Seu RH em Risco: A Nova NR-1 e a Exposição de Dados Sensíveis que Ninguém Te Contou

A nova NR-1 e a LGPD se encontram! Entenda como a gestão de SST exige proteção rigorosa de dados sensíveis. Evite multas!

A recente atualização da Norma Regulamentadora 1 (NR-1) representa um marco significativo na gestão da Saúde e Segurança do Trabalho (SST) no Brasil, ao instituir a obrigatoriedade de gerenciar riscos psicossociais e exigir uma abordagem mais contínua e estruturada na identificação e mitigação de riscos ocupacionais. Paralelamente, a Lei Geral de Proteção de Dados Pessoais (LGPD), em pleno vigor, já transformou a maneira como as organizações tratam dados pessoais. A convergência dessas duas normativas cria um cenário complexo que exige atenção redobrada das empresas, principalmente quando a NR-1 demanda a coleta de informações que se enquadram como dados sensíveis.

O Programa de Gerenciamento de Riscos (PGR), eixo central da nova NR-1, exige a elaboração de um inventário de riscos e um plano de ação, documentos que frequentemente pressupõem a coleta e análise de dados individualizados, como registros de exames ocupacionais, históricos de afastamentos e exposições a agentes nocivos. Tais informações, por sua natureza intrínseca à saúde do trabalhador, são consideradas dados pessoais sensíveis pela LGPD. Este enquadramento implica um regime jurídico mais rigoroso para o seu tratamento, aumentando a responsabilidade das empresas no manuseio dessas informações delicadas e exigindo um cuidado excepcional.

Diante desse panorama, uma das primeiras e mais cruciais medidas para a conformidade é o mapeamento detalhado das atividades de tratamento de dados no Registro das Operações de Tratamento de Dados Pessoais (ROPA), conforme previsto no Art. 37 da LGPD. Este registro deve refletir com precisão as finalidades da coleta – como o cumprimento de normas regulamentadoras ou a promoção da saúde ocupacional –, as categorias de dados envolvidos, os agentes de tratamento, os fluxos de compartilhamento com terceiros e as medidas técnicas e administrativas de segurança adotadas. O ROPA transcende a mera obrigação legal, tornando-se uma ferramenta estratégica de governança que permite identificar vulnerabilidades e aprimorar continuamente o programa de privacidade da organização.

É imperativo que o tratamento desses dados sensíveis esteja amparado por bases legais específicas, conforme o Art. 11 da LGPD, distintas daquelas aplicáveis a dados pessoais comuns. No contexto da SST, destacam-se o cumprimento de obrigação legal ou regulatória pelo controlador, essencial para a manutenção de documentos e exames exigidos por lei, e a proteção da vida ou da incolumidade física do titular ou de terceiro, crucial em situações emergenciais ou de prevenção a riscos graves à saúde. É vital que as empresas evitem utilizar bases legais inadequadas, como o consentimento, que se revela incompatível com a natureza mandatória das obrigações decorrentes da NR-1, podendo comprometer a validade do tratamento e a segurança jurídica.

Para além das bases legais, a LGPD impõe rigorosos deveres de transparência, que devem ser amplamente refletidos no ambiente interno de trabalho. Boas práticas incluem a inserção de avisos de privacidade em todos os materiais relacionados às atividades de SST, como nas listas de presença de treinamentos, informando de forma clara o tratamento conferido aos dados pessoais. Igualmente crucial é a gestão do compartilhamento de dados com terceiros, como clínicas médicas, consultorias especializadas e softwares de gestão ocupacional. Nesses casos, a formalização de contratos robustos com cláusulas específicas de proteção de dados, confidencialidade, segurança da informação e limitação de finalidade é essencial, juntamente com o monitoramento contínuo desses parceiros.

A nova NR-1, ao exigir uma gestão mais robusta e sistêmica dos riscos ocupacionais, amplia significativamente a exposição das empresas ao tratamento de dados sensíveis de seus colaboradores. A conformidade com a LGPD, nesse cenário, não é um requisito à parte, mas uma parte integrante e indissociável da política de Saúde e Segurança do Trabalho de qualquer empresa. A harmonização e integração dessas duas frentes regulatórias é fundamental para mitigar riscos trabalhistas, evitar sanções administrativas e, acima de tudo, fortalecer o compromisso ético da sua organização com a proteção e o bem-estar de seus funcionários, refletindo uma governança corporativa moderna e responsável.

Sua empresa está preparada para essa integração complexa? Hoje, inúmeras empresas exigem a conformidade com a LGPD de todos os seus fornecedores. Estar em dia não é só evitar multas, é abrir portas para novos negócios, proteger sua reputação e garantir segurança para os dados dos seus clientes. A Data Protection Brasil ajuda sua empresa a se adequar com segurança, clareza e estratégia. Entre em contato conosco hoje mesmo para uma avaliação e descubra como podemos ajudar a fortalecer a governança de dados e SST em sua empresa.

Fonte: Jota