NR-1 e a LGPD: conformidade integrada de riscos, segurança do trabalho e privacidade de dados: duas frentes que precisam caminhar juntas na gestão moderna de riscos
Quando falamos em conformidade regulatória no Brasil, o reflexo imediato é pensar em documentos, formulários e auditorias isoladas. Mas a realidade das empresas que tratam dados de trabalhadores é bem mais complexa do que isso, e muito mais exigente.
A atualização do capítulo 1.5 da NR-1, consolidada pela Portaria MTE nº 1.419/2024, com vigência plena a partir de 26 de maio de 2026, não traz apenas uma revisão de procedimentos de Segurança e Saúde no Trabalho. Ela abre uma intersecção direta e inevitável com a Lei Geral de Proteção de Dados — a LGPD. E as empresas que não perceberem essa conexão a tempo correm dois riscos ao mesmo tempo: o passivo trabalhista e a sanção da ANPD.
Este artigo foi escrito para quem toma decisões. Se você é gestor de RH, responsável por SST, DPO ou CEO de uma empresa que possui trabalhadores, o que vem a seguir é estratégico para o seu negócio.
1. A Nova Era da Gestão de Riscos Ocupacionais
A modernização da NR-1 resulta de um longo processo tripartite — governo, empregadores e trabalhadores — que transformou a lógica da Segurança do Trabalho no Brasil. O modelo antigo, baseado em programas estáticos e reativos, dá lugar ao Gerenciamento de Riscos Ocupacionais (GRO): uma abordagem sistemática, contínua e orientada por dados.
Para o C-Level e para os gestores de risco, isso representa uma mudança de mentalidade fundamental. O antigo “departamento de papelada” precisa se transformar num núcleo de inteligência de dados, onde a proteção física do trabalhador e a segurança jurídica da empresa operam em conjunto.
Atenção, gestão:
A transição para o GRO exige que a conformidade deixe de ser opcional para se tornar uma blindagem estratégica. Sob a ótica da LGPD, a coleta massiva de dados para alimentar esse sistema requer governança rigorosa. A falha em integrar esses dois universos pode transformar a “proteção” de hoje em uma multa milionária amanhã.
2. O GRO e o Ciclo PDCA: Onde a Prevenção Encontra a Gestão de Dados
O GRO (Gerenciamento de riscos Ocupacionais) se alinha aos princípios internacionais retirando a SST – Saúde e Segurança do Trabalho, do campo do improviso. Uma das contribuições didáticas mais interessantes do Manual do MTE é a analogia da onça-pintada: o perigo é a onça em si, um elemento com potencial inerente de causar dano; o risco é a probabilidade de uma pessoa ser atingida por ela em um contexto específico. Gestão eficaz não ignora a onça — ela gerencia a interação.
Ponto de atenção:
A fase “Check” do PDCA é o momento de auditoria conjunta entre as exigências do MTE e as obrigações da LGPD. Quem faz SST sem pensar em privacidade está auditando apenas metade do risco.
3. O PGR como Repositório de Dados Sensíveis
O Programa de Gerenciamento de Riscos (PGR) é a espinha dorsal da prevenção ocupacional. Diferente dos documentos estáticos do passado, ele é um registro vivo, atualizado continuamente, que abriga informações sobre saúde, ergonomia, acidentes e afastamentos. Em outras palavras: o PGR é um repositório de dados pessoais sensíveis.
Coletar dados médicos que não tenham relação direta com o risco da função configura abuso de tratamento, expondo a empresa a riscos reputacionais e sanções administrativas.
A governança de dados sensíveis nas organizações exige processos integrados entre SST, Jurídico e Tecnologia da Informação.
4. Riscos Psicossociais e LGPD: A Fronteira da Privacidade
A inclusão expressa de riscos psicossociais — como assédio, sobrecarga e ausência de suporte — é a inovação mais delicada e complexa trazida pela nova NR-1. O trabalhador é reconhecido como “especialista do saber-fazer” e deve ser ouvido ativamente. Mas é justamente nesses processos de escuta — pesquisas de clima, CIPA, entrevistas abertas — que mora o maior risco de coleta involuntária de dados sensíveis.
Imagine um funcionário que, num formulário aberto, menciona uma condição psiquiátrica específica ou um conflito interpessoal íntimo. Essa informação, se não tratada com os controles adequados, pode gerar responsabilidade civil por danos morais e sanção regulatória.
A blindagem estratégica aqui exige: controles de acesso estritos (need-to-know basis) para dados de saúde mental e registros de assédio.
Criptografia e protocolos de anonimização em relatórios gerenciais. Formulários estruturados para evitar a coleta de informações não solicitadas e sem base legal.
5. Gestão de Mudanças
A NR-1 estabelece uma hierarquia clara de prevenção: Evitar > Eliminar > Proteção Coletiva > Medida Administrativa > EPI. Nessa hierarquia, a Gestão de Mudanças (Item 9.4 do Manual do MTE) é o ponto que mais impacta a governança de dados.
O raciocínio é direto: sempre que um processo produtivo ou uma tecnologia de monitoramento mudar, a revisão de risco da NR-1 deve disparar automaticamente uma Avaliação de Impacto à Proteção de Dados (DPIA). Se a empresa introduz um sensor de fadiga ou uma câmera de monitoramento de postura, está criando um novo fluxo de dados sensíveis — e precisa estar amparada em base legal, finalidade definida e medidas de segurança aplicáveis.
Atenção: controladoria conjunta
Em ambientes compartilhados — shoppings, canteiros de obra, condomínios industriais — a NR-1 exige ações integradas entre as empresas. Juridicamente, isso pode configurar Controladoria Conjunta perante a LGPD.
6. Conformidade integrada: por onde começar?
Seguir a NR-1 sem considerar a LGPD é como instalar câmeras de segurança na porta da empresa e deixar os servidores abertos ao mundo.
O objetivo final de ambas as normas é o mesmo: mitigar riscos para proteger pessoas. Essa congruência de propósito é também a maior oportunidade de eficiência para as empresas que decidirem tratar os dois temas de forma integrada.
Para que a proteção de hoje não se torne o passivo de amanhã, a liderança precisa agir agora com três movimentos estratégicos:
Auditoria Cruzada: Analise seus inventários de SST sob a ótica da privacidade. Identifique quais dados são coletados, com qual base legal, por quanto tempo são retidos e quem tem acesso.
Força-Tarefa Interdisciplinar: institua um comitê formado por SST, Jurídico e TI para validar cada novo processo de coleta de dados. Essa intersecção de saberes é o que impede lacunas regulatórias.
Cultura de Privacidade: Treine os profissionais de campo para entenderem que a coleta de dados de saúde deve ser cirúrgica, técnica e amparada em finalidade definida. Privacidade não é burocracia — é proteção.
A segurança do amanhã não admite amadorismo. Proteja sua operação, proteja seus dados, proteja seu maior ativo: as pessoas.
Sobre a autora
Márcia Lima é especialista em Privacidade e Proteção de Dados, com atuação em projetos de adequação à LGPD desde 2019. É fundadora da PrivUs Tecnologia e Privacidade (LGPD Connecta), hub de soluções em tecnologia privacidade de dados voltado para pequenas e médias empresas brasileiras.
