O papel estratégico do DPO, CIO e CISO na gestão de riscos psicossociais: alinhando a NR01 à LGPD

Gestão de Pessoas, Saúde Ocupacional e Compliance Regulatório

Com a consolidação da figura do Data Protection Officer (DPO), pela LGPD o Encarregado, na estrutura de governança das organizações, tornou-se indispensável que esse profissional assuma um papel ativo também nas políticas internas que envolvem gestão de pessoas, saúde ocupacional e compliance regulatório.

No Brasil, um ponto crítico de atenção que surge neste cenário é interseção entre a NR a01 (Norma Regulamentadora nº 01 do MTE) – que trata da gestão de riscos ocupacionais – e a Lei Geral de Proteção de Dados Pessoais (LGPD). A recente obrigatoriedade da avaliação de riscos psicossociais nas empresas, prevista na atualização da NR01, insere o DPO em um campo de atuação onde proteção de dados sensíveis, segurança da informação e privacidade dos trabalhadores se tornam fatores determinantes para a conformidade legal e ética.

Mas o DPO não caminha sozinho. O papel do CISO (Chief Information Security Officer)  é igualmente estratégico. Em projetos que envolvem coleta, armazenamento, análise e compartilhamento de dados especialmente via sistemas digitais, plataformas de RH ou ferramentas externas, o CISO se torna corresponsável pela definição das medidas técnicas, segurança cibernética, classificação da informação e arquitetura de dados envolvida no projeto.

A atuação integrada entre DPO e CISO é essencial para garantir que a privacidade seja tratada desde a concepção até a execução técnica, dentro dos critérios de segurança da informação, interoperabilidade, governança de dados e proteção contra vazamentos. E neste cenário, a infraestrutura é essencial, garantindo a necessidade de participação do CIO.

 

Privacidade e Saúde Mental: dois pilares que agora se conectam

A implementação da NR01 requer que empresas realizem diagnósticos do ambiente organizacional, mapeando fatores que possam impactar a saúde mental, emocional e relacional dos colaboradores. Essa análise, ainda que realizada com fins preventivos, envolve a coleta e tratamento de dados pessoais sensíveis, nos termos do artigo 5º, II da LGPD.

 

Mas o que é afinal a NR01 ?

A NR01 – Disposições Gerais e Gerenciamento de Riscos Ocupacionais é a norma do Ministério do Trabalho que estabelece as obrigações mínimas em segurança e saúde no trabalho, válidas para todas as organizações, independentemente de porte ou setor.

A NR01 determina a implantação do Programa de Gerenciamento de Riscos (PGR), que deve considerar riscos físicos, químicos, biológicos, ergonômicos e agora, sua versão atualizada também exige análise de riscos psicossociais.

 

O que são riscos psicossociais?

Riscos psicossociais são condições relacionadas à organização do trabalho que podem impactar negativamente a saúde mental, emocional e social do trabalhador. Incluem fatores como:

  • Sobrecarga de tarefas
  • Ambientes tóxicos ou hostis
  • Assédio moral ou sexual
  • Falta de apoio gerencial
  • Jornadas excessivas ou metas abusivas
  • Conflitos interpessoais crônicos
  • Sensação de injustiça ou exclusão

Esses riscos têm consequências diretas sobre a produtividade, o absenteísmo, os afastamentos médicos e, em casos extremos, a judicialização das relações de trabalho.

 

Como funciona um assessment de riscos psicossociais?

Para entender o papel do CIO e do DPO é preciso conhecer o processo de adequação à NR01. Um projeto bem estruturado inclui:

Fase 1 – Planejamento e engajamento

  • Alinhamento com a alta gestão
  • Definição de objetivos e escopo
  • Avaliação prévia da cultura organizacional

Fase 2 – Coleta de dados

  • Aplicação de questionários específicos
  • Entrevistas individuais e grupos focais
  • Observação direta do ambiente de trabalho

Fase 3 – Análise e diagnóstico

  • Consolidação e categorização dos riscos identificados
  • Classificação por criticidade e impacto
  • Anonimização ou pseudonimização dos dados coletados

Fase 4 – Plano de ação

  • Recomendação de medidas organizacionais (revisão de processos, treinamentos, reestruturação de equipes, atividades complementares)

Fase 5 – Monitoramento contínuo

  • Avaliação periódica dos indicadores
  • Atualização do PGR e dos registros internos
  • Comunicação transparente com os trabalhadores

 

Na prática, o DPO, CIO e CISO devem ser parte integrante do comitê de implementação da NR01, garantindo que as ações voltadas à gestão de riscos não comprometam a privacidade dos colaboradores. Ao CISO acrescenta-se a responsabilidade de garantir recursos adequados para proteção de informações confidenciais, ainda que não sejam dados pessoais, enquanto ao CIO cabe o apoio à infraestrutura e gestão da tecnologia.

 

Alguns cuidados indispensáveis que o DPO precisa observar e orientar:

  1. Fundamentação legal do tratamento
    Atribuir a base legal correta é essencial e não esqueça que os princípios devem ser respeitados.
  2. Minimização e anonimização
    Formulários e entrevistas devem ser objetivos, a coleta seja estritamente necessária, proporcional e transparente. Sempre que possível, aplicar técnicas de anonimização ou pseudonimização para reduzir os riscos em caso de vazamento.
  3. Privacy by Design  e Security by Design
    Projeto de avaliação psicossocial, por envolver dados sensíveis, deve ser precedido por análise de risco de privacidade e análise de segurança da informação. O DPO avalia impacto e conformidade; o CIO define os controles técnicos, lógicas de acesso, logs e proteção de infraestrutura.
  4. Segurança da Informação
    Garantir critérios técnicos de classificação da informação (ex: confidencial, restrita) para os documentos internos de diagnóstico e plano de ação.
  5. Governança com terceiros
    Se há envolvimento de consultorias, psicólogos, profissionais de Segurança ou sistemas externos, é essencial que os contratos contenham cláusulas específicas de proteção de dados, responsabilidade e auditoria.
  6. Capacitação de equipes envolvidas
    Os profissionais responsáveis pela coleta de dados (RH, saúde ocupacional, consultores externos) devem ser orientados sobre boas práticas de privacidade e segurança da informação.

Integrar LGPD e NR01 é mais do que conformidade — é estratégia de ESG

Com a prorrogação das sanções da NR01 para 2026, as empresas têm uma oportunidade única de estruturar esse processo de forma responsável, preventiva e integrada com os valores de compliance, ESG e bem-estar corporativo.

A gestão de riscos psicossociais não é um tema isolado da proteção de dados, ela está no coração do que a LGPD busca proteger: a liberdade, a intimidade e os direitos fundamentais da pessoa natural.

Um projeto bem conduzido pode transformar a cultura organizacional, fortalecer a reputação da empresa e prevenir tanto sanções legais quanto crises internas.

 

Cristina Sleiman

Advogada e pedagoga, mestre em Sistemas Eletrônicos pela Escola Politécnica da Universidade de São Paulo (USP), com extensão em Direito da Tecnologia pela FGV/RJ e certificação como Educadora Virtual pelo Senac SP em parceria com a Simon Fraser University (Canadá). Possui ainda formação em International Criminal Law. Sócia do escritório Cristina Sleiman Sociedade de Advogados e da Peck Sleiman Edutech, sendo referência em Proteção de Dados, Direito Digital, Educação Digital e Inovação Jurídica. Vice Presidente de Educação Digital na Comissão de Educação Digital da OAB SP. Atualmente, é responsável pela Proteção de Dados Pessoais da OAB Tatuapé e conselheira jurídica do IPCD.

Atuou com forte liderança em diversas oportunidades: Ex -Presidente da Comissão Especial de Educação Digital da OAB/SP, Ex 2ª vice-presidente da Comissão de Direito Digital e Compliance da OAB/SP (todos no mandato 2016/2018, Ex- presidente da Comissão de Direito Digital e Compliance da OAB Tatuapé.

Mediadora certificada pelo Conselho Nacional de Justiça (CNJ), Coordenadora do curso de pós graduação em Direito Digital e Inovação da FIA. Membro do Comitê de Privacidade – PrivacyBR, que visa fomentar a discussão sobre Privacidade e Proteção de Dados no cenário brasileiro. Co- coordenadora do curso de Formação DPO preparatório para Provas de certificação EXIN junto à FIA e do curso DPO junto à INFI.

Co-autora em diversas obras:  audiolivro e pocket book “Direito Digital no Dia a Dia”;  “Liber Amicorum – Homenagem ao Ministro Paulo Dias de Moura Ribeiro” ; coordenadora e coautora do “Guia de Segurança Corporativa da OAB/SP” ; “ Direito Digital Aplicado 3,4,5 e 5” ;  “LGPD Aplicada”; “ Segurança Digital”; “Jurisdição Constitucional e Liberdades Públicas” ; “Direito Digital Contemporâneo”; “ Política Nacional de Educação Didital em Perspectiva”; “Cartilha Boas Práticas de Direito Digital Dentro e Fora da Sala de Aula”, autora do “Guia do Professor – Programa de Prevenção ao Bullying e Cyberbullying OAB/SP” e do “Guia de Educação Digital em Condomínios OAB/SP”.

 

Nota – Aproveite e conheça em detalhes Trilha EXIN DPO e a certificação EXIN PDPE LGPD

Downloads gratuitos de ementas, simulados. Acesse os links acima.