4 Falhas Críticas na Proteção de Dados Pessoais de Funcionários que o RH Precisa Corrigir em 2026
O RH é frequentemente o ponto cego no tratamento de dados pessoais de candidatos e funcionários. Este artigo detalha as vulnerabilidades comuns e um plano de ação para 2026, visando evitar multas e garantir a conformidade.
MundiX News·11 de junho de 2026·8 min de leitura·👁 7 views
Olá! Sou Ruslan Nuriev, metodologista e analista da Directum. Quero discutir um tema cuja negligência tem custado caro às empresas: o armazenamento e a transmissão seguros de dados pessoais de candidatos e funcionários. Vamos iluminar os pontos cegos no tratamento de dados pessoais (PDn) nas empresas e traçar um plano de ação concreto para evitar reclamações regulatórias e reduzir o risco de multas por vazamento de dados pessoais.
Vamos definir os termos e desmistificar os equívocos que mais expõem o RH a riscos.
Tratamento de Dados Pessoais (PDn) em uma empresa não se limita ao que reside em um sistema de CRM (Customer Relationship Management). Abrange qualquer ação com um currículo ou documento de funcionário: receber um currículo por e-mail, copiar nome completo para uma planilha, enviar uma cópia de identidade para um chat, fotografar um atestado médico.
Dados Pessoais não são apenas passaporte e CPF. Um endereço IP de um formulário web, uma foto de um questionário, geolocalização de um aplicativo, gravação de uma chamada em um serviço de entrevista – tudo isso também são PDn. Dados de saúde e biométricos pertencem a categorias especiais, para as quais se aplicam regras separadas e mais rigorosas.
Por que o RH precisa se aprofundar no tratamento de PDn na empresa
Nos últimos anos, o órgão regulador elevou drasticamente o patamar das sanções. As multas por vazamento de dados pessoais aumentaram várias vezes em muitos casos. Para infrações recorrentes, surgiram sanções proporcionais ao faturamento – até 3% do faturamento, mas não mais que 500 milhões de rublos. Para empresas de médio porte, isso representa dezenas de milhões por um único incidente. O vazamento de informações de categorias especiais (saúde, biometria) custará de 10 a 15 milhões de rublos, dependendo da escala e da natureza da violação. Se a situação se repetir, aplicam-se multas proporcionais ao faturamento. Em casos graves, os riscos podem chegar à esfera criminal.
A Artigo 272.1 do Código Penal da Federação Russa prevê a responsabilidade de indivíduos por acesso não autorizado a informações de computador protegidas. Um gerente de RH específico que permitiu um vazamento ou criou condições para ele (por exemplo, deixou acesso irrestrito a pastas ou enviou uma base de dados para o lugar errado) arrisca não apenas seu KPI e bônus, mas também responsabilidade pessoal.
Uma situação típica de transferência de dados de candidatos é a seguinte: um currículo chega ao e-mail corporativo. O recrutador o encaminha para o gerente de contratação em um chat, que o envia adiante para o líder. Este último abre o arquivo em seu telefone pessoal – e o currículo vai para a galeria e, em seguida, para a nuvem pessoal. O candidato foi recusado, esquecido, mas os dados continuam a existir nos dispositivos de pessoas que formalmente não têm relação com os processos de RH.
Verificações das condições de armazenamento de dados pessoais de candidatos não são mais raras. E nem sempre ocorrem apenas por reclamação. O controle é feito automaticamente: através de formulários no site, ATS (Applicant Tracking System), mensageiros, discos em nuvem.
O que mudou nas leis sobre tratamento e armazenamento de dados pessoais de funcionários e candidatos
Registro Obrigatório do Operador de PDn
A partir de 30 de maio de 2025, multas separadas serão aplicadas pela falta de registro. A maioria das empresas que efetivamente tratam dados pessoais estará sujeita a esses requisitos. A ideia de "somos pequenos, não vão nos incomodar" não funciona mais: o Roskomnadzor (Serviço Federal de Supervisão de Comunicações, Tecnologia da Informação e Mídia de Massa) considera o próprio fato do tratamento, e não o tamanho da equipe.
Localização da Coleta Primária de Dados
A partir de 1º de julho de 2025, os dados de cidadãos russos, na coleta primária, devem ser armazenados em um servidor doméstico. O órgão regulador se interessa por onde a informação chega no momento em que o candidato clica no botão "Enviar" em um formulário.
Um formulário no Google Forms ou em um ATS estrangeiro que escreve diretamente em um data center no exterior já é uma violação dos requisitos de localização da coleta primária. Do ponto de vista do órgão regulador, a responsabilidade recai sobre o operador, e o RH é um dos pontos-chave, pois é através de seus formulários e serviços que os dados de candidatos e funcionários passam. O envio posterior só é permitido em conformidade com os requisitos de transferência transfronteiriça.
Novos Requisitos para Consentimento de Tratamento de PDn na Empresa
A partir de 1º de setembro de 2025, o consentimento para o tratamento de dados pessoais deve ser formalizado em um documento separado, com finalidades, categorias de dados, ações, prazos de armazenamento e procedimento de revogação claramente definidos. Uma simples caixa de seleção no final de um questionário ou a fórmula "ao clicar no botão, você concorda..." sem um texto de consentimento separado e registro de detalhes não são mais considerados corretos.
Antigos formulários de candidatos, ofertas e modelos de contratos de trabalho com consentimento embutido devem ser revisados. Consentimentos para exames médicos, biometria, recebimento de benefícios de saúde devem ser formalizados em documentos separados.
Envio Transfronteiriço e Mensageiros
A transferência de dados de candidatos e funcionários para o exterior é estritamente regulamentada: em alguns casos, é necessária notificação ou permissão do Roskomnadzor, mecanismos contratuais especiais de proteção de dados.
A partir de 2025, a regulamentação específica para mensageiros e comunicações corporativas será reforçada. No setor público, o curso é para o uso de serviços controlados (por exemplo, MAX). Para as empresas, isso ainda é apenas um vetor: os PDn devem ser armazenados e transmitidos apenas em um ambiente seguro e gerenciado, e não através de mensagens e contas pessoais.
Quatro Falhas Comuns no Tratamento de PDn na Empresa
Tais cenários ocorrem tanto em grandes empresas quanto em pequenas equipes.
Armazenamentos Compartilhados – Cemitério de Categorias Especiais.
Pastas de rede como "RH", "Departamento" ou "Escritório" frequentemente se transformam em arquivos não oficiais para armazenamento de dados de candidatos e funcionários. Aqui residem por anos cópias de passaportes, atestados médicos, diplomas e carteiras de trabalho. O acesso a eles geralmente é aberto a todo o departamento de RH, o que viola o princípio da minimização e restrição rigorosa de acesso a dados de categorias especiais.
Planilhas "para alguns dias" que vivem por anos.
Um cenário clássico: é preciso discutir rapidamente um grupo de potenciais funcionários com o gerente. O RH exporta dados pessoais de candidatos do sistema para o Excel, envia por e-mail ou chat. A reunião terminou, a decisão foi tomada, o arquivo permaneceu "vivendo" na área de trabalho, na pasta "Diversos", em backups. Três anos depois, ninguém se lembra do propósito do tratamento, nem do contexto, parte dos candidatos já está em outras empresas, e o consentimento certamente não previa o armazenamento indefinido de tal exportação.
Pior ainda se essas planilhas forem para o ambiente externo – caixas de e-mail pessoais, mensageiros, nuvens de funcionários. A partir daí, a empresa não consegue mais recuperá-las e garantir sua exclusão.
Arquivo de Currículos "por via das dúvidas".
Recrutadores frequentemente têm uma pasta "Arquivo de Currículos" ou "Candidatos Antigos 2018-2019", onde residem centenas de arquivos. O consentimento, na maioria desses casos, foi dado para a consideração de uma vaga específica ou um conjunto de posições e não era eterno. Na prática, os dados são armazenados por anos "como reserva", sem propósito e base legal. Isso é uma violação direta dos princípios de prazo de armazenamento limitado e minimização.
Mensageiros: rápido, conveniente e incontrolável.
Profissionais de RH frequentemente usam mensageiros para trabalho operacional e discussão de questões delicadas. No entanto, assim que dados pessoais de candidatos (currículos, cópias de passaportes) entram no Telegram, WhatsApp e outros canais não controlados, a empresa efetivamente perde o controle sobre eles.
Riscos-chave:
transferência de dados através de serviços estrangeiros sem formalização – violação dos requisitos de transferência transfronteiriça;
armazenamento e tratamento de informações em dispositivos pessoais, sincronização automática com nuvens, criação de backups;
capturas de tela e encaminhamentos que não podem ser revogados.
O que o departamento de RH pode fazer em 30 dias para proteger os dados pessoais dos funcionários
Desenhar um mapa de dados.
Em vez de um abstrato "temos o sistema X, onde ocorre todo o movimento de documentos", é preciso detalhar o caminho real da informação: onde seus fluxos começam, por quais canais passam e onde, finalmente, são armazenados.
Para isso, vale a pena responder honestamente a três perguntas:
De onde vêm os currículos – do e-mail, site, agregadores ou através de agências?
Onde são armazenadas as cópias dos documentos ao contratar?
Quais serviços externos recebem dados de funcionários – centros médicos, seguradoras, provedores de sistemas de controle de acesso (SCA) ou plataformas de treinamento online?
O mapa de tratamento de PDn na empresa pode ser desenhado em uma folha de papel ou em um wiki corporativo. O importante é que ele reflita a situação real, e não "como deveria ser de acordo com o regulamento".
Comparar o novo mapa com as informações indicadas na notificação ao Roskomnadzor.
No início do tratamento de PDn, a empresa é obrigada a enviar uma notificação especial ao Roskomnadzor. Nela, ela lista quais dados exatamente coleta, para quais finalidades e como os protege.
Frequentemente, na etapa de comparação entre plano e fato, surgem novos serviços que estão sendo utilizados, mas não refletidos nos documentos. Novas categorias de dados são adicionadas: biometria, resultados de testes psicométricos, informações sobre antecedentes criminais. As finalidades do tratamento mudam, por exemplo, com a implementação de KEDO (Sistema Eletrônico de Gestão de Documentos) ou novos procedimentos de avaliação.
A discrepância entre a notificação e o trabalho real já pode ser motivo de reclamações do legislador, mesmo que a empresa se esforce para cumprir todos os requisitos.
Registrar canais permitidos e proibidos para tratamento de PDn na empresa.
É importante fixar em um documento separado onde é permitido trabalhar com dados pessoais e onde é categoricamente proibido.
Especifique:
Canais permitidos – sistemas KEDO e armazenamentos corporativos seguros com direitos de acesso claramente configurados e justificativa de sua segurança.
Canais proibidos – serviços de nuvem pessoais, caixas de e-mail e mensageiros como Telegram/WhatsApp.
A tarefa principal é formular uma regra simples e clara para os funcionários.
Inventariar serviços externos e contratos.
Crie uma lista completa de contrapartes e plataformas através das quais ocorre a transferência de dados de candidatos e funcionários: sites de vagas, ATS, serviços de teste, centros médicos, seguradoras, integradores de SCA.
Para cada serviço, verifique a existência de um contrato de tratamento de dados pessoais com finalidades, prazos e medidas de proteção claramente definidas. Descubra se a transferência transfronteiriça de dados está ocorrendo e como ela é formalizada.
A ausência de um contrato ou suas condições excessivamente genéricas criam uma zona de incerteza: torna-se difícil controlar onde exatamente os dados acabam e quais riscos o operador e a empresa correm.
Designar um responsável pela proteção de dados pessoais de funcionários e candidatos.
É importante designar uma pessoa específica que ajudará a conectar RH, advogados e o departamento de segurança da informação. Sem essa função, cada departamento resolve as questões à sua maneira, o que leva ao caos e a decisões contraditórias.
O novo responsável se torna o primeiro ponto de contato para todas as questões relacionadas a dados pessoais, garante que o mapa de fluxos, as notificações ao Roskomnadzor e a prática real coincidam, e traduz os requisitos legais e normas de segurança da informação em linguagem compreensível para o RH.
Ensinar não a lei, mas cenários.
Os funcionários não memorizam números de artigos, mas se lembram bem de situações específicas e regras simples. Em vez de teoria, analise na prática 5-7 casos reais: como lidar com um currículo recebido por e-mail, como formalizar corretamente o consentimento ao contratar e para exame médico, como reagir ao pedido de um candidato para excluir seus dados, o que pode e o que não pode ser enviado via mensageiros e como substituir o hábito de enviar tudo para o chat.
Discuta separadamente a responsabilidade legal e as multas por vazamento de dados pessoais. É melhor construir a narrativa com base em histórias reais, para que, quando o recrutador decidir enviar um currículo para o Telegram na próxima vez, ele se lembre não de um artigo de lei, mas de um cenário específico trabalhado e de uma alternativa segura.
Qual deve ser a base do sistema para RH
As etapas descritas acima são medidas emergenciais que ajudam a organizar rapidamente o tratamento de PDn na empresa. Para segurança a longo prazo, é necessário um sistema no qual o RH, por padrão, não possa criar um "cemitério de arquivos" ou uma planilha eterna com dados pessoais.
Usando o exemplo do ecossistema de soluções digitais para gestão de pessoal Directum HR Pro, destacaremos vários sinais de uma solução verdadeiramente segura.
Vários contornos de proteção
A arquitetura bem pensada, composta por microsserviços, permite mover o gabinete pessoal do funcionário para um segmento de rede separado e protegido (DMZ). Essa abordagem cria uma barreira de defesa adicional.
Como resultado, o gabinete pessoal armazena apenas os documentos com os quais o funcionário está trabalhando no momento. O arquivo principal permanece no interior do sistema, atrás do segundo contorno de segurança. Mesmo que a interface externa seja invadida, o invasor não terá acesso a todo o banco de dados. O risco de vazamento é minimizado.
Proteção de informações em todas as etapas
O sistema deve criptografar tudo: canais de comunicação, os próprios documentos no armazenamento e arquivos de configuração com dados sensíveis. Para o usuário, esse processo permanece imperceptível. Mas é assim que se garante que nem mesmo o administrador do armazenamento de arquivos poderá ler o conteúdo dos documentos de RH.
Controle e auditoria de ações
Em vez de pastas compartilhadas com acesso para todo o RH, o sistema deve fornecer gerenciamento flexível baseado em funções.
Cada funcionário vê apenas seus próprios documentos. Todas as ações – quem, quando e qual arquivo abriu ou assinou – são registradas em um log de auditoria imutável. Isso cria transparência, que ajuda a investigar rapidamente quaisquer incidentes.
Soberania dos dados
A base da segurança é a capacidade de implantar a solução em servidores próprios (on-premise) ou em uma nuvem russa certificada. Isso dá à empresa controle total sobre os dados e ajuda a cumprir os requisitos de localização.
De forma simples, todas as ferramentas de segurança no ecossistema de soluções digitais para gestão de pessoal Directum HR Pro são descritas em nosso checklist.
O resultado é simples: as "falhas" de segurança não surgem de más intenções – as pessoas não violam as regras intencionalmente. Simplesmente, se trabalhar via Telegram é mais rápido do que através do sistema corporativo – os funcionários escolherão o mensageiro. Esse sinal indica que é hora de construir processos fáceis e convenientes através de software confiável e aprovado pela lei.
Olá! Sou Ruslan Nuriev, metodologista e analista da Directum. Quero discutir um tema cuja negligência tem custado caro às empresas: o armazenamento e a transmissão seguros de dados pessoais de candidatos e funcionários. Vamos iluminar os pontos cegos no tratamento de dados pessoais (PDn) nas empresas e traçar um plano de ação concreto para evitar reclamações regulatórias e reduzir o risco de multas por vazamento de dados pessoais.
Vamos definir os termos e desmistificar os equívocos que mais expõem o RH a riscos.
Tratamento de Dados Pessoais (PDn) em uma empresa não se limita ao que reside em um sistema de CRM (Customer Relationship Management). Abrange qualquer ação com um currículo ou documento de funcionário: receber um currículo por e-mail, copiar nome completo para uma planilha, enviar uma cópia de identidade para um chat, fotografar um atestado médico.
Dados Pessoais não são apenas passaporte e CPF. Um endereço IP de um formulário web, uma foto de um questionário, geolocalização de um aplicativo, gravação de uma chamada em um serviço de entrevista – tudo isso também são PDn. Dados de saúde e biométricos pertencem a categorias especiais, para as quais se aplicam regras separadas e mais rigorosas.
Por que o RH precisa se aprofundar no tratamento de PDn na empresa
Nos últimos anos, o órgão regulador elevou drasticamente o patamar das sanções. As multas por vazamento de dados pessoais aumentaram várias vezes em muitos casos. Para infrações recorrentes, surgiram sanções proporcionais ao faturamento – até 3% do faturamento, mas não mais que 500 milhões de rublos. Para empresas de médio porte, isso representa dezenas de milhões por um único incidente. O vazamento de informações de categorias especiais (saúde, biometria) custará de 10 a 15 milhões de rublos, dependendo da escala e da natureza da violação. Se a situação se repetir, aplicam-se multas proporcionais ao faturamento. Em casos graves, os riscos podem chegar à esfera criminal.
A Artigo 272.1 do Código Penal da Federação Russa prevê a responsabilidade de indivíduos por acesso não autorizado a informações de computador protegidas. Um gerente de RH específico que permitiu um vazamento ou criou condições para ele (por exemplo, deixou acesso irrestrito a pastas ou enviou uma base de dados para o lugar errado) arrisca não apenas seu KPI e bônus, mas também responsabilidade pessoal.
Uma situação típica de transferência de dados de candidatos é a seguinte: um currículo chega ao e-mail corporativo. O recrutador o encaminha para o gerente de contratação em um chat, que o envia adiante para o líder. Este último abre o arquivo em seu telefone pessoal – e o currículo vai para a galeria e, em seguida, para a nuvem pessoal. O candidato foi recusado, esquecido, mas os dados continuam a existir nos dispositivos de pessoas que formalmente não têm relação com os processos de RH.
Verificações das condições de armazenamento de dados pessoais de candidatos não são mais raras. E nem sempre ocorrem apenas por reclamação. O controle é feito automaticamente: através de formulários no site, ATS (Applicant Tracking System), mensageiros, discos em nuvem.
O que mudou nas leis sobre tratamento e armazenamento de dados pessoais de funcionários e candidatos
Registro Obrigatório do Operador de PDn
A partir de 30 de maio de 2025, multas separadas serão aplicadas pela falta de registro. A maioria das empresas que efetivamente tratam dados pessoais estará sujeita a esses requisitos. A ideia de "somos pequenos, não vão nos incomodar" não funciona mais: o Roskomnadzor (Serviço Federal de Supervisão de Comunicações, Tecnologia da Informação e Mídia de Massa) considera o próprio fato do tratamento, e não o tamanho da equipe.
Localização da Coleta Primária de Dados
A partir de 1º de julho de 2025, os dados de cidadãos russos, na coleta primária, devem ser armazenados em um servidor doméstico. O órgão regulador se interessa por onde a informação chega no momento em que o candidato clica no botão "Enviar" em um formulário.
Um formulário no Google Forms ou em um ATS estrangeiro que escreve diretamente em um data center no exterior já é uma violação dos requisitos de localização da coleta primária. Do ponto de vista do órgão regulador, a responsabilidade recai sobre o operador, e o RH é um dos pontos-chave, pois é através de seus formulários e serviços que os dados de candidatos e funcionários passam. O envio posterior só é permitido em conformidade com os requisitos de transferência transfronteiriça.
Novos Requisitos para Consentimento de Tratamento de PDn na Empresa
A partir de 1º de setembro de 2025, o consentimento para o tratamento de dados pessoais deve ser formalizado em um documento separado, com finalidades, categorias de dados, ações, prazos de armazenamento e procedimento de revogação claramente definidos. Uma simples caixa de seleção no final de um questionário ou a fórmula "ao clicar no botão, você concorda..." sem um texto de consentimento separado e registro de detalhes não são mais considerados corretos.
Antigos formulários de candidatos, ofertas e modelos de contratos de trabalho com consentimento embutido devem ser revisados. Consentimentos para exames médicos, biometria, recebimento de benefícios de saúde devem ser formalizados em documentos separados.
Envio Transfronteiriço e Mensageiros
A transferência de dados de candidatos e funcionários para o exterior é estritamente regulamentada: em alguns casos, é necessária notificação ou permissão do Roskomnadzor, mecanismos contratuais especiais de proteção de dados.
A partir de 2025, a regulamentação específica para mensageiros e comunicações corporativas será reforçada. No setor público, o curso é para o uso de serviços controlados (por exemplo, MAX). Para as empresas, isso ainda é apenas um vetor: os PDn devem ser armazenados e transmitidos apenas em um ambiente seguro e gerenciado, e não através de mensagens e contas pessoais.
Quatro Falhas Comuns no Tratamento de PDn na Empresa
Tais cenários ocorrem tanto em grandes empresas quanto em pequenas equipes.
Armazenamentos Compartilhados – Cemitério de Categorias Especiais.
Pastas de rede como "RH", "Departamento" ou "Escritório" frequentemente se transformam em arquivos não oficiais para armazenamento de dados de candidatos e funcionários. Aqui residem por anos cópias de passaportes, atestados médicos, diplomas e carteiras de trabalho. O acesso a eles geralmente é aberto a todo o departamento de RH, o que viola o princípio da minimização e restrição rigorosa de acesso a dados de categorias especiais.
Planilhas "para alguns dias" que vivem por anos.
Um cenário clássico: é preciso discutir rapidamente um grupo de potenciais funcionários com o gerente. O RH exporta dados pessoais de candidatos do sistema para o Excel, envia por e-mail ou chat. A reunião terminou, a decisão foi tomada, o arquivo permaneceu "vivendo" na área de trabalho, na pasta "Diversos", em backups. Três anos depois, ninguém se lembra do propósito do tratamento, nem do contexto, parte dos candidatos já está em outras empresas, e o consentimento certamente não previa o armazenamento indefinido de tal exportação.
Pior ainda se essas planilhas forem para o ambiente externo – caixas de e-mail pessoais, mensageiros, nuvens de funcionários. A partir daí, a empresa não consegue mais recuperá-las e garantir sua exclusão.
Arquivo de Currículos "por via das dúvidas".
Recrutadores frequentemente têm uma pasta "Arquivo de Currículos" ou "Candidatos Antigos 2018-2019", onde residem centenas de arquivos. O consentimento, na maioria desses casos, foi dado para a consideração de uma vaga específica ou um conjunto de posições e não era eterno. Na prática, os dados são armazenados por anos "como reserva", sem propósito e base legal. Isso é uma violação direta dos princípios de prazo de armazenamento limitado e minimização.
Mensageiros: rápido, conveniente e incontrolável.
Profissionais de RH frequentemente usam mensageiros para trabalho operacional e discussão de questões delicadas. No entanto, assim que dados pessoais de candidatos (currículos, cópias de passaportes) entram no Telegram, WhatsApp e outros canais não controlados, a empresa efetivamente perde o controle sobre eles.
Riscos-chave:
transferência de dados através de serviços estrangeiros sem formalização – violação dos requisitos de transferência transfronteiriça;
armazenamento e tratamento de informações em dispositivos pessoais, sincronização automática com nuvens, criação de backups;
capturas de tela e encaminhamentos que não podem ser revogados.
O que o departamento de RH pode fazer em 30 dias para proteger os dados pessoais dos funcionários
Desenhar um mapa de dados.
Em vez de um abstrato "temos o sistema X, onde ocorre todo o movimento de documentos", é preciso detalhar o caminho real da informação: onde seus fluxos começam, por quais canais passam e onde, finalmente, são armazenados.
Para isso, vale a pena responder honestamente a três perguntas:
De onde vêm os currículos – do e-mail, site, agregadores ou através de agências?
Onde são armazenadas as cópias dos documentos ao contratar?
Quais serviços externos recebem dados de funcionários – centros médicos, seguradoras, provedores de sistemas de controle de acesso (SCA) ou plataformas de treinamento online?
O mapa de tratamento de PDn na empresa pode ser desenhado em uma folha de papel ou em um wiki corporativo. O importante é que ele reflita a situação real, e não "como deveria ser de acordo com o regulamento".
Comparar o novo mapa com as informações indicadas na notificação ao Roskomnadzor.
No início do tratamento de PDn, a empresa é obrigada a enviar uma notificação especial ao Roskomnadzor. Nela, ela lista quais dados exatamente coleta, para quais finalidades e como os protege.
Frequentemente, na etapa de comparação entre plano e fato, surgem novos serviços que estão sendo utilizados, mas não refletidos nos documentos. Novas categorias de dados são adicionadas: biometria, resultados de testes psicométricos, informações sobre antecedentes criminais. As finalidades do tratamento mudam, por exemplo, com a implementação de KEDO (Sistema Eletrônico de Gestão de Documentos) ou novos procedimentos de avaliação.
A discrepância entre a notificação e o trabalho real já pode ser motivo de reclamações do legislador, mesmo que a empresa se esforce para cumprir todos os requisitos.
Registrar canais permitidos e proibidos para tratamento de PDn na empresa.
É importante fixar em um documento separado onde é permitido trabalhar com dados pessoais e onde é categoricamente proibido.
Especifique:
Canais permitidos – sistemas KEDO e armazenamentos corporativos seguros com direitos de acesso claramente configurados e justificativa de sua segurança.
Canais proibidos – serviços de nuvem pessoais, caixas de e-mail e mensageiros como Telegram/WhatsApp.
A tarefa principal é formular uma regra simples e clara para os funcionários.
Inventariar serviços externos e contratos.
Crie uma lista completa de contrapartes e plataformas através das quais ocorre a transferência de dados de candidatos e funcionários: sites de vagas, ATS, serviços de teste, centros médicos, seguradoras, integradores de SCA.
Para cada serviço, verifique a existência de um contrato de tratamento de dados pessoais com finalidades, prazos e medidas de proteção claramente definidas. Descubra se a transferência transfronteiriça de dados está ocorrendo e como ela é formalizada.
A ausência de um contrato ou suas condições excessivamente genéricas criam uma zona de incerteza: torna-se difícil controlar onde exatamente os dados acabam e quais riscos o operador e a empresa correm.
Designar um responsável pela proteção de dados pessoais de funcionários e candidatos.
É importante designar uma pessoa específica que ajudará a conectar RH, advogados e o departamento de segurança da informação. Sem essa função, cada departamento resolve as questões à sua maneira, o que leva ao caos e a decisões contraditórias.
O novo responsável se torna o primeiro ponto de contato para todas as questões relacionadas a dados pessoais, garante que o mapa de fluxos, as notificações ao Roskomnadzor e a prática real coincidam, e traduz os requisitos legais e normas de segurança da informação em linguagem compreensível para o RH.
Ensinar não a lei, mas cenários.
Os funcionários não memorizam números de artigos, mas se lembram bem de situações específicas e regras simples. Em vez de teoria, analise na prática 5-7 casos reais: como lidar com um currículo recebido por e-mail, como formalizar corretamente o consentimento ao contratar e para exame médico, como reagir ao pedido de um candidato para excluir seus dados, o que pode e o que não pode ser enviado via mensageiros e como substituir o hábito de enviar tudo para o chat.
Discuta separadamente a responsabilidade legal e as multas por vazamento de dados pessoais. É melhor construir a narrativa com base em histórias reais, para que, quando o recrutador decidir enviar um currículo para o Telegram na próxima vez, ele se lembre não de um artigo de lei, mas de um cenário específico trabalhado e de uma alternativa segura.
Qual deve ser a base do sistema para RH
As etapas descritas acima são medidas emergenciais que ajudam a organizar rapidamente o tratamento de PDn na empresa. Para segurança a longo prazo, é necessário um sistema no qual o RH, por padrão, não possa criar um "cemitério de arquivos" ou uma planilha eterna com dados pessoais.
Usando o exemplo do ecossistema de soluções digitais para gestão de pessoal Directum HR Pro, destacaremos vários sinais de uma solução verdadeiramente segura.
Vários contornos de proteção
A arquitetura bem pensada, composta por microsserviços, permite mover o gabinete pessoal do funcionário para um segmento de rede separado e protegido (DMZ). Essa abordagem cria uma barreira de defesa adicional.
Como resultado, o gabinete pessoal armazena apenas os documentos com os quais o funcionário está trabalhando no momento. O arquivo principal permanece no interior do sistema, atrás do segundo contorno de segurança. Mesmo que a interface externa seja invadida, o invasor não terá acesso a todo o banco de dados. O risco de vazamento é minimizado.
Proteção de informações em todas as etapas
O sistema deve criptografar tudo: canais de comunicação, os próprios documentos no armazenamento e arquivos de configuração com dados sensíveis. Para o usuário, esse processo permanece imperceptível. Mas é assim que se garante que nem mesmo o administrador do armazenamento de arquivos poderá ler o conteúdo dos documentos de RH.
Controle e auditoria de ações
Em vez de pastas compartilhadas com acesso para todo o RH, o sistema deve fornecer gerenciamento flexível baseado em funções.
Cada funcionário vê apenas seus próprios documentos. Todas as ações – quem, quando e qual arquivo abriu ou assinou – são registradas em um log de auditoria imutável. Isso cria transparência, que ajuda a investigar rapidamente quaisquer incidentes.
Soberania dos dados
A base da segurança é a capacidade de implantar a solução em servidores próprios (on-premise) ou em uma nuvem russa certificada. Isso dá à empresa controle total sobre os dados e ajuda a cumprir os requisitos de localização.
De forma simples, todas as ferramentas de segurança no ecossistema de soluções digitais para gestão de pessoal Directum HR Pro são descritas em nosso checklist.
O resultado é simples: as "falhas" de segurança não surgem de más intenções – as pessoas não violam as regras intencionalmente. Simplesmente, se trabalhar via Telegram é mais rápido do que através do sistema corporativo – os funcionários escolherão o mensageiro. Esse sinal indica que é hora de construir processos fáceis e convenientes através de software confiável e aprovado pela lei.
