IDHAN
Blog IDHAN inteligência artificial 7 min de leitura
inteligência artificial LGPD RH governança

IA, perfilamento e LGPD: diretrizes para usar inteligência artificial em RH com responsabilidade

O que a LGPD estabelece sobre perfilamento e decisões automatizadas no RH, os maiores riscos e a governança mínima antes de implementar IA.

Angélica Nascimento

Angélica Nascimento

Fundadora do IDHAN | Mentora Empresarial

"O que a LGPD estabelece sobre perfilamento e decisões automatizadas no RH, os maiores riscos e a governança mínima antes de implementar IA."

O que a LGPD exige de quem usa IA em RH? Que decisões tomadas unicamente por tratamento automatizado que afetem interesses do titular, incluindo a definição de perfil pessoal e profissional, possam ser revisadas mediante solicitação. Na prática: transparência sobre o uso, critérios claros, revisão humana disponível e proteção rigorosa dos dados de candidatos e colaboradores.

Este artigo fecha a série sobre IA no desenvolvimento humano tratando do tema que sustenta todos os outros: governança. Não é aconselhamento jurídico individual, é o mapa de riscos e diretrizes que empresas responsáveis precisam conhecer antes de contratar ou implementar qualquer ferramenta de IA que toque pessoas.


O que é perfilamento no contexto de trabalho

Perfilamento é o tratamento de dados pessoais para avaliar aspectos de uma pessoa (comportamento, desempenho, interesses, características) e classificá-la ou tomar decisões a partir dessa classificação.

No RH, isso acontece mais do que parece: o filtro que ranqueia currículos, o sistema que atribui “score de fit cultural”, a ferramenta que classifica risco de turnover, o algoritmo que sugere quem promover. Tudo isso é perfilamento, e quando a decisão sai do sistema sem passar por revisão humana real, entra no território que a LGPD regula diretamente.

Vale distinguir: um mapeamento de perfil comportamental feito com consentimento, devolutiva e finalidade de desenvolvimento é uma coisa. Um sistema que classifica pessoas automaticamente e dispara consequências sem que elas saibam é outra, completamente diferente.


Quais dados exigem cuidado redobrado

Nem todo dado tem o mesmo peso. No contexto de RH com IA, três camadas de atenção:

  • Dados pessoais comuns (nome, cargo, histórico profissional): já exigem base legal, finalidade definida e minimização.
  • Dados sensíveis (saúde, biometria, convicção religiosa, opinião política, dados sobre vida sexual, origem racial ou étnica): tratamento muito mais restrito. Ferramentas que inferem estado emocional, analisam expressões faciais ou processam informações de saúde ocupacional operam nessa camada, muitas vezes sem que a empresa perceba.
  • Dados inferidos: o que o sistema conclui sobre a pessoa (perfil, score, risco) também é dado pessoal. Empresa que não controla as inferências das próprias ferramentas tem um passivo invisível.

Regra de minimização que recomendo: se o processo funciona sem aquele dado, o dado não entra.


O que a LGPD estabelece sobre decisões automatizadas

O núcleo está no art. 20: o titular tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, e a lei cita expressamente decisões destinadas a definir perfil pessoal, profissional, de consumo e de crédito.

O controlador deve ainda fornecer, quando solicitado, informações claras e adequadas sobre os critérios e procedimentos da decisão automatizada, respeitados os segredos comercial e industrial.

Duas consequências práticas para o RH:

  1. “A ferramenta decidiu” não é resposta válida. Se um candidato eliminado por triagem automatizada pedir revisão, a empresa precisa ter processo, e gente, para revisar.
  2. Opacidade é passivo. Se ninguém na empresa sabe explicar os critérios do sistema que classifica pessoas, a empresa não consegue cumprir o dever de informação.

E o tema está longe de esfriar: a ANPD tem tratado o tratamento automatizado de dados e a IA como prioridade regulatória, com estudos e tomadas de subsídios que devem gerar regulamentação mais específica. Construir governança agora é mais barato que remediar depois.


As situações de maior risco

Cinco contextos concentram o risco jurídico e humano, os mesmos que classifico como zona vermelha no artigo sobre IA na gestão de pessoas:

  • Seleção: triagem eliminatória automatizada é a porta de entrada mais comum do problema, e se soma ao erro clássico de usar perfil comportamental como critério de corte.
  • Promoção: rankings algorítmicos de “potencial” reproduzem os vieses do histórico da empresa e os travestem de objetividade.
  • Desligamento: decisão automatizada de demissão combina o maior dano possível com a menor defensabilidade possível.
  • Remuneração: algoritmos de salário e bônus sem critérios explicáveis corroem a percepção de justiça e criam risco de discriminação sistemática.
  • Monitoramento: vigilância de comunicação, análise de emoções e “previsão de comportamento” de trabalhadores tratam dados de forma invasiva e, com frequência, desproporcional à finalidade.

Governança mínima antes de implementar qualquer ferramenta

Antes de assinar contrato com qualquer fornecedor de IA para RH, a estrutura mínima que recomendo:

  1. Finalidade documentada: que problema essa ferramenta resolve, e por que precisa de dados pessoais para isso.
  2. Mapeamento de dados: quais dados entram, onde são processados e armazenados, por quanto tempo, quem acessa.
  3. Ponto de revisão humana definido: em que etapa uma pessoa qualificada valida a saída, com autoridade real para discordar do sistema.
  4. Registro de decisões: o que a ferramenta sugeriu, o que o humano decidiu, por quê. Sem registro não há defesa nem aprendizado.
  5. Avaliação de risco proporcional: quanto mais a ferramenta afeta pessoas, mais rigorosa a análise prévia, a lógica de frameworks como o NIST AI RMF, que gradua controles pelo impacto do sistema.
  6. Responsável nomeado: uma pessoa, com nome e cargo, que responde pelo uso da ferramenta, em diálogo com o encarregado de dados (DPO) da empresa.

Direitos e comunicação com colaboradores e candidatos

Governança que só existe no papel não protege ninguém. A camada de comunicação precisa garantir que candidatos e colaboradores:

  • Saibam quando IA participa de processos que os afetam, antes do processo, não depois;
  • Entendam em linguagem simples o que a ferramenta faz e o que ela não decide sozinha;
  • Possam questionar um resultado e solicitar revisão humana, por canal conhecido e sem retaliação;
  • Tenham acesso aos próprios dados e às políticas de privacidade da empresa. A nossa está em /privacidade, como referência do tipo de transparência que defendo.

Princípios internacionais, como a Recomendação da UNESCO sobre ética em IA, convergem no mesmo ponto: transparência, supervisão humana e mitigação de vieses não são diferenciais, são condições de legitimidade.


Checklist de fornecedor: as perguntas antes de contratar

Oito perguntas para fazer a qualquer fornecedor de IA para RH, e desconfiar de quem não responde com clareza:

  1. Finalidade: o que exatamente o sistema decide, sugere ou classifica?
  2. Dados: quais dados pessoais ele coleta, infere e compartilha? Com quem?
  3. Retenção: por quanto tempo os dados ficam armazenados, e como são excluídos?
  4. Segurança: que medidas protegem os dados (criptografia, controle de acesso, localização dos servidores)?
  5. Revisão humana: o sistema foi desenhado para operar com revisão humana, ou decide sozinho por padrão?
  6. Vieses: o fornecedor testa o sistema contra vieses discriminatórios? Pode mostrar evidências?
  7. Explicabilidade: a empresa conseguirá explicar a um titular os critérios de uma decisão, como a LGPD exige?
  8. Contestação: existe mecanismo para o titular questionar um resultado?

Fornecedor sério tem essas respostas prontas. Fornecedor que responde “nossa IA é caixa-preta, mas funciona” está transferindo o risco para você, porque perante o titular e a ANPD, quem responde é a empresa que usa, não só quem vende.


Quando envolver jurídico, privacidade e segurança

Não espere o problema. Envolva as áreas especializadas (jurídico, encarregado de dados, segurança da informação e profissionais de gestão de pessoas) sempre que:

  • A ferramenta tomar ou influenciar decisões sobre seleção, promoção, desligamento ou remuneração;
  • Houver tratamento de dados sensíveis ou monitoramento de trabalhadores;
  • O fornecedor processar dados fora do país ou compartilhá-los com terceiros;
  • Um titular contestar uma decisão automatizada;
  • A empresa for desenvolver ferramenta própria de IA para pessoas.

E envolva também quem entende de gente. Porque no fim, a pergunta da governança é a mesma da boa gestão de pessoas: quem responde por essa decisão, e ela é justa com quem é afetado por ela?

Este conteúdo é educacional e não substitui avaliação profissional, jurídica ou psicológica. Para decisões sobre casos concretos, consulte profissionais habilitados nas áreas jurídica e de proteção de dados.

Tecnologia sem critério humano é risco. Critério humano é o que formamos no IDHAN. Se quiser desenvolver leitura de pessoas com método e ética, conheça a Formação Analista Comportamental.

Angélica Nascimento

Angélica Nascimento

Fundadora do IDHAN | Mentora Empresarial — +30 anos de experiência em desenvolvimento humano e liderança organizacional.

Falar com o IDHAN

Continue lendo

Cursos IDHAN

Quer transformar esse conhecimento em prática na sua equipe?

O IDHAN oferece treinamentos, mentorias e workshops presenciais e online para líderes, RH e equipes.