Blog Conecta SIMPI

A Lei Geral de Proteção de Dados Pessoais – LGPD (nº 13.709/2018) estabelece como as empresas devem coletar, usar, armazenar e eliminar dados pessoais de pessoas — por exemplo, de colaboradores, candidatos e prestadores — no dia a dia do RH e das demais áreas.

A fiscalização saiu do papel: a ANPD (Autoridade Nacional de Proteção de Dados) aplicou a primeira multa em 2023 (inclusive a uma microempresa) e, em 2024, iniciou uma operação fiscalizando várias empresas por duas falhas básicas: não ter um responsável claro por privacidade e não disponibilizar um canal de comunicação com os titulares (ou seja, e-mail/telefone/formulário para que qualquer pessoa peça acesso, correção ou esclarecimentos sobre seus dados). Em 2025, as cobranças continuaram, com foco em “arrumar a casa”, isto é: 

(i) Canal de comunicação com titulares, visível e funcional: é o e-mail/telefone/formulário por onde qualquer colaborador ou candidato pede acesso, correção ou esclarecimento sobre seus dados. A ANPD exige esse ponto de contato e regulou prazos e forma de comunicação em caso de incidentes (Res. CD/ANPD nº 15/2024). 

Exemplo: privacidade@empresa.com.br com prazo de resposta definido e registro das demandas. 

(ii) Responsável por privacidade identificado: na LGPD o nome oficial é “Encarregado pelo tratamento de dados pessoais” (em inglês, DPO – Data Protection Officer). A base legal está no art. 41 da LGPD, que manda divulgar publicamente a identidade e o contato do Encarregado e define suas atribuições (atender titulares, receber comunicações da ANPD, orientar a empresa). Para empresas de pequeno porte, a Res. CD/ANPD nº 2/2022 permite dispensar a nomeação formal do Encarregado desde que exista um canal de contato, mas nomear alguém continua sendo boa prática. 

Quem pode ser? Em empresas de pequeno porte, costuma ser alguém da área administrativa, jurídica, de processos e compliance, ou do RH — ou ainda um serviço terceirizado — com acesso direto à direção para resolver pendências com agilidade.

(iii) Registros básicos do que o RH faz com dados (ROPA). ROPA é a sigla de Registro das Operações de Tratamento, termo que vem do art. 37 da LGPD (o controlador e o operador devem manter esse inventário). Para pequeno porte, a Res. CD/ANPD nº 2/2022 autoriza um registro simplificado e a própria ANPD disponibiliza modelo em planilha: uma linha por processo (recrutamento/ATS, admissão/PCMSO, ponto/biometria, folha/benefícios, monitoramento), informando finalidade, base legal, quem acessa, prazo de retenção, segurança e terceiros. 

Quem é o “responsável por privacidade” e por que isso existe?

No texto da lei ele aparece como o cargo de Encarregado (em inglês, DPO – Data Protection Officer). Tradução simples: é o responsável por privacidade, a pessoa que recebe pedidos e dúvidas sobre dados (ex.: “quero ver/corrigir meus dados”; “por quanto tempo a empresa guarda minhas imagens do CFTV?”) e orienta a empresa.

Como funciona nas empresas menores?

Pode nomear alguém da equipe para a função ou optar por não nomear formalmente e manter apenas um canal de contato público (e-mail/telefone). Em qualquer cenário, a orientação da ANPD é tornar esse contato visível (site, mural, política interna), pois é o primeiro ponto verificado em fiscalizações.

• Texto pronto para site/mural (com Encarregado nomeado). Segue um exemplo abaixo:

“Nos termos da LGPD, a empresa designa [NOME] como Responsável por Privacidade (Encarregado – DPO). Contato: privacidade@[empresa].com.br | (xx) xxxx-xxxx.”

• Texto pronto para site/mural (sem nomeação formal – pequeno porte):

“A empresa mantém o Canal de Privacidade para solicitações e dúvidas sobre dados pessoais. Contato: privacidade@[empresa].com.br | (xx) xxxx-xxxx.”

LGPD no RH: em quais rotinas os dados aparecem (e exigem cuidado)

• Recrutamento (ATS, e-mail, WhatsApp): currículos, contatos, etapas do processo.
• Admissão e saúde ocupacional (PCMSO/ASO): documentos, dados bancários e dados de saúde (categoria sensível).
• Ponto e biometria: horários, impressões digitais/rosto.
• Folha e benefícios: salários, dependentes, plano de saúde.
• Monitoramento corporativo: CFTV, acessos, e-mail/dispositivos da empresa.
   

Em cada processo de RH, preencha quatro campos: 

(1) finalidade (para que serve), (2) acesso (quem pode ver), (3) retenção (por quanto tempo guarda) e (4) compartilhamento (com quem divide — folha, clínica ocupacional, fornecedor do ponto etc.). A ANPD disponibiliza modelos simplificados em planilha, o ROPA (Registro das Operações de Tratamento) — pensados para micro e pequenas empresas.

Como organizar. Mantenha uma planilha-mãe (ROPA) com cinco linhas, cada uma representando um processo de RH: Recrutamento, Admissão/Exames, Ponto/Biometria, Folha/Benefícios e Monitoramento. Em cada linha, preencha os quatro campos acima (finalidade, acesso, retenção e compartilhamento). Assim você tem um mapa único e auditável para qualquer checagem.

O que costuma dar problema (e como resolver de forma prática)?

1) Ninguém sabe com quem falar sobre dados

• Problema: colaboradores e candidatos não têm um contato claro para pedir acesso/correção de dados.
• Como resolver: publique um e-mail/telefone de privacidade (ex.: privacidade@empresa.com.br) e um prazo de resposta (ex.: até 15 dias).
• Prova que funciona: print do site/mural + planilha simples registrando pedidos (data de entrada, quem respondeu, data de resposta).
   

2) Guardar dado demais por tempo demais

• Problema: imagens de câmera (CFTV) ficam meses; currículos nunca são apagados; exames ficam sem prazo.
• Como resolver: defina prazos de retenção e apague no fim do prazo. Referência prática:
  CFTV: conservar apenas pelo tempo estritamente necessário à finalidade de segurança e apagar automaticamente ao fim desse período; preservar somente em caso de investigação, ordem de autoridade ou exercício regular de direitos.
  Currículos: manter até a conclusão do processo seletivo. Se houver banco de talentos, coletar autorização específica do candidato e informar claramente o período de conservação e a possibilidade de revogação a qualquer tempo.
  Exames ocupacionais (PCMSO/ASO): observar o prazo legal mínimo da NR-7 (manutenção do prontuário por 20 anos após o desligamento).
  Prova que funciona: uma tabela de prazos + registros de eliminação (ex.: relatório mensal).

3) Acesso livre a informações sensíveis

• Problema: muita gente enxerga laudos médicos, folha e benefícios no mesmo lugar; senhas compartilhadas.
• Como resolver: acesso por perfil e pastas separadas:
  Pasta médica só para a medicina do trabalho;
  Folha separada de benefícios;
  Nada de senha compartilhada; habilite logs.
  Prova que funciona: lista de quem acessa o quê + capturas das permissões.

4) Contratos com fornecedores sem proteção

• Problema: ponto biométrico, folha, clínica e ATS têm dados, mas os contratos não falam de segurança.
• Como resolver: faça um aditivo com cláusulas: confidencialidade, medidas de segurança, registro de acessos (logs), aviso de incidente em X horas, subcontratados aprovados por você.
  Prova que funciona: aditivos assinados + checklist de fornecedores críticos (ponto, folha, ATS, clínica).

5) Biometria/CFTV (e IA no recrutamento) sem avaliação de risco

• Problema: usar digital/rosto, câmeras e triagem automática de currículos sem explicar necessidade e controles.
• Como resolver: faça um RIPD curto (relatório de riscos) para biometria, CFTV/geolocalização e IA (se houver), cobrindo:
  Porque é necessário e se há opção menos invasiva;
  Riscos (vazamento, acesso indevido, viés) e controles (criptografia, acesso por perfil, retenção curta, revisão humana);
  Plano de ação (quem faz, até quando).
• Prova que funciona: RIPD assinado + política simples de CFTV (prazo e quem acessa).
   

Oferecer transparência ao titular (colaborador ou candidato) demonstra organização e boa-fé, padroniza a comunicação — evitando respostas improvisadas —, viabiliza o cumprimento prático da LGPD (direitos, finalidade, retenção e canal de contato) e gera evidências úteis em auditorias e fiscalizações. A seguir, exemplos práticos que você pode adaptar ao seu contexto:

Aviso de privacidade para candidatos (no anúncio da vaga)

“Usamos seus dados apenas para este processo seletivo. Caso haja interesse em banco de talentos, solicitaremos autorização específica, informando o período de conservação e a possibilidade de revogação a qualquer tempo. Para dúvidas ou pedidos sobre seus dados, contate privacidade@[empresa].com.br.”

Aviso interno sobre CFTV

“As câmeras têm a finalidade de proteger pessoas e patrimônio. As imagens são acessadas somente por pessoal autorizado e eliminadas automaticamente ao término do período necessário à segurança, salvo preservação para investigação, determinação de autoridade ou exercício regular de direitos.”

Cláusula para fornecedor de ponto/ATS/folha

“O fornecedor deverá manter confidencialidade e medidas de segurança adequadas, registrar logs de acesso, notificar incidentes em prazo acordado e não envolver subcontratados sem prévia autorização da contratante.”

Em resumo: torne público o contato de privacidade; designe quem atende às solicitações; registre em planilha o que o RH faz com dados (finalidade, acesso, retenção e compartilhamento); avalie os fluxos críticos com um relatório de riscos; e teste o procedimento de incidentes, guardando evidências. Assim, a empresa fica pronta para qualquer checagem.

Micro e Pequenas não precisam virar especialistas. Com Responsável/Canal visível, ROPA em planilha, RIPD apenas para o que é crítico e roteiro de incidentes ensaiado, a organização passa na checagem inicial e reduz riscos reais — de multa, atrasos operacionais e desgastes com a equipe. A ANPD já fiscaliza o básico; quem se organiza com medidas proporcionais evita prejuízos.

Essas medidas diminuem o risco jurídico e evitam retrabalho, menos tempo atendendo solicitações de dados (acesso, correção, exclusão) e resolvendo ocorrências de segurança, mantêm o RH organizado e auditável e, sobretudo, protegem o negócio contra multas e desgaste de imagem.