Você sabia que, a cada novo colaborador contratado, a sua empresa coleta dezenas de informações pessoais, e todas elas estão sob o guarda-chuva da Lei Geral de Proteção de Dados (Lei 13.709/2018)? CPF, RG, dados bancários, exames médicos, informações de dependentes: o processo admissional é um dos momentos em que mais dados sensíveis circulam dentro do RH, e também um dos que mais expõe a organização a riscos jurídicos quando não é gerenciado com cuidado. Por isso, ter atenção à LGPD na admissão é essencial.

A Autoridade Nacional de Proteção de Dados (ANPD) já aplica sanções, os tribunais trabalhistas acumulam casos envolvendo privacidade e os candidatos estão cada vez mais atentos aos seus direitos. 

Neste artigo, você encontra um guia completo sobre LGPD na admissão com bases legais, boas práticas, direitos dos trabalhadores, penalidades e um passo a passo para adequar o processo. Acompanhe!

O que é LGPD e como impacta a admissão de funcionários?

A LGPD regula, desde 2020, a forma como empresas coletam, armazenam, utilizam e compartilham dados pessoais no Brasil, em meios físicos e digitais. Inspirada na GDPR europeia, ela protege direitos fundamentais de privacidade e liberdade.

A lei se aplica a qualquer organização que trate dados de pessoas identificadas ou identificáveis, independentemente do porte ou setor. 

Mas, o que isso tem a ver com a admissão? Sem dúvida, esse processo é um dos pontos de maior concentração de dados pessoais na admissão e em toda a jornada do colaborador, com entrada de novos e delicados dados nos sistemas de gestão da empresa. Logo, merece toda a atenção dos gestores.

Aplicação da LGPD nas relações de trabalho

A LGPD vale integralmente para todas as etapas de relação de trabalho: 

  • dados de candidatos, 
  • colaboradores ativos, 
  • estagiários e aprendizes;
  • ex-funcionários.

O que significa que os dados de todas essas pessoas precisam ser tratados em conformidade com a lei. 

A abrangência vai da triagem de currículos até o arquivamento pós-desligamento

A legislação trabalhista continua indicando quais dados são obrigatórios, mas agora coexiste com a LGPD, que coloca limites claros sobre excessos.

Bases legais da LGPD na admissão

Boa parte dos dados coletados na admissão tem uma justificativa sólida: a lei manda. Registro em carteira, envio da admissão no eSocial, exame admissional previsto pela NR-7 e cadastro no INSS se enquadram no art. 7º, II, da LGPD, o que significa que não é necessário pedir consentimento ao colaborador para esses dados. Basta informar de forma transparente a finalidade e usá-los exclusivamente para ela.

Execução de contrato de trabalho

Dados usados para pagar salário, conceder benefícios, registrar jornada e manter comunicação com o colaborador se apoiam na execução do contrato (art. 7º, V). 

Aqui, o ponto-chave é que a coleta precisa ser realmente limitada ao que a execução do contrato exige, sem extensões desnecessárias.

Exercício regular de direitos e consentimento

Para manter dados que possam ser necessários em defesas trabalhistas futuras, a base é o exercício regular de direitos (art. 7º, VI). Isso justifica guardar certos registros mesmo após o desligamento, respeitando prazos prescricionais.

Já o consentimento do funcionário deve ser usado com cautela no contexto trabalhista: pela assimetria de poder da relação de emprego, a entrega de dados pelo colaborador ao padrão, dificilmente será considerado de livre vontade, o que pode facilitar vitórias trabalhistas dos colaboradores. 

Quais dados pessoais são coletados na admissão?

Dados pessoais comuns

Os dados pessoais na admissão são, em geral, coletados pelo RH e incluem nome, CPF, RG, endereço, estado civil, escolaridade e histórico profissional, ou seja, informações necessárias para registro em carteira, envio ao eSocial e folha de pagamento. 

Todavia, mesmo sendo informações “comuns”, a LGPD exige que a empresa justifique a finalidade de cada uma e limite a coleta ao estritamente necessário.

Dados pessoais sensíveis

Dados que revelam estado de saúde, origem racial, religião, opinião política, filiação sindical ou biometria são considerados sensíveis e exigem base legal específica para serem solicitados pela empresa, além de proteção de dados no processo admissional ser reforçada. 

Na admissão, isso inclui exames médicos ocupacionais, biometria para controle de ponto e informações de acessibilidade.

Mais uma vez, a empresa deve coletar apenas o necessário para cumprir normas de saúde e segurança do trabalho ou executar a gestão de benefícios.

Dados de dependentes e bancários

Dados de dependentes (para IR, plano de saúde, seguro de vida) e dados bancários (para pagamento e benefícios) completam o ciclo de dados que devem receber atenção considerando a  LGPD na admissão. 

Os dependentes devem ter o mesmo nível de proteção dos dados do colaborador, e os dados bancários devem ter acesso extremamente restrito. 

Lembre-se que as plataformas integradas eliminam as “planilhas com tudo” que circulam por e-mail dentro do RH.

A LGPD no RH: o papel do departamento no tratamento de dados de funcionários

O RH é, provavelmente, o setor com maior volume de dados sensíveis em circulação na empresa, especialmente no que diz respeito ao processo de admissão.

Por isso, a área assume um papel estratégico na governança de dados: mapear fluxos, revisar formulários, atualizar políticas e ser parceira do DPO. 

Plataformas de gestão de pessoas como a Teamguide ajudam nessa jornada ao centralizar informações de colaboradores em um ambiente único, reduzindo a dispersão de dados em planilhas e e-mails. 

Além disso, boas práticas de segurança da informação no RH são essenciais para a manutenção dos dados em sigilo e uso responsável dessas informações.

Boas práticas para adequar a admissão à LGPD

1. Mapeamento e minimização de dados

Antes de mudar qualquer processo, é preciso entender o que acontece hoje:

  • Quais dados são coletados;
  • Por quais canais;
  • Quem acessa;
  • Com quem são compartilhados. 

Com esse mapa em mãos, o RH identifica coletas redundantes e informações sem base legal na LGPD no trabalho.

Em seguida, aplica o princípio da minimização: colete apenas o necessário. Campos sem finalidade clara devem sair do formulário, entre elas perguntas sobre religião, planejamento familiar ou orientação sexual não têm lugar na ficha de admissão.

2. Transparência e controle de acesso

O candidato e o colaborador têm direito de saber por que seus dados são coletados, quem acessa e por quanto tempo ficam guardados. 

Avisos de privacidade específicos para admissão, escritos em linguagem acessível, são a forma mais direta de cumprir esse requisito. 

Paralelamente, o acesso interno deve seguir o critério da necessidade: dados médicos não precisam ser visíveis para quem trabalha com recrutamento; dados bancários, apenas para quem opera a folha. 

Para cumprir esta etapa, sistemas com perfis de acesso, autenticação forte e logs de auditoria são fundamentais.

3. Política de retenção e descarte de dados

Guardar documentos indefinidamente não é uma opção que a LGPD aceita. A empresa precisa definir por quanto tempo cada tipo de documento admissional será mantido com base em prazos legais trabalhistas e fiscais.

Além disso, é fundamental ter um plano sobre como será feito o descarte seguro, tanto de arquivos físicos quanto digitais. Essa política deve ser construída em conjunto entre RH, jurídico, TI e DPO.

A LGPD não define prazos fixos de retenção de dados pessoais. O que ela estabelece é o princípio da finalidade e da necessidade: os dados devem ser mantidos apenas enquanto houver uma base legal da LGPD no trabalho, que justifique sua guarda. 

Na prática, para documentos trabalhistas, os prazos são definidos por outras legislações e precisam ser respeitados antes de qualquer eliminação.

Veja os principais prazos legais de guarda de documentos trabalhistas:

DocumentoPrazo de guardaBase legal
Aviso prévio e pedido de demissão2 anosArt. 7º, XXIX, CF
TRCT (Termo de Rescisão do Contrato de Trabalho)2 anosArt. 7º, XXIX, CF
CAGED3 anosPortaria TEM 235/03
Recibos de pagamento, férias e horas extras5 anosPrescrição trabalhista
GPS e documentos previdenciários5 anosArt. 45, Lei 8.212/91
Registro de empregados, CIPA e contratos de trabalhoPrazo indeterminadoLegislação trabalhista
Documentos do FGTSAté 30 anosLegislação específica

Atenção: mesmo que um ex-colaborador solicite a exclusão de seus dados, a empresa pode — e deve — manter os documentos exigidos por lei, sob pena de autuação pela Secretaria do Trabalho. O pedido de eliminação não prevalece sobre a obrigação legal de guarda.

Como fazer o descarte seguro na prática

Após o fim do prazo legal de retenção, o descarte precisa ser feito de forma segura e registrada. O RH deve adotar procedimentos diferentes conforme o tipo de suporte:

Documentos físicos:

  • Utilizar fragmentadores de papel (nível de corte mínimo P-4, que gera tiras de até 6mm) para destruição de documentos com dados pessoais sensíveis
  • Contratar empresas especializadas em descarte seguro certificadas para emissão de certificado de destruição
  • Nunca descartar documentos com dados pessoais em lixo comum, reciclagem compartilhada ou copiadoras sem triagem

Documentos e arquivos digitais:

  • Deletar arquivos de forma definitiva (não apenas mover para a lixeira): use ferramentas de exclusão segura que sobrescrevem os dados
  • Revogar acessos em sistemas (e-mail corporativo, plataformas de RH, eSocial) imediatamente após o desligamento
  • Verificar se os dados também foram removidos de backups, após o vencimento do prazo legal de guarda
  • Em caso de descarte de hardware (HDs, pendrives, servidores), adotar formatação segura ou destruição física do dispositivo

4. Atenção à proteção de dados no processo admissional físico, digital e uso de sistemas seguros

Pastas físicas com documentos para admissão também são bancos de dados para fins da LGPD e precisam de armários com chave, controle de acesso e descarte seguro. 

No digital, a lista de cuidados inclui:

  • senhas fortes,
  • autenticação em dois fatores,
  • bloqueio automático de tela. 

Substituir planilhas e pastas de e-mail por sistemas especializados é um dos passos mais eficazes para fortalecer a segurança da informação no RH. 

A Teamguide centraliza informações de colaboradores em uma plataforma estruturada, com controle de acesso por perfil e visibilidade para RH e lideranças.

5. Uso de criptografia, backup e resposta a incidentes

A criptografia protege dados em repouso e em trânsito, combinada com permissões por função e revisões periódicas de acessos. 

Backups regulares são essenciais, mas precisam das mesmas proteções da base principal, afinal, um backup desprotegido é tão perigoso quanto o dado original. 

Ter um plano de resposta a incidentes testado e atualizado permite agir rápido em caso de vazamento, demonstrando boa-fé perante a ANPD.

6. Cuidado no compartilhamento de dados na admissão

O envio de dados ao eSocial é uma obrigação legal e dispensa consentimento na admissão, mas exige exatidão e controles de acesso equivalentes aos demais sistemas internos. 

Escritórios de contabilidade, operadoras de plano de saúde, empresas de benefícios e plataformas de admissão digital são operadores de dados e os contratos com esses parceiros devem prever cláusulas de LGPD, confidencialidade, segurança e notificação de incidentes. 

Se houver vazamento em um parceiro, a responsabilidade pode recair também sobre a empresa contratante.

Direitos do titular de dados na relação de trabalho

O colaborador tem direitos garantidos pela LGPD, que o RH precisa estar preparado para atender:

  • Direito de acesso: saber quais dados são tratados, sua origem, finalidade e com quem são compartilhados.
  • Correção de dados: solicitar atualização de dados incompletos ou desatualizados, como endereço, estado civil ou dados bancários.
  • Eliminação de dados desnecessários: pedir exclusão de dados desnecessários ou tratados com base em consentimento, respeitados os prazos legais de guarda.
  • Portabilidade: transferir dados a outro prestador de serviços quando aplicável, como em previdência complementar.
  • Informação sobre tratamento: conhecer quem são os agentes de tratamento e as consequências de não fornecer determinados dados.

Sistemas que centralizam e estruturam dados de colaboradores tornam o atendimento a esses direitos muito mais ágil e organizado.

Penalidades por descumprimento da LGPD na admissão

As consequências de ignorar a LGPD na admissão são concretas e crescentes, incluindo  advertência e multas  administrativas que podem chegar a 2% do faturamento, limitadas a 50 milhões de reais por infração, além de advertência, publicização da infração e bloqueio de dados. 

A ANPD considera gravidade, reincidência e adoção de boas práticas ao definir sanções. 

Além disso, vazamentos de dados de colaboradores geram danos à imagem da empresa especialmente em um mercado que valoriza a marca empregadora. 

Ações judiciais e indenizações por danos morais também são uma realidade crescente, e a responsabilidade pode ser objetiva em determinados casos.

Sanções previstas na LGPD

A LGPD prevê nove tipos de sanções administrativas (art. 52 da LGPD), que podem ser aplicadas de forma isolada ou cumulada na mesma decisão:

  1. Advertência com prazo para adoção de medidas corretivas
  2. Multa simples de até 2% do faturamento bruto no Brasil, limitada a R$ 50 milhões por infração
  3. Multa diária, com o mesmo limite total de R$ 50 milhões
  4. Publicização da infração — ou seja, seu nome no mercado associado à violação
  5. Bloqueio dos dados pessoais até a regularização
  6. Eliminação dos dados tratados de forma irregular
  7. Suspensão parcial do funcionamento do banco de dados
  8. Suspensão do exercício da atividade de tratamento
  9. Proibição parcial ou total de atividades relacionadas ao tratamento de dados de funcionários

Atenção: advertência, multa simples, multa diária e publicização da infração podem ser aplicadas ao mesmo tempo, na mesma decisão, quando as circunstâncias justificarem, especialmente em casos de infração grave, ausência de medidas corretivas voluntárias, reincidência ou falta de programa de conformidade.

Quanto sua empresa pode pagar na prática?

A multa de até 2% do faturamento bruto, limitada a R$ 50 milhões por infração, parece abstrata — mas veja como os números ficam para diferentes portes de empresa:

Faturamento anualMulta potencial máxima
R$ 5 milhõesaté R$ 100.000
R$ 20 milhõesaté R$ 400.000
R$ 100 milhõesaté R$ 2 milhões
R$ 2,5 bilhões ou maisaté R$ 50 milhões (teto)

E esses valores podem se multiplicar: cada infração conta separadamente. Uma empresa que coleta dados sem base legal, não nomeia DPO e não oferece canal de atendimento ao titular pode acumular múltiplas infrações em um único processo sancionatório.

Como estruturar um processo admissional em conformidade com a LGPD?

Transformar o processo que considere a LGPD na admissão garantindo etapas  seguras e legais requer ações concretas em cinco frentes:

  1. Revisão de formulários e contratos: corte campos desnecessários, esclareça finalidades e inclua cláusulas sobre privacidade e segurança da informação no RH.
  2. Criação de política de privacidade interna: voltada a colaboradores e candidatos, explicando coleta, uso, compartilhamento, prazos e direitos dos titulares ao longo de toda a jornada do vínculo.
  3. Treinamento da equipe de RH: capacitações práticas, com situações do cotidiano, que ajudem a equipe a entender o que pode e o que não pode ser feito no processo admissional.
  4. Nomeação de encarregado (DPO): ou crie um comitê de privacidade para coordenar esforços, revisar contratos com operadores e ser canal oficial com a ANPD.
  5. Monitore continuamente: auditorias internas, revisões periódicas de formulários e testes de segurança da informação no RH devem fazer parte da rotina, não como eventos pontuais.

Plataformas de gestão de pessoas apoiam esse monitoramento ao fornecer dados estruturados, históricos consolidados e visibilidade para RH e liderança tomarem decisões mais seguras e documentadas.

Perguntas frequentes sobre LGPD na admissão

A LGPD se aplica ao processo de admissão?

Sim. Qualquer tratamento de dados pessoais na admissão ou em outra etapa da relação do funcionário com a companhia, incluindo recrutamento e seleção, está sujeito à LGPD.

É necessário pedir consentimento na admissão para coletar documentos?

Na maioria dos casos, não. Documentos exigidos por lei têm como base o cumprimento de obrigação legal; os necessários ao vínculo se apoiam na execução do contrato.

Quais dados não devem ser solicitados pela empresa? 

Documentos que revelem religião, saúde mental além do escopo ocupacional, orientação sexual ou filiação política não devem ser exigidos, além de violar a LGPD, podem configurar discriminação e abrir caminho para ações trabalhistas. 

Neste sentido, vale a pena reforçar que reduzir o volume de dados coletados também reduz a exposição em incidentes de segurança.

Por quanto tempo a empresa pode guardar documentos admissionais?

Depende do documento e dos prazos legais trabalhistas e fiscais. Após esses prazos, a empresa deve eliminar ou anonimizar os dados.

Como garantir segurança dos dados com a LGPD no RH?

Combinando sistemas seguros, controle de acesso por perfil, criptografia, backups protegidos, políticas claras e treinamento frequente da equipe.

A admissão digital precisa seguir a LGPD?

Sim. A admissão digital envolve intenso tratamento de dados de funcionários, e deve seguir os mesmos princípios da admissão tradicional.

O colaborador pode solicitar exclusão de dados?

Pode solicitar a eliminação de dados desnecessários, mas a empresa pode manter os exigidos por obrigação legal ou necessários à defesa em processos.

Como funciona a base legal da LGPD no trabalho?

O tratamento se baseia principalmente em obrigação legal e execução de contrato, somadas a exercício regular de direitos conforme o contexto.

Pequenas empresas também precisam cumprir a LGPD?

Sim. A LGPD se aplica a empresas de qualquer porte. O tratamento regulatório pode ser diferenciado em alguns aspectos, mas a obrigação de proteger dados permanece integral.

Ao adequar a LGPD na admissão, o RH transforma uma obrigação legal em vantagem estratégica: reduz riscos jurídicos, fortalece a confiança dos colaboradores e cria uma base sólida para decisões de gestão orientadas por dados confiáveis e bem protegidos. Com o apoio de plataformas como a Teamguide, esse processo se torna mais organizado, rastreável e alinhado com as melhores práticas de compliance trabalhista.

LGPD na admissão digital

A admissão digital trouxe eficiência real, e também novas responsabilidades. 

Ferramentas de assinatura eletrônica devem garantir criptografia, integridade dos documentos e registros detalhados de quem assinou, quando e de qual dispositivo. 

Plataformas de admissão online precisam exibir avisos de privacidade, registrar consentimentos quando utilizados e manter trilhas de auditoria completas. 

Integradas a soluções como a Teamguide, elas consolidam dados em uma base única e aumentam a rastreabilidade de todo o processo admissional.