A atualização da Norma Regulamentadora 1 (NR-1) representa um marco na governança de saúde e segurança do trabalho (SST) no Brasil, ao incluir o gerenciamento dos riscos psicossociais do trabalho como uma obrigação legal e impor uma abordagem mais estruturada e contínua na identificação e mitigação de riscos ocupacionais.
Em paralelo, a Lei 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), impõe novas exigências para o tratamento de dados pessoais no ambiente corporativo, incluindo o contexto das relações de trabalho. A interseção entre essas duas normativas demanda atenção redobrada, especialmente porque a execução das obrigações previstas na NR-1 envolve o tratamento de dados pessoais sensíveis, como informações relacionadas à saúde dos trabalhadores.
Conheça o JOTA PRO Trabalhista, solução corporativa que antecipa as movimentações trabalhistas no Judiciário, Legislativo e Executivo
O Programa de Gerenciamento de Riscos (PGR), eixo central da nova NR-1, exige a elaboração de um inventário de riscos e de um plano de ação, documentos que frequentemente pressupõem a coleta e análise de dados individualizados, como registros de exames ocupacionais, históricos de afastamento, exposições a agentes nocivos e participação em treinamentos.
Tais dados, por sua natureza, enquadram-se como dados sensíveis nos termos do artigo 5º, II, da LGPD e, portanto, estão sujeitos a um regime jurídico mais rigoroso quanto ao seu tratamento.
Nesse cenário, uma das primeiras medidas recomendada é o mapeamento dessas atividades no Registro das Operações de Tratamento de Dados Pessoais (ROPA), conforme previsto no artigo 37 da LGPD. O registro deve refletir com precisão as finalidades do tratamento (como o cumprimento de norma regulamentadora ou a promoção da saúde ocupacional), as categorias de dados envolvidos, os agentes de tratamento, os fluxos de compartilhamento com terceiros e as medidas técnicas e administrativas de segurança adotadas.
Além de obrigação legal, o ROPA funciona como ferramenta estratégica de governança, permitindo a identificação de pontos críticos e o aprimoramento contínuo do programa de privacidade da organização.
Para além do mapeamento, é fundamental que o tratamento de dados sensíveis esteja devidamente respaldado por bases legais específicas. Diferentemente dos dados pessoais comuns, que podem ser tratados com fundamento no artigo 7º da LGPD, os dados sensíveis somente podem ser processados quando presentes as hipóteses do artigo 11.
No contexto das atividades de SST, destacam-se, principalmente, o cumprimento de obrigação legal ou regulatória pelo controlador (artigo 11, II, “a”), aplicável à manutenção de documentos e exames exigidos por norma trabalhista, por exemplo; e a proteção da vida ou da incolumidade física do titular ou de terceiro (artigo 11, II, “c”), relevante em situações emergenciais ou de prevenção a riscos graves à saúde.
É importante que os empregadores evitem utilizar bases legais inadequadas, como o consentimento, que se revela incompatível com a natureza mandatória das obrigações decorrentes da NR-1. A utilização indevida dessa hipótese, especialmente quando associada a atividades compulsórias, pode enfraquecer a validade do tratamento e comprometer a segurança jurídica da empresa.
A LGPD também impõe deveres de transparência, que devem ser refletidos no ambiente interno de trabalho. Boas práticas nesse sentido incluem a inserção de avisos de privacidade nos materiais relacionados às atividades de SST, como nas listas de presença de treinamentos obrigatórios, informando de forma clara o tratamento conferido aos dados pessoais.
Também é recomendável a inclusão de cláusulas informativas nos contratos de trabalho ou em aditivos específicos, além da disponibilização de um aviso de privacidade interno, com linguagem acessível e alinhado aos fluxos reais de tratamento.
Receba gratuitamente no seu email as principais notícias sobre o Direito do Trabalho
Outro ponto de atenção reside no compartilhamento de dados com terceiros. É comum que empresas contratem operadores para auxiliar na execução das obrigações da NR-1, como consultorias externas especializadas, clínicas médicas, softwares de gestão ocupacional e plataformas de ensino à distância.
Nesses casos, é imprescindível a formalização de contratos com cláusulas específicas de proteção de dados, prevendo obrigações quanto à confidencialidade, à segurança da informação e à limitação da finalidade do tratamento. O monitoramento periódico desses fornecedores deve integrar a governança de privacidade da organização.
Ainda, deve-se atentar para eventuais transferências internacionais de dados ou utilização de serviços em nuvem, o que exige conformidade com os requisitos estabelecidos no artigo 33 da LGPD e, mais recentemente, na Resolução CD/ANPD 19/2024.
A nova NR-1, ao demandar uma gestão mais robusta e sistêmica dos riscos ocupacionais, amplia a exposição das empresas ao tratamento de dados sensíveis de seus trabalhadores. A conformidade com a LGPD, portanto, deve ser vista como parte integrante da política de SST e não como um requisito isolado.
A integração entre a governança de saúde e segurança e a proteção de dados é não apenas um diferencial de gestão, mas uma necessidade regulatória, capaz de mitigar riscos trabalhistas, evitar sanções administrativas e reforçar o compromisso ético da empresa com seus colaboradores.
