Todos os cursos > Administração, Negócios e Marketing > Recursos Humanos ::

Confidencialidade no RH e Noções Práticas de LGPD para Rotinas Diárias

Capítulo 9

Tempo estimado de leitura: 11 minutos

O que é confidencialidade no RH (na prática)

No RH, confidencialidade é o conjunto de cuidados para que informações de colaboradores e candidatos sejam acessadas e usadas apenas por quem precisa, pelo tempo necessário e para uma finalidade legítima do trabalho. Isso inclui evitar exposição acidental (comentários, e-mails com anexos errados, documentos na impressora) e também reduzir riscos de vazamento, fraude e uso indevido.

Na rotina, pense em três perguntas antes de coletar, registrar, enviar ou comentar qualquer informação: (1) Eu realmente preciso desse dado? (2) Para qual finalidade específica? (3) Quem precisa ter acesso?

Noções práticas de LGPD aplicadas ao dia a dia do RH

Dados pessoais x dados pessoais sensíveis (exemplos comuns no RH)

Dado pessoal é qualquer informação que identifique ou possa identificar alguém. No RH, exemplos: nome, CPF, RG, endereço, telefone, e-mail pessoal, data de nascimento, número de matrícula, dados bancários, dependentes, salário, avaliações internas.

Dado pessoal sensível exige cuidado reforçado. Exemplos frequentes: informações de saúde (atestados com CID, laudos), biometria (se usada para ponto/acesso), dados sobre deficiência (PCD), filiação sindical (quando aplicável), informações sobre origem racial/étnica (quando coletadas), convicções religiosas (quando inferidas por pedidos específicos), dados de vida sexual (ex.: dependente para plano com informações médicas).

Princípios que viram regras simples

Coleta mínima necessária: não peça “por precaução”. Peça o que é necessário para cumprir uma rotina específica.
Finalidade: deixe claro por que o dado é solicitado (ex.: cadastro em benefício, registro trabalhista, pagamento).
Acesso restrito: acesso por necessidade (need-to-know). Nem todo gestor precisa ver tudo.
Segurança: proteger contra acesso indevido, perda e exposição (digital e físico).
Compartilhamento com necessidade: só com quem precisa executar a tarefa e no mínimo de informação.
Rastreabilidade: registrar quando e por que dados foram enviados/compartilhados (especialmente sensíveis).

Como tratar dados no RH: passo a passo por etapa

1) Coleta (formulários, e-mail, presencial)

Objetivo: coletar apenas o necessário, com clareza de finalidade e canal seguro.

Continue em nosso aplicativo e ...

Ouça o áudio com a tela desligada
Ganhe Certificado após a conclusão
+ de 5000 cursos para você explorar!

ou continue lendo abaixo...

Baixar o aplicativo

Defina a finalidade antes de pedir: “preciso do dado para X”. Evite pedidos genéricos como “mande todos os documentos”.
Use lista objetiva: solicite itens específicos e explique o motivo quando fizer sentido (ex.: “dados bancários para pagamento”).
Evite coletar sensíveis sem necessidade: por exemplo, não pedir laudo médico se a rotina exige apenas o atestado de afastamento sem detalhes.
Escolha canal adequado: preferir envio por canal corporativo aprovado. Se for e-mail, aplicar regras de segurança (ver seção de e-mail).
Registre o recebimento: anote data, canal e responsável. Para sensíveis, registre também a finalidade e quem terá acesso.

Exemplo prático (boa prática): “Para cadastrar você no plano de saúde, preciso: nome completo, CPF, data de nascimento e grau de parentesco dos dependentes. Envie apenas esses dados.”

Exemplo (má prática): “Manda foto de todos os documentos seus e da família para eu ver o que precisa.”

2) Uso e consulta (no atendimento e nas rotinas internas)

Objetivo: usar o dado somente para a tarefa informada e evitar exposição no atendimento.

Abra apenas o necessário: se o colaborador pediu 2ª via de um documento, não deixe aberto na tela histórico completo, salário e dados bancários.
Evite comentar casos: não discutir situação de saúde, advertências, salário ou dados familiares em áreas comuns.
Confirme identidade quando necessário: antes de passar qualquer informação, valide se quem solicita é o titular ou alguém autorizado (ver guia “pode/não pode”).
Use linguagem neutra: em vez de “o atestado com CID”, use “documento médico” quando não for necessário detalhar.

3) Armazenamento seguro (digital e físico)

Objetivo: reduzir risco de acesso indevido, perda e vazamento.

Digital: usar pastas corporativas com controle de acesso; evitar salvar em área pública, desktop compartilhado ou pendrive pessoal; proteger com senha quando aplicável; manter antivírus e bloqueio de tela.
Físico: guardar documentos em armário trancado; evitar deixar pilhas em mesas; retirar impressões imediatamente; usar capa/envelope para documentos sensíveis.

Regra de ouro: se você não deixaria o documento “em cima da mesa” para qualquer pessoa ver, não deixe em uma pasta digital com acesso amplo.

4) Compartilhamento (interno e com terceiros)

Objetivo: compartilhar somente o mínimo necessário, com destinatário correto e registro.

Verifique necessidade: o destinatário precisa mesmo desse dado para executar a tarefa?
Minimize: envie apenas o trecho/arquivo necessário (ex.: comprovante de afastamento sem anexar laudo completo).
Confirme destinatários: atenção a grupos, listas e “responder a todos”.
Proteja o envio: preferir link com acesso restrito; se anexo, usar senha e enviar a senha por canal separado.
Registre: anote data, o que foi enviado, para quem e por qual motivo (especialmente sensíveis).

Exemplo (boa prática): para a contabilidade, enviar apenas dados necessários para folha, sem anexar documentos pessoais que não impactam o cálculo.

Exemplo (má prática): enviar dossiê completo do colaborador para um gestor “para ele se inteirar”.

5) Retenção e descarte

Objetivo: manter dados apenas pelo tempo necessário e descartar com segurança.

Não descarte no lixo comum documentos com dados pessoais (ex.: CPF, endereço, dados bancários, atestados).
Use fragmentadora ou descarte seguro definido pela empresa (coleta confidencial).
Digital: ao excluir, verifique se não há cópias em e-mail, downloads e pastas temporárias; evite duplicidade de arquivos.
Se houver política interna de prazos, siga-a. Se não houver, não “apague por conta própria” documentos que podem ter obrigação legal de guarda; acione o responsável (DP/Jurídico/DPO/Encarregado).

Regras práticas para situações comuns

Envio de documentos por e-mail (checklist rápido)

Assunto neutro: evite mencionar “doença”, “advertência”, “demissão”. Prefira “Documentação solicitada” ou “Atualização cadastral”.
Destinatário correto: confira o e-mail letra por letra; cuidado com autocomplete.
Evite CC desnecessário: use CC apenas quando houver necessidade real; evite grupos amplos.
Preferir link com acesso restrito (pasta corporativa) em vez de anexos, quando possível.
Se anexo sensível: PDF com senha + senha enviada por outro canal (ex.: mensagem corporativa/telefone).
Não encaminhar e-mails antigos que contenham histórico desnecessário (thread com dados extras).
Antes de enviar: revise anexos (nome do arquivo e conteúdo). Erro comum: anexar documento de outra pessoa.

Modelo de texto (objetivo e seguro):

Olá, [Nome]. Segue o documento solicitado para [finalidade]. Caso precise de mais alguma informação, me avise.

Observação: evite inserir dados pessoais no corpo do e-mail (CPF, endereço, dados bancários). Prefira anexos protegidos ou canal seguro.

Impressão e manuseio de papel

Imprima apenas se necessário e retire imediatamente da impressora.
Não deixe em bandejas ou mesas compartilhadas.
Use envelope para transportar documentos com dados sensíveis.
Rascunhos contam: folhas de teste com dados devem ser descartadas com segurança.

Descarte seguro (papel e mídia)

Papel: fragmentar/triturar ou usar descarte confidencial.
Mídias: pendrives e HDs devem seguir procedimento interno; não “formatar e doar” equipamentos sem orientação de TI.
Etiquetas e envelopes: rasgar/remover dados visíveis (nome, endereço, CPF) antes de descartar.

Acesso a pastas e sistemas (regras de bolso)

Princípio do menor privilégio: cada pessoa acessa apenas o que precisa.
Não compartilhar login/senha e não deixar sessão aberta.
Bloqueio de tela ao sair da mesa, mesmo por poucos minutos.
Evite baixar arquivos para dispositivos pessoais.
Controle de permissões: se alguém pede acesso, registre o pedido e valide com responsável.

Atendimentos presenciais e por telefone

Ambiente: evite falar de assuntos sensíveis em recepção/corredor.
Tom e discrição: não repita em voz alta dados como CPF, salário, diagnóstico.
Documentos na mesa: mantenha virados para você; não deixe outros colaboradores verem.
Telefone: antes de informar qualquer dado, confirme identidade com perguntas de validação definidas internamente (ex.: matrícula + dado não público). Se não houver procedimento, encaminhe para canal oficial.

Guia de boas práticas: o que pode e o que não pode ser compartilhado

Situação	Pode	Não pode
Gestor pede informação sobre atestado	Informar apenas o necessário para gestão de ausência (período de afastamento e status de entrega do documento), conforme regra interna	Compartilhar CID, detalhes de laudo, histórico médico
Gestor pede salário de um colaborador	Seguir política interna: se houver necessidade formal (ex.: orçamento/estrutura), fornecer via canal oficial e com registro	Informar informalmente, em conversa de corredor, ou enviar planilha completa sem necessidade
Colaborador pede dados de outro colaborador	Orientar a procurar o próprio colega ou canal oficial (se aplicável) sem repassar dados pessoais	Passar telefone, endereço, e-mail pessoal, salário, situação disciplinar
Envio para fornecedor (benefício/medicina/contabilidade)	Enviar somente campos necessários para execução do serviço, preferindo canal seguro	Enviar dossiê completo, documentos extras, ou incluir pessoas em CC sem necessidade
Comunicado interno sobre afastamento	Informar de forma genérica (ex.: “ausente por motivo pessoal/saúde” se necessário)	Detalhar diagnóstico, tratamento, condição de saúde
Pedido de documento por e-mail	Solicitar lista mínima e orientar envio seguro	Pedir “tudo que tiver”, aceitar foto de documentos sensíveis em grupos informais

Consentimento e registros: quando se aplica e como registrar

Em muitas rotinas de RH, o tratamento de dados ocorre por necessidade contratual, legal/regulatória ou para execução de políticas internas. Ainda assim, pode haver situações em que consentimento seja usado (por exemplo, uso de imagem em materiais internos/externos, participação em ações não obrigatórias, divulgação de dados em canais não essenciais).

Boas práticas quando o consentimento for aplicável:

Seja específico: consentimento para uma finalidade (ex.: “uso de foto em mural interno por 6 meses”).
Registre: data, finalidade, canal (formulário/termo), responsável e como o colaborador pode revogar.
Guarde o comprovante em local com acesso restrito.
Não condicione direitos básicos do colaborador a consentimento para algo opcional.

Procedimento em caso de incidente (perda, envio errado, exposição)

O que é incidente no RH

Qualquer evento que gere risco aos dados pessoais: e-mail enviado ao destinatário errado, planilha anexada incorretamente, documento esquecido na impressora, notebook extraviado, pasta com permissões abertas, conversa com dados sensíveis em local público, acesso indevido ao sistema.

Passo a passo imediato (primeiras ações)

Conter: se foi e-mail, tentar recall (se disponível), pedir exclusão imediata ao destinatário e interromper novos envios; se foi pasta, remover permissões; se foi papel, recolher o documento.
Preservar evidências: não “apagar tudo” sem orientação. Guarde informações: data/hora, o que foi exposto, para quem, quantas pessoas, prints/logs se aplicável.
Comunicar internamente: acionar o responsável definido (liderança do RH, TI e Encarregado/DPO, se houver). Use canal oficial e registre o chamado.
Avaliar impacto: quais dados foram envolvidos (pessoais/sensíveis), quantidade de titulares, risco de fraude/discriminação.
Mitigar: trocar senhas, invalidar links, solicitar bloqueio de conta, orientar o titular se houver risco (ex.: tentativa de golpe).
Registrar o incidente: preencher registro interno com causa provável e ações tomadas.

Modelo de registro interno (campos mínimos)

Data/hora do incidente
Como ocorreu (ex.: e-mail com anexo errado)
Tipo de dados envolvidos (pessoais/sensíveis)
Quantidade de pessoas afetadas
Quem teve acesso (destinatário/grupo/pasta)
Ações de contenção e mitigação
Responsáveis acionados (RH/TI/DPO)
Medidas preventivas (ex.: revisão de permissões, treinamento, ajuste de processo)

Checklist diário do assistente de RH (confidencialidade e LGPD)

Antes de pedir um dado: preciso mesmo? qual finalidade?
Antes de enviar: conferir destinatário, anexo, CC e histórico do e-mail.
Evitar dados pessoais no corpo do e-mail; preferir canal seguro/anexo protegido.
Bloquear tela ao sair e não compartilhar credenciais.
Retirar impressões imediatamente e guardar papéis em local trancado.
Descartar rascunhos e cópias com fragmentação/descarte confidencial.
Em atendimento presencial: falar baixo, evitar áreas comuns e não expor documentos na mesa.
Se algo der errado: conter, registrar e comunicar rapidamente.

Agora responda o exercício sobre o conteúdo:

Ao precisar enviar informações de um colaborador para um fornecedor (ex.: benefício/contabilidade), qual conduta está mais alinhada às boas práticas de confidencialidade e LGPD no RH?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A prática correta é aplicar coleta/compartilhamento mínimos, acesso restrito e segurança no envio. Deve-se enviar somente o necessário para a finalidade, reduzir exposição e, especialmente para dados sensíveis, manter rastreabilidade (data, motivo e destinatário).