O papel estratégico do DPO, CIO e CISO na gestão de riscos psicossociais: alinhando a NR01 à LGPD

Em seu artigo inaugural na Security Report, a Advogada especialista em Direito Digital, Cristina Sleiman, aponta que a recente obrigatoriedade da avaliação de riscos psicossociais nas empresas, estabelecida pela atualização da NR01, insere o DPO em um campo de atuação onde proteção de dados sensíveis, segurança da informação e privacidade dos trabalhadores se tornam fatores determinantes para a conformidade legal

Compartilhar:

Por Cristina Sleiman*

 

Com a consolidação da figura do Data Protection Officer (DPO), pela LGPD, o Encarregado, na estrutura de governança das organizações, tornou-se indispensável que esse profissional assuma um papel ativo também nas políticas internas que envolvem gestão de pessoas, saúde ocupacional e compliance regulatório.

 

No Brasil, um ponto crítico de atenção que surge neste cenário é a interseção entre a NR01 (Norma Regulamentadora nº 01 do MTE) – que trata da gestão de riscos ocupacionais – e a Lei Geral de Proteção de Dados Pessoais (LGPD). A recente obrigatoriedade da avaliação de riscos psicossociais nas empresas, prevista na atualização da NR01, insere o DPO em um campo de atuação onde proteção de dados sensíveis, segurança da informação e privacidade dos trabalhadores se tornam fatores determinantes para a conformidade legal e ética. 

 

Mas o DPO não caminha sozinho. O papel do CISO (Chief Information Security Officer) é igualmente estratégico. Em projetos que envolvem coleta, armazenamento, análise e compartilhamento de dados especialmente via sistemas digitais, plataformas de RH ou ferramentas externas, o CISO se torna corresponsável pela definição das medidas técnicas, segurança cibernética, classificação da informação e arquitetura de dados envolvida no projeto. 

 

A atuação integrada entre DPO e CISO é essencial para garantir que a privacidade seja tratada desde a concepção até a execução técnica, dentro dos critérios de segurança da informação, interoperabilidade, governança de dados e proteção contra vazamentos. E neste cenário, a infraestrutura é essencial, garantindo a necessidade de participação do CIO. 

 

Privacidade e Saúde Mental: dois pilares que agora se conectam 

A implementação da NR01 requer que empresas realizem diagnósticos do ambiente organizacional, mapeando fatores que possam impactar a saúde mental, emocional e relacional dos colaboradores. Essa análise, ainda que realizada com fins preventivos, envolve a coleta e tratamento de dados pessoais sensíveis, nos termos do artigo 5º, II da LGPD. 

 

Mas o que é afinal a NR01 ? 

A NR01 – Disposições Gerais e Gerenciamento de Riscos Ocupacionais é a norma do Ministério do Trabalho que estabelece as obrigações mínimas em segurança e saúde no trabalho, válidas para todas as organizações, independentemente de porte ou setor. 

 

A NR01 determina a implantação do Programa de Gerenciamento de Riscos (PGR), que deve considerar riscos físicos, químicos, biológicos, ergonômicos e agora, sua versão atualizada também exige análise de riscos psicossociais. 

 

O que são riscos psicossociais? 

Riscos psicossociais são condições relacionadas à organização do trabalho que podem impactar negativamente a saúde mental, emocional e social do trabalhador. Incluem fatores como: 

  • Sobrecarga de tarefas 
  • Ambientes tóxicos ou hostis 
  • Assédio moral ou sexual 
  • Falta de apoio gerencial 
  • Jornadas excessivas ou metas abusivas 
  • Conflitos interpessoais crônicos 
  • Sensação de injustiça ou exclusão

 

Esses riscos têm consequências diretas sobre a produtividade, o absenteísmo, os afastamentos médicos e, em casos extremos, a judicialização das relações de trabalho. 

 

Como funciona um assessment de riscos psicossociais? 

Para entender o papel do CIO e do DPO é preciso conhecer o processo de adequação à NR01. Um projeto bem estruturado inclui: 

 

Fase 1 – Planejamento e engajamento 

  • Alinhamento com a alta gestão 
  • Definição de objetivos e escopo 
  • Avaliação prévia da cultura organizacional 

 

Fase 2 – Coleta de dados 

  • Aplicação de questionários específicos  
  • Entrevistas individuais e grupos focais 
  • Observação direta do ambiente de trabalho 

 

Fase 3 – Análise e diagnóstico 

  • Consolidação e categorização dos riscos identificados 
  • Classificação por criticidade e impacto 
  • Anonimização ou pseudonimização dos dados coletados 

 

Fase 4 – Plano de ação 

  • Recomendação de medidas organizacionais (revisão de processos, treinamentos, reestruturação de equipes, atividades complementares) 

 

Fase 5 – Monitoramento contínuo 

  • Avaliação periódica dos indicadores 
  • Atualização do PGR e dos registros internos 
  • Comunicação transparente com os trabalhadores 

 

Na prática, o DPO, CIO e CISO devem ser parte integrante do comitê de implementação da NR01, garantindo que as ações voltadas à gestão de riscos não comprometam a privacidade dos colaboradores. Ao CISO acrescenta-se a responsabilidade de garantir recursos adequados para proteção de informações confidenciais, ainda que não sejam dados pessoais, enquanto ao CIO cabe o apoio à infraestrutura e gestão da tecnologia. 

 

Alguns cuidados indispensáveis que o DPO precisa observar e orientar: 

  1. Fundamentação legal do tratamento
    Atribuir a base legal correta é essencial e não esqueça que os princípios devem ser respeitados.
  2. Minimização e anonimização
    Formulários e entrevistas devem ser objetivos, a coleta seja estritamente necessária, proporcional e transparente. Sempre que possível, aplicar técnicas de anonimização ou pseudonimização para reduzir os riscos em caso de vazamento.
  3. Privacy by Design e Security by Design
    Projeto de avaliação psicossocial, por envolver dados sensíveis, deve ser precedido por análise de risco de privacidade e análise de segurança da informação. O DPO avalia impacto e conformidade; o CIO define os controles técnicos, lógicas de acesso, logs e proteção de infraestrutura.
  4. Segurança da Informação
    Garantir critérios técnicos de classificação da informação (ex: confidencial, restrita) para os documentos internos de diagnóstico e plano de ação.
  5. Governança com terceiros
    Se há envolvimento de consultorias, psicólogos, profissionais de Segurança ou sistemas externos, é essencial que os contratos contenham cláusulas específicas de proteção de dados, responsabilidade e auditoria.
  6. Capacitação de equipes envolvidas
    Os profissionais responsáveis pela coleta de dados (RH, saúde ocupacional, consultores externos) devem ser orientados sobre boas práticas de privacidade e segurança da informação. 

 

Integrar LGPD e NR01 é mais do que conformidade — é estratégia de ESG 

Com a prorrogação das sanções da NR01 para 2026, as empresas têm uma oportunidade única de estruturar esse processo de forma responsável, preventiva e integrada com os valores de compliance, ESG e bem-estar corporativo. 

 

A gestão de riscos psicossociais não é um tema isolado da proteção de dados, ela está no coração do que a LGPD busca proteger: a liberdade, a intimidade e os direitos fundamentais da pessoa natural. 

 

Um projeto bem conduzido pode transformar a cultura organizacional, fortalecer a reputação da empresa e prevenir tanto sanções legais quanto crises internas.

 

*Cristina Sleiman é advogada Especialista em Direito Digital e Proteção de Dados, DPO certificada, Pedagoga, palestrante e Professora em cursos de pós-graduação, certificações Exin e formação executiva. 

 

Conteúdos Relacionados

Security Report | Destaques

Incidente na Sinqia comprometeu R$ 710 milhões de instituições financeiras, informa a companhia

A controladora da organização de serviços de tecnologia emitiu um relatório ao Security Exchange Comission dos Estados Unidos, afirmando que...
Security Report | Destaques

Anatel investiga possível incidente no sistema do Defesa Civil Alerta

A Autoridade nacional de telecomunicações informou, por meio de nota publicada no site oficial, que um conjunto de usuários relatou...
Security Report | Colunas & Blogs

Operação Carbono Oculto: O PCC virou Fintech “Faria Limer”

A maior operação contra o crime organizado no Brasil revela como o PCC criou uma rede financeira digital bilionária —...
Security Report | Destaques

Novo vazamento do Pix reforça demanda por gestão de terceiros, dizem CISOs

De acordo com líderes de SI da comunidade Security Leaders, exemplos como esse destacam necessidade de ecossistemas mais seguros de...