LGPD nas Relações de Trabalho: obrigações do empregador e cláusula de proteção de dados no contrato
A Lei Geral de Proteção de Dados (LGPD) transformou a forma como as empresas precisam tratar as informações pessoais de seus clientes — mas uma das aplicações mais urgentes e menos estruturadas da lei ainda está dentro das próprias organizações. O empregador, como controlador de dados de seus colaboradores, está sujeito às mesmas obrigações da LGPD que se aplicam ao tratamento de dados de consumidores: identificar bases legais para cada operação de tratamento, adotar medidas de segurança proporcionais ao risco, garantir os direitos dos titulares e documentar adequadamente cada etapa do ciclo de vida das informações.
A relação de emprego gera um fluxo contínuo e volumoso de dados pessoais — muitos deles sensíveis. Desde a seleção de candidatos até o arquivamento de documentos após o término do contrato, passando pelo controle de jornada biométrico, a gestão de afastamentos médicos e a administração de benefícios, o departamento de RH de qualquer empresa de médio porte trata dezenas de categorias de dados sobre cada colaborador. Estruturar juridicamente esse tratamento — com bases legais identificadas, controles de acesso adequados e instrumentos contratuais que reflitam as obrigações da lei — é o que distingue um programa de conformidade funcional de uma política de privacidade publicada no site sem impacto prático.
Este artigo analisa as principais obrigações do empregador no âmbito da LGPD nas relações de trabalho: o mapeamento de dados no ciclo de vida do vínculo empregatício, as bases legais aplicáveis por categoria, a cláusula de proteção de dados no contrato de trabalho, o tratamento de dados sensíveis de colaboradores e as consequências do descumprimento. O artigo é parte do cluster de Direito Digital da Barbieri Advogados, e deve ser lido em conjunto com as análises sobre obrigações gerais da LGPD para empresas e sobre dados sensíveis na LGPD.—
A LGPD se aplica às relações de trabalho?
A Lei 13.709/2018 se aplica a qualquer operação de tratamento de dados pessoais realizada no território nacional, independentemente do meio, do país-sede da organização ou da natureza do vínculo com o titular dos dados. O art. 3º da lei é claro: seu âmbito de aplicação alcança o tratamento realizado por pessoa jurídica de direito privado, sem restrições quanto à natureza da relação que originou o tratamento. O empregador, ao tratar dados de candidatos, colaboradores ativos e ex-colaboradores, é controlador de dados para todos os efeitos da LGPD.
A ausência de um capítulo específico sobre relações de trabalho na LGPD — diferentemente do Regulamento Geral de Proteção de Dados europeu (GDPR), que prevê exceções e delegações expressas para o contexto trabalhista — é frequentemente interpretada como lacuna. Na prática, significa que o regime geral da lei se aplica integralmente, sem atenuações setoriais. Isso tem consequências diretas: o empregador precisa de base legal para cada operação de tratamento, não pode presumir que o vínculo empregatício por si só autoriza qualquer tratamento, e deve respeitar os direitos dos titulares previstos no art. 18 da LGPD — incluindo o direito de acesso, de correção e de portabilidade dos dados — mesmo para colaboradores ativos.
O Tribunal Superior do Trabalho reconhece a aplicação da LGPD no contexto laboral e tem, em suas próprias operações internas, estruturado programas de conformidade para o tratamento de dados de servidores e partes nos processos. A Justiça do Trabalho, por sua vez, tem recebido ações de colaboradores que postulam indenização por violações à privacidade e ao tratamento inadequado de dados pessoais no ambiente de trabalho.—
Mapeamento de dados no ciclo de vida do vínculo empregatício
Fase de seleção e admissão
O processo seletivo é a fase de maior risco de coleta excessiva de dados. O princípio da necessidade, previsto no art. 6º, III da LGPD, exige que o tratamento seja limitado ao mínimo necessário para a realização de suas finalidades. Dados excessivos coletados em processos seletivos — informações sobre estado civil, número de filhos, religião, filiação sindical, origem racial ou orientação sexual — não apenas violam a LGPD, mas podem caracterizar discriminação vedada pela Constituição Federal e pela legislação trabalhista.
Dados de saúde coletados em exames admissionais merecem atenção especial. O exame médico admissional é obrigatório por força do art. 168 da CLT e das Normas Regulamentadoras do Ministério do Trabalho, o que fornece base legal no cumprimento de obrigação legal (art. 11, II, a da LGPD). No entanto, o resultado do exame — apto ou inapto — é a única informação que o médico do trabalho pode comunicar ao empregador. O diagnóstico, os dados do prontuário e os resultados detalhados dos exames são dados de saúde protegidos pelo sigilo médico e não podem ser transmitidos ao setor de RH ou aos gestores de linha.
Dados de candidatos não selecionados devem ter prazo de retenção definido. A finalidade do tratamento — condução do processo seletivo — encerra-se com a conclusão da seleção. Manter dados de candidatos rejeitados por prazo indeterminado, sem base legal que justifique a retenção, viola o princípio da finalidade (art. 6º, I da LGPD). A prática recomendada é estabelecer prazo de retenção máximo — tipicamente 90 a 180 dias — após o qual os dados são eliminados ou anonimizados, salvo se o candidato tiver consentido com a inclusão em banco de talentos para processos futuros.
Fase de execução do contrato
Durante a vigência do contrato de trabalho, o empregador trata dados do colaborador em múltiplos contextos: folha de pagamento, controle de jornada, gestão de benefícios, avaliações de desempenho, controle de acesso, monitoramento de comunicações corporativas e administração de planos de saúde empresariais. Cada uma dessas operações tem sua própria base legal e seus próprios requisitos de segurança.
A folha de pagamento e os dados de remuneração são tratados com base no cumprimento de obrigação legal e contratual — a execução do contrato de trabalho e o cumprimento das obrigações tributárias e previdenciárias associadas. O controle de jornada, quando realizado por meio biométrico, envolve dados sensíveis (biometria) e exige base legal específica do art. 11. A gestão de benefícios — plano de saúde, seguro de vida, vale-transporte — envolve dados de saúde e dados financeiros que precisam ter finalidades declaradas e controles de acesso adequados.
Fase pós-contratual
O término do contrato de trabalho não encerra imediatamente as obrigações do empregador em relação aos dados do ex-colaborador. O art. 16, II da LGPD admite a conservação de dados pessoais após o cumprimento da finalidade quando necessário para o exercício regular de direitos em processo judicial, administrativo ou arbitral. A legislação trabalhista impõe prazos de prescrição de dois anos para propositura de reclamações trabalhistas após o término do contrato, e prazos administrativos mais longos para documentos previdenciários e fiscais.
A prática adequada é estabelecer uma política de retenção pós-contratual que compatibilize os prazos da LGPD com os prazos de prescrição e guarda obrigatória. Documentos como CTPS, rescisão, holerites e documentos previdenciários têm prazos de guarda definidos pela legislação trabalhista e fiscal que prevalecem como obrigação legal. Dados sem obrigação legal de guarda devem ser eliminados ao término da finalidade que os originou.—
Bases legais para o tratamento de dados de colaboradores
Dados pessoais comuns — as hipóteses do art. 7º
Para dados pessoais comuns de colaboradores — nome, CPF, endereço, dados bancários para crédito de salário, informações de contato — as bases legais mais aplicáveis são o cumprimento de obrigação legal ou regulatória (art. 7º, II), que ampara o tratamento exigido pela legislação tributária, previdenciária e trabalhista; e a execução de contrato do qual o titular é parte (art. 7º, V), que ampara tratamentos diretamente vinculados à execução e gestão do contrato de trabalho. O legítimo interesse do controlador (art. 7º, IX) pode ser aplicável para tratamentos auxiliares — como análise de dados agregados para fins de gestão — desde que não prevaleçam interesses do titular que exijam proteção dos dados pessoais.
O consentimento do colaborador (art. 7º, I) é a base legal mais problemática no contexto empregatício. A livre manifestação da vontade — requisito essencial para a validade do consentimento — é estruturalmente comprometida pela assimetria da relação de emprego. O colaborador que depende economicamente do empregador dificilmente pode recusar um pedido de tratamento de dados sem perceber risco para o vínculo empregatício. Por essa razão, a doutrina de proteção de dados e o próprio art. 8º, §5º da LGPD preveem que o consentimento deve ser revogável a qualquer momento e não pode ser condicionado à prestação de serviços ou ao emprego. O ideal é que empregadores não fundamentem tratamentos necessários à relação de trabalho no consentimento — preferindo as bases de obrigação legal ou execução de contrato quando aplicáveis.
Dados sensíveis de colaboradores — as hipóteses do art. 11
O empregador trata dados sensíveis de colaboradores com regularidade: dados de saúde em atestados e prontuários, dados biométricos em sistemas de ponto, dados de filiação sindical para fins de desconto de contribuição, e eventualmente dados de origem racial em programas de diversidade. Todos esses tratamentos precisam de base legal do art. 11 da LGPD — mais restrito que o art. 7º e sem previsão de legítimo interesse como hipótese admissível.
As bases legais mais relevantes no contexto trabalhista são: o cumprimento de obrigação legal ou regulatória (art. 11, II, a) — que ampara o processamento de dados de saúde no PCMSO e PPRA, o desconto de contribuição sindical declarada pelo colaborador e o registro biométrico de jornada quando obrigatório pela regulamentação; e a tutela da saúde, exclusivamente em procedimentos realizados por profissionais de saúde sujeitos a sigilo (art. 11, II, f) — que ampara o trabalho do médico do trabalho no SESMT. A tabela abaixo sintetiza as principais operações e suas bases legais:
| Operação de Tratamento | Categoria de Dado | Base Legal (LGPD) |
|---|---|---|
| Folha de pagamento e dados bancários | Dado comum | Art. 7º, II (obrigação legal) e V (execução de contrato) |
| Exame médico admissional e periódico | Dado sensível — saúde | Art. 11, II, a (obrigação legal) e f (tutela da saúde) |
| Atestados médicos e gestão de afastamentos | Dado sensível — saúde | Art. 11, II, a (obrigação legal) e d (exercício de direito) |
| Controle de ponto biométrico | Dado sensível — biométrico | Art. 11, II, a (obrigação legal — Portaria MTP 671/2021) |
| Desconto de contribuição sindical | Dado sensível — filiação sindical | Art. 11, II, a (obrigação legal) |
| Programa de diversidade — dados de origem racial | Dado sensível — origem racial | Art. 11, I (consentimento específico e destacado) |
| Plano de saúde empresarial — administração | Dado sensível — saúde | Art. 11, II, a (obrigação contratual) e f (tutela da saúde) |
—
Cláusula LGPD no contrato de trabalho
Fundamento e finalidade
A LGPD não exige expressamente a inserção de cláusula de proteção de dados em contratos de trabalho. No entanto, o art. 9º da lei impõe ao controlador o dever de garantir ao titular o acesso facilitado às informações sobre o tratamento de seus dados, incluindo: finalidade específica do tratamento, forma e duração, identificação do controlador, informações de contato do encarregado (DPO), uso compartilhado de dados e os direitos do titular. Esse dever de transparência precisa ser cumprido de alguma forma no início da relação empregatícia — e a cláusula contratual é o instrumento mais eficiente para documentar esse cumprimento.
A cláusula de proteção de dados no contrato de trabalho cumpre, portanto, uma dupla função: informa o colaborador sobre o tratamento de seus dados nos termos do art. 9º da LGPD, e gera evidência documental de que o empregador cumpriu o dever de transparência — o que é relevante em eventuais fiscalizações da ANPD ou ações trabalhistas. Em alternativa à cláusula contratual, a empresa pode optar por um aviso de privacidade específico para colaboradores, entregue e assinado no momento da admissão, com efeito equivalente.
O que deve conter
A cláusula de proteção de dados no contrato de trabalho deve, no mínimo, informar: as categorias de dados pessoais que serão tratados ao longo do vínculo empregatício (dados cadastrais, bancários, de saúde ocupacional, biométricos quando aplicável); as finalidades para as quais esses dados serão utilizados (gestão do contrato de trabalho, cumprimento de obrigações fiscais e previdenciárias, controle de jornada, acesso a benefícios); as bases legais que fundamentam o tratamento; os destinatários dos dados ou as categorias de destinatários (operadoras de plano de saúde, administradoras de benefícios, INSS, Receita Federal); o prazo de retenção ou os critérios usados para determinar esse prazo; e os direitos do colaborador como titular de dados, nos termos do art. 18 da LGPD.
A cláusula deve ser redigida em linguagem clara e acessível — não em termos jurídicos herméticos que o colaborador não compreenderá. O art. 8º, §6º da LGPD exige que o consentimento seja fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular, e o §6º do art. 9º exige que as informações sejam prestadas de forma clara, adequada e ostensiva. Uma cláusula de cinco páginas com terminologia técnica não cumpre esses requisitos; um texto de uma a duas páginas em linguagem direta, sim.
O que não deve constar
A cláusula de proteção de dados no contrato de trabalho não deve ser confundida com uma cláusula de consentimento geral ao tratamento de dados sensíveis. Como discutido, o consentimento é uma base legal frágil no contexto empregatício pela assimetria da relação. Incluir na cláusula uma autorização genérica para o tratamento de “todos os dados pessoais e sensíveis necessários à execução do contrato de trabalho” não gera base legal válida para operações que exigem base específica do art. 11. Cada operação de tratamento de dados sensíveis precisa ter sua própria base legal — e o consentimento, quando usado, precisa ser específico para finalidades determinadas e revogável sem consequências para o emprego.—
Biometria no ponto eletrônico e a LGPD
O controle de jornada por meio biométrico — impressão digital, reconhecimento facial — é uma das operações de tratamento de dados mais frequentes e de maior risco regulatório no ambiente corporativo. Dados biométricos são dados sensíveis nos termos do art. 5º, II da LGPD, sujeitos ao regime mais restritivo do art. 11. Isso tem consequências práticas que muitos empregadores não estruturaram adequadamente.
A base legal mais robusta para a coleta de dados biométricos em sistemas de ponto é o cumprimento de obrigação legal — a Portaria MTP nº 671/2021 regulamenta o Registro Eletrônico de Ponto (REP) e admite o uso de dados biométricos como mecanismo de identificação do colaborador. O empregador que utiliza sistema biométrico com base nessa regulamentação tem amparo legal para o tratamento, mas esse amparo não é irrestrito: a base legal valida a coleta e o uso para a finalidade de controle de jornada, não para qualquer outra finalidade.
Desvio de finalidade é o risco mais frequente: uso de dados biométricos coletados no ponto para monitoramento de movimentação interna, para análise de padrões de comportamento, para cruzamento com sistemas de vigilância de produtividade ou para qualquer outra finalidade além da registrada ao titular. Qualquer uso adicional dos dados biométricos exige nova base legal — o que, em regra, significa novo consentimento específico e destacado para a finalidade adicional, com todas as fragilidades que isso implica no contexto de relação empregatícia. Para uma análise mais detalhada sobre o tratamento de dados biométricos, recomendamos a leitura de nosso artigo sobre dados sensíveis na LGPD.
As medidas de segurança exigidas para dados biométricos vão além do padrão aplicável a dados comuns: criptografia forte para dados em repouso e em trânsito, segregação do banco de dados biométricos dos demais sistemas de RH, controle de acesso restrito com registro de auditoria de todos os acessos, e política de retenção que preveja a eliminação segura dos dados biométricos após o término do vínculo empregatício e o prazo de retenção definido.—
Dados de saúde dos colaboradores e o SESMT
O Serviço Especializado em Engenharia de Segurança e Medicina do Trabalho (SESMT), obrigatório para empresas acima de determinado número de colaboradores nos termos da NR-4, é o principal controlador de dados de saúde dos colaboradores no ambiente empresarial. O médico do trabalho, o enfermeiro ocupacional e os engenheiros de segurança do trabalho tratam dados de saúde no exercício de suas funções — e o fazem amparados na base legal de tutela da saúde por profissional sujeito a sigilo (art. 11, II, f da LGPD).
A segregação de acesso é o princípio central na gestão de dados de saúde no contexto trabalhista. O médico do trabalho pode acessar os dados de saúde do colaborador para fins de saúde ocupacional. O RH pode receber o resultado do exame — apto ou inapto para a função — mas não o prontuário, o diagnóstico ou os dados clínicos. O gestor direto não deve ter acesso a nenhuma informação de saúde do colaborador além do simples fato da ausência por motivo médico. Qualquer compartilhamento de dados de saúde além dessas fronteiras constitui violação à LGPD e ao sigilo médico, com potencial de gerar responsabilidade civil e disciplinar para o profissional de saúde envolvido.
Atestados médicos processados pelo RH para gestão de afastamentos têm base legal no cumprimento de obrigação legal — a CLT exige a justificativa de ausências e o encaminhamento ao INSS nos casos de afastamento superior a 15 dias. O acesso ao atestado deve ser limitado às pessoas com necessidade funcional de conhecimento (need-to-know): o profissional de RH responsável pelo processamento e, quando necessário para fins de cálculo de benefícios, o departamento de pessoal. O conteúdo do atestado — diagnóstico, CID — não deve circular para além desses destinatários.—
Monitoramento de colaboradores e privacidade no ambiente de trabalho
O monitoramento de comunicações e atividades de colaboradores no ambiente de trabalho é uma área de tensão entre o poder diretivo do empregador — reconhecido pela CLT e pela jurisprudência trabalhista — e o direito à privacidade do colaborador, assegurado pelo art. 5º, X da Constituição Federal e reforçado pela LGPD. A compatibilização desses interesses exige que o monitoramento seja: transparente (o colaborador deve ser informado sobre o que é monitorado e por quê); limitado em escopo (apenas os dados necessários para a finalidade legítima de gestão do trabalho); e proporcional ao risco que se pretende mitigar.
O monitoramento de e-mails corporativos e do uso de sistemas corporativos de TI tem amparo na jurisprudência do TST, que distingue comunicações realizadas em meios fornecidos pelo empregador (e-mail corporativo, computador da empresa) das comunicações em meios pessoais. O empregador pode monitorar o e-mail corporativo, mas precisa informar os colaboradores dessa prática com antecedência — e o monitoramento não pode se estender a comunicações pessoais realizadas em dispositivos próprios, ainda que no horário de trabalho. Câmeras de videomonitoramento em ambientes de trabalho são admitidas para fins de segurança do patrimônio e dos colaboradores, mas não podem ser direcionadas a áreas de descanso, sanitários ou espaços de uso exclusivamente pessoal.—
Compliance de RH e a estrutura mínima exigida pela LGPD
A estrutura mínima de conformidade com a LGPD para o departamento de RH de uma empresa de médio porte envolve quatro elementos essenciais: o mapeamento de dados (registro das atividades de tratamento exigido pelo art. 37 da LGPD), que deve incluir todas as operações de tratamento realizadas pelo RH, com identificação de base legal, finalidade, destinatários e prazo de retenção para cada categoria de dado; a política de privacidade interna para colaboradores, que pode tomar a forma de aviso de privacidade entregue na admissão ou de cláusula contratual específica; os controles de acesso e a segregação de dados sensíveis, com definição clara de quem pode acessar cada categoria de dado e com sistemas técnicos que implementem essa segregação; e os contratos com operadores de dados, que são os fornecedores de sistemas de RH, folha de pagamento, controle de ponto e gestão de benefícios que processam dados de colaboradores em nome da empresa.
Os contratos com operadores de dados — Data Processing Agreements (DPAs) — são frequentemente negligenciados em programas de conformidade de RH. O sistema de controle de ponto biométrico é um operador de dados do empregador: processa dados biométricos dos colaboradores por determinação e em nome da empresa. O fornecedor de software de folha de pagamento que hospeda dados na nuvem é um operador. A administradora do plano de saúde empresarial é um operador para fins da gestão administrativa — embora possa ser também controladora para fins do produto de saúde em si. O art. 46 da LGPD exige que o controlador garanta que seus operadores adotam medidas de segurança adequadas, o que implica a necessidade de due diligence e de cláusulas contratuais que vinculem os operadores às obrigações da lei.
A nomeação do Encarregado pelo Tratamento de Dados Pessoais (DPO), obrigatória nos termos do art. 41 da LGPD, é igualmente relevante no contexto de RH: os colaboradores têm o direito de exercer suas prerrogativas de titulares (acesso, correção, portabilidade, eliminação) perante o DPO, e o canal de comunicação deve ser amplamente divulgado internamente. Para empresas que ainda não nomearam um DPO ou que tratam dados sensíveis de colaboradores sem estrutura jurídica adequada, a consultoria especializada em conformidade com a LGPD é o primeiro passo recomendado.—
Consequências do descumprimento
O tratamento irregular de dados de colaboradores expõe a empresa a duas ordens de consequências: as sanções administrativas da ANPD, previstas no art. 52 da LGPD, e a responsabilidade civil e trabalhista perante os próprios colaboradores. No plano administrativo, as sanções incluem advertência, multa de até 2% do faturamento bruto (limitada a R$ 50 milhões por infração), bloqueio ou eliminação dos dados e publicização da infração — com o impacto reputacional que isso representa para a empresa no mercado de trabalho.
No plano trabalhista, a Justiça do Trabalho tem competência para apreciar pedidos de indenização por danos morais decorrentes do tratamento irregular de dados pessoais de colaboradores — a competência material da Justiça do Trabalho para causas decorrentes da relação de emprego é ampla o suficiente para abranger esse tipo de litígio. O dano moral decorrente do tratamento irregular de dados sensíveis — especialmente dados de saúde compartilhados com gestores, dados biométricos utilizados para fins de vigilância, ou dados de filiação sindical usados em decisões de RH — tende a ser reconhecido com maior facilidade do que em casos de dados comuns, pela natureza especialmente protegida dessas categorias.
A responsabilidade civil da empresa por violações à privacidade e à proteção de dados de colaboradores pode ser objetiva nos termos do art. 42 da LGPD, sem necessidade de comprovação de culpa pelo colaborador prejudicado. Isso inverte o ônus probatório: cabe à empresa demonstrar que adotou as medidas de segurança adequadas e que o dano não decorreu de falha no cumprimento das obrigações da lei.—
Perguntas frequentes
1) A LGPD se aplica às relações de trabalho?
Sim. A Lei 13.709/2018 se aplica a qualquer operação de tratamento de dados pessoais realizada por pessoa jurídica, independentemente do vínculo com o titular. O empregador é controlador de dados de seus colaboradores para todos os efeitos da lei — desde a coleta de dados no processo seletivo até o arquivamento de documentos após o término do contrato. A ausência de um capítulo específico sobre relações de trabalho na LGPD significa que o regime geral da lei se aplica integralmente, sem exceções setoriais.
2) É obrigatório incluir cláusula de LGPD no contrato de trabalho?
A lei não exige explicitamente, mas o dever de transparência do art. 9º da LGPD precisa ser cumprido de alguma forma no início da relação empregatícia. A cláusula contratual é o instrumento mais eficiente, pois informa o colaborador sobre o tratamento de seus dados e gera evidência documental de que o empregador cumpriu a obrigação. Em alternativa, a empresa pode entregar um aviso de privacidade específico para colaboradores no momento da admissão, com efeito equivalente. A cláusula deve ser redigida em linguagem clara, não em termos técnicos herméticos.
3) O empregador pode coletar biometria dos colaboradores para controle de ponto?
Sim, desde que amparado em base legal adequada. Dados biométricos são dados sensíveis (art. 5º, II da LGPD) e exigem base legal do art. 11. A Portaria MTP nº 671/2021, que regulamenta o Registro Eletrônico de Ponto, fornece o amparo legal para a coleta de biometria para fins de controle de jornada. O empregador deve informar os colaboradores sobre a coleta, adotar medidas de segurança reforçadas e não utilizar os dados biométricos para finalidades além das declaradas — como monitoramento de comportamento ou análise de movimentação interna.
4) Qual a base legal para o tratamento de atestados médicos dos colaboradores?
O processamento de atestados médicos para fins de gestão de afastamentos e cumprimento de obrigações previdenciárias tem base no cumprimento de obrigação legal (art. 11, II, a da LGPD). O acesso ao atestado deve ser limitado ao profissional de RH responsável pelo processamento — o conteúdo clínico não pode ser compartilhado com gestores diretos. O médico do trabalho acessa dados de saúde mais detalhados com base na hipótese de tutela da saúde por profissional sujeito a sigilo (art. 11, II, f), e não pode repassar o diagnóstico ao empregador.
5) Quais as consequências para a empresa que trata dados de colaboradores em violação à LGPD?
A empresa fica exposta às sanções administrativas da ANPD (art. 52 da LGPD): advertência, multa de até 2% do faturamento — limitada a R$ 50 milhões por infração —, bloqueio e eliminação dos dados e publicização da infração. No plano trabalhista, o colaborador prejudicado pode postular indenização por danos morais perante a Justiça do Trabalho, com responsabilidade objetiva da empresa nos termos do art. 42 da LGPD. Violações envolvendo dados sensíveis — saúde, biometria, filiação sindical — tendem a gerar reconhecimento de dano mais facilmente do que violações de dados comuns.—
Conclusão
A LGPD nas relações de trabalho impõe ao empregador obrigações concretas que vão muito além da publicação de uma política de privacidade no site corporativo. Mapear os dados dos colaboradores ao longo de todo o ciclo do vínculo empregatício, identificar a base legal correta para cada operação de tratamento — especialmente quando dados sensíveis como saúde, biometria e filiação sindical estão envolvidos —, estruturar contratualmente o relacionamento com operadores de dados e garantir os direitos dos colaboradores como titulares: esse conjunto de obrigações exige estrutura jurídica e técnica que a maioria das empresas ainda está construindo.
A convergência entre Direito do Trabalho e proteção de dados é uma das áreas de maior crescimento no contencioso empresarial — e a tendência é de aceleração, na medida em que a ANPD consolida sua atuação fiscalizatória e a Justiça do Trabalho desenvolve jurisprudência própria sobre o tema. A gestão adequada das relações de trabalho sob o regime da LGPD é, nesse cenário, tanto uma obrigação legal quanto uma vantagem competitiva na atração e retenção de colaboradores que valorizam a proteção de sua privacidade no ambiente profissional. A consultoria jurídica especializada é o instrumento adequado para identificar os riscos específicos de cada empresa e estruturar os controles necessários.—
Este artigo foi redigido para fins de informação e debate, não devendo ser considerado uma opinião legal para qualquer operação ou negócio específico.
© 2026. Direitos Autorais reservados a Barbieri Advogados.
Daiane Rebelato de Mamam é advogada da Barbieri Advogados, graduada em Direito pela Universidade de Passo Fundo (UPF) e pós-graduada em Direito Civil e Processo Civil pela Fundação Escola Superior do Ministério Público (FMP). Inscrita na OAB/RS sob o nº 81.250.
E-mail: daiane.mamam@barbieriadvogados.com