GDPR em RH: Processamento de Dados de Funcionários

Introdução

Desde a entrada em vigor do Regulamento Geral de Proteção de Dados (GDPR) em 25 de maio de 2018, os departamentos de RH têm estado na linha de frente da conformidade. As funções de recursos humanos processam diariamente dados pessoais sensíveis: currículos, recibos de vencimento, dados de saúde, avaliações, dados bancários. A má gestão expõe a empresa a sanções até 20 milhões de euros ou 4% do volume de negócios global (artigo 83.º do RGPD). Este artigo apresenta as principais obrigações e práticas recomendadas para proteger o processamento de dados de funcionários ao longo do ciclo de RH.

Os princípios fundamentais aplicáveis ​​aos dados de RH

O GDPR impõe seis princípios fundamentais codificados no Artigo 5: legalidade, lealdade, transparência, limitação de finalidades, minimização, precisão, limitação de retenção e integridade/confidencialidade. Na prática, isto significa que o departamento de RH só pode recolher os dados estritamente necessários para uma finalidade específica. Por exemplo, pedir o número da segurança social no momento da candidatura é desproporcional: só se justifica após a contratação para o DSN.

A CNIL, através da sua deliberação nº. 2019-160 relativa à gestão de pessoal, especifica os períodos de conservação recomendados: 2 anos para candidaturas sem sucesso (salvo consentimento), 5 anos após a saída para o processo administrativo, 6 anos para recibos de vencimento na versão empregador.

Base legal e informações para funcionários

Ao contrário da crença popular, o consentimento raramente é a base legal adequada em RH, devido à relação de subordinação. Os fundamentos relevantes são antes a execução do contrato de trabalho (artigo 6.1.b), a obrigação legal (artigo 6.1.c) ou o interesse legítimo (artigo 6.1.f). Para dados sensíveis (saúde, sindicato), o artigo 9.º exige uma base específica, como a obrigação em termos de legislação laboral.

O empregador deve fornecer informações claras através de um aviso GDPR dado no momento da contratação, atualizar o registro de processamento (artigo 30) e consultar o CSE antes de qualquer novo processamento que afete os funcionários (artigo L.2312-38 do Código do Trabalho).

Segurança e direitos dos colaboradores

A segurança técnica e organizacional (artigo 32) exige: criptografia do SIRH, controle de acesso por perfil, rastreabilidade das consultas, cláusulas de confidencialidade com subcontratantes de folha de pagamento ou recrutamento (artigo 28). Em caso de violação, notificação à CNIL no prazo de 72 horas.

Os colaboradores têm direitos reforçados: acesso, retificação, apagamento (limitado por obrigações legais de retenção), portabilidade, oposição. Um procedimento interno deve permitir uma resposta no prazo máximo de um mês. A recusa de acesso ao processo disciplinar deverá ser juridicamente justificada.

Exemplos práticos

Exemplo 1 – Recrutamento:Uma PME manteve os currículos de todos os candidatos numa pasta partilhada durante 5 anos. Não conforme: duração excessiva, falta de segurança. Solução: eliminação automatizada após 2 anos, acesso restrito aos recrutadores, menção ao GDPR na oferta de emprego.

Exemplo 2 – Vigilância por vídeo:Um armazém logístico filma continuamente as estações de trabalho. Possível sanção (a CNIL sancionou a Amazon France Logistique no valor de 32 milhões de euros em 2024). Solução: limite a áreas sensíveis, informações individuais, consulta ao CSE, prazo de conservação máximo de um mês.

Exemplo 3 – Ferramentas colaborativas:A implantação do Microsoft 365 requer uma análise de impacto (AIPD) caso as funções de monitoramento estejam ativadas, bem como uma cláusula de subcontratação compatível com o editor.

Compliance e sanções

Além das multas da CNIL, o empregador está exposto a ações judiciais industriais por invasão de privacidade (artigo 9º do Código Civil, artigo L.1121-1 do Código do Trabalho). A designação de um DPO é obrigatória para entidades que processam dados em grande escala. Um mapeamento anual do processamento de RH, aliado à capacitação dos gestores, constitui a melhor proteção jurídica e operacional.

Conclusão

A conformidade com o GDPR em RH não é um projeto único, mas um processo contínuo de melhoria. Entre obrigações legais, direitos dos funcionários e desempenho operacional, os gestores de RH devem gerir rigorosamente a governação de dados. Investir em um HRIS compatível, treinar equipes e documentar cada processamento transforma as restrições regulatórias em uma alavanca de confiança dos funcionários.