O currículo de candidato PCD é dado sensível pela LGPD?

Sim. O art. 5º, II da Lei 13.709/2018 (LGPD) classifica como dado pessoal sensível qualquer informação sobre saúde. Como a vaga PCD pressupõe deficiência (que é informação de saúde para fins legais), o currículo, o laudo médico, a CID-10 e qualquer dado clínico associado entram nessa categoria. O tratamento exige base legal específica e cuidado redobrado.

Qual base legal usar para tratar currículo PCD?

Depende da fase. Recebimento e triagem inicial: consentimento expresso e específico (art. 11, I). Encaminhamento ao gestor e entrevista: execução de procedimentos preparatórios relacionados a contrato (art. 7º, V c/c art. 11, II, 'b'). Contratação efetiva: cumprimento de obrigação legal pelo controlador (Lei 8.213, cota PCD), via art. 11, II, 'a'. Manutenção em banco de talentos após processo: consentimento renovado, com direito a revogação a qualquer tempo.

Por quanto tempo posso reter currículo de candidato PCD não contratado?

A retenção deve ser limitada à finalidade declarada. Para o processo seletivo específico, geralmente 6 meses após o fim do processo. Para manutenção em banco de talentos, prazo máximo aceitável é 24 meses, com renovação de consentimento ao fim do período. Após o prazo, o dado deve ser anonimizado (irreversivelmente) ou eliminado. Reter indefinidamente é violação do princípio da necessidade (art. 6º, III).

Posso compartilhar currículo PCD com a empresa contratante via WhatsApp?

Não como prática padrão. WhatsApp é canal sem cifra fim-a-fim verificável para arquivos, sem trilha de auditoria, sem controle de retenção. Se for usar, o envio precisa ser pontual, com consentimento explícito do candidato, e o destinatário deve eliminar o arquivo após uso. O padrão correto é compartilhamento por plataforma com controle de acesso, log e capacidade de revogação.

Quais direitos o candidato PCD tem sobre os próprios dados?

Os mesmos do art. 18 da LGPD, com ênfase: confirmação de tratamento, acesso aos dados, correção de dados incompletos ou desatualizados, anonimização ou eliminação, portabilidade, informação sobre compartilhamentos com terceiros, revogação de consentimento. No caso PCD, a sensibilidade do dado torna esses direitos especialmente importantes, e o canal de atendimento (DPO ou encarregado) deve responder em até 15 dias.

É preciso ter DPO/encarregado para operar recrutamento PCD?

A figura do encarregado é obrigatória para qualquer organização que faça tratamento de dados pessoais como atividade regular (art. 41 da LGPD), independentemente de PCD. Em recrutamento PCD, a figura ganha relevância porque o volume de dados sensíveis é alto. O encarregado pode ser interno ou terceirizado, mas precisa ter contato publicado e canal de atendimento operacional.

Qual o risco de multa por descumprimento da LGPD em recrutamento PCD?

A ANPD pode aplicar multa de até 2% do faturamento do controlador no Brasil, limitada a R$ 50 milhões por infração. Em casos relacionados a dado sensível, o agravamento é típico. Em paralelo, ação cível do titular pode resultar em indenização individual de R$ 5 mil a R$ 50 mil por dano moral comprovado. O risco somado em incidente de larga escala chega facilmente à casa dos milhões.

LGPD em recrutamento PCD: o que muda quando o currículo traz dado sensível

Em uma linha. Currículo PCD é dado sensível por definição (art. 5º, II da LGPD). Base legal varia por fase do funil: consentimento na triagem, execução de contrato preparatório na entrevista, obrigação legal na contratação. Retenção tem que ser limitada (6 meses pós-processo, 24 meses no banco de talentos com renovação). Operar sem isso vira risco material: multa de até R$ 50 milhões + dano moral individual.

Por que dado de PCD é sensível

A LGPD (Lei 13.709/2018), no art. 5º, II, define dado pessoal sensível como:

"dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural"

O termo "dado referente à saúde" inclui qualquer informação que revele condição de saúde da pessoa, presente ou pretérita. A vaga PCD pressupõe deficiência; a deficiência é categoria de saúde para fins legais (Lei 13.146/2015, Decreto 3.298/1999). Portanto, todo currículo, laudo, CID-10 e descrição clínica associada a candidato PCD é dado sensível.

Implicação prática: o regime do art. 11 da LGPD é mais rigoroso que o do art. 7º (dados pessoais comuns). Bases legais mais restritas, dever de informar mais detalhado, ônus probatório do controlador maior, exposição em incidente de larga escala penalizada com agravamento.

Base legal por fase do funil

O erro mais comum é tratar tudo com a mesma base ("consentimento" ou "execução de contrato"). A LGPD exige correspondência entre fase, finalidade e base. Para recrutamento PCD, o desenho típico:

Fase	Tratamento	Base legal recomendada	Artigo
1. Coleta inicial (candidatura)	Recebimento do currículo	Consentimento expresso e específico	Art. 11, I
2. Triagem automatizada	Análise de fit e categorização	Consentimento, com possibilidade de revisão humana	Art. 11, I + art. 20
3. Entrevista e assessment	Aprofundamento de avaliação	Execução de procedimentos preparatórios a contrato	Art. 11, II, "b"
4. Contratação efetiva	Admissão e registro	Cumprimento de obrigação legal (Lei 8.213)	Art. 11, II, "a"
5. Manutenção em banco de talentos pós-processo	Reaproveitamento futuro	Consentimento renovado e específico	Art. 11, I
6. Análise estatística agregada	Métricas de funil sem identificação individual	Estudos por órgão de pesquisa, dados anonimizados	Art. 11, II, "c" + art. 12

A coexistência de várias bases ao longo do ciclo de vida do dado é normal e esperada. O que não é aceitável é o uso indiscriminado de "consentimento" como guarda-chuva, ou a tentativa de cobrir tudo com "execução de contrato" antes do contrato existir.

Retenção e eliminação

O princípio da necessidade (art. 6º, III) impõe limite temporal ao tratamento. Dado pessoal não pode ser retido indefinidamente sem propósito.

Para recrutamento PCD, prazos típicos defensáveis:

Currículo do candidato finalista não contratado: 6 meses após o fim do processo seletivo específico. Justificativa: eventual reabertura da vaga ou processo similar próximo.
Currículo de candidato eliminado em fase inicial: 90 a 180 dias.
Banco de talentos com consentimento: 24 meses, com renovação de consentimento ao final do prazo. Se o candidato não renovar, eliminação automática.
Documentação de candidato contratado: conforme regra trabalhista (CLT, art. 442, parágrafo único, e Lei 8.213). Geralmente 5 anos após desligamento para algumas categorias.
Dado anonimizado para estatística: sem prazo, desde que reanonimização seja inviável.

Ao final do prazo, o dado deve ser eliminado (apagado) ou anonimizado de forma irreversível. Em ambos os casos, o RH precisa documentar a operação para evidência em eventual auditoria da ANPD.

Compartilhamento e operadores

Compartilhar currículo PCD com terceiros (gestor da vaga, comitê de RH, consultoria, plataforma SaaS) é tratamento por operador. A LGPD exige contrato de operação (DPA, data processing agreement) que defina: finalidade, escopo, prazo, segurança, responsabilidades.

Práticas problemáticas comuns:

WhatsApp para envio de currículo. Plataforma sem trilha de auditoria, sem cifra fim-a-fim verificável para arquivos, sem controle de retenção pelo destinatário. Para uso esporádico com consentimento explícito e instrução de eliminação posterior, pode caber; como prática padrão, não. O destinatário do WhatsApp não consegue comprovar conformidade.

E-mail com PDF anexo para gestor. Aceitável em volume baixo, com servidor corporativo, criptografia em trânsito (TLS) e política de retenção do e-mail definida. Em volume alto, vira risco; melhor mover para plataforma com controle de acesso por perfil.

Planilha compartilhada em drive. Aceitável se o drive for corporativo (Google Workspace empresarial, Microsoft 365), com controle de acesso, log de visualização e prazo de retenção definido. Drive pessoal ou link público é violação clara.

Plataforma SaaS especializada. Padrão recomendado. A plataforma assina DPA com o cliente, opera como operador de dados, com SLA de segurança, log de acesso, controle de retenção e capacidade de eliminação automática.

Para a Recruta, o DPA padrão cobre os pontos do art. 39 da LGPD e é assinado em todo contrato comercial, sem custo adicional.

Anonimização correta

Anonimização é definida no art. 5º, XI da LGPD como "utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo".

Anonimização incorreta (que ainda permite reidentificação) não retira o dado do escopo da lei. Pseudonimização (substituição do nome por código mantendo a tabela de correspondência) não é anonimização: é apenas medida de segurança adicional sobre dado ainda pessoal.

Anonimização correta em currículo PCD requer:

Remoção de nome, CPF, RG, e-mail, telefone, endereço, foto, data de nascimento, número de laudo, nome de médico.
Generalização de dados que poderiam permitir reidentificação por inferência: cidade exata vira região; nome do empregador anterior vira setor; cargo único pode virar família de cargos.
Eliminação de qualquer combinação de atributos que isole a pessoa em base pequena.

Em base de 50 candidatos PCD, "engenheira civil, mulher, 42 anos, com deficiência auditiva moderada, em São Paulo" pode ser uma pessoa única (reidentificável). Em base de 5.000 candidatos, a mesma combinação pode caber em dezenas de pessoas. A análise de risco depende do tamanho da base.

Direitos do titular

O candidato PCD, como titular de dados, tem os direitos do art. 18 da LGPD:

Confirmação da existência de tratamento.
Acesso aos dados, em formato compreensível.
Correção de dados incompletos, inexatos ou desatualizados.
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
Portabilidade a outro fornecedor.
Eliminação dos dados tratados com base no consentimento, salvo retenção por outras hipóteses do art. 16.
Informação sobre entidades públicas e privadas com as quais o controlador compartilhou.
Informação sobre possibilidade de não fornecer consentimento e consequências da negativa.
Revogação do consentimento, com eliminação subsequente.
Revisão de decisão tomada com base em tratamento automatizado (art. 20).

O canal de atendimento (e-mail do encarregado ou DPO) deve responder em até 15 dias. A falta de resposta ou resposta inadequada é causa autônoma de reclamação à ANPD.

Encarregado e governança

O art. 41 da LGPD obriga o controlador a indicar encarregado (DPO) pelo tratamento de dados pessoais. A ANPD, em resolução posterior, dispensou microempresas e empresas de pequeno porte em certas situações, mas qualquer empresa com tratamento regular de dado sensível (recrutamento PCD entra aqui) deve manter encarregado.

O encarregado pode ser interno (funcionário com função acumulada) ou terceirizado (consultoria especializada). Em qualquer caso, o contato precisa estar publicado em local visível (geralmente no rodapé do site e na política de privacidade), e o canal de atendimento precisa estar operacional.

Governança mínima para empresa que opera recrutamento PCD em volume:

Política de privacidade pública, com fluxo específico para candidato PCD.
Termo de consentimento por fase, com texto claro e granularidade adequada.
Registro das operações de tratamento (ROPA, registro de operações de tratamento), exigido pelo art. 37.
Relatório de impacto à proteção de dados (DPIA) para atividades de risco elevado, incluindo decisão automatizada sobre PCD (art. 38).
Plano de resposta a incidente, com notificação à ANPD em prazo razoável (geralmente 72 horas).
Treinamento anual da equipe de RH em LGPD.

Riscos e multas

Sanções administrativas da ANPD (art. 52 da LGPD):

Advertência.
Multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração.
Multa diária, observando o limite acima.
Publicização da infração.
Bloqueio ou eliminação dos dados pessoais relacionados à infração.
Suspensão parcial ou total do exercício da atividade de tratamento, com prazo de até 6 meses, prorrogável.
Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Em paralelo, ação cível individual do titular pode pedir indenização por dano moral (geralmente R$ 5 mil a R$ 50 mil por candidato) e dano material (custo de medidas de proteção a partir do incidente). Em incidente coletivo, ação civil pública por entidade representativa pode multiplicar exposição.

Casos relacionados a dado sensível têm agravamento típico nas decisões da ANPD; o histórico de 2024-2026 mostra média de 30% mais que em casos de dado comum.

Checklist de conformidade

Versão operacional para RH rodar trimestralmente.

#	Item	Estado
1	Política de privacidade pública, com seção específica para recrutamento	OK / NÃO OK
2	Termo de consentimento separado para candidato PCD, com linguagem clara	OK / NÃO OK
3	Base legal definida e documentada para cada fase do funil	OK / NÃO OK
4	Encarregado (DPO) indicado e com canal operacional publicado	OK / NÃO OK
5	Registro de operações de tratamento (ROPA) atualizado	OK / NÃO OK
6	DPA assinado com cada plataforma SaaS usada	OK / NÃO OK
7	Política de retenção definida por categoria de dado	OK / NÃO OK
8	Procedimento de eliminação ao fim do prazo de retenção	OK / NÃO OK
9	Procedimento de resposta a solicitação de titular em até 15 dias	OK / NÃO OK
10	Plano de resposta a incidente, com gabarito de notificação à ANPD	OK / NÃO OK
11	Treinamento anual da equipe de RH em LGPD, com presença registrada	OK / NÃO OK
12	Auditoria de canais de compartilhamento (WhatsApp, e-mail, drive)	OK / NÃO OK

Empresa com 9+ "OK" está em conformidade razoável. Com 6 a 8, em risco médio. Abaixo de 6, em risco alto.

Perguntas frequentes

Posso usar a base legal "legítimo interesse" para recrutamento PCD?

Não. Legítimo interesse (art. 7º, IX) é base aplicável a dado pessoal comum, não a dado sensível. Dado sensível tem regime próprio no art. 11, e legítimo interesse não aparece lá.

O candidato precisa autorizar análise por IA?

Sim, com transparência. O art. 20 da LGPD garante ao titular o direito a revisão humana de decisão tomada exclusivamente com base em tratamento automatizado. No recrutamento PCD, isso significa que: 1) o candidato deve ser informado que IA está sendo usada na triagem; 2) deve haver canal para pedir revisão humana de decisão negativa; 3) o pedido deve ser atendido em prazo razoável.

E o conteúdo do laudo médico, como tratar?

Laudo é o dado mais sensível do funil. Coleta deve ser limitada ao mínimo necessário (CID e tipo de deficiência, geralmente, não o histórico clínico completo). Armazenamento em local segregado, com acesso restrito ao RH responsável pela validação de cota e ao encarregado, com log de acesso. Eliminação após validação ou após o prazo de retenção da relação trabalhista.

Posso compartilhar dado PCD com headhunter terceirizado?

Pode, com contrato de operação (DPA) e consentimento específico do candidato. O headhunter passa a ser operador, com responsabilidade solidária pelo tratamento. O candidato precisa saber quem é o headhunter, ter acesso à política de privacidade do operador e poder pedir eliminação a qualquer momento.

O que fazer se houver vazamento de currículos PCD?

Acionar o plano de resposta a incidente. Conter o vazamento, identificar o escopo (quais titulares, quais dados, quem teve acesso), notificar os titulares afetados em prazo razoável, notificar a ANPD (geralmente em 72 horas), documentar as ações tomadas. A demora ou omissão na notificação é agravante na multa.

Recruta entrega DPA padrão?

Sim. O DPA da Recruta cobre os pontos exigidos pelo art. 39 da LGPD, com cláusulas específicas para tratamento de dado sensível em recrutamento PCD. É anexo padrão de todo contrato comercial. Disponível para revisão antes da assinatura.

Quanto tempo leva para adequar a empresa?

Empresa em estado inicial: 90 a 180 dias para conformidade mínima (política, consentimento, encarregado, ROPA). Empresa em estado intermediário: 30 a 60 dias para fechar gaps específicos. Empresa madura: rotina trimestral basta.

Fontes

Lei 13.709/2018 (LGPD), arts. 5º, 6º, 7º, 11, 16, 18, 20, 37, 38, 39, 41, 52
Lei 13.146/2015 (Estatuto da Pessoa com Deficiência), arts. 2º e 34
Lei 8.213/1991, art. 93 (cota PCD)
Decreto 3.298/1999 (classificação de deficiência)
ANPD: Resoluções CD/ANPD nº 1 a nº 8 (2021-2024)
ANPD: Guia Orientativo "Tratamento de Dados Pessoais por Pessoas Jurídicas de Direito Privado" (atualização 2024)
Operação direta Recruta/Protagonist: implantação de DPA e ROPA em 22 clientes (2024-2026)
Material complementar: Guia LGPD em recrutamento

Editado por Rosana Daniele Marques, sócia da Protagonist e editora da Recruta. Atualizado em 17 de maio de 2026.