GLA | Gusmão & Lima Advogados
LGPD nas Relações de Trabalho: Guia Completo para Empresas
Voltar para o Blog

LGPD nas Relações de Trabalho: Guia Completo para Empresas

31 de março de 2026
por GLA Advogados

Por Que a LGPD Se Aplica às Relações de Trabalho

A Lei Geral de Proteção de Dados (Lei 13.709/2018) não faz distinção entre dados de clientes e dados de empregados. O artigo 3º da lei é claro: seu âmbito de aplicação alcança qualquer operação de tratamento de dados pessoais realizada no território nacional, independentemente da natureza do vínculo com o titular.

Isso significa que o empregador é controlador de dados de seus colaboradores para todos os efeitos da LGPD. Candidatos em processos seletivos, empregados ativos e ex-colaboradores — todos são titulares de dados com direitos garantidos pela lei.

Diferentemente do GDPR europeu, que prevê exceções específicas para o contexto trabalhista, a LGPD brasileira não possui capítulo dedicado às relações de trabalho. O regime geral da lei se aplica integralmente, sem atenuações. Essa característica torna o compliance trabalhista de dados especialmente exigente.

O Fluxo de Dados no Ciclo de Vida do Emprego

A relação de trabalho gera um volume contínuo e expressivo de dados pessoais — muitos deles sensíveis. Entender esse fluxo é o primeiro passo para a conformidade.

Fase de recrutamento e seleção

  • Currículos com dados pessoais, histórico profissional e formação acadêmica
  • Dados sensíveis potencialmente coletados: origem racial, condições de saúde, estado civil, filiação religiosa
  • Consultas a antecedentes criminais e verificações de crédito (quando permitidas)
  • Informações coletadas em entrevistas e testes psicológicos

Risco principal: coleta excessiva de dados. O princípio da necessidade (art. 6º, III da LGPD) exige que o tratamento seja limitado ao mínimo necessário para a finalidade pretendida.

Fase contratual (emprego ativo)

  • Dados cadastrais: nome, CPF, endereço, dados bancários
  • Dados de saúde: atestados médicos, exames ocupacionais (ASO), afastamentos
  • Controle de jornada: registros de ponto, inclusive biométricos
  • Dados de benefícios: plano de saúde (incluindo dependentes), vale-transporte, vale-alimentação
  • Monitoramento eletrônico: e-mails corporativos, navegação, geolocalização

Risco principal: tratamento de dados sensíveis sem base legal adequada e compartilhamento indevido com terceiros (operadoras de plano, gestoras de benefícios, sindicatos).

Fase pós-contratual

  • Arquivamento de documentos trabalhistas pelo prazo legal (até 5 anos para verbas trabalhistas, 20 anos para FGTS)
  • Fornecimento de referências profissionais
  • Portabilidade de dados do ex-colaborador

Risco principal: retenção de dados além do prazo necessário e falta de política de descarte.

Bases Legais Aplicáveis

A LGPD exige que cada operação de tratamento tenha uma base legal identificada (art. 7º). No contexto trabalhista, as principais são:

Cumprimento de obrigação legal ou regulatória (art. 7º, II)

A base mais utilizada nas relações de trabalho. Abrange:

  • Registro do empregado (CLT, art. 41)
  • Recolhimento de FGTS e INSS
  • Envio de informações ao eSocial
  • Retenção de Imposto de Renda na fonte
  • Emissão de CAT (Comunicação de Acidente de Trabalho)

Execução de contrato (art. 7º, V)

Aplica-se ao tratamento necessário para a execução do contrato de trabalho:

  • Pagamento de salários e benefícios
  • Gestão de férias e licenças
  • Administração de plano de saúde

Legítimo interesse (art. 7º, IX)

Pode fundamentar tratamentos que não se enquadram nas bases anteriores, desde que respeitados os direitos do titular:

  • Monitoramento de e-mail corporativo (com ciência prévia do empregado)
  • Câmeras de segurança em áreas comuns
  • Avaliações de desempenho

Consentimento (art. 7º, I)

Atenção: o consentimento é a base legal mais frágil no contexto trabalhista. A assimetria de poder na relação de emprego compromete a liberdade do empregado para consentir livremente. A ANPD e a doutrina recomendam que o consentimento seja utilizado apenas quando não houver outra base legal aplicável — e nunca como base única para tratamentos essenciais ao vínculo.

Dados Sensíveis: Atenção Redobrada

O artigo 11 da LGPD estabelece regras mais restritivas para o tratamento de dados sensíveis, que incluem informações sobre saúde, biometria, origem racial, convicção religiosa e filiação sindical — todos presentes no ambiente de trabalho.

Biometria no controle de ponto

O uso de ponto biométrico (digital ou facial) implica tratamento de dado sensível. A base legal mais adequada é o cumprimento de obrigação legal (registro de jornada, conforme CLT e Portaria MTP 671/2021). Ainda assim, a empresa deve:

  • Informar claramente o empregado sobre a coleta e a finalidade
  • Garantir a segurança dos dados biométricos com criptografia e controle de acesso
  • Não utilizar os dados para finalidades diversas do controle de jornada

Atestados médicos e dados de saúde

Atestados médicos contêm dados sensíveis (CID, diagnóstico). O tratamento é justificado pelo cumprimento de obrigação legal (abono de faltas) e pela proteção da saúde do trabalhador. Contudo:

  • O acesso ao diagnóstico (CID) deve ser restrito ao médico do trabalho ou ao RH, na medida necessária
  • O compartilhamento com gestores diretos deve ser limitado à informação de que houve afastamento, sem detalhes clínicos
  • O armazenamento deve observar prazos legais e medidas de segurança proporcionais

Filiação sindical

A informação sobre filiação sindical é dado sensível. Seu tratamento é necessário para o cumprimento de obrigações legais (desconto de contribuição sindical) e para a execução de normas coletivas, mas não pode ser utilizada para discriminação.

Direitos dos Empregados como Titulares de Dados

O artigo 18 da LGPD garante aos titulares — incluindo empregados ativos — os seguintes direitos:

  • Acesso aos dados pessoais tratados pelo empregador
  • Correção de dados incompletos, inexatos ou desatualizados
  • Eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei
  • Portabilidade dos dados a outro fornecedor de serviço
  • Informação sobre com quem os dados foram compartilhados
  • Revogação do consentimento, quando esta for a base legal

A empresa deve ter um canal acessível para que os empregados exerçam esses direitos e deve responder dentro dos prazos legais.

Sanções e Consequências do Descumprimento

Administrativas (ANPD)

A Autoridade Nacional de Proteção de Dados pode aplicar:

  • Advertência
  • Multa simples de até 2% do faturamento, limitada a R$ 50 milhões por infração
  • Multa diária
  • Publicização da infração (dano reputacional)
  • Bloqueio ou eliminação dos dados pessoais
  • Suspensão do exercício da atividade de tratamento

A ANPD tem intensificado a fiscalização: em 2024, notificou 20 empresas de grande porte por descumprimento de obrigações da LGPD, e processos sancionadores já foram concluídos com aplicação de multas.

Trabalhistas

A Justiça do Trabalho tem acolhido pedidos de indenização por dano moral decorrentes de violações à LGPD, incluindo:

  • Compartilhamento indevido de dados pessoais de empregados
  • Monitoramento excessivo sem ciência prévia
  • Coleta de dados desnecessários em processos seletivos
  • Exposição de dados de saúde a terceiros não autorizados

O TST já analisou cláusulas normativas que determinavam o repasse de dados pessoais de empregados a terceiros, reforçando os limites impostos pela LGPD nas negociações coletivas.

Checklist de Conformidade para Empresas

Para estruturar um programa de compliance de dados nas relações de trabalho, recomenda-se:

  1. Mapear todos os dados pessoais tratados no ciclo de vida do emprego (seleção, admissão, execução, desligamento, pós-contrato)
  2. Identificar a base legal para cada categoria de tratamento
  3. Incluir cláusula de proteção de dados no contrato de trabalho, informando o empregado sobre finalidades, bases legais e compartilhamentos
  4. Revisar contratos com operadores (operadoras de saúde, gestoras de benefícios, empresas de folha) para incluir obrigações da LGPD
  5. Implementar controles de acesso: limitar quem pode acessar dados sensíveis (RH, médico do trabalho, jurídico)
  6. Criar política de retenção e descarte: definir prazos de armazenamento alinhados às obrigações legais e eliminar dados desnecessários
  7. Designar um encarregado (DPO): obrigatório para empresas que tratam dados em larga escala
  8. Treinar equipes: RH, gestores e TI devem conhecer as obrigações da LGPD no contexto trabalhista
  9. Estabelecer canal de atendimento para exercício de direitos dos titulares
  10. Documentar todas as decisões: a LGPD exige accountability — a capacidade de demonstrar conformidade

Conclusão

A LGPD nas relações de trabalho não é um tema futuro — é uma obrigação presente, com fiscalização ativa e jurisprudência em formação. Empresas que estruturam seus processos de RH com bases legais claras, controles de acesso adequados e documentação robusta reduzem significativamente o risco de sanções administrativas e condenações trabalhistas.

O investimento em conformidade é também um investimento em confiança: empregados que sabem que seus dados são tratados com respeito tendem a ter maior engajamento e lealdade à organização.

Consulte a GLA Advogados para uma análise personalizada da sua situação.

Precisa de orientação jurídica especializada?

Solicite uma análise do cenário jurídico trabalhista da sua organização.

Solicitar Análise Jurídica