"O que a LGPD estabelece sobre perfilamento e decisões automatizadas no RH, os maiores riscos e a governança mínima antes de implementar IA."
O que a LGPD exige de quem usa IA em RH? Que decisões tomadas unicamente por tratamento automatizado que afetem interesses do titular, incluindo a definição de perfil pessoal e profissional, possam ser revisadas mediante solicitação. Na prática: transparência sobre o uso, critérios claros, revisão humana disponível e proteção rigorosa dos dados de candidatos e colaboradores.
Este artigo fecha a série sobre IA no desenvolvimento humano tratando do tema que sustenta todos os outros: governança. Não é aconselhamento jurídico individual, é o mapa de riscos e diretrizes que empresas responsáveis precisam conhecer antes de contratar ou implementar qualquer ferramenta de IA que toque pessoas.
O que é perfilamento no contexto de trabalho
Perfilamento é o tratamento de dados pessoais para avaliar aspectos de uma pessoa (comportamento, desempenho, interesses, características) e classificá-la ou tomar decisões a partir dessa classificação.
No RH, isso acontece mais do que parece: o filtro que ranqueia currículos, o sistema que atribui “score de fit cultural”, a ferramenta que classifica risco de turnover, o algoritmo que sugere quem promover. Tudo isso é perfilamento, e quando a decisão sai do sistema sem passar por revisão humana real, entra no território que a LGPD regula diretamente.
Vale distinguir: um mapeamento de perfil comportamental feito com consentimento, devolutiva e finalidade de desenvolvimento é uma coisa. Um sistema que classifica pessoas automaticamente e dispara consequências sem que elas saibam é outra, completamente diferente.
Quais dados exigem cuidado redobrado
Nem todo dado tem o mesmo peso. No contexto de RH com IA, três camadas de atenção:
- Dados pessoais comuns (nome, cargo, histórico profissional): já exigem base legal, finalidade definida e minimização.
- Dados sensíveis (saúde, biometria, convicção religiosa, opinião política, dados sobre vida sexual, origem racial ou étnica): tratamento muito mais restrito. Ferramentas que inferem estado emocional, analisam expressões faciais ou processam informações de saúde ocupacional operam nessa camada, muitas vezes sem que a empresa perceba.
- Dados inferidos: o que o sistema conclui sobre a pessoa (perfil, score, risco) também é dado pessoal. Empresa que não controla as inferências das próprias ferramentas tem um passivo invisível.
Regra de minimização que recomendo: se o processo funciona sem aquele dado, o dado não entra.
O que a LGPD estabelece sobre decisões automatizadas
O núcleo está no art. 20: o titular tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, e a lei cita expressamente decisões destinadas a definir perfil pessoal, profissional, de consumo e de crédito.
O controlador deve ainda fornecer, quando solicitado, informações claras e adequadas sobre os critérios e procedimentos da decisão automatizada, respeitados os segredos comercial e industrial.
Duas consequências práticas para o RH:
- “A ferramenta decidiu” não é resposta válida. Se um candidato eliminado por triagem automatizada pedir revisão, a empresa precisa ter processo, e gente, para revisar.
- Opacidade é passivo. Se ninguém na empresa sabe explicar os critérios do sistema que classifica pessoas, a empresa não consegue cumprir o dever de informação.
E o tema está longe de esfriar: a ANPD tem tratado o tratamento automatizado de dados e a IA como prioridade regulatória, com estudos e tomadas de subsídios que devem gerar regulamentação mais específica. Construir governança agora é mais barato que remediar depois.
As situações de maior risco
Cinco contextos concentram o risco jurídico e humano, os mesmos que classifico como zona vermelha no artigo sobre IA na gestão de pessoas:
- Seleção: triagem eliminatória automatizada é a porta de entrada mais comum do problema, e se soma ao erro clássico de usar perfil comportamental como critério de corte.
- Promoção: rankings algorítmicos de “potencial” reproduzem os vieses do histórico da empresa e os travestem de objetividade.
- Desligamento: decisão automatizada de demissão combina o maior dano possível com a menor defensabilidade possível.
- Remuneração: algoritmos de salário e bônus sem critérios explicáveis corroem a percepção de justiça e criam risco de discriminação sistemática.
- Monitoramento: vigilância de comunicação, análise de emoções e “previsão de comportamento” de trabalhadores tratam dados de forma invasiva e, com frequência, desproporcional à finalidade.
Governança mínima antes de implementar qualquer ferramenta
Antes de assinar contrato com qualquer fornecedor de IA para RH, a estrutura mínima que recomendo:
- Finalidade documentada: que problema essa ferramenta resolve, e por que precisa de dados pessoais para isso.
- Mapeamento de dados: quais dados entram, onde são processados e armazenados, por quanto tempo, quem acessa.
- Ponto de revisão humana definido: em que etapa uma pessoa qualificada valida a saída, com autoridade real para discordar do sistema.
- Registro de decisões: o que a ferramenta sugeriu, o que o humano decidiu, por quê. Sem registro não há defesa nem aprendizado.
- Avaliação de risco proporcional: quanto mais a ferramenta afeta pessoas, mais rigorosa a análise prévia, a lógica de frameworks como o NIST AI RMF, que gradua controles pelo impacto do sistema.
- Responsável nomeado: uma pessoa, com nome e cargo, que responde pelo uso da ferramenta, em diálogo com o encarregado de dados (DPO) da empresa.
Direitos e comunicação com colaboradores e candidatos
Governança que só existe no papel não protege ninguém. A camada de comunicação precisa garantir que candidatos e colaboradores:
- Saibam quando IA participa de processos que os afetam, antes do processo, não depois;
- Entendam em linguagem simples o que a ferramenta faz e o que ela não decide sozinha;
- Possam questionar um resultado e solicitar revisão humana, por canal conhecido e sem retaliação;
- Tenham acesso aos próprios dados e às políticas de privacidade da empresa. A nossa está em /privacidade, como referência do tipo de transparência que defendo.
Princípios internacionais, como a Recomendação da UNESCO sobre ética em IA, convergem no mesmo ponto: transparência, supervisão humana e mitigação de vieses não são diferenciais, são condições de legitimidade.
Checklist de fornecedor: as perguntas antes de contratar
Oito perguntas para fazer a qualquer fornecedor de IA para RH, e desconfiar de quem não responde com clareza:
- Finalidade: o que exatamente o sistema decide, sugere ou classifica?
- Dados: quais dados pessoais ele coleta, infere e compartilha? Com quem?
- Retenção: por quanto tempo os dados ficam armazenados, e como são excluídos?
- Segurança: que medidas protegem os dados (criptografia, controle de acesso, localização dos servidores)?
- Revisão humana: o sistema foi desenhado para operar com revisão humana, ou decide sozinho por padrão?
- Vieses: o fornecedor testa o sistema contra vieses discriminatórios? Pode mostrar evidências?
- Explicabilidade: a empresa conseguirá explicar a um titular os critérios de uma decisão, como a LGPD exige?
- Contestação: existe mecanismo para o titular questionar um resultado?
Fornecedor sério tem essas respostas prontas. Fornecedor que responde “nossa IA é caixa-preta, mas funciona” está transferindo o risco para você, porque perante o titular e a ANPD, quem responde é a empresa que usa, não só quem vende.
Quando envolver jurídico, privacidade e segurança
Não espere o problema. Envolva as áreas especializadas (jurídico, encarregado de dados, segurança da informação e profissionais de gestão de pessoas) sempre que:
- A ferramenta tomar ou influenciar decisões sobre seleção, promoção, desligamento ou remuneração;
- Houver tratamento de dados sensíveis ou monitoramento de trabalhadores;
- O fornecedor processar dados fora do país ou compartilhá-los com terceiros;
- Um titular contestar uma decisão automatizada;
- A empresa for desenvolver ferramenta própria de IA para pessoas.
E envolva também quem entende de gente. Porque no fim, a pergunta da governança é a mesma da boa gestão de pessoas: quem responde por essa decisão, e ela é justa com quem é afetado por ela?
Este conteúdo é educacional e não substitui avaliação profissional, jurídica ou psicológica. Para decisões sobre casos concretos, consulte profissionais habilitados nas áreas jurídica e de proteção de dados.
Tecnologia sem critério humano é risco. Critério humano é o que formamos no IDHAN. Se quiser desenvolver leitura de pessoas com método e ética, conheça a Formação Analista Comportamental.
Fundadora do IDHAN | Mentora Empresarial — +30 anos de experiência em desenvolvimento humano e liderança organizacional.