Proteção de Dados em Plataformas de Recrutamento e Seleção

Plataformas de recrutamento e seleção processam dados pessoais sensíveis de milhões de candidatos, e a conformidade com a LGPD nesse contexto exige atenção redobrada das empresas e dos profissionais de RH.

O cenário atual do tratamento de dados em processos seletivos

O mercado de trabalho passou por uma transformação digital profunda nos últimos anos. Plataformas de recrutamento e seleção, tanto nacionais quanto internacionais, tornaram-se o principal canal de intermediação entre empresas e candidatos. Nesse ambiente, volumes expressivos de dados pessoais transitam diariamente: currículos completos, históricos profissionais, pretensões salariais, informações sobre deficiências, filiação sindical e até mesmo dados biométricos coletados em entrevistas por vídeo com reconhecimento facial.

Quando analisamos esse ecossistema sob a ótica da Lei Geral de Proteção de Dados (Lei 13.709/2018), identificamos uma cadeia complexa de agentes de tratamento. A empresa contratante atua como controladora dos dados, enquanto a plataforma de recrutamento pode figurar como operadora ou, em determinadas situações, como controladora conjunta. Essa distinção não é meramente teórica: dela decorrem responsabilidades jurídicas distintas em caso de incidentes de segurança ou uso indevido das informações.

A due diligence de dados nesse contexto envolve verificar como cada elo da cadeia trata as informações dos candidatos, desde a coleta inicial até o descarte. Observamos que muitas organizações ainda negligenciam essa análise, confiando cegamente nas políticas de privacidade das plataformas sem verificar se elas de fato atendem aos requisitos legais. Essa postura representa um risco jurídico considerável, pois a responsabilidade pelo tratamento inadequado pode recair sobre todos os agentes envolvidos.

Bases legais aplicáveis e limites do consentimento

Um dos equívocos mais comuns que verificamos na prática é a crença de que o consentimento do candidato resolve todas as questões de conformidade. Embora o consentimento seja uma das bases legais previstas no artigo 7º da LGPD, ele apresenta fragilidades significativas no contexto de recrutamento e seleção. A relação entre candidato e empresa é marcada por evidente assimetria de poder: o candidato que se recusa a consentir com o tratamento de seus dados simplesmente não participa do processo seletivo. Essa dinâmica compromete a liberdade que deveria caracterizar o consentimento válido.

Por essa razão, analisamos que outras bases legais podem ser mais adequadas para fundamentar o tratamento de dados em processos seletivos. A execução de procedimentos preliminares a um contrato (artigo 7º, inciso V, da LGPD) mostra-se pertinente quando o tratamento é necessário para avaliar a adequação do candidato à vaga. O legítimo interesse do controlador (artigo 7º, inciso IX) também pode ser invocado, desde que precedido de um teste de proporcionalidade que pondere os interesses da empresa frente aos direitos do candidato.

Quando o processo seletivo envolve dados sensíveis (como informações sobre saúde, origem racial ou convicções religiosas), as bases legais tornam-se ainda mais restritas. O artigo 11 da LGPD estabelece um rol taxativo de hipóteses para o tratamento dessas informações. Verificamos que muitas plataformas coletam dados sensíveis de forma indiscriminada, sem fundamentação jurídica adequada, expondo empresas e candidatos a riscos desnecessários.

A coleta de dados deve respeitar rigorosamente o princípio da necessidade previsto no artigo 6º, inciso III, da LGPD. Isso significa que apenas as informações estritamente necessárias para a avaliação do candidato devem ser solicitadas em cada etapa do processo. Perguntas sobre estado civil, planejamento familiar ou orientação política, por exemplo, não possuem relação com a capacidade profissional e configuram coleta excessiva.

A due diligence de dados em plataformas de recrutamento não é um luxo regulatório, mas uma necessidade estratégica para empresas que desejam contratar com segurança jurídica e respeito aos direitos dos candidatos.

Due diligence prática: o que verificar nas plataformas

Quando conduzimos uma due diligence de dados em plataformas de recrutamento, estruturamos a análise em eixos fundamentais que permitem avaliar o grau de conformidade do sistema com a legislação vigente. O primeiro eixo diz respeito à transparência: a plataforma informa de maneira clara e acessível quais dados coleta, para quais finalidades, por quanto tempo os armazena e com quem os compartilha? A política de privacidade deve ser redigida em linguagem simples, conforme exige o artigo 9º da LGPD.

O segundo eixo envolve a segurança da informação. Analisamos se a plataforma adota medidas técnicas e administrativas adequadas para proteger os dados contra acessos não autorizados, vazamentos e incidentes de segurança. Isso inclui verificar a existência de criptografia em trânsito e em repouso, controles de acesso baseados em perfis, registros de auditoria (logs) e planos de resposta a incidentes. A ausência dessas medidas pode configurar negligência por parte da plataforma e, por extensão, da empresa que a contratou.

O terceiro eixo refere-se aos direitos dos titulares. A LGPD garante ao candidato diversos direitos, incluindo acesso, correção, eliminação e portabilidade de seus dados. Verificamos se a plataforma oferece mecanismos efetivos para que os candidatos exerçam esses direitos. Na prática, muitas plataformas dificultam a exclusão de perfis ou mantêm dados por períodos indefinidos, mesmo após o encerramento do processo seletivo, o que contraria o princípio da necessidade.

O quarto eixo trata das transferências internacionais de dados. Diversas plataformas de recrutamento armazenam informações em servidores localizados fora do Brasil. Nesses casos, a transferência deve observar as hipóteses previstas no artigo 33 da LGPD, que incluem a existência de legislação adequada no país de destino ou a adoção de cláusulas contratuais específicas. A Autoridade Nacional de Proteção de Dados (ANPD) vem regulamentando progressivamente esse tema, e as empresas devem acompanhar essas diretrizes.

Por fim, o quinto eixo aborda o uso de inteligência artificial e decisões automatizadas nos processos seletivos. Filtros automáticos de currículos, análises de perfil comportamental por algoritmos e entrevistas avaliadas por sistemas de reconhecimento de emoções são práticas cada vez mais frequentes. O artigo 20 da LGPD assegura ao titular o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado, incluindo aquelas que afetem seus interesses, como a eliminação de um processo seletivo.

Responsabilidades da empresa contratante e boas práticas

Constatamos que muitas empresas delegam integralmente a responsabilidade pelo tratamento de dados às plataformas de recrutamento, sem formalizar adequadamente essa relação. Essa postura é juridicamente arriscada. A LGPD estabelece que o controlador responde pelos danos decorrentes do tratamento de dados, e a contratação de um operador não transfere automaticamente essa responsabilidade.

A formalização contratual é essencial. O contrato entre a empresa e a plataforma de recrutamento deve conter cláusulas específicas sobre proteção de dados, incluindo a definição clara dos papéis de cada parte (controlador e operador), as finalidades autorizadas para o tratamento, as medidas de segurança exigidas, os procedimentos em caso de incidentes e as condições para subcontratação. Recomendamos também a inclusão de cláusulas de auditoria que permitam à empresa verificar periodicamente a conformidade da plataforma.

A elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no artigo 38 da LGPD, é uma medida recomendável antes da contratação de qualquer plataforma de recrutamento. Esse documento descreve os processos de tratamento de dados que podem gerar riscos às liberdades civis e aos direitos fundamentais dos candidatos, bem como as medidas de mitigação adotadas. Embora a ANPD ainda não tenha regulamentado exaustivamente os casos em que o RIPD é obrigatório, sua elaboração demonstra diligência e boa-fé por parte da empresa.

Outro ponto relevante diz respeito à retenção de dados após o encerramento do processo seletivo. Analisamos que é comum plataformas manterem currículos e informações de candidatos não selecionados por tempo indeterminado, formando bancos de talentos. Essa prática pode ser legítima, desde que o candidato seja informado e que exista uma base legal adequada. O prazo de retenção deve ser definido e comunicado previamente, e o candidato deve ter a possibilidade de solicitar a exclusão de seus dados a qualquer momento.

A capacitação das equipes de recursos humanos também integra o rol de boas práticas. Os profissionais que operam as plataformas de recrutamento devem compreender os princípios da LGPD e saber identificar situações de risco. Treinamentos periódicos sobre proteção de dados aplicada ao contexto de recrutamento contribuem para a criação de uma cultura organizacional de privacidade.

Consequências do descumprimento e tendências regulatórias

As sanções previstas na LGPD para o descumprimento das normas de proteção de dados são significativas. A ANPD pode aplicar advertências, multas de até 2% do faturamento da empresa (limitadas a R$ 50 milhões por infração), bloqueio ou eliminação dos dados pessoais relacionados à infração, além da publicização do ato. No contexto trabalhista, o tratamento inadequado de dados de candidatos pode gerar demandas judiciais fundamentadas em danos morais, especialmente quando há vazamento de informações sensíveis ou uso discriminatório de dados.

Observamos que a ANPD tem intensificado sua atuação fiscalizatória e que as relações de trabalho figuram entre os temas prioritários da autoridade. A tendência é que o tratamento de dados em processos de recrutamento receba atenção crescente, acompanhando o movimento regulatório europeu, onde o tema já é objeto de diretrizes específicas por parte de autoridades de proteção de dados de diversos países.

No cenário brasileiro, verificamos também um aumento expressivo de ações judiciais relacionadas ao uso indevido de dados pessoais em contextos de emprego e recrutamento. Tribunais trabalhistas têm reconhecido o direito à indenização por danos morais em casos envolvendo a coleta excessiva de dados, o compartilhamento não autorizado de informações de candidatos e a utilização de critérios discriminatórios em processos seletivos automatizados. Essa jurisprudência em formação reforça a importância da adoção de práticas preventivas.

As empresas que investem em due diligence de dados para suas plataformas de recrutamento não apenas reduzem riscos jurídicos, mas também fortalecem sua reputação como empregadoras comprometidas com a ética e o respeito aos direitos fundamentais. Em um mercado cada vez mais competitivo por talentos, a demonstração de cuidado com os dados pessoais dos candidatos pode constituir um diferencial relevante na atração de profissionais qualificados.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.