Duzentos currículos chegaram pra uma vaga. Você contratou um. Os outros 199 estão onde? Provavelmente numa pasta de downloads, numa planilha compartilhada ou em caixas de e-mail que ninguém limpa há dois anos. Isso é passivo de LGPD. Silencioso, acumulado, e completamente desnecessário de carregar.
O processo seletivo é um dos pontos mais negligenciados nas adequações de LGPD que a gente vê nas empresas. A empresa se preocupa com o site, com o CRM, com o contrato do cliente, e esquece que o RH processa dezenas de dados pessoais antes de uma única admissão: nome, CPF, endereço, formação, histórico de emprego, resultado de teste, às vezes dado de saúde. Tudo isso sem base legal clara, sem prazo definido, sem política de descarte.
Por quanto tempo posso guardar o currículo de quem não foi contratado?
A LGPD não traz um número específico pra isso. O que ela exige é que o dado seja guardado pelo tempo necessário para cumprir a finalidade que justificou a coleta. A finalidade é o processo seletivo. Quando ele termina e o candidato não é contratado, a base legal para manter o currículo se esgota.
Nossa leitura prática: 6 meses é um prazo defensável. Dá tempo de resolver eventual questionamento do candidato, comparar com outros processos e ter margem caso a vaga reabra. Guardar por mais de 1 ano sem consentimento explícito é arriscado. Guardar por 3 anos "porque pode ser útil" é indefensável se a ANPD perguntar.
Se quiser manter além de 6 meses, precisa de consentimento (art. 7º, I da Lei 13.709/2018). E consentimento aqui não é um clique genérico no rodapé do site: é uma manifestação informada, específica e destacada que diz claramente "seus dados vão ficar no banco de talentos da empresa X pelo prazo Y". Sem isso, apagar é a escolha mais segura.
Banco de talentos: precisa de consentimento real, não de pasta no servidor
Banco de talentos funciona. Empresas que mantêm um banco ativo economizam tempo em processos futuros. O problema é quando o banco de talentos é só uma pasta chamada "currículos recebidos 2023" num servidor que ninguém gerencia. Isso não é banco de talentos: é descarte disfarçado de guarda.
Um banco de talentos que resiste a questionamento da ANPD precisa de três coisas:
- Consentimento específico e ativo: no formulário de candidatura, o candidato precisa marcar que aceita entrar no banco. Campo não pode vir pré-marcado.
- Prazo informado: diga por quanto tempo os dados ficam. Dois anos é razoável. Cinco anos precisa de justificativa proporcional.
- Canal de descadastramento funcional: o candidato pode pedir exclusão a qualquer momento (art. 18, VI). Precisa existir e-mail ou formulário pra isso, com resposta em até 15 dias (art. 19).
Na prática, isso é um campo a mais no formulário de candidatura e um e-mail de confirmação automático. O que é complexo é o passivo de quem nunca fez isso e tem 1.500 currículos sem nenhum consentimento registrado.
Pesquisar as redes sociais do candidato: até onde vai?
Todo recrutador pesquisa no LinkedIn. Isso é legítimo: o candidato colocou aquelas informações em perfil público com a intenção de ser encontrado profissionalmente. LinkedIn com finalidade profissional declarada é uso justificável no contexto de recrutamento.
O problema começa quando a pesquisa vai além. Instagram pessoal, Facebook com fotos de família, perfis que revelam orientação religiosa, filiação política ou condição de saúde: esses são dados que a LGPD classifica como sensíveis (art. 5º, II). O tratamento de dado sensível exige consentimento específico ou uma das hipóteses do art. 11, que no contexto de recrutamento praticamente não se aplica.
Falando sério: se você usa informação de rede social pessoal do candidato pra tomar decisão de contratação e ele descobrir, o problema é real. Não só de LGPD: discriminação indireta na seleção, registro de dado sensível sem base legal. A pesquisa de perfis pessoais precisa de autorização expressa ou simplesmente não deve ser feita.
Teste psicológico e laudo: trate como dado sensível
Resultado de teste psicológico aplicado no processo seletivo é dado pessoal. Se o teste revela traços de personalidade, saúde mental ou condição psicológica, a gente trata como dado sensível na prática. A ANPD já sinalizou interpretação extensiva de dado de saúde, e laudo psicológico cabe nessa extensão.
- O laudo não pode circular livremente entre gestores. Precisa de controle de acesso definido.
- Candidato não contratado tem direito de pedir acesso ao próprio resultado (art. 18, I).
- O laudo precisa ser descartado no mesmo prazo dos outros dados do processo, com registro do descarte.
- Se o teste for feito por empresa terceirizada, ela é operadora de dados (art. 5º, VII). O contrato precisa ter cláusulas de proteção de dados.
Empresa do Vale do Itajaí que usa consultoria externa de assessment precisa garantir que esse contrato existe. Não é burocracia: é o que separa o controlador que cumpre a lei do que terceirizou a tarefa e achou que terceirizou a responsabilidade também.
O que nunca perguntar e nunca anotar numa entrevista
Perguntar sobre gravidez, intenção de engravidar, religião, partido político, orientação sexual ou condição de saúde numa entrevista é ilegal sob múltiplos ângulos: LGPD, CLT e Constituição. Mas o problema específico da LGPD vai além da pergunta: é o registro da resposta.
Se o recrutador anota "candidata disse que está grávida" ou "candidato é evangélico", aquele registro é tratamento de dado sensível sem base legal. Se o candidato não for contratado e rastrear o dado, o problema é concreto e autuável.
A regra é direta: se você não pode usar o dado pra contratar ou não contratar de forma legítima, não colete e não registre. Um e-mail de 10 linhas listando o que não pode ser perguntado, enviado a todo gestor que participa de seleção, já reduz o risco de forma significativa.
Score de candidato e decisão automatizada
Sistemas de ATS que pontuam candidatos automaticamente não são problema em si. São problema quando a empresa não consegue explicar como o score foi gerado e o usa como único critério de eliminação sem qualquer revisão humana.
O art. 20 da LGPD garante ao titular o direito de revisão de decisões tomadas unicamente por meios automatizados. Se um candidato for eliminado por sistema e pedir explicação, a empresa precisa conseguir dar uma resposta humana sobre os critérios usados.
Na prática: documente os critérios do seu ATS. Nunca use o score automatizado como corte único e irrecorrível. Uma revisão humana documentada já é suficiente para atender o art. 20.
O que fazer nas próximas duas semanas
- Mapeie onde estão os currículos: e-mail, servidor, WhatsApp do gestor, formulário do site. Liste tudo. Dados que você não sabe que tem são os mais perigosos numa auditoria.
- Defina um prazo de descarte por escrito: 6 meses para candidatos não contratados é um ponto de partida seguro. Uma página de política interna já serve.
- Revise o formulário de candidatura: inclua campo de consentimento opt-in para banco de talentos, não pré-marcado, com prazo informado.
- Cheque o contrato com consultorias de assessment: se foi assinado antes de 2021, provavelmente não tem cláusulas de proteção de dados.
- Treine quem faz entrevistas: liste o que não pode ser perguntado e o que não pode ser anotado. Compartilhe com todo gestor que participa de processos seletivos.
A ANPD tem investigado práticas de RH. O setor não está blindado só porque o dano aparente parece menor do que um vazamento de banco de dados. Dado de candidato guardado por anos sem base legal é exatamente o tipo de irregularidade que aparece quando a empresa passa por auditoria ou quando um candidato preterido decide acionar seus direitos.
Fale com um advogado da RSA.
Diagnóstico objetivo em até 24h úteis.
