Posted in Opinião

A proteção dos dados pessoais do trabalhador frente às alterações da NR 01

   2 de abril de 2025

Por Rafael Mosele A edição da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD) representou um marco regulatório essencial para a garantia da privacidade e da autodeterminação informativa no âmbito das relações laborais. Em paralelo, a recente atualização da Norma Regulamentadora nº 01 (NR 01), vigente a partir de maio de 2025, inclui os fatores psicossociais como elementos obrigatórios no Gerenciamento de Riscos Ocupacionais (GRO), criando um novo cenário para o tratamento de dados pessoais sensíveis relacionados à saúde do trabalhador. Neste contexto, emerge a necessidade de repensar o papel do empregador diante de suas obrigações legais e éticas frente à proteção de dados no ambiente de trabalho.

A partir de maio de 2025, as empresas serão obrigadas a identificar, avaliar e controlar os riscos psicossociais que possam afetar a saúde dos trabalhadores. Essa inclusão decorre da compreensão ampliada do conceito de risco ocupacional, que passa a abarcar também fatores como o estresse ocupacional, o assédio moral e sexual, a sobrecarga de trabalho, a insegurança de emprego e o isolamento social, sobretudo em regimes de teletrabalho. A análise desses fatores exige a coleta de dados extremamente sensíveis, como informações médicas e psicológicas, o que impõe a adoção rigorosa das diretrizes estabelecidas pela LGPD.

A LGPD, ao classificar os dados sobre a saúde como sensíveis (art. 5º, II), determina que seu tratamento somente será lícito quando fundado em uma das hipóteses do art. 11. No âmbito das relações de trabalho, destaca-se a possibilidade de tratamento para cumprimento de obrigação legal ou regulatória pelo controlador (art. 11, II, “a”), como é o caso da observância das NRs. Ainda assim, essa permissão não exime o empregador do dever de respeitar os princípios da finalidade, necessidade, minimização, segurança e transparência (art. 6º), sendo vedado o uso dos dados para finalidades diversas ou discriminatórias.

Com a obrigação de tratar dados de natureza psicossocial, as empresas devem revisar suas práticas internas, adotando políticas de privacidade claras, instrumentos de governança e mecanismos de segurança da informação. A nomeação de encarregado pelo tratamento de dados (art. 41, LGPD) torna-se ainda mais relevante, bem como a elaboração de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), conforme o art. 38. Tais medidas devem considerar, inclusive, a hipossuficiência do trabalhador na relação de poder e a impossibilidade de consentimento válido em muitos casos.

A coleta de informações relacionadas à saúde mental não pode ocorrer de forma ampla e genérica. Ela deve ser estritamente vinculada à finalidade de prevenção de riscos, não podendo ser utilizada para fins disciplinares ou de avaliação de desempenho, por exemplo. A jurisprudência nacional e internacional, tem consolidado a ideia de que o monitoramento no ambiente de trabalho deve respeitar o princípio da proporcionalidade, não sendo admitida a vigilância oculta ou desproporcional. Os dados psicossociais devem ser tratados com base em critérios objetivos, sendo vedadas inferências subjetivas ou estigmatizantes.

A obrigatoriedade de avaliação dos fatores psicossociais exige das empresas um novo paradigma de gestão de pessoas. Mais do que uma exigência normativa, trata-se de incorporar uma cultura organizacional voltada à proteção da dignidade e do bem-estar dos trabalhadores. A privacidade deve ser compreendida como um direito fundamental que coexiste com a produtividade e a eficiência, sendo a conformidade com a LGPD um elemento estruturante da responsabilidade social empresarial.

As alterações da NR 01 e a vigência plena da LGPD impõem um dever inequívoco de reestruturação das práticas empresariais no tratamento de dados sensíveis relativos à saúde do trabalhador. As organizações devem alinhar suas condutas ao marco legal, sob pena de violação de direitos fundamentais e responsabilização administrativa, cível e trabalhista. O desafio está em conciliar a necessidade de gestão dos riscos ocupacionais com o respeito à intimidade, à privacidade e à proteção de dados pessoais, fortalecendo a construção de um ambiente laboral ético, seguro e humanizado.

*Rafael Mosele, Advogado e Head de Consultoria Trabalhista Empresarial Célio Neto Advogados, Master of law (LLM) pela FGV/Rio, Especialista em Direito do Trabalho pelo UniCuritiba, Diretor fundador e Presidente da Comissão de Relações do Trabalho do Instituto Nacional de Proteção de Dados,  Membro da Comissão de Direito Digital e Proteção de Dados da OAB/PR -2022/24, Membro da International Association of Privacy Professionals , Coautor da obra LGPD e Compliance Trabalhista e Coordenador e Coautor do Guia de Temporalidade e Conservação

Referências

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais.

BRASIL. Portaria MTP nº 422, de 7 de outubro de 2021. Atualiza a NR 01 – Disposições Gerais e GRO.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD. Guia Orientativo sobre Encarregados pelo Tratamento de Dados Pessoais. Brasília, 2024.