O que muda por porte
O principal vetor de risco é o uso de planilhas e e-mail para circulação de dados sensíveis de funcionários. Controles básicos — definir quem acessa o quê, estabelecer prazos de retenção e garantir descarte seguro — já eliminam a maioria dos riscos mais comuns, sem exigir investimento em ferramentas sofisticadas.
Já usa sistemas de RH, mas enfrenta o risco de permissões excessivas acumuladas ao longo do tempo e de falta de processo de revisão periódica de acessos. A prioridade é estruturar a gestão de identidade — quem tem acesso a quê — e revisar perfis regularmente, especialmente após desligamentos e mudanças de função.
Tem equipe de TI e segurança, mas o RH ainda pode ser o elo fraco: dados exportados para planilhas, relatórios enviados por e-mail, credenciais compartilhadas entre analistas. O desafio é integrar o comportamento do time de RH à política de segurança corporativa — não apenas configurar sistemas, mas mudar práticas cotidianas.
Prevenção de vazamento de dados de RH é o conjunto de controles técnicos e administrativos adotados pela área de Recursos Humanos para proteger dados pessoais de funcionários e candidatos contra acesso não autorizado, divulgação indevida ou perda. A LGPD (art. 46) exige que o controlador adote medidas aptas a proteger dados pessoais — a prevenção é a primeira linha de defesa antes de qualquer protocolo de resposta a incidentes ser acionado.
Por que a prevenção começa no RH
Dados de funcionários — CPF, dados de saúde, histórico salarial, laudos médicos, informações de desempenho — estão entre os dados pessoais mais sensíveis que uma empresa processa. O RH é o principal custodiante desses dados e, por isso, é também o ponto de maior exposição.
O risco não é apenas externo. A maior parte dos vazamentos de dados corporativos tem origem interna — comportamentos inadequados dos próprios usuários que têm acesso legítimo aos sistemas, como compartilhar arquivos por canais não seguros, exportar bases para planilhas pessoais ou manter acessos ativos após desligamentos. Isso não é descuido excepcional: é o resultado de processos sem controle definido.
Os quatro pilares a seguir organizam os controles preventivos que o RH pode implementar — e que não exigem dependência exclusiva de TI para funcionar.
Pilar 1 — Gestão de acessos
O princípio fundamental da gestão de acessos é o mínimo acesso — em inglês, need to know: cada pessoa deve ter acesso apenas aos dados necessários para exercer sua função, e nada além disso. Na prática, isso significa:
- Segregação de perfis: o analista de folha não precisa ver laudos médicos; o analista de seleção não precisa ver dados salariais de funcionários ativos. Os sistemas de RH devem ter perfis de acesso diferenciados por função — não um único acesso "RH" para toda a equipe.
- Revisão periódica de permissões: perfis de acesso tendem a acumular mais permissões do que o necessário ao longo do tempo. Uma revisão semestral ou anual — confrontando quem tem acesso com o que a função exige — corrige esse desvio antes que ele se torne um risco.
- Revogação imediata no desligamento: o acesso de um funcionário desligado deve ser revogado no momento do desligamento, não dias depois. Isso inclui sistemas de RH, e-mail corporativo, drives compartilhados e qualquer repositório com dados pessoais.
- Proibição de credenciais compartilhadas: usuários e senhas compartilhados entre membros da equipe impossibilitam a auditoria — não é possível saber quem acessou o quê. Cada usuário deve ter credencial individual.
Com sistemas de RH simples ou planilhas, o controle de acesso é feito manualmente: definir quem pode abrir cada arquivo, usar senhas em documentos com dados sensíveis e manter os arquivos em pastas restritas — não compartilhadas com toda a empresa. O controle é menos sofisticado, mas a disciplina de processo é o que conta.
A revisão periódica de perfis no sistema de RH é o controle mais crítico. Após cada desligamento ou mudança de função, o RH deve verificar e atualizar os acessos. Um processo formal — com responsável definido e registro da revisão — é mais eficaz do que depender de lembrança.
Ferramentas de IAM (Identity and Access Management) automatizam a gestão de perfis, vinculando acessos à posição do funcionário no sistema de RH e revogando automaticamente quando há desligamento ou mudança de cargo. A integração entre o sistema de RH e o IAM elimina a dependência de processos manuais propensos a falha.
Pilar 2 — Política de retenção e descarte
Dados que não precisam mais ser guardados se tornam um risco sem valor correspondente. A política de retenção define por quanto tempo cada tipo de documento deve ser mantido — e o que acontece quando esse prazo termina.
Prazos de retenção por tipo de documento
A LGPD não estabelece prazos únicos — eles variam conforme a legislação trabalhista e previdenciária aplicável a cada tipo de dado. Alguns parâmetros consolidados de mercado:
- Folha de pagamento e holerites: mínimo de 5 anos (prazo prescricional trabalhista), podendo chegar a 30 anos para fins previdenciários;
- Prontuários médicos e laudos ocupacionais: mínimo de 20 anos após o desligamento, conforme normas do Ministério do Trabalho;
- Dados de candidatos não aprovados: não há prazo legalmente obrigatório — a prática segura é de 6 a 12 meses ou descarte imediato com consentimento explícito na candidatura;
- Registros de ponto e controle de jornada: mínimo de 5 anos;
- Contratos de trabalho: por toda a vigência e mínimo de 2 anos após o término, com recomendação de até 5 anos para fins de prova.
Descarte seguro
O descarte precisa ser efetivo, não apenas formal:
- Documentos físicos: trituração ou incineração — não basta colocar na lixeira;
- Arquivos digitais: exclusão permanente com sobrescrição dos dados, não apenas mover para a lixeira do sistema;
- Backups: o descarte deve incluir a eliminação das cópias de segurança que contenham os dados, não apenas o arquivo principal.
Uma tabela simples com os tipos de documento, o prazo de retenção e a forma de descarte — aprovada pela liderança e revisada anualmente — já é suficiente para estruturar a política. O importante é que ela exista e seja seguida, não que seja sofisticada.
Pilar 3 — Criptografia e proteção de arquivos
Criptografia não é exclusividade de grandes empresas. A proteção de arquivos com dados sensíveis pode ser implementada em qualquer porte, com ferramentas acessíveis.
Arquivos com dados sensíveis — laudos, exames, holerites, contratos — devem ser protegidos com senha antes de serem enviados por e-mail. Serviços de armazenamento em nuvem como Google Drive e OneDrive oferecem criptografia básica automaticamente, mas o compartilhamento de links deve ser restrito a destinatários específicos, não aberto a qualquer pessoa com o link.
Os sistemas de RH devem oferecer criptografia em repouso (dados armazenados protegidos) e em trânsito (dados protegidos durante a transmissão). Ao contratar ou renovar um sistema de RH, verificar as certificações de segurança do fornecedor — ISO 27001 ou SOC 2 — é um critério mínimo de avaliação. Os backups dos dados de RH também devem ser criptografados e armazenados em local separado do servidor principal.
E-mails com dados de funcionários
O e-mail é um dos principais vetores de vazamento inadvertido. Boas práticas para o RH:
- Nunca incluir dados sensíveis no corpo do e-mail — apenas em anexos protegidos por senha;
- Verificar o destinatário antes de enviar — erros de digitação em endereços de e-mail são causa frequente de vazamentos;
- Preferir sistemas internos de compartilhamento de documentos a e-mails para circulação de bases de dados.
Pilar 4 — Treinamento e conscientização
Controles técnicos são necessários, mas insuficientes se os membros do time de RH não souberem como usar os sistemas com segurança ou não reconhecerem comportamentos de risco. O treinamento não é um evento único — é um processo contínuo.
O que o time de RH precisa saber
- O que é dado sensível: dados de saúde, origem racial ou étnica, convicções religiosas, dados biométricos e dados de menores são categorias que exigem proteção reforçada — e o RH processa a maioria delas;
- Como circular dados com segurança: por quais canais é permitido compartilhar dados de funcionários, quais são proibidos, e o que fazer quando um canal não seguro for a única opção;
- O que fazer se suspeitar de incidente: a quem comunicar, em quanto tempo e o que não fazer (como tentar resolver sozinho ou apagar evidências).
Um treinamento pontual conduzido pelo sócio-gestor ou por um consultor externo, com atualização anual, já atende ao mínimo. O conteúdo pode ser simples: o que são dados pessoais, o que a LGPD proíbe e quais práticas cotidianas precisam mudar.
Um programa de conscientização estruturado — com módulo inicial para todos os novos integrantes do RH e reciclagem anual — é o padrão adequado. O DPO (interno ou terceirizado) deve ser o responsável pelo conteúdo, e o RH deve registrar as participações.
O treinamento de proteção de dados deve ser integrado ao onboarding corporativo e obrigatório para toda a equipe de RH, com periodicidade mínima anual. Simulações de phishing e de solicitações indevidas de dados — para medir a maturidade do time — são complementos úteis ao treinamento teórico.
Auditoria periódica: verificar para manter
Controles preventivos precisam de verificação regular para não se tornarem obsoletos. Uma auditoria periódica de segurança de dados de RH inclui:
- Revisão de logs de acesso: quem acessou quais dados, quando e por quê — sistemas de RH robustos mantêm esse histórico; sistemas simples podem exigir controle manual;
- Validação de quem tem acesso ao quê: confrontar a lista de usuários ativos no sistema com o quadro atual de funcionários — identificar acessos de ex-funcionários ou permissões inadequadas;
- Revisão da política de senhas: verificar se as senhas dos sistemas de RH atendem a critérios mínimos de segurança (comprimento, complexidade, prazo de troca) e se não estão sendo compartilhadas;
- Teste da política de retenção: verificar se documentos com prazo expirado foram de fato descartados — ou se continuam acumulando em pastas "por precaução".
Se os controles preventivos deste artigo falharem e um incidente ocorrer, os próximos passos estão nos artigos anteriores desta série: Como reconhecer um incidente de dados de RH e Plano de resposta a incidente LGPD.
Sinais de que os controles preventivos precisam de atenção
- Dados de funcionários circulam por e-mail ou WhatsApp sem controle de destinatários
- Ex-funcionários ainda têm acesso a sistemas de RH após o desligamento
- Não há processo formal de revisão periódica de quem tem acesso ao sistema de RH
- Arquivos com dados sensíveis (laudos, exames, holerites) são armazenados sem proteção
- O time de RH nunca participou de treinamento formal sobre proteção de dados pessoais
- Não existe política definida de quanto tempo guardar e quando descartar documentos de RH
Caminhos para estruturar os controles
Implementação interna
Faz sentido quando a empresa tem sistema de RH consolidado e TI capaz de configurar perfis de acesso. O RH lidera a revisão de permissões e a política de retenção — TI implementa as configurações técnicas. A divisão de responsabilidade precisa estar clara para funcionar.
Apoio especializado
Faz sentido quando a empresa não tem TI dedicado ou DPO formal. Uma consultoria de privacidade estrutura os controles, define a política de retenção e programa o treinamento — permitindo que o RH implemente sem precisar construir o conhecimento técnico internamente.
Tipo de fornecedor: Consultoria de LGPD e Privacidade · DPO as a Service · Sistemas de RH (HRIS)
Quer estruturar os controles de proteção de dados do seu RH?
Perguntas frequentes
Como proteger dados de funcionários de vazamento?
A proteção de dados de funcionários se apoia em quatro pilares: gestão de acessos (quem pode ver o quê), política de retenção e descarte (por quanto tempo guardar e como eliminar), criptografia de arquivos sensíveis e treinamento do time de RH. A maioria dos vazamentos tem origem interna — comportamentos cotidianos sem controle definido — o que significa que processo e cultura pesam tanto quanto tecnologia.
Quais controles de acesso o RH deve implementar para cumprir a LGPD?
O controle de acesso mínimo exigido pela LGPD (art. 46) inclui: aplicar o princípio do mínimo acesso (cada usuário acessa apenas o que a função exige), ter credenciais individuais para cada membro do RH (sem compartilhamento de senha), revogar acessos imediatamente no desligamento e revisar periodicamente quem tem acesso a quais dados.
Como fazer gestão de acessos em sistemas de RH?
A gestão de acessos em sistemas de RH começa pela criação de perfis diferenciados por função — analista de folha, analista de seleção, gestor de RH — com permissões limitadas ao escopo de cada papel. Em seguida, é necessária uma revisão periódica (semestral ou anual) para identificar permissões excessivas acumuladas. Para grandes empresas, ferramentas de IAM (Identity and Access Management) automatizam esse processo com integração direta ao sistema de RH.
O que é o princípio do mínimo acesso e como aplicar no RH?
O princípio do mínimo acesso (ou need to know) estabelece que cada pessoa deve ter acesso apenas aos dados necessários para exercer sua função — e nada além disso. No RH, isso significa que o analista de folha não precisa ver laudos médicos, que o analista de seleção não precisa ver dados salariais de ativos e que o acesso a dados de saúde deve ser restrito a quem tem atribuição formal com esses dados.
Como treinar a equipe de RH para proteção de dados pessoais?
O treinamento deve cobrir pelo menos três pontos: o que é dado sensível e quais o RH processa, como circular dados com segurança (quais canais são permitidos, quais são proibidos) e o que fazer se suspeitar de um incidente. A frequência mínima recomendada é anual, com módulo inicial no onboarding de novos integrantes do RH. Para pequenas empresas, um treinamento conduzido por consultor externo já atende ao essencial.
Por quanto tempo o RH deve guardar documentos com dados de funcionários?
O prazo varia por tipo de documento. Folha de pagamento e holerites: mínimo de 5 anos (prazo prescricional trabalhista). Prontuários médicos e laudos ocupacionais: mínimo de 20 anos após o desligamento. Registros de ponto: mínimo de 5 anos. Contratos de trabalho: mínimo de 2 a 5 anos após o término. Dados de candidatos não aprovados: 6 a 12 meses, ou conforme consentimento declarado no processo seletivo.
Referências
- Storcenter. Prevenção e Ação contra Vazamento de Dados na Era LGPD. Disponível em: storcenter.com.br.
- RH Pra Você. O RH e a precaução no vazamentos de dados. Disponível em: rhpravoce.com.br.
- Contabeis. LGPD e RH: Protegendo Dados Sensíveis de Funcionários. Disponível em: contabeis.com.br.
- Brasil. Lei nº 13.709, de 14 de agosto de 2018 (LGPD), art. 46 — Segurança e sigilo de dados. Disponível em: planalto.gov.br.