NR 1, burnout e LGPD: O risco humano que expõe a empresa

O burnout entrou de vez no vocabulário corporativo, mas ainda é tratado como tema periférico, restrito à gestão de pessoas. Essa leitura é insuficiente. Quando a exaustão crônica se torna parte do cotidiano, ela afeta a atenção, o julgamento e a disciplina operacional. Em ambiente regulado pela LGPD, isso se converte em risco concreto, pois a proteção de dados depende, antes de tudo, de decisões humanas consistentes.

Ao consolidar o gerenciamento de riscos ocupacionais e incorporar, de forma mais explícita, a necessidade de lidar com fatores psicossociais, a norma amplia o dever de prevenção. O ponto sensível para o Direito Digital é que essa agenda produz e faz circular informações sobre saúde e condições emocionais de trabalhadores, muitas vezes em volume maior do que as empresas percebem.

A partir do momento em que a organização identifica, acompanha e controla riscos psicossociais, ela tende a criar registros, relatórios, evidências de treinamento, comunicações internas e documentos de saúde ocupacional. Esse conjunto, em grande medida, contém dados pessoais e, não raramente, dados pessoais sensíveis. A empresa passa, então, a ter uma dupla obrigação: demonstrar que atua preventivamente, como exige a NR-1, e provar que trata essas informações dentro dos limites da LGPD.

O risco jurídico surge quando a empresa coleta além do necessário, mantém registros por tempo indefinido ou permite que informações sensíveis circulem de modo informal. A LGPD é clara ao exigir finalidade legítima, adequação e necessidade, além de segurança e restrição de acesso. Dados sobre saúde mental não podem ser tratados como mera curiosidade administrativa, nem utilizados para decisões discriminatórias, direcionamento de desligamentos ou formação de perfis internos. Quando isso ocorre, a violação não é apenas ética, é jurídica.

A segurança da informação, nesse cenário, deixa de ser discussão centrada em ferramentas e passa a envolver qualidade do ambiente de trabalho. Uma equipe exaurida aumenta a probabilidade de falhas previsíveis: permissões concedidas sem verificação, anexos enviados a destinatários equivocados, respostas precipitadas a solicitações urgentes, conferências não realizadas e cliques impulsivos em mensagens maliciosas. O vetor do incidente não é, necessariamente, o criminoso sofisticado, mas a fragilidade cognitiva produzida por uma rotina desorganizada.

O ponto decisivo é compreender que o burnout não apenas eleva a chance de incidente, como também amplia o dano quando ele acontece. Se o incidente envolve dados sensíveis decorrentes de programas internos, atestados, laudos ou acompanhamento ocupacional, o impacto regulatório tende a ser maior. A organização pode enfrentar questionamentos sobre base legal, retenção, rastreabilidade, controles de acesso e medidas efetivas de prevenção, sob a ótica da LGPD e de deveres trabalhistas de proteção.

Por isso, a governança precisa ser integrada. Não basta cumprir formalidades de saúde e segurança no trabalho sem redesenhar o fluxo de dados gerado por essas práticas. É necessário delimitar quais informações são realmente indispensáveis, quem pode acessar, por quanto tempo serão mantidas e como serão eliminadas com segurança. Paralelamente, é indispensável revisar processos e cargas de trabalho, porque a cultura de urgência permanente corrói exatamente as barreiras humanas que sustentam os controles técnicos.

No plano prático, a governança passa a ter duas frentes inseparáveis. A primeira é estrutural: mapear processos, reduzir pontos de falha, distribuir responsabilidades, registrar rotinas e definir critérios de retenção e descarte de documentos. A segunda é humana: reconhecer que fadiga é variável operacional, e que o modelo de trabalho pode ser o gatilho de incidentes que depois são tratados como meros “erros”. O gerenciamento de riscos ocupacionais, ao exigir mecanismos de consulta aos trabalhadores e comunicação sobre riscos e medidas preventivas, oferece um caminho para enxergar o que a rotina tenta esconder.

Há ainda um dado relevante para o planejamento de conformidade: o MTE prorrogou até 25/5/26 o início de vigência da nova redação do capítulo 1.5 da NR-1, o que reforça a necessidade de preparação estratégica, sem confundir prorrogação com inércia.

A leitura empresarial mais inteligente é simples: a NR-1 empurra a empresa para uma gestão mais madura dos riscos psicossociais, e isso implica mais tratamento de dados pessoais relacionados à saúde e ao trabalho. Se a organização não alinhar essa realidade à LGPD, criará um passivo silencioso. A prevenção do burnout, nesse contexto, não é benefício ou discurso. É estratégia de redução de incidentes, proteção jurídica e continuidade do negócio.

______

BRASIL. Constituição da República Federativa do Brasil de 1988.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF.

BRASIL. Ministério do Trabalho e Emprego. Norma Regulamentadora nº 1 (NR 1). Disposições Gerais e Gerenciamento de Riscos Ocupacionais. Portaria MTb nº 3.214, de 8 de junho de 1978, com alterações posteriores.

BRASIL. Ministério do Trabalho e Emprego. Portaria MTE nº 765. Prorroga o início de vigência do Capítulo 1.5 da NR 1. Diário Oficial da União, Brasília, DF.