Nova NR-1 e LGPD: entenda os riscos e como proteger sua empresa

O que a saúde do trabalhador tem a ver com proteção de dados?

Você sabia que os dados de saúde dos seus colaboradores podem gerar multas se forem tratados de forma incorreta? Desde a atualização da Norma Regulamentadora nº 1 (NR-1), as empresas passaram a lidar com exigências que se conectam diretamente à Lei Geral de Proteção de Dados (LGPD) — e isso tem impacto direto nas rotinas de Saúde e Segurança do Trabalho (SST).

Reforce a segurança jurídica da sua empresa agora: revise seu PGR e suas práticas de proteção de dados.

A mudança não é apenas técnica: é estratégica. O novo texto da NR-1 obriga a criação de um Programa de Gerenciamento de Riscos (PGR), que deve conter dados sensíveis, como exames médicos, afastamentos e treinamentos dos trabalhadores. Todos esses dados, quando mal geridos, representam um risco jurídico real — tanto do ponto de vista trabalhista quanto de proteção de dados.

O que mudou na NR-1?

A nova NR-1, que entrou em vigor com sua redação atualizada, estabelece diretrizes para a implementação de medidas de prevenção de riscos ocupacionais. Entre os seus principais pontos está a exigência de um inventário de riscos e um plano de ação no PGR, que deve ser baseado em dados reais dos trabalhadores.

Esses dados incluem:

• Exames ocupacionais;

• Histórico de afastamentos por motivo de saúde;

• Treinamentos realizados em segurança e saúde;

• Informações médicas fornecidas por profissionais do trabalho.

O ponto central aqui é: esses dados são classificados como dados pessoais sensíveis pela LGPD. Isso significa que eles exigem um nível mais elevado de proteção, com medidas específicas para evitar o uso indevido, o vazamento ou o acesso não autorizado.

O que diz a LGPD sobre dados sensíveis?

A LGPD (Lei nº 13.709/2018) define como sensíveis os dados que dizem respeito à origem racial ou étnica, convicção religiosa, opinião política, saúde ou vida sexual, entre outros. No caso do PGR, o foco está nos dados de saúde, que são especialmente protegidos.

Por isso, não basta armazenar essas informações: é necessário implementar políticas de governança de dados, como:

• Mapeamento das operações de coleta e tratamento;

• Registro das atividades no ROPA (Registro das Operações de Tratamento de Dados Pessoais);

• Elaboração de Relatório de Impacto (RIPD);

• Treinamento de equipes internas sobre boas práticas de segurança da informação.

Evite riscos jurídicos: crie ou atualize seu Relatório de Impacto e registre suas operações no ROPA.

Consequências do não cumprimento

A interseção entre a NR-1 e a LGPD impõe sanções em duas frentes distintas, caso haja descumprimento:

1. Autuações trabalhistas, aplicadas por auditores fiscais do trabalho, com base na NR-1;

2. Sanções administrativas e judiciais, previstas na LGPD, que podem incluir advertências, multas de até 2% do faturamento e bloqueio dos dados.

Além disso, há risco de responsabilização civil, caso um colaborador se sinta prejudicado pela exposição indevida de seus dados de saúde.

É importante entender que a ausência de dolo não afasta a responsabilidade. A simples negligência — como o armazenamento inadequado de exames ocupacionais — já pode ensejar sanções.

Boas práticas para empresas

Para se adaptar à nova realidade e evitar penalidades, é fundamental seguir um roteiro básico de governança de dados no contexto do PGR. Veja a seguir as principais ações recomendadas:

1. Mapeie os dados tratados no PGR

Identifique quais dados pessoais sensíveis estão sendo coletados. Verifique se há base legal para cada tipo de tratamento, conforme as hipóteses permitidas pela LGPD.

2. Implemente o ROPA

O Registro das Operações de Tratamento de Dados Pessoais deve detalhar todas as etapas do uso dessas informações. Isso inclui a origem dos dados, sua finalidade, prazo de retenção e medidas de segurança.

3. Reforce as políticas internas

Revisite suas políticas de privacidade, códigos de conduta, contratos de trabalho e acordos com prestadores de serviços. Todos devem estar alinhados com as exigências da LGPD.

4. Elabore o Relatório de Impacto (RIPD)

Esse documento analisa os riscos envolvidos no tratamento de dados sensíveis e descreve as medidas adotadas para mitigá-los. Ele pode ser solicitado pela Autoridade Nacional de Proteção de Dados (ANPD) a qualquer momento.

Atualize as políticas internas e treine sua equipe para reduzir riscos e estar em conformidade com a NR-1 e a LGPD.

Governança é mais do que conformidade

Estar em dia com a legislação não é apenas evitar multas — é demonstrar responsabilidade corporativa, proteger a imagem da empresa e fortalecer a confiança de seus colaboradores.

A fiscalização da NR-1, combinada com a atuação da ANPD, está se tornando mais técnica e criteriosa. Empresas que tratam dados de saúde de forma negligente estão cada vez mais expostas a penalizações severas.

Por isso, a melhor abordagem é proativa: implemente boas práticas de governança, documente seus processos e conte com suporte jurídico especializado.

Resumo final

A atualização da NR-1 trouxe obrigações que vão além da prevenção de riscos físicos: agora, a proteção de dados sensíveis é parte do dia a dia do setor de SST. Integrar as exigências da NR-1 com a LGPD é essencial para evitar sanções e garantir uma gestão segura e transparente. O cumprimento da norma exige ações práticas como o mapeamento de dados, o uso de registros (ROPA), políticas internas sólidas e a elaboração de um Relatório de Impacto. Uma abordagem preventiva, respaldada por assessoria jurídica, pode poupar sua empresa de prejuízos legais e reputacionais.

Proteja sua empresa: consulte especialistas em LGPD e segurança do trabalho para garantir conformidade completa.