O papel estratégico do DPO, CIO e CISO na gestão de riscos psicossociais: alinhando a NR01 à LGPD

Em seu artigo inaugural na Security Report, a Advogada especialista em Direito Digital, Cristina Sleiman, aponta que a recente obrigatoriedade da avaliação de riscos psicossociais nas empresas, estabelecida pela atualização da NR01, insere o DPO em um campo de atuação onde proteção de dados sensíveis, segurança da informação e privacidade dos trabalhadores se tornam fatores determinantes para a conformidade legal

Por Cristina Sleiman*

Com a consolidação da figura do Data Protection Officer (DPO), pela LGPD, o Encarregado, na estrutura de governança das organizações, tornou-se indispensável que esse profissional assuma um papel ativo também nas políticas internas que envolvem gestão de pessoas, saúde ocupacional e compliance regulatório.

No Brasil, um ponto crítico de atenção que surge neste cenário é a interseção entre a NR01 (Norma Regulamentadora nº 01 do MTE) – que trata da gestão de riscos ocupacionais – e a Lei Geral de Proteção de Dados Pessoais (LGPD). A recente obrigatoriedade da avaliação de riscos psicossociais nas empresas, prevista na atualização da NR01, insere o DPO em um campo de atuação onde proteção de dados sensíveis, segurança da informação e privacidade dos trabalhadores se tornam fatores determinantes para a conformidade legal e ética.

Mas o DPO não caminha sozinho. O papel do CISO (Chief Information Security Officer) é igualmente estratégico. Em projetos que envolvem coleta, armazenamento, análise e compartilhamento de dados especialmente via sistemas digitais, plataformas de RH ou ferramentas externas, o CISO se torna corresponsável pela definição das medidas técnicas, segurança cibernética, classificação da informação e arquitetura de dados envolvida no projeto.

A atuação integrada entre DPO e CISO é essencial para garantir que a privacidade seja tratada desde a concepção até a execução técnica, dentro dos critérios de segurança da informação, interoperabilidade, governança de dados e proteção contra vazamentos. E neste cenário, a infraestrutura é essencial, garantindo a necessidade de participação do CIO.

Privacidade e Saúde Mental: dois pilares que agora se conectam

A implementação da NR01 requer que empresas realizem diagnósticos do ambiente organizacional, mapeando fatores que possam impactar a saúde mental, emocional e relacional dos colaboradores. Essa análise, ainda que realizada com fins preventivos, envolve a coleta e tratamento de dados pessoais sensíveis, nos termos do artigo 5º, II da LGPD.

Mas o que é afinal a NR01 ?

A NR01 – Disposições Gerais e Gerenciamento de Riscos Ocupacionais é a norma do Ministério do Trabalho que estabelece as obrigações mínimas em segurança e saúde no trabalho, válidas para todas as organizações, independentemente de porte ou setor.

A NR01 determina a implantação do Programa de Gerenciamento de Riscos (PGR), que deve considerar riscos físicos, químicos, biológicos, ergonômicos e agora, sua versão atualizada também exige análise de riscos psicossociais.

O que são riscos psicossociais?

Riscos psicossociais são condições relacionadas à organização do trabalho que podem impactar negativamente a saúde mental, emocional e social do trabalhador. Incluem fatores como:

Sobrecarga de tarefas

Ambientes tóxicos ou hostis

Assédio moral ou sexual

Falta de apoio gerencial

Jornadas excessivas ou metas abusivas

Conflitos interpessoais crônicos

Sensação de injustiça ou exclusão

Esses riscos têm consequências diretas sobre a produtividade, o absenteísmo, os afastamentos médicos e, em casos extremos, a judicialização das relações de trabalho.

Como funciona um assessment de riscos psicossociais?

Para entender o papel do CIO e do DPO é preciso conhecer o processo de adequação à NR01. Um projeto bem estruturado inclui:

Fase 1 – Planejamento e engajamento

Alinhamento com a alta gestão

Definição de objetivos e escopo

Avaliação prévia da cultura organizacional

Fase 2 – Coleta de dados

Aplicação de questionários específicos

Entrevistas individuais e grupos focais

Observação direta do ambiente de trabalho

Fase 3 – Análise e diagnóstico

Consolidação e categorização dos riscos identificados

Classificação por criticidade e impacto

Anonimização ou pseudonimização dos dados coletados

Fase 4 – Plano de ação

Recomendação de medidas organizacionais (revisão de processos, treinamentos, reestruturação de equipes, atividades complementares)

Fase 5 – Monitoramento contínuo

Avaliação periódica dos indicadores

Atualização do PGR e dos registros internos

Comunicação transparente com os trabalhadores

Na prática, o DPO, CIO e CISO devem ser parte integrante do comitê de implementação da NR01, garantindo que as ações voltadas à gestão de riscos não comprometam a privacidade dos colaboradores. Ao CISO acrescenta-se a responsabilidade de garantir recursos adequados para proteção de informações confidenciais, ainda que não sejam dados pessoais, enquanto ao CIO cabe o apoio à infraestrutura e gestão da tecnologia.

Alguns cuidados indispensáveis que o DPO precisa observar e orientar:

Fundamentação legal do tratamento
Atribuir a base legal correta é essencial e não esqueça que os princípios devem ser respeitados.
Minimização e anonimização
Formulários e entrevistas devem ser objetivos, a coleta seja estritamente necessária, proporcional e transparente. Sempre que possível, aplicar técnicas de anonimização ou pseudonimização para reduzir os riscos em caso de vazamento.
Privacy by Design e Security by Design
Projeto de avaliação psicossocial, por envolver dados sensíveis, deve ser precedido por análise de risco de privacidade e análise de segurança da informação. O DPO avalia impacto e conformidade; o CIO define os controles técnicos, lógicas de acesso, logs e proteção de infraestrutura.
Segurança da Informação
Garantir critérios técnicos de classificação da informação (ex: confidencial, restrita) para os documentos internos de diagnóstico e plano de ação.
Governança com terceiros
Se há envolvimento de consultorias, psicólogos, profissionais de Segurança ou sistemas externos, é essencial que os contratos contenham cláusulas específicas de proteção de dados, responsabilidade e auditoria.
Capacitação de equipes envolvidas
Os profissionais responsáveis pela coleta de dados (RH, saúde ocupacional, consultores externos) devem ser orientados sobre boas práticas de privacidade e segurança da informação.

Integrar LGPD e NR01 é mais do que conformidade — é estratégia de ESG

Com a prorrogação das sanções da NR01 para 2026, as empresas têm uma oportunidade única de estruturar esse processo de forma responsável, preventiva e integrada com os valores de compliance, ESG e bem-estar corporativo.

A gestão de riscos psicossociais não é um tema isolado da proteção de dados, ela está no coração do que a LGPD busca proteger: a liberdade, a intimidade e os direitos fundamentais da pessoa natural.

Um projeto bem conduzido pode transformar a cultura organizacional, fortalecer a reputação da empresa e prevenir tanto sanções legais quanto crises internas.

*Cristina Sleiman é advogada Especialista em Direito Digital e Proteção de Dados, DPO certificada, Pedagoga, palestrante e Professora em cursos de pós-graduação, certificações Exin e formação executiva.