LGPD no RH e SESMT: Como Proteger os Dados de Saúde Sensíveis dos Trabalhadores?

Atestados médicos com CID, resultados de exames admissionais e periódicos, informações sobre condições preexistentes, laudos de acidentes, dados de acompanhamento psicológico… O fluxo de informações sobre a saúde dos trabalhadores nos departamentos de Recursos Humanos (RH) e nos Serviços Especializados em Engenharia de Segurança e em Medicina do Trabalho (SESMT) é intenso e constante. Com a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) em pleno vigor, o tratamento desses dados exige um nível de cuidado e segurança sem precedentes. Dados de saúde são classificados como “sensíveis” pela lei, e qualquer deslize em sua proteção pode resultar em multas pesadas, processos judiciais e danos irreparáveis à reputação da empresa. Garantir a confidencialidade e o uso ético e legal dessas informações tornou-se uma prioridade absoluta.

A LGPD é clara ao definir, em seu Artigo 5º, inciso II, que dados referentes à saúde ou à vida sexual de uma pessoa natural são “dados pessoais sensíveis”. Essa classificação implica que seu tratamento é submetido a regras muito mais rigorosas do que os dados pessoais comuns (como nome, CPF ou endereço). O Artigo 11 da LGPD estabelece um rol taxativo de hipóteses que autorizam o tratamento de dados sensíveis, e as empresas precisam identificar corretamente em qual (ou quais) delas suas atividades de RH e SESMT se enquadram.

Na relação de trabalho, as bases legais mais pertinentes para o tratamento de dados de saúde dos empregados são:

1. Cumprimento de obrigação legal ou regulatória pelo controlador (Art. 11, II, ‘a’): Esta é, talvez, a base legal mais robusta e frequentemente utilizada na saúde ocupacional. A empresa coleta e trata dados de saúde (ASOs, exames do PCMSO, informações para o eSocial-SST) porque a legislação trabalhista e as Normas Regulamentadoras (NR-7, NR-1, etc.) assim o exigem.
2. Exercício regular de direitos em processo judicial, administrativo ou arbitral (Art. 11, II, ‘d’): Permite que a empresa utilize dados de saúde (ex: laudos, ASOs) para se defender em uma reclamação trabalhista que discuta doença ocupacional ou para contestar um benefício no INSS.
3. Proteção da vida ou da incolumidade física do titular ou de terceiro (Art. 11, II, ‘e’): Aplicável em situações emergenciais, como um acidente grave que exija o compartilhamento de informações médicas para socorro.
4. Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (Art. 11, II, ‘f’): Autoriza especificamente o tratamento de dados de saúde pelos profissionais do SESMT (médicos, enfermeiros do trabalho) para a finalidade de controle médico e promoção da saúde ocupacional, sempre respeitando o sigilo profissional.
5. Consentimento do titular (Art. 11, I): Embora possível, o consentimento para tratamento de dados sensíveis na relação de emprego é delicado. Ele precisa ser livre, informado, inequívoco e para finalidades específicas e destacadas. Geralmente, não é a melhor base para dados exigidos por lei (como os do PCMSO). Pode ser mais aplicável para programas de bem-estar opcionais ou compartilhamento de dados com planos de saúde mediante clara opção do empregado.

Além de ter uma base legal válida, todo tratamento de dados de saúde deve respeitar os princípios fundamentais da LGPD (Art. 6º), com destaque para:

• Finalidade: Tratar o dado de saúde apenas para o propósito específico para o qual foi coletado (ex: um atestado médico serve para justificar a ausência, não para avaliar desempenho ou discriminar).
• Necessidade (Minimização): Coletar e utilizar apenas os dados estritamente necessários para atingir a finalidade. Este princípio é crucial na segregação de acesso: o RH precisa saber dos dias de afastamento e se a falta é justificada, mas, na maioria dos casos, não precisa ter acesso ao CID (Classificação Internacional de Doenças) ou ao diagnóstico detalhado, informação que deve ficar restrita ao SESMT/serviço médico.
• Não Discriminação: É proibido usar dados de saúde para fins discriminatórios ilícitos ou abusivos (ex: negar promoção com base em condição de saúde não incapacitante).
• Segurança e Prevenção: Adotar medidas técnicas (criptografia, controle de acesso, logs) e administrativas (políticas, treinamentos, segregação de funções) para proteger os dados contra acessos não autorizados, vazamentos, perdas ou destruição.

Na prática, garantir a conformidade com a LGPD no tratamento de dados de saúde exige ações concretas:

• Mapeamento do Fluxo de Dados: Entender onde os dados de saúde são coletados, processados, armazenados e por quem.
• Segregação Rigorosa de Acesso: Implementar controles para que apenas pessoal autorizado (e com finalidade legítima) acesse os dados. O acesso do RH deve ser diferente e mais restrito que o do SESMT.
• Armazenamento Seguro: Proteger arquivos físicos em locais trancados e de acesso restrito; utilizar sistemas digitais seguros, com senhas fortes, criptografia e backups regulares.
• Políticas Claras e Treinamento: Desenvolver políticas internas de privacidade e tratamento de dados sensíveis e treinar exaustivamente as equipes de RH, SESMT e gestores sobre suas responsabilidades e os riscos do descumprimento.
• Gestão de Consentimento (quando aplicável): Ter processos claros para obter e gerenciar o consentimento para finalidades específicas.
• Procedimentos para Atender Direitos dos Titulares: Estar preparado para responder a solicitações de acesso, correção ou eliminação de dados pelos trabalhadores.
• Descarte Seguro: Definir e seguir procedimentos para o descarte seguro dos dados após o término do prazo legal de guarda.

A adequação à LGPD no que tange aos dados de saúde não é opcional, é uma exigência legal com potencial de impacto financeiro e reputacional devastador em caso de violação. Multas aplicadas pela ANPD podem ser milionárias, e ações indenizatórias por vazamento ou uso indevido de dados sensíveis são uma realidade. Se sua empresa ainda não revisou cuidadosamente seus processos de tratamento de dados de saúde à luz da LGPD, ou se você, trabalhador, teme que suas informações médicas estejam sendo acessadas ou utilizadas indevidamente, é urgente buscar consultoria jurídica especializada em Proteção de Dados e Direito do Trabalho. Implementar medidas robustas de segurança e privacidade não é apenas cumprir a lei, mas demonstrar respeito pela dignidade e pelos direitos fundamentais de seus colaboradores. A confiança é um ativo valioso, e a proteção de dados sensíveis é um pilar dessa confiança.