LGPD e Proteção de Dados do Empregado

Seu empregador pode ler seus e-mails? Pode filmar você trabalhando? Pode usar sua digital para bater ponto? Pode rastrear sua localização pelo celular corporativo? A resposta para todas essas perguntas é a mesma: depende. E o "depende" tem nome: LGPD.

A Lei Geral de Proteção de Dados (Lei 13.709/2018) completou cinco anos de vigência e, no âmbito trabalhista, já deixou de ser novidade para virar problema concreto. Tenho recebido consultas dos dois lados: empresas querendo saber até onde podem monitorar, e empregados querendo saber até onde precisam tolerar. As dúvidas são reais. A jurisprudência, ainda em construção.

Neste artigo, destrincho como a LGPD se aplica às relações de trabalho — do processo seletivo ao desligamento —, com foco nos pontos que mais geram litígio: monitoramento, biometria, câmeras, e-mail corporativo, uso de IA no RH e compartilhamento de dados com terceiros.

1. A LGPD se Aplica às Relações de Trabalho?

Sim. E não há margem para dúvida. A lei protege os direitos fundamentais de liberdade e de privacidade da pessoa natural (art. 1º da LGPD), sem fazer qualquer distinção quanto ao tipo de relação jurídica. Diferentemente do GDPR europeu, a LGPD não tem disposição expressa sobre Direito do Trabalho, mas sua incidência é irrefutável: a relação de trabalho nem sequer existiria sem a coleta, o armazenamento e o tratamento de dados pessoais.

O empregador é, para todos os efeitos, controlador de dados nos termos da lei. Desde a fase pré-contratual até após a rescisão, é ele quem armazena, tem acesso e faz a guarda dos dados pessoais do trabalhador.

2. As Três Fases: Pré-Contratual, Contratual e Pós-Contratual

2.1. Fase pré-contratual: o processo seletivo

Aqui começa o problema. Na seleção, é proibida a coleta de dados que possam gerar critério discriminatório — exame de gravidez, toxicológico sem previsão legal, antecedentes criminais genéricos, análise de crédito. E os currículos dos não selecionados? A LGPD impõe o princípio da finalidade (art. 6º, I): encerrado o processo seletivo, encerrou-se a finalidade. A prática recomendada é eliminar os dados em 90 a 180 dias, salvo consentimento expresso para banco de talentos.

2.2. Fase contratual: o fluxo constante de dados

Durante o contrato, o empregador trata dados em múltiplos contextos: folha de pagamento, controle de jornada, gestão de benefícios, avaliações de desempenho, controle de acesso, monitoramento de comunicações corporativas. Cada uma dessas operações exige base legal específica e observância dos princípios de necessidade, adequação e transparência.

2.3. Fase pós-contratual: o dever de guarda

No desligamento, a LGPD exige informação sobre a finalização do uso de dados. Mas nas relações trabalhistas, existem obrigações legais de guarda documental (prescrição bienal, FGTS, previdenciário). Isso afasta, em parte, o direito à eliminação imediata. Cada caso precisa de análise específica.

3. Monitoramento do Empregado: O Que É Permitido?

3.1. E-mail corporativo

A jurisprudência do TST já consolidou: o empregador pode monitorar o e-mail corporativo, pois é ferramenta de trabalho fornecida pela empresa. Mas deve informar o empregado com antecedência e o monitoramento não pode se estender a comunicações pessoais.

Minha leitura

A distinção é simples: e-mail @empresa.com.br é da empresa. Gmail pessoal é do empregado. Se a empresa monitora o segundo, está violando a LGPD e a Constituição. Se monitora o primeiro sem avisar, o monitoramento é lícito na finalidade, mas ilícito na forma.

3.2. Câmeras de vídeo

O TST admite câmeras no ambiente de trabalho para fins de segurança, desde que: não sejam direcionadas a áreas de descanso, sanitários ou vestiários; os empregados sejam informados; as imagens sejam usadas apenas para a finalidade declarada. Câmeras ocultas são ilícitas — e as provas obtidas por esse meio também.

3.3. Rastreamento por GPS

Empresas de logística usam GPS para organizar rotas. É legítimo. Mas o rastreamento não pode extrapolar para momentos fora da jornada. Desligar o rastreador após o expediente não é opcional — é obrigação.

3.4. Software de produtividade (bossware)

Ferramentas que capturam tela, registram digitação e medem "tempo ocioso" estão se multiplicando, especialmente no teletrabalho. A LGPD não proíbe, mas exige transparência, proporcionalidade e finalidade legítima. O monitoramento segundo a segundo, sem critério, é desproporcional e pode configurar assédio moral por vigilância excessiva.

4. Biometria: Dado Sensível com Tratamento Especial

A LGPD classifica dados biométricos como dados pessoais sensíveis (art. 5º, II). Quando usada para registro de ponto (art. 74 da CLT), a base legal mais adequada não é o consentimento, mas sim o cumprimento de obrigação legal ou a execução do contrato. Ainda assim, o empregador deve limitar o uso ao necessário, garantir armazenamento seguro e informar a finalidade. Usar biometria coletada para ponto em sistema de segurança patrimonial sem aviso é desvio de finalidade.

5. IA no RH: Recrutamento Automatizado e Decisões Algorítmicas

Empresas que usam inteligência artificial para triagem de currículos e avaliação de desempenho enfrentam um problema: a LGPD garante ao titular o direito de solicitar revisão de decisões automatizadas (art. 20). Mas quantos empregados sabem que foram avaliados por um algoritmo?

Minha leitura

A IA no RH é uma ferramenta poderosa, mas não é neutra. Ela reproduz os vieses dos dados com que foi treinada. Se o histórico de contratações da empresa é enviesado, o algoritmo vai automatizar a discriminação. O art. 7º, XXX, da CF e o art. 373-A da CLT existem para impedir isso — inclusive quando o discriminador não é humano.

6. Consentimento do Empregado: Por Que Não Funciona

Muita empresa acha que basta pedir ao empregado para "assinar um termo" e está tudo resolvido. Não está. A LGPD exige que o consentimento seja livre, informado e inequívoco. Numa relação de emprego, marcada pela subordinação, o empregado dificilmente recusa sem temer retaliação.

Na prática, as bases legais mais adequadas são: cumprimento de obrigação legal (folha, FGTS, eSocial), execução do contrato (benefícios, jornada) e legítimo interesse (monitoramento de segurança, compliance). O consentimento só faz sentido quando há liberdade real de escolha.

7. Justa Causa por Violação da LGPD: O Empregado Também Responde

O outro lado da moeda. A Justiça do Trabalho já vem ratificando dispensas por justa causa quando empregados negligenciam normas de tratamento de dados. Mas atenção: para que a justa causa se sustente, a empresa precisa ter política interna clara, treinamento documentado e ciência inequívoca do empregado sobre as regras.

8. Orientações Práticas

Para empresas

A estrutura mínima de conformidade com a LGPD no RH envolve: mapeamento de dados (registro de todas as operações de tratamento com identificação de base legal, finalidade e prazo de retenção); política de privacidade interna para colaboradores; treinamento periódico documentado; e canal de atendimento ao titular. Quem não tem isso está exposto a ações individuais, ações civis públicas e sanções da ANPD (multa de até 2% do faturamento).

Para trabalhadores

Se você suspeita de uso indevido dos seus dados, vazamento ou monitoramento abusivo: documente tudo — datas, horários, prints, e-mails. Formalize a solicitação de acesso junto ao DPO ou RH. Se não houver resposta, denuncie à ANPD e procure um advogado trabalhista especializado.

Perguntas Frequentes (FAQ)

As dúvidas mais comuns sobre LGPD nas relações de trabalho.

A empresa pode ler meu e-mail corporativo?

Sim, desde que você tenha sido informado previamente. O e-mail corporativo é ferramenta de trabalho. Mas a empresa não pode monitorar seu e-mail pessoal, mesmo em equipamento corporativo. O TST já consolidou essa distinção.

A empresa pode me filmar no trabalho?

Pode, em áreas de trabalho, desde que informe previamente e a finalidade seja legítima (segurança). Não pode em vestiários, banheiros, refeitórios ou áreas de descanso. Câmeras ocultas são sempre ilícitas.

Biometria no ponto é legal?

Sim, a CLT autoriza registro eletrônico de ponto. Mas a biometria é dado sensível pela LGPD e exige armazenamento seguro, finalidade específica e transparência. Usar a digital do ponto para outra finalidade sem aviso é ilícito.

Posso ser demitido por justa causa por vazar dados?

Sim. A Justiça do Trabalho já ratificou dispensas por justa causa por violação de normas de proteção de dados. Porém, a empresa precisa ter política interna clara, treinamento documentado e comprovar que o empregado foi informado.

O consentimento do empregado basta para a empresa tratar dados?

Na maioria dos casos, não. A subordinação própria da relação de emprego compromete a liberdade do consentimento. As bases legais mais adequadas são obrigação legal, execução do contrato e legítimo interesse. O consentimento só vale quando há liberdade real de escolha.

Conclusão

A proteção de dados nas relações de trabalho não é modismo — é o novo normal. A LGPD já está sendo aplicada pela Justiça do Trabalho, pela ANPD e pelo Ministério Público. E a tendência é de aceleração.

O poder diretivo do empregador continua existindo. Mas ele tem limites. E esses limites, que antes eram definidos quase exclusivamente pela CLT e pela Constituição, agora ganharam um novo aliado: a Lei Geral de Proteção de Dados.

Para quem emprega: adequar-se à LGPD não é custo — é investimento em segurança jurídica. Para quem trabalha: conhecer seus direitos é a primeira forma de protegê-los.

Precisa de orientação sobre LGPD no trabalho?

O Lopes Bahia Advocacia assessora empresas e trabalhadores na adequação à proteção de dados nas relações laborais.

Fale com um especialista

LGPD TrabalhoProteção Dados EmpregadoMonitoramentoBiometria PontoE-mail CorporativoCâmeras TrabalhoBossware TeletrabalhoIA RecrutamentoDados SensíveisPoder Diretivo LimitesANPDJusta Causa LGPD

Este artigo tem caráter informativo e não substitui a consulta a um advogado. Para análise da sua situação concreta, procure o Lopes Bahia Advocacia.