Como Coletar Evidências de Riscos Psicossociais Sem Invadir Privacidade

O medo de criar risco jurídico ao coletar dados sobre riscos psicossociais é legítimo. Dados de saúde são sensíveis pela LGPD. Relatos de assédio envolvem sigilo. Pesquisas mal desenhadas podem expor quem tentavam proteger. E um processo mal conduzido pode transformar a empresa de vítima em ré.

Mas esse medo não pode paralisar a organização. A NR-1, após a Portaria MTE nº 1.419/2024, exige que os fatores psicossociais sejam identificados, avaliados e controlados no PGR. Não fazer nada também é risco jurídico, e costuma ser o maior deles.

A saída não está em evitar a coleta. Está em coletar da forma certa: focando nos fatores do trabalho, não nas condições clínicas das pessoas; trabalhando com dados agregados, não individuais; e documentando o processo com critérios que resistem a uma auditoria.

Para garantir que esse processo seja conduzido dentro dos limites legais e técnicos, Consultorias em NR-1 com experiência em riscos psicossociais são o suporte mais indicado.

Neste guia, você vai encontrar:

• O princípio que orienta toda a coleta: fatores do trabalho, não diagnóstico de pessoas
• Quais tipos de evidência são auditáveis e não sensíveis
• Boas práticas de anonimização e agregação de dados
• O que evitar para não criar passivo jurídico
• Um checklist LGPD-friendly para estruturar o processo

O Princípio Central: Fatores do Trabalho, Não Condição Clínica

Antes de qualquer técnica ou checklist, há um princípio que precisa orientar toda a coleta de evidências em riscos psicossociais: o objeto da avaliação é o trabalho, não o trabalhador.

Em outras palavras, a pergunta correta não é “quem está adoecido?” nem “quem está em sofrimento?”. A pergunta correta é “quais condições de trabalho apresentam fatores que, reconhecidamente, aumentam o risco de adoecimento?”.

Essa distinção tem consequências práticas importantes. Ela define o que você coleta, como você coleta e o que você registra. Veja a diferença:

Abordagem incorreta (foco na pessoa)	Abordagem correta (foco no trabalho)
Identificar trabalhadores com sinais de estresse	Identificar funções com volume de demanda sistematicamente acima da capacidade
Mapear quem relatou sofrimento na pesquisa	Mapear quais áreas concentram respostas de baixo suporte ou alto conflito
Registrar diagnósticos de saúde mental no inventário	Registrar ausência de pausas estruturadas em funções de alta demanda cognitiva
Coletar relatos nominais sobre gestores	Registrar padrão agregado de relatos sobre conduta de liderança em determinada área
Incluir CID do trabalhador no PGR	Registrar taxa de afastamentos por CID F por área como indicador de risco

Quando o foco está no trabalho, a maioria das evidências que você precisa não é sensível. Ela é organizacional, operacional e perfeitamente auditável sem tocar na privacidade de nenhum trabalhador.

Tipos de Evidência Auditáveis e Não Sensíveis

A boa notícia para RH, jurídico e DPO é que a maior parte das evidências necessárias para o inventário de riscos psicossociais já existe na empresa e não é dado pessoal sensível. São dados organizacionais, operacionais e de processo que descrevem como o trabalho funciona, não quem são as pessoas que o realizam.

Documentos de Organização do Trabalho

Esses documentos descrevem como o trabalho é estruturado e são a base mais sólida de evidência auditável. Eles existem independentemente do mapeamento psicossocial e são rotineiramente produzidos pela operação.

• Descrições de cargo e função: documentam as atribuições formais, os requisitos e as responsabilidades de cada função. A comparação entre o que está descrito e o que é efetivamente realizado revela gaps que podem indicar acúmulo de função, conflito de papéis e excesso de demanda.
• Escalas de trabalho e registros de jornada: o ponto eletrônico e as escalas documentam de forma objetiva a jornada real dos trabalhadores. Horas extras sistemáticas, ausência de pausas registradas e escalas que comprimem o descanso interjornada são evidências diretas de exposição a fatores psicossociais relacionados à demanda.
• Metas e indicadores de produtividade: os documentos que formalizam metas de produção, atendimento ou vendas, especialmente quando comparados com os resultados efetivamente alcançados, revelam se as exigências sobre os trabalhadores são compatíveis com a capacidade real das equipes.
• Procedimentos e scripts de atendimento: a análise de scripts rígidos, procedimentos com pouquíssima margem de decisão e sistemas de monitoramento de desempenho documentam o nível de controle que o trabalhador tem sobre sua própria tarefa, que é um dos principais fatores psicossociais de risco.
• Registros de treinamento: listas de presença, certificados e conteúdos de treinamentos documentam se os trabalhadores recebem preparo adequado para as funções que exercem. A ausência de treinamento para riscos identificados é, ela mesma, uma evidência de condição inadequada de trabalho.
• Atas de reunião e comunicados internos: documentam decisões organizacionais, mudanças de processo e a forma como a comunicação é gerenciada. Mudanças frequentes sem comunicação adequada, decisões tomadas sem participação das equipes afetadas e ausência de canais de feedback são condições de risco documentáveis por esse meio.

Indicadores Agregados de Saúde e Comportamento Organizacional

Indicadores agregados são dados estatísticos que descrevem padrões coletivos. Eles não identificam indivíduos e, por isso, não são dados pessoais sensíveis quando trabalhados corretamente. São, ao mesmo tempo, evidências de alta credibilidade para o inventário de riscos.

• Taxa de absenteísmo por área e função: calculada como percentual de horas perdidas sobre horas disponíveis, segmentada por setor ou função, revela concentrações que indicam exposição a condições inadequadas de trabalho. O dado agregado por área não identifica nenhum indivíduo.
• Taxa de turnover por área, função e tempo de casa: rotatividade concentrada em determinadas equipes ou com padrão de saída precoce é um indicador objetivo de condições de trabalho que precisam ser investigadas. Calculada de forma agregada, não envolve dado pessoal sensível.
• Frequência de afastamentos por grupo de CID: o número de afastamentos registrados no eSocial classificados como CID F (transtornos mentais e comportamentais) ou CID Z (fatores que influenciam a saúde), agregado por área ou função, é um indicador de impacto na saúde que não exige o acesso ao diagnóstico individual de nenhum trabalhador. O dado é obtido do sistema de gestão de RH ou do relatório do eSocial em formato agregado.
• Volume e categorização de ocorrências no canal de denúncia: o número de relatos por categoria temática (relacionamento, sobrecarga, conduta de liderança) em determinado período, sem qualquer dado identificável, documenta padrões que precisam ser endereçados no plano de ação.
• Resultados de pesquisa de clima por dimensão e área: os resultados médios por item e por área, sem identificação de respondentes individuais, são uma das fontes mais ricas e mais seguras do mapeamento psicossocial.
• Dados de acidente e quase-acidente: as comunicações de acidente de trabalho (CAT) e os registros de quase-acidentes documentam eventos concretos que podem ter causas-raiz relacionadas a fatores psicossociais como fadiga, pressão por produtividade e falhas de comunicação.

Registros do Processo de Mapeamento em Si

Além das evidências que alimentam o inventário, o próprio processo de mapeamento precisa ser documentado. Esses registros demonstram, perante uma fiscalização ou auditoria, que a empresa seguiu um método estruturado e respeitou as garantias dos trabalhadores.

• Comunicado de lançamento do processo, com assinatura da liderança
• Termo de confidencialidade e descrição da metodologia adotada
• Registro de participação em integrações, grupos focais e treinamentos (sem dados de saúde)
• Relatório de análise com dados agregados e critérios de priorização
• Plano de ação aprovado com responsáveis, prazos e indicadores
• Evidências de execução das medidas de controle (atas, prints de sistema, comprovantes de treinamento)

Boas Práticas de Anonimização e Agregação de Dados

A anonimização e a agregação são as técnicas que transformam dados potencialmente sensíveis em evidências auditáveis. Aplicadas corretamente, elas permitem que a empresa trabalhe com informações ricas sobre as condições de trabalho sem processar nenhum dado pessoal sensível individualmente.

Regra do Grupo Mínimo

Nunca divulgue ou registre resultados de grupos com menos de cinco pessoas. Abaixo desse limiar, mesmo dados aparentemente agregados podem permitir a identificação de indivíduos por exclusão. Essa regra se aplica a resultados de pesquisa de clima, dados de absenteísmo segmentados e qualquer outro indicador apresentado por subgrupo.

Na prática: se uma área tem três pessoas e o resultado de um item de clima é divulgado apenas para essa área, qualquer trabalhador com acesso ao dado pode inferir o que cada colega respondeu. O dado deixa de ser agregado para ser, na prática, individual.

Separação Entre Coleta e Análise

Uma boa prática é separar quem coleta os dados de quem tem acesso às respostas individuais. Em pesquisas de clima conduzidas por plataforma externa, por exemplo, apenas a plataforma tem acesso aos dados brutos. A empresa recebe exclusivamente o relatório agregado. Essa separação estrutural elimina a possibilidade de uso indevido dos dados individuais, mesmo com boa intenção, e é um argumento sólido perante a fiscalização e perante os próprios trabalhadores.

Pseudonimização em Entrevistas e Grupos Focais

Quando o mapeamento incluir entrevistas individuais ou grupos focais, os registros devem ser pseudonimizados: as transcrições ou anotações substituem o nome do participante por um código interno que só o condutor do processo conhece, e que é descartado após a análise. O relatório final usa apenas citações genéricas (“trabalhador da área X”) ou padrões identificados nos relatos, nunca falas atribuíveis a indivíduos.

Controle de Acesso aos Dados Brutos

Os dados brutos do mapeamento, quando existirem, devem ter acesso restrito por função: apenas quem conduz a análise acessa os dados individuais, e esse acesso é temporário. Após a elaboração do relatório agregado, os dados brutos devem ser descartados ou armazenados com controle de acesso estrito, prazo de retenção definido e base legal documentada conforme a LGPD.

Finalidade Declarada e Vinculada ao PGR

Todo dado coletado no mapeamento precisa ter finalidade declarada e compatível com a elaboração e manutenção do PGR. Essa finalidade deve ser comunicada aos trabalhadores antes da coleta e registrada no Registro de Atividades de Tratamento (RAT) da empresa, conforme exige o artigo 37 da LGPD. Coletar dados para o PGR e depois usá-los para decisões de RH individuais (avaliação de desempenho, promoção, desligamento) é um desvio de finalidade que configura violação à LGPD.

O Que Evitar: Práticas que Criam Passivo Jurídico

Tão importante quanto saber o que fazer é saber o que não fazer. As práticas a seguir são as que mais frequentemente transformam um processo bem-intencionado em risco jurídico real.

Coletar ou Registrar Diagnósticos Médicos no PGR

O diagnóstico médico de um trabalhador é dado de saúde e, portanto, dado pessoal sensível pela LGPD (artigo 5º, inciso II). Ele não pertence ao PGR. O inventário de riscos registra condições de trabalho, não condições clínicas de trabalhadores. Se o mapeamento identificar que um número elevado de trabalhadores em determinada área se afasta por CID F, o registro correto é a taxa agregada de afastamentos, não os diagnósticos individuais.

Vincular Relatos de Canal de Denúncia a Indivíduos no Inventário

O canal de denúncia tem finalidade específica de apuração de irregularidades, com garantias de sigilo que precisam ser preservadas. Usar relatos identificáveis do canal de denúncia como evidência no inventário de riscos do PGR é um desvio de finalidade que viola o sigilo prometido ao denunciante e pode configurar infração à LGPD e à política interna de compliance.

O que é permitido é usar dados agregados e anonimizados do canal, como número de relatos por categoria temática, como um dos indicadores de risco do mapeamento. Nunca o conteúdo identificável de relatos individuais.

Divulgar Resultados Segmentados que Permitam Identificação

Divulgar resultados de pesquisa de clima ou de outros instrumentos de forma tão segmentada que permita identificar respondentes é uma das formas mais comuns de violação inadvertida de privacidade. Isso ocorre especialmente em áreas pequenas ou em cruzamentos demográficos muito específicos (área + gênero + faixa etária, por exemplo).

A regra do grupo mínimo descrita anteriormente é a proteção mais eficaz contra esse erro. Antes de divulgar qualquer resultado segmentado, verifique se o grupo analisado tem cinco ou mais pessoas. Se não tiver, agrupe com outra categoria ou omita o resultado.

Usar Dados do Mapeamento em Decisões Individuais de RH

Os dados coletados para o mapeamento psicossocial têm uma finalidade declarada: subsidiar a gestão de riscos ocupacionais no PGR. Usar esses dados para decisões de desligamento, transferência, promoção ou qualquer outra decisão individual de RH é desvio de finalidade vedado pela LGPD. Mesmo que o dado não seja sensível isoladamente, o uso fora da finalidade declarada é ilegal.

Esse ponto é especialmente relevante quando o mapeamento revela problemas de liderança em áreas específicas. O dado do mapeamento pode e deve alimentar ações estruturais (treinamento, revisão de processos, mudança de governança), mas não pode ser usado como fundamento direto para uma decisão disciplinar individual. Para isso, existe o processo de investigação formal, com suas próprias garantias processuais.

Conduzir Entrevistas Sem Garantias Documentadas de Confidencialidade

Entrevistar trabalhadores sobre condições de trabalho sem comunicar previamente e por escrito as garantias de confidencialidade expõe a empresa a alegações de que os trabalhadores foram coagidos ou não sabiam como os dados seriam usados. Antes de qualquer entrevista ou grupo focal, o participante deve receber e assinar um termo simples que explica a finalidade, as garantias de anonimato na análise e a forma de uso dos dados.

Checklist LGPD-Friendly para Coleta de Evidências Psicossociais

O checklist a seguir organiza as cautelas essenciais para que o processo de coleta de evidências seja auditável, respeitoso e juridicamente sustentável. Ele não garante blindagem jurídica completa, que depende do contexto específico de cada empresa e de orientação jurídica especializada, mas orienta as boas práticas que reduzem significativamente os riscos.

Antes de Iniciar a Coleta

• Definir a finalidade da coleta: subsidiar o PGR e o inventário de riscos psicossociais, conforme NR-1.
• Documentar a base legal do tratamento de dados na LGPD: em geral, cumprimento de obrigação legal (artigo 7º, inciso II) para dados não sensíveis, e cumprimento de obrigação legal ou tutela da saúde (artigo 11, inciso II, alíneas a e f) para dados que possam ser classificados como sensíveis.
• Registrar a atividade de tratamento no RAT (Registro de Atividades de Tratamento) da empresa.
• Definir quem terá acesso aos dados brutos (restrito ao mínimo necessário) e qual será o prazo de retenção.
• Comunicar os trabalhadores sobre o processo, a finalidade, as garantias de confidencialidade e o uso dos dados, com respaldo da liderança sênior.
• Preparar o termo de confidencialidade para entrevistas e grupos focais, quando aplicável.
• Verificar se o instrumento de pesquisa ou coleta foi revisado pelo DPO ou jurídico.

Durante a Coleta

• Garantir que nenhuma questão da pesquisa ou roteiro de entrevista solicite diagnóstico médico, uso de medicação ou histórico de saúde mental.
• Focalizar perguntas em condições de trabalho, não em estados emocionais individuais.
• Não cruzar dados demográficos de forma que permita identificação em grupos pequenos.
• Separar a coleta de dados brutos do acesso pela empresa: preferir plataformas externas que entregam apenas o relatório agregado.
• Garantir participação voluntária em entrevistas e grupos focais, sem qualquer forma de pressão ou incentivo vinculado à participação.
• Pseudonimizar registros de entrevistas imediatamente após a coleta.

Na Análise e no Registro

• Aplicar a regra do grupo mínimo: não divulgar ou registrar resultados de grupos com menos de cinco pessoas.
• Registrar no inventário apenas condições de trabalho, nunca estados clínicos ou dados individuais.
• Usar dados de afastamento por CID apenas de forma agregada por área ou função, nunca individualmente.
• Documentar os critérios de análise e priorização utilizados, para que o processo seja reproduzível e auditável.
• Elaborar relatório com dados agregados antes de descartar ou restringir acesso aos dados brutos.

Na Divulgação e no Arquivamento

• Divulgar resultados sempre de forma agregada, sem identificação de respondentes ou de relatos individuais.
• Não usar os dados do mapeamento em decisões individuais de RH (desligamento, promoção, avaliação de desempenho).
• Armazenar dados brutos (quando mantidos) com controle de acesso restrito e prazo de retenção definido.
• Descartar dados brutos após elaboração do relatório, salvo necessidade legal documentada.
• Arquivar o relatório agregado, o plano de ação e as evidências de execução das medidas como parte do PGR.
• Atualizar o RAT se houver mudança na forma de tratamento dos dados.

Como Fica o PGR ao Final: o Que o Auditor Quer Ver

Um auditor do Ministério do Trabalho e Emprego ou um perito em ação trabalhista relacionada a riscos psicossociais vai buscar, no PGR da empresa, essencialmente três coisas: evidência de que os riscos foram identificados com base em fontes concretas, evidência de que medidas de controle foram definidas e evidência de que essas medidas foram implementadas.

O PGR não precisa ser extenso para atender a esse critério. Ele precisa ser consistente. Um inventário que registra três fatores psicossociais com fontes documentadas, medidas de controle reais e indicadores de monitoramento é infinitamente mais sólido do que um documento de cem páginas sem evidências de que qualquer coisa foi feita.

As evidências que sustentam cada fator de risco registrado no inventário devem estar arquivadas e acessíveis: relatório agregado de pesquisa de clima, planilha de absenteísmo por área, lista de treinamentos realizados, ata de reunião que definiu o plano de ação. Esses documentos não são dados pessoais sensíveis. São registros organizacionais que demonstram que a empresa levou o tema a sério.

Conclusão: Evidência Boa é Evidência de Processo, Não de Pessoa

A melhor evidência para o inventário de riscos psicossociais não é a que revela mais sobre as pessoas. É a que revela mais sobre o trabalho. E o trabalho, ao contrário das pessoas, não tem privacidade para proteger.

Quando a empresa coleta dados sobre jornadas, metas, escalas, processos, indicadores agregados e resultados de pesquisa anonimizada, ela está olhando para o trabalho. Está descrevendo condições. Está construindo evidências que sustentam o PGR sem tocar na privacidade de nenhum trabalhador.

Esse reframing, do indivíduo para o processo, é o que resolve o dilema entre cumprir a NR-1 e respeitar a LGPD. Não são objetivos opostos. São objetivos que, com método correto, caminham juntos.

FAQ sobre Evidências de Riscos Psicossociais e LGPD

1. Dados de absenteísmo são dados pessoais pela LGPD?

Dados de absenteísmo individuais, vinculados a um nome ou matrícula, são dados pessoais e estão sujeitos à LGPD. Porém, quando trabalhados de forma agregada por área ou função, sem identificação individual, deixam de ser dados pessoais e podem ser usados livremente para análise organizacional e para o inventário de riscos do PGR. A chave está na forma de tratamento: dado individual é pessoal; dado agregado sem identificação não é.

2. A empresa pode usar os resultados da pesquisa de clima no PGR sem consentimento dos respondentes?

Sim, desde que o uso esteja dentro da finalidade declarada antes da aplicação da pesquisa e os dados sejam usados de forma agregada. O uso de dados para cumprimento de obrigação legal (elaboração do PGR, conforme NR-1) é uma das bases legais previstas no artigo 7º da LGPD e dispensa consentimento individual. O que é essencial é que a finalidade tenha sido comunicada previamente aos respondentes e que os dados individuais não sejam acessíveis pela empresa.

3. O DPO precisa estar envolvido no mapeamento psicossocial?

O DPO não precisa conduzir o mapeamento, mas deve ser consultado no desenho do processo, especialmente na definição das bases legais de tratamento, na revisão dos instrumentos de coleta e na configuração das medidas de segurança dos dados. O envolvimento do DPO na fase de preparação é a forma mais eficiente de evitar problemas posteriores, e sua participação deve ser documentada como parte do processo.

4. Como tratar um relato anônimo de assédio que chegou durante o mapeamento?

O relato anônimo de assédio recebido durante o mapeamento deve ser encaminhado imediatamente para o canal de denúncia formal da empresa, se existir, ou para o processo de apuração correspondente. O mapeamento usa esse dado apenas de forma agregada (mais um relato na categoria “conduta de liderança” na área X) e não conduz investigação. Misturar mapeamento com investigação compromete ambos os processos e pode prejudicar tanto o denunciante quanto o investigado.

5. Entrevistas de desligamento podem ser usadas como fonte no mapeamento?

Sim, com cuidados. As entrevistas de desligamento são uma fonte valiosa de dados qualitativos sobre condições de trabalho. Para usá-las no mapeamento, os dados precisam ser trabalhados de forma agregada por área ou tema, nunca atribuídos a indivíduos identificáveis. Se as entrevistas são conduzidas com garantia de confidencialidade, o uso dos dados para o PGR deve estar dentro da finalidade comunicada ao trabalhador no momento da entrevista. Uma boa prática é incluir essa finalidade no termo de entrevista de desligamento desde o início.

6. O inventário de riscos psicossociais pode ser auditado pelo MTE sem que dados pessoais sejam expostos?

Sim. O auditor fiscal do MTE verifica se os riscos foram identificados, se as medidas de controle foram definidas e se há evidências de implementação. Para isso, ele analisa o PGR, o plano de ação e as evidências de execução: relatórios agregados, listas de treinamento, atas, registros de canal de denúncia em formato agregado. Nenhuma dessas evidências precisa conter dado pessoal individual. Um PGR bem construído com base em evidências organizacionais e indicadores agregados atende plenamente à fiscalização sem expor nenhum trabalhador.