A Lei Geral de Proteção de Dados (Lei 13.709/2018, LGPD) regula como currículos, formulários, testes, entrevistas e decisões de seleção tratam dados pessoais de candidatos. O recrutamento é uma das atividades de RH com maior exposição: trabalha com dados pessoais (nome, CPF, endereço), dados sensíveis (laudo médico, origem racial, opinião política) e dados de menores (jovem aprendiz). Toda empresa que recruta no Brasil é, por definição, controladora de dados nos termos da LGPD.
A norma está em vigor desde setembro de 2020. Sanções administrativas pela ANPD começaram em 2023 e seguem em curva ascendente, em maio de 2026, dezenas de empresas já foram autuadas, várias do setor de RH.
A LGPD lista 10 bases legais que autorizam o tratamento de dados. No recrutamento, três cobrem 95% dos casos:
A grande confusão do mercado é tratar todo recrutamento como base de consentimento. Não é. A maior parte das atividades cabe em "procedimentos preliminares", e isso simplifica o operacional.
O art. 5º, II da LGPD define dados sensíveis. No recrutamento, os mais comuns são:
Dados sensíveis exigem base legal específica do art. 11. Para vaga PCD, a base é "cumprimento de obrigação legal" (Lei 8.213) ou "exercício regular de direitos em contratos, em processos judiciais, administrativos ou arbitrais". Para autodeclaração racial em programas de cota interna, geralmente é "consentimento específico e destacado".
A regra prática: pedir laudo médico ou foto biométrica de quem não passou no funil é violação. Esses dados só devem ser coletados nas etapas em que são funcionais.
A LGPD não estabelece prazo fixo. Estabelece princípio: dado tratado pelo tempo "necessário para a finalidade". No recrutamento, a interpretação que prevaleceu na ANPD e na jurisprudência trabalhista é:
O passivo mais comum é o banco de talentos sem termo de consentimento ou com termo vencido.
Operacionalmente, a LGPD impõe seis ajustes:
A Recruta opera como Operador (no sentido da LGPD) das empresas contratantes. Termos de consentimento, retenção configurável por etapa, descarte automático, registro de cada acesso a dado de candidato, fluxo nativo para pedidos de titulares, tudo nativo. O cliente recebe um relatório periódico de conformidade que serve como evidência em auditoria.
Posso pedir CPF do candidato na inscrição da vaga? Pode, com cuidado. CPF é dado pessoal (não sensível). Para coleta antes do contrato, precisa de finalidade clara, geralmente é checagem de duplicidade ou validação de dados em background check. Se a finalidade não estiver explícita na política de privacidade, vira passivo.
E foto no currículo, posso exigir? Não pode exigir. Foto facial em currículo é dado biométrico potencial e tem viés discriminatório documentado. Recomendação da ANPD e do MPT é tratar foto como opcional, e nunca usá-la como critério de triagem.
Currículo recebido por email entra na LGPD? Sim. Não importa o canal, formulário, e-mail, WhatsApp, papel. A LGPD se aplica a qualquer dado pessoal tratado. O canal mais informal tende a ser o mais arriscado, porque rastreabilidade é menor.
Posso compartilhar currículo de um candidato com outra empresa do grupo? Só com consentimento específico ou base legal aplicável. "Empresa do mesmo grupo econômico" não é base legal por si só. Recomenda-se termo de consentimento explícito.
O que acontece se um candidato pedir para eliminar os dados dele? A empresa precisa responder em até 15 dias (ANPD). Se houver base legal que justifique manutenção (ex.: candidato em processo seletivo em andamento), pode-se negar fundamentadamente. Caso contrário, dados eliminados, com registro do pedido e da execução.
Diagnóstico de cota PCD, mapeamento das 2 vagas elegíveis na sua estrutura, captação, triagem, shortlist e apresentação ao gestor. Sem cobrança, sem cartão, sem compromisso.
