamento (candidato não selecionado) | 2 anos no máximo após o último contato | | Dossiê disciplinar | Duração variável conforme a sanção (máx. 3 anos para uma advertência) | | Dados de videovigilância | 1 mês em regra geral | | DSN e registro de pessoal | 5 anos após a saída do funcionário |

Esses prazos devem ser registrados no registro e aplicados através de procedimentos de limpeza ou arquivamento definitivo.

A informação dos funcionários: uma obrigação frequentemente subestimada

O artigo 13 do RGPD impõe fornecer um aviso de informação completo às pessoas interessadas no momento da coleta de seus dados. Em RH, esse aviso deve idealmente ser entregue:

• Desde a candidatura: para os dados coletados durante o processo de recrutamento.

• Na contratação: integrado ao contrato de trabalho ou entregue em anexo no momento da assinatura.

• Durante a relação contratual: a cada novo tratamento implementado (ex.: implantação de ferramenta de ponto biométrica).

A desmaterialização do processo de onboarding, em particular via assinatura eletrônica para RH, facilita a rastreabilidade dessa entrega de informação: a data de leitura e assinatura do aviso é marcada com hora de forma probante, o que constitui um elemento de prova precioso em caso de litígio.

A segurança dos dados RH: medidas técnicas e organizacionais

Criptografia, controle de acesso e compartimentação

O artigo 32 do RGPD exige a implementação de medidas de segurança adequadas ao risco. Para dados RH, que são por natureza sensíveis e alvo de intrusões, as boas práticas mínimas incluem:

• Criptografia de dados em repouso e em trânsito: arquivos de folha de pagamento, contratos e dossiês pessoais devem ser armazenados criptografados (AES-256 no mínimo) e transmitidos via protocolos seguros (TLS 1.3).

• Gestão de direitos de acesso baseada em papéis (RBAC): apenas gestores RH autorizados acessam dados de folha de pagamento; o gerente de equipe acessa apenas os dados necessários para o gerenciamento.

• Registro em log de acessos: toda consulta ou modificação de um dossiê de funcionário deve ser rastreada com o identificador do usuário, data e hora.

• Pseudonimização para os tratamentos analíticos (dashboards RH, estudos de remuneração).

A gestão de subcontratados RH

Os departamentos de RH recorrem a numerosos subcontratados: editores de SIRH, prestadores de folha de pagamento externalizada, plataformas de treinamento, ferramentas de recrutamento online. Cada um desses terceiros deve ser objeto de um contrato de subcontratação conforme o artigo 28 do RGPD, especificando em particular:

• A natureza e a finalidade dos tratamentos subcontratados

• As obrigações do subcontratado em matéria de segurança e confidencialidade

• A proibição de sub-subcontratar sem autorização prévia

• As modalidades de devolução ou destruição de dados ao final do contrato

Na escolha de um prestador, também é recomendável verificar se seus servidores estão localizados no Espaço Econômico Europeu (EEE) ou se um mecanismo de transferência adequado (cláusulas contratuais padrão, decisão de adequação) está em lugar para as transferências fora do EEE.

A desmaterialização de documentos RH e a conformidade RGPD

A crescente digitalização dos processos RH — contratos de trabalho eletrônicos, contracheques desmaterializados, aditivos assinados à distância — suscita questões RGPD específicas. Se a assinatura eletrônica em conformidade com eIDAS oferece garantias indiscutíveis de integridade e autenticidade, o empregador deve garantir que a plataforma utilizada:

• Não colete dados supérfluos durante o processo de assinatura (princípio de minimização, art. 5.1.c)

• Conserve as provas de assinatura (trilha de auditoria) em condições seguras e por um período apropriado

• Permita o exercício dos direitos dos signatários (acesso, retificação, exclusão nos limites legais)

Para aprofundar a conformidade de ferramentas de assinatura, o guia completo de assinatura eletrônica da Certyneo detalha os critérios técnicos e jurídicos a verificar antes de qualquer implantação.

Os direitos dos funcionários e seu exercício efetivo

Panorama dos direitos garantidos pelo RGPD

Os funcionários desfrutam de todos os direitos previstos nos artigos 15 a 22 do RGPD. Em contexto RH, os direitos mais frequentemente exercidos são:

• Direito de acesso (art. 15): o funcionário pode solicitar uma cópia de todos os dados que o concernem detidos pelo empregador, incluindo trocas de e-mails profissionais em certas condições.

• Direito de retificação (art. 16): correção de dados imprecisos (erro no RIB, diploma mal registrado, etc.).

• Direito ao esquecimento (art. 17): limitado em RH pelas obrigações legais de retenção, mas aplicável aos dados de recrutamento de um candidato não selecionado.

• Direito de oposição (art. 21): pode ser exercido contra um tratamento fundado em interesse legítimo, como certos tratamentos de vigilância.

• Direito à portabilidade (art. 20): aplicável aos dados fornecidos pelo próprio funcionário no contexto da execução do contrato.

O prazo de resposta e os procedimentos internos

O empregador dispõe de um mês para responder a toda solicitação de exercício de direitos, prazo extensível a três meses em caso de complexidade ou alto volume de solicitações (art. 12.3). Para organizar esse tratamento eficientemente, é recomendável:

• Designar um ponto de contato único (DPO ou referente RGPD) para receber as solicitações

• Implementar um formulário dedicado acessível aos funcionários

• Documentar cada solicitação e sua resposta em um registro de exercício de direitos

• Treinar os gerentes RH para identificar uma solicitação implícita (um funcionário que reclama "seu dossiê pessoal" exerce de facto seu direito de acesso)

O papel do DPO na empresa

O RGPD impõe a designação de um Delegado de Proteção de Dados (DPO) em três casos (art. 37): autoridade pública, tratamento em larga escala de dados sensíveis, ou vigilância sistemática em larga escala. Muitas empresas cujo tratamento RH é significativo se enquadram nessa obrigação. O DPO pode ser interno ou externalizado; deve dispor de independência funcional e estar associado a todas as decisões impactando a proteção de dados, incluindo a implantação de novas ferramentas RH digitais. Seu papel é consultivo e não decisório: a responsabilidade final permanece a do responsável pelo tratamento, ou seja, o empregador.

Marco legal aplicável ao tratamento de dados RH

O RGPD: texto fundador

O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (RGPD) constitui a base regulatória do tratamento de dados pessoais na Europa. Diretamente aplicável em todos os Estados-membros desde 25 de maio de 2018, impõe-se a todo empregador que trata dados de funcionários residindo na UE, independentemente da nacionalidade da empresa. Os principais artigos aplicáveis em contexto RH são:

• Art. 5: princípios fundamentais (licitude, lealdade, transparência, minimização, exatidão, limitação de retenção, integridade e confidencialidade, responsabilidade)

• Art. 6: bases legais de tratamento

• Art. 9: regime de dados sensíveis

• Art. 12 a 22: direitos das pessoas interessadas

• Art. 24 a 32: obrigações do responsável pelo tratamento e do subcontratado

• Art. 33-34: notificação de violações de dados (72 horas à CNIL, e informação das pessoas se risco elevado)

• Art. 35: análise de impacto (AIPD) obrigatória para tratamentos de alto risco

• Art. 83: sanções administrativas (até 20 M€ ou 4% do CA mundial)

A Lei de Informática e Liberdades modificada

Em direito francês, a Lei n°78-17 de 6 de janeiro de 1978 relativa à informática, aos arquivos e às liberdades, modificada pela Lei n°2018-493 de 20 de junho de 2018 e pela Ordenança n°2018-1125 de 12 de dezembro de 2018, complementa o RGPD abrindo margens de manobra nacionais ("cláusulas de abertura"). Entre as mais importantes em RH: a possibilidade de tratar dados sindicais no contexto da gestão das instituições representativas de pessoal (art. 9 da lei), ou ainda as regras específicas ao tratamento de dados de saúde ocupacional.

O Código do Trabalho e a jurisprudência social

O Código do Trabalho impõe obrigações de informação e consulta prévia do Comitê Social e Econômico (CSE) antes de qualquer implantação de dispositivo de vigilância ou controle de funcionários (art. L. 2312-38). A falta de consulta expõe o empregador à inoponibilidade das provas recolhidas bem como a sanções penais.

A jurisprudência da Corte de Cassação lembra regularmente que ferramentas de controle (geolocalização, crachá, softwares de monitoramento de atividade) devem ser proporcionais ao objetivo perseguido e não podem ser desviadas para outras finalidades que aquelas declaradas aos funcionários e à CNIL.

A assinatura eletrônica de documentos RH: eIDAS e Código Civil

Ao desmaterializar contratos de trabalho, aditivos ou documentos disciplinares, o empregador deve respeitar o Regulamento (UE) n°910/2014 eIDAS, que define três níveis de assinatura eletrônica. Para documentos tão estruturantes quanto um contrato de trabalho por tempo indeterminado ou um documento de ruptura convencional, uma assinatura eletrônica avançada (ou até qualificada) é recomendada para garantir a identidade do signatário e a integridade do documento. O Código Civil nos artigos 1366 e 1367 consagra o valor probante do escrito eletrônico e da assinatura eletrônica, sob a reserva de identificação confiável do signatário e garantia de integridade.

Sanções pronunciadas pela CNIL em matéria RH

A CNIL pronunciou várias sanções significativas em matéria de tratamento de dados RH: em 2022, uma empresa foi condenada a 400 mil € de multa por vigilância excessiva de funcionários em teletrabalho via softwares de captura de tela. Em 2023, uma empresa de segurança recebeu uma sanção de 200 mil € por coleta excessiva de dados biométricos sem base legal válida. Essas decisões ilustram a crescente vigilância do regulador sobre este perímetro.

Cenários de uso: RGPD RH na prática

Cenário 1 — Uma PME industrial de 450 funcionários se adequa ao seu processo de recrutamento

Uma empresa industrial de tamanho médio, empregando cerca de 450 pessoas em três locais, recebia a cada ano mais de 3 000 candidaturas espontâneas e respondia a cerca de 60 ofertas de emprego. CVs e cartas de apresentação eram armazenados sem limite de duração em uma caixa de e-mail compartilhada entre seis responsáveis de serviço. Nenhum aviso de informação era entregue aos candidatos sobre o uso de seus dados.

Seguindo uma auditoria RGPD, as seguintes ações foram implementadas em seis meses:

• Migração para um ATS (Applicant Tracking System) certificado conforme RGPD, com limpeza automática de dossiês após 24 meses de inatividade

• Adição de um aviso de informação RGPD em cada formulário de candidatura online

• Assinatura eletrônica de cartas de contratação e contratos de trabalho através de uma plataforma conforme eIDAS, reduzindo o prazo de retorno dos contratos assinados de 8 dias em média para menos de 48 horas

• Atualização do registro das atividades de tratamento com 12 novas fichas de tratamento RH

Resultado: nenhuma solicitação CNIL recebida nos 18 meses seguintes; ganho estimado de 1,2 ETP na gestão administrativa do recrutamento graças à desmaterialização.

Cenário 2 — Um grupo de distribuição de 1 200 funcionários estrutura sua política de videovigilância

Um grupo especializado em distribuição alimentar havia implantado um sistema de videovigilância cobrindo 34 pontos de venda. As imagens eram retidas 45 dias em certos locais, sem informação afixada para os funcionários. Vários sensores cobriam as caixas registradoras de forma permanente, gerando um risco de vigilância desproporcional.

Seguindo uma reclamação de funcionário junto à CNIL, a empresa iniciou uma adequação incluindo:

• Redução do prazo de retenção para máximo 30 dias em todos os locais

• Reposicionamento de câmeras para excluir a vigilância contínua dos postos de trabalho individuais

• Consulta e acordo do CSE central antes de qualquer novo deployment

• Informação sistemática dos funcionários através de contratos de trabalho e uma carta interna afixada

Resultado: encerramento da reclamação CNIL sem sanção; melhoria do clima social medida na pesquisa de satisfação anual seguinte (+11 pontos no item "confiança no empregador").

Cenário 3 — Um escritório de consultoria RH externalizado protege as transferências de dados com seus clientes

Um escritório especializado na externalização de folha de pagamento e administração de pessoal gerenciava dossiês de funcionários para uma vintena de PMEs clientes, representando cerca de 1 800 contracheques mensais. Arquivos de folha de pagamento eram transmitidos por e-mail não criptografado, sem contrato de subcontratação formalizado no sentido do artigo 28 do RGPD.

O escritório iniciou uma reforma completa de suas práticas:

• Assinatura de Acordos de Processamento de Dados (DPA) conformes ao artigo 28 com cada um de seus clientes, via uma plataforma de assinatura eletrônica avançada permitindo rastreabilidade

• Implementação de um portal de cliente seguro (criptografia TLS + autenticação de dois fatores) para depósito e recuperação de arquivos de folha de pagamento

• Hospedagem de dados em servidores localizados na França, certificados HDS para dados de saúde ocupacional

• Redação de uma política de subcontratação regulando o recurso a terceiros (editor de software de folha de pagamento, arquivador)

Resultado: redução de 100% das transmissões de dados RH por e-mail não seguro; obtenção de dois novos contratos de clientes que fizeram da conformidade RGPD um critério de seleção obrigatório em seu edital de licitação.

Conclusão

O RGPD em RH não se resume a uma restrição administrativa adicional: é um alavanca de confiança entre o empregador e seus colaboradores, e um fator de competitividade em um mercado de trabalho onde a transparência é cada vez mais valorizada. Registro de tratamentos mantido atualizado, prazos de retenção controlados, informação de funcionários formalizada, segurança reforçada de dados sensíveis e subcontratados contratados: cada um desses pilares contribui para construir uma política RH simultaneamente legal e responsável.

A desmaterialização de documentos RH — contratos, aditivos, contracheques, avisos de informação — oferece uma oportunidade única de combinar conformidade RGPD e eficiência operacional, desde que se apoie em ferramentas certificadas. A Certyneo o acompanha nessa abordagem com uma solução de assinatura eletrônica conforme eIDAS, concebida para equipes de RH. Descubra nossos preços e inicie seu teste gratuito na Certyneo para proteger seus documentos RH a partir de hoje.