BlogGuia Técnico
Guia Técnico28 de abril de 2026· 12 min de leitura

LGPD no RH: guia prático para DPOs e gestores de pessoas

O que a Lei Geral de Proteção de Dados significa para o departamento de RH, quais dados exigem atenção e como estruturar um programa de conformidade sem contratar consultoria externa.

FR
Fernanda Reis
Jurídico & Compliance · PRIEZA
LGPD no RH: guia prático para DPOs e gestores de pessoas

Por que o RH é uma área crítica para LGPD


O departamento de RH trata alguns dos dados pessoais mais sensíveis existentes: nome completo, CPF, dados bancários, endereço residencial, informações de saúde (atestados, CID), dados biométricos (ponto) e até informações sobre dependentes.


A Lei Geral de Proteção de Dados (Lei 13.709/2018) impõe obrigações específicas sobre como esses dados são coletados, tratados, armazenados e descartados.


Os dados mais críticos no RH e suas bases legais


A LGPD permite o tratamento de dados pessoais quando existe uma base legal (Art. 7°). Para o RH, as principais são:


|------|-----------|


Dado sensível: saúde, biometria e informações de dependentes são dados sensíveis (Art. 11) e exigem cuidados adicionais — base legal específica e medidas de segurança reforçadas.


As 5 maiores falhas de LGPD que encontramos em RHs brasileiros


1. Dados biométricos sem consentimento explícito


Muitas empresas coletam digital ou face para ponto sem consentimento escrito e específico para essa finalidade. O consentimento genérico no contrato de trabalho não é suficiente para dados biométricos.


Solução: Termo específico de consentimento para dados biométricos, com descrição da finalidade (controle de ponto), período de retenção e direito de retirada.


2. Retenção indefinida de dados de ex-funcionários


Dados de ex-colaboradores devem ser retidos pelo prazo legal (5 anos para folha, 10 anos para registros de acidente de trabalho) e depois eliminados ou anonimizados.


Solução: Política de retenção documentada e sistema que executa o descarte automaticamente.


3. Acesso sem controle de logs


Qualquer analista com acesso ao sistema pode visualizar dados sensíveis sem rastreamento. Em caso de incidente, é impossível identificar quem acessou o quê.


Solução: Controle de acesso por perfil com logs imutáveis de quem acessou quais dados e quando.


4. Planilhas com dados pessoais circulando por e-mail


Excel com CPFs, salários e dados bancários sendo enviados por e-mail é um risco crítico — tanto de vazamento quanto de não rastreabilidade de acesso.


Solução: Centralizar dados pessoais em sistema com controle de acesso. Relatórios com dados pessoais devem ter acesso auditado.


5. Sem processo para atender direitos dos titulares


A LGPD garante aos colaboradores o direito de acessar, corrigir, portar e solicitar exclusão de seus dados. Sem processo documentado, você não consegue atender em 15 dias (prazo legal).


Solução: Canal de solicitação documentado (pode ser e-mail para o DPO) com registro de prazo e resposta.


Como montar um programa mínimo de LGPD para o RH


Fase 1 — Inventário (1 a 2 semanas)

- Liste todas as categorias de dados pessoais que o RH trata

- Para cada categoria, identifique: onde está armazenado, quem tem acesso, qual a base legal e qual o prazo de retenção


Fase 2 — Lacunas (1 semana)

- Compare seu inventário com os requisitos da LGPD

- Liste as lacunas (sem base legal documentada, sem prazo de retenção, acesso sem log)


Fase 3 — Correção (variável)

- Priorize as lacunas por risco (dados sensíveis primeiro)

- Implemente correções: termos de consentimento, política de retenção, controle de acesso


Fase 4 — Monitoramento contínuo

- Revisão anual do inventário

- Treinamento periódico da equipe

- Simulação de resposta a incidentes


O papel do sistema de RH na conformidade


Um sistema de RH moderno deve ser um aliado da conformidade, não um obstáculo. Procure:


- Logs de acesso imutáveis: registro de quem acessou quais dados e quando

- Controle de acesso granular: cada perfil vê apenas o que precisa

- Política de retenção configurável: descarte automático após prazo definido

- Criptografia e salvaguardas LGPD: dados protegidos em trânsito e em repouso, com salvaguardas para transferência internacional


A PRIEZA foi desenhada com esses requisitos desde o início — não como add-on, mas como fundação.

Tags:lgpdcomplianceprivacidadeguia
FR
SOBRE O AUTOR
Fernanda Reis
Jurídico & Compliance · PRIEZA

Especialista em automação de RH e integração de sistemas de gestão de pessoas com ERPs. Há 8 anos ajudando empresas brasileiras a modernizar seus processos.

Preço por colaborador · Cartão ou Boleto

Pronto para um RH que não trava?

Implantação assistida em 14 dias com conector TOTVS incluso. Trazemos os dados do seu ERP atual e treinamos seu time.

Migração assistidaImplantação em 14 diasConector TOTVS incluso