LGPDcompliancerecrutamento

LGPD no recrutamento: guia completo para RH

29 de abril de 2026·8 min de leitura

O que a LGPD diz sobre dados de candidatos

A Lei Geral de Proteção de Dados (Lei 13.709/2018) se aplica a qualquer tratamento de dados pessoais realizado no Brasil — inclusive em processos seletivos. Isso significa que currículos, formulários de candidatura, resultados de entrevistas e qualquer outro dado coletado de candidatos estão sujeitos às regras da LGPD.

Para coletar e processar dados de candidatos legalmente, é necessário ter uma base legal adequada. A mais comum no recrutamento é a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual o titular seja parte (Art. 7º, VI) — que cobre a coleta de dados necessários para avaliar o candidato para a vaga. Para dados sensíveis, as regras são mais rígidas.

Quais dados podem ser coletados num processo seletivo

Existem dois tipos de dados relevantes no recrutamento:

  • Dados pessoais comuns: nome, e-mail, telefone, endereço, histórico profissional, formação acadêmica, habilidades, pretensão salarial, disponibilidade. Podem ser coletados com base na execução de contrato pré-contratual (Art. 7º, VI).
  • Dados sensíveis: origem racial ou étnica, saúde, biometria, orientação sexual, religião, opinião política. Exigem consentimento explícito, específico e destacado do titular (Art. 11, I). Nunca podem ser usados como critério de seleção ou eliminação.

Por quanto tempo guardar currículos e dados de candidatos

A LGPD não define um prazo único, mas o princípio da necessidade estabelece que os dados devem ser mantidos apenas pelo tempo necessário para a finalidade que justificou a coleta. Na prática:

  • Candidatos não aprovados: recomenda-se manter os dados por até 6 meses após o encerramento do processo, para eventual defesa em processos trabalhistas ou de discriminação.
  • Banco de talentos: se você quer manter o currículo para futuras oportunidades, precisa do consentimento específico do candidato para essa finalidade. Esse consentimento deve ser renovado periodicamente.
  • Após o prazo: os dados devem ser excluídos ou anonimizados.

Os 5 erros mais comuns de RH com LGPD

A maioria das violações de LGPD no recrutamento não é intencional — é resultado de práticas herdadas da era pré-LGPD que nunca foram atualizadas.

  • Manter banco de currículos indefinidamente: guardar CVs recebidos por anos, sem base legal e sem consentimento específico, é uma violação do princípio da necessidade.
  • Compartilhar dados de candidatos sem contrato de processamento: enviar currículos para outra empresa ou usar uma plataforma de recrutamento sem um Acordo de Processamento de Dados (DPA) viola o Art. 7º da LGPD.
  • Coletar dados sensíveis sem necessidade e sem consentimento: pedir certidão de antecedentes ou laudos médicos sem necessidade comprovada, ou perguntar sobre estado civil, religião ou planos de maternidade, expõe a empresa a sanções.
  • Não ter processo de atendimento a titulares: candidatos têm o direito de acessar, corrigir ou excluir seus dados. Empresas sem processo estruturado para responder a esses pedidos em até 15 dias estão em desconformidade.
  • Usar ferramentas de IA sem avaliar o impacto: plataformas de recrutamento com IA que usam dados de candidatos para treinar modelos ou que tomam decisões automatizadas sem transparência podem violar o Art. 20 da LGPD (decisões automatizadas).

Atenção: dados sensíveis como origem étnica, religião e estado de saúde exigem consentimento explícito (Art. 11 da LGPD) e nunca podem ser usados como critério de seleção. Se sua empresa não tem necessidade específica e documentada para esses dados, não os colete.

Checklist de compliance LGPD para processos seletivos

Use este checklist como ponto de partida para auditar seus processos seletivos:

  • Identificar quais dados são coletados em cada etapa do processo
  • Documentar a base legal para cada tipo de dado coletado
  • Revisar formulários de candidatura para remover dados desnecessários
  • Estabelecer prazo de retenção e rotina de descarte de dados
  • Assinar DPA com todas as plataformas de recrutamento utilizadas
  • Criar processo de atendimento a pedidos de titulares (acesso, correção, exclusão)
  • Treinar a equipe de RH sobre as obrigações da LGPD
  • Revisar e renovar consentimentos de banco de talentos periodicamente

Como o mibi garante LGPD nativamente

O mibi foi construído com proteção de dados como princípio, não como feature adicional:

  • Isolamento total: cada empresa opera em um schema PostgreSQL isolado. Os dados dos candidatos de uma empresa nunca são acessíveis por outra.
  • Base legal documentada: cada tipo de dado tratado pelo mibi tem base legal identificada e documentada.
  • Decisões auditáveis: todos os scores e avaliações gerados pela IA são explicáveis — o recrutador pode ver os fatores que influenciaram cada pontuação, atendendo ao Art. 20 da LGPD.
  • Exclusão facilitada: candidatos podem solicitar a exclusão dos seus dados, e o mibi tem fluxo nativo para processar esses pedidos.

Perguntas frequentes

A LGPD se aplica a startups e PMEs?

Sim. A LGPD se aplica a qualquer empresa que trate dados pessoais de residentes no Brasil, independente do porte, setor ou localização. Não há exceção para startups ou pequenas empresas. O que varia é a proporção e o nível de formalização exigido — uma empresa com 10 funcionários tem obrigações menores do que uma com 10.000.

Qual é a multa por violação da LGPD?

A ANPD pode aplicar multas de até 2% do faturamento da empresa no Brasil no último exercício, limitado a R$ 50 milhões por infração. Além das multas, a LGPD prevê advertências, bloqueio e eliminação dos dados irregulares, e publicização da infração — o que pode gerar danos reputacionais significativos.

Preciso de um DPO (Encarregado de Dados) para recrutar?

A LGPD exige a indicação de um Encarregado de Dados (DPO) por controladores e operadores. Para PMEs com tratamento de dados em baixo volume e sem dados sensíveis em grande escala, a ANPD pode prever exceções — mas a orientação geral é indicar um DPO ou contratar um serviço de DPO as a Service.

O que é um DPA e quando preciso de um?

DPA (Data Processing Agreement, ou Acordo de Processamento de Dados) é um contrato entre a empresa (controladora) e o fornecedor de tecnologia (operador) que define como os dados pessoais serão tratados. Sempre que você contratar uma plataforma de recrutamento, ATS ou qualquer ferramenta que acesse dados de candidatos, você precisa de um DPA assinado.

Como solicitar a exclusão de dados de um candidato no mibi?

O candidato pode solicitar a exclusão dos seus dados diretamente pelo e-mail de suporte da empresa contratante do mibi. O recrutador acessa o painel de candidatos e pode excluir o perfil e todos os dados associados com um clique. O mibi registra a exclusão para fins de auditoria, sem manter os dados pessoais.

Recrute com LGPD nativa desde o primeiro processo

O mibi tem compliance LGPD integrado — isolamento de dados, base legal documentada e fluxos de atendimento a titulares. Experimente grátis.

Explore o mibi