LGPD na Contratação de Funcionários: Dados de Colaboradores também Precisam de Proteção
Dra. Camila Ferreira
Advogada | DPO Certificada
A LGPD se aplica a qualquer pessoa física cujos dados são tratados — não apenas aos pacientes. Seus funcionários também são titulares de dados, e os dados que você coleta na contratação, mantém durante o vínculo empregatício e armazena após o desligamento precisam ser tratados com as mesmas obrigações de segurança e transparência.
A maioria das clínicas de estética foca o compliance LGPD nos dados dos pacientes — o que faz sentido, já que é onde estão os dados mais sensíveis. Mas ignorar os dados dos colaboradores é uma lacuna que a ANPD pode explorar.
Que dados os funcionários compartilham com a clínica
Na admissão e durante o vínculo, você coleta ou acessa:
Dados de identificação:
- Nome completo, CPF, RG, data de nascimento
- Carteira de trabalho (CTPS)
- PIS/PASEP
- Título de eleitor
- Certificado de reservista
Dados financeiros:
- Conta bancária para pagamento de salário
- Dados para IR (dependentes, deduções)
- Histórico de remuneração
Dados de saúde:
- Exame admissional e periódicos (ASO)
- Atestados médicos
- Laudos para afastamento pelo INSS
- Informações sobre deficiência (para cota PCD)
Dados comportamentais:
- Registro de ponto (quando entra, quando sai)
- Avaliações de desempenho
- Advertências e ocorrências disciplinares
- Câmeras de segurança (se houver)
Todos esses são dados pessoais protegidos pela LGPD. Os dados de saúde — exames, atestados, laudos — são dados sensíveis, com proteção ainda mais rigorosa.
Qual a base legal para tratar dados de funcionários
Diferente dos pacientes, onde o consentimento e a tutela da saúde são as principais bases legais, para funcionários a base mais comum é:
Cumprimento de obrigação legal (Art. 7º, II)
A legislação trabalhista exige que você colete e mantenha grande parte desses dados: CTPS, PIS, ASO, registros de ponto, dados para folha de pagamento. A coleta é obrigatória por lei — não precisa de consentimento adicional.
Execução de contrato (Art. 7º, V)
Dados necessários para pagar o salário, fazer o depósito do FGTS, gerenciar benefícios (VT, VR, plano de saúde) são cobertos pela execução do contrato de trabalho.
Consentimento (Art. 7º, I)
Para dados que vão além das obrigações legais — como incluir a foto do funcionário em material de marketing da clínica, ou enviar comunicações de cunho pessoal — o consentimento é necessário.
Erros comuns no tratamento de dados de funcionários
Manter dados de ex-funcionários indefinidamente
Após o desligamento, você ainda precisa manter alguns dados por obrigação legal (5 anos para fins trabalhistas e tributários, 2 anos de registro de ponto pela CLT, 30 anos de ASO pela NR-7). Mas dados além do necessário devem ser eliminados.
O arquivo físico de ex-funcionários de 10 anos atrás, com CTPS, documentos pessoais e atestados médicos, é um passivo de privacidade — e um risco de segurança.
Compartilhar dados de saúde de funcionários com gestores sem necessidade
O ASO e atestados médicos são dados sensíveis. O gestor direto de um funcionário não precisa saber o diagnóstico de uma doença — apenas que o funcionário está afastado e por quanto tempo. Compartilhar diagnósticos desnecessariamente viola o princípio da necessidade.
Câmeras de segurança sem aviso
Se a clínica tem câmeras de segurança que gravam funcionários, é obrigação informar sobre isso. Os funcionários precisam saber que estão sendo monitorados, para quê as imagens são usadas e por quanto tempo são armazenadas.
Requisitos para câmeras:
- Aviso visível de monitoramento por câmeras
- Finalidade declarada (segurança patrimonial, controle de acesso)
- Prazo de retenção das imagens (geralmente 30 dias)
- Quem tem acesso às gravações
Acesso irrestrito a dados de todos os funcionários
Na maioria das clínicas pequenas, a proprietária ou gerente tem acesso a tudo. Mas quando um funcionário tem acesso à folha de pagamento de colegas, ou vice-versa, isso é acesso desnecessário a dados pessoais de terceiros.
Dados no celular pessoal da proprietária
Se os dados de funcionários — salários, documentos, informações de saúde — ficam no celular pessoal da proprietária, sem senha ou backup seguro, é um risco de incidente de segurança.
O que implementar na prática
Inclua funcionários na política de privacidade
Seu aviso de privacidade deve mencionar o tratamento de dados de colaboradores: quais dados são coletados, para quê, com quem são compartilhados (contabilidade, eSocial, bancos) e por quanto tempo são mantidos.
Isso pode ser um aviso separado (Aviso de Privacidade para Colaboradores), entregue no momento da admissão.
Defina prazos de retenção por categoria
| Documento | Prazo mínimo | Base |
|---|---|---|
| CTPS (cópia) | 5 anos após desligamento | Prescrição trabalhista |
| Registro de ponto | 2 anos | CLT, Art. 74 |
| ASO e laudos | 30 anos | NR-7 |
| Contracheques | 5 anos | Prescrição tributária |
| Atestados médicos | 5 anos | Prescrição trabalhista |
Após os prazos, elimine de forma segura.
Controle de acesso para dados de RH
Separe quem pode ver o quê. A recepcionista não precisa de acesso à folha de pagamento. A esteticista não precisa ver o histórico disciplinar de colegas. Apenas quem tem necessidade real acessa cada categoria de dado.
Informe funcionários sobre seus direitos
Funcionários também são titulares e têm os direitos do Art. 18 da LGPD: acesso, correção, portabilidade. Inclua isso no material de integração de novas contratações.
Conformidade LGPD completa inclui os dados dos seus colaboradores. A boa notícia: as medidas necessárias são simples e muitas vezes já fazem parte de boas práticas de RH. O que falta é formalizar e documentar.
O Assenti cobre tanto a gestão de dados de pacientes quanto a conformidade em dados de colaboradores, com templates de aviso de privacidade e prazos de retenção pré-configurados. Saiba mais.
Este artigo tem caráter informativo e não substitui assessoria jurídica especializada.
Dra. Camila Ferreira
Advogada | DPO Certificada
Advogada especialista em Direito Digital e Proteção de Dados, com LLM pela Universidade de São Paulo. Certificada como DPO pela EXIN e IAPP. Assessorou mais de 60 clínicas de estética e saúde na jornada de adequação à LGPD, sendo referência nacional na aplicação da lei para o setor.
