Artigos | Postado no dia: 27 abril, 2026

LGPD e NR-1: A Conexão Inadiável entre Saúde Mental e a Proteção de Dados no Trabalho

A Norma Regulamentadora nº 1 (NR-1) e a Lei Geral de Proteção de Dados (LGPD) representam dois pilares fundamentais para as empresas em 2026. Enquanto a NR-1 exige a gestão de riscos psicossociais e o cuidado com a saúde mental dos colaboradores, a LGPD estabelece padrões rigorosos para a proteção de dados pessoais.

O desafio está em integrar essas duas regulamentações: muitas organizações ainda as tratam de forma isolada, criando lacunas que podem resultar em riscos legais e financeiros significativos.

A NR-1, em sua versão atualizada, estabelece as disposições gerais e o gerenciamento de riscos ocupacionais.

Ela exige que as empresas identifiquem, avaliem e controlem os riscos presentes no ambiente de trabalho, incluindo aqueles que podem afetar a saúde mental dos colaboradores, como estresse, assédio e sobrecarga. A implementação das novas regras, que se torna obrigatória em 2026, visa a um ambiente mais saudável e produtivo.

A implementação da NR-1, especialmente no que tange aos riscos psicossociais, exige que as empresas coletem e analisem informações sobre seus colaboradores. Isso pode incluir:

• Pesquisas de clima organizacional e bem-estar;
• Avaliações de desempenho que revelem níveis de estresse;
• Relatos de incidentes de assédio ou discriminação;
• Dados de saúde ocupacional, como atestados, laudos médicos, afastamentos, exames periódicos.

Dados sobre saúde mental e física são considerados dados pessoais sensíveis pela LGPD, exigindo um nível ainda maior de proteção e bases legais específicas para seu tratamento.

Muitas empresas, ao focar apenas na conformidade da NR-1, podem cometer deslizes graves em relação à LGPD, expondo-se a multas pesadas e danos reputacionais. Erros comuns incluem:

• Coleta Excessiva de Dados: Coletar mais informações do que o estritamente necessário para o propósito da NR-1.
• Compartilhamento Inadequado: Distribuir dados de saúde ou informações sensíveis sem controle de acesso ou base legal clara.
• Falta de Auditoria de Fornecedores: Contratar consultorias ou plataformas de gestão de riscos sem verificar sua conformidade com a LGPD.
• Ausência de Regras Claras: Não ter políticas e procedimentos documentados sobre como os dados coletados para a NR-1 serão tratados.
• Armazenamento Inseguro: Manter dados sensíveis em sistemas vulneráveis ou sem criptografia adequada.
• Descarte Incorreto: Não ter um plano para o descarte seguro de dados após o término de sua finalidade.

A intersecção entre a NR-1 e a LGPD impõe um rigoroso dever de diligência às organizações e aos profissionais de saúde ocupacional. A gestão de riscos psicossociais não é apenas uma boa prática, mas uma obrigação legal com sérias implicações.

A Medicina do Trabalho desempenha um papel crucial e estratégico nesse processo. Os médicos do trabalho e suas equipes são os profissionais habilitados para realizar a interpretação clínica dos dados de saúde mental e psicossociais, propor medidas de intervenção e acompanhamento individualizado ou coletivo, garantir a confidencialidade médica e o sigilo profissional, tratando os dados sensíveis com a máxima ética e segurança.

Ao contratar esses serviços, em muitos casos, o foco está somente na regularidade para a aplicação da NR-1, entretanto, a responsabilidade pela proteção dos dados e pela conformidade com as normas pode ser solidária. A empresa, como controladora dos dados, e os profissionais de saúde ocupacional, como operadores ou controladores conjuntos, compartilham o dever de garantir a segurança e a legalidade do tratamento. Falhas na comunicação, na definição de papéis ou na implementação de medidas de segurança podem expor ambas as partes a sanções.

É imperativo que as empresas desenvolvam protocolos claros, escritos e auditáveis para a gestão de riscos psicossociais e o tratamento dos dados envolvidos. Esses protocolos devem abranger desde a coleta até o descarte, definindo responsabilidades, fluxos de informação, medidas de segurança e planos de resposta a incidentes. A auditoria regular desses protocolos garante sua eficácia e adequação contínua às exigências legais e às melhores práticas.

Para garantir uma implementação da NR-1 que seja robusta e, ao mesmo tempo, em conformidade com a LGPD, as empresas devem adotar uma abordagem integrada:

• Minimização de Dados: Coletar apenas os dados estritamente necessários para identificar e gerenciar os riscos ocupacionais.
• Propósito e Base Legal Claros: Definir explicitamente o porquê de cada dado ser coletado e qual a base legal da LGPD que justifica esse tratamento (ex: cumprimento de obrigação legal, proteção da vida, legítimo interesse).
• Consentimento Informado: Quando o consentimento for a base legal, ele deve ser livre, específico, informado e inequívoco, especialmente para dados sensíveis.
• Limitação de Acesso: Restringir o acesso aos dados sensíveis apenas a pessoas autorizadas e que necessitem dessas informações para suas funções.
• Segurança da Informação: Implementar medidas técnicas e organizacionais robustas para proteger os dados contra acessos não autorizados, perdas ou vazamentos.
• Descarte Seguro: Estabelecer políticas claras para o descarte de dados quando sua finalidade for atingida, garantindo que não haja rastros.
• DPIA (Avaliação de Impacto à Proteção de Dados): Realizar uma análise de risco para identificar e mitigar potenciais impactos à privacidade dos titulares de dados na implementação da NR-1.
• Treinamento e Conscientização: Capacitar equipes de RH, segurança do trabalho e gestores sobre as exigências da LGPD e da NR-1.

A NR-1 e a LGPD são aliadas na construção de um ambiente de trabalho mais humano e responsável. A implementação da NR-1 em 2026 é uma oportunidade para as empresas revisarem seus processos e garantirem que a busca pela saúde e segurança dos colaboradores não viole seus direitos fundamentais à privacidade.

É hora de o RH, a segurança do trabalho e o compliance trabalharem juntos para criar estratégias que protejam tanto a integridade física e mental dos trabalhadores quanto seus dados pessoais.