Por Cândida Diana Terra – Advogada. Sócia do Terra Rocha Advogados. Especialista em Governança e Proteção de Dados. Presidente da Comissão de Proteção de Dados e Privacidade da OAB/RJ – Colunista convidada.
A nova redação da norma trabalhista amplia o dever de prevenção de riscos psicossociais e impõe às empresas um desafio adicional: integrar saúde ocupacional e proteção de dados, sob a lógica da responsabilidade regulatória.
A partir de 26 de maio de 2026, a Norma Regulamentadora número 1, NR-1, passa a vigorar integralmente. Atualizada por meio da portaria 1.419/2024, do Ministério do Trabalho e Emprego, MTE, a nova redação da Norma Regulamentadora nº 1 representa um avanço relevante ao incorporar expressamente os riscos psicossociais ao Gerenciamento de Riscos Ocupacionais (GRO).
Ao estruturar o Programa de Gerenciamento de Riscos (PGR), como instrumento permanente, documentado e fiscalizável — com fiscalização plena prevista para 26 de maio de 2026 — a norma exige que as organizações monitorem e previnam fatores como assédio moral, sobrecarga crônica, violência organizacional e ambientes de trabalho tóxicos.
O reconhecimento institucional da saúde mental como risco ocupacional obrigatório é conquista importante. Ao retirar o sofrimento psíquico da invisibilidade e inseri-lo no sistema formal de prevenção, o ordenamento jurídico sinaliza maturidade.
Mas toda ampliação de responsabilidade traz efeitos colaterais regulatórios. E este talvez ainda não esteja no centro do debate. Para cumprir a NR-1, as empresas precisarão intensificar o tratamento de dados pessoais no ambiente laboral. Registros de ocorrências, investigações internas, questionários de clima organizacional, relatórios psicossociais e canais estruturados de denúncia passarão a integrar, de maneira sistemática, a gestão empresarial. Esse conjunto de medidas implica coleta, armazenamento, análise e eventual compartilhamento de informações sensíveis — especialmente dados relacionados à saúde mental e relatos que revelem aspectos íntimos da experiência do trabalhador.
Sob a perspectiva da Lei Geral de Proteção de Dados (LGPD), o tratamento desses dados pode encontrar fundamento no cumprimento de obrigação legal e na tutela da saúde.
A base jurídica, contudo, não afasta a necessidade de observância dos princípios da finalidade, da necessidade, adequação, segurança e responsabilização.
Governança não se resume ao cumprimento formal da norma trabalhista. Exige que os dados gerados por esse cumprimento sejam protegidos de maneira proporcional à sua sensibilidade.
Relatórios psicossociais armazenados sem critérios rigorosos de acesso, registros de denúncia compartilhados além do estritamente necessário ou ausência de atualização do mapeamento de dados e do Registro das Operações de Tratamento (ROPA) podem converter instrumentos de proteção em fontes de vulnerabilidade jurídica. A convergência entre NR-1 e LGPD não é acidental. Ambas operam sob o mesmo fundamento constitucional, que é a dignidade da pessoa humana. A primeira tutela a integridade física e psíquica do trabalhador, a segunda protege sua esfera informacional. Separá-las é leitura fragmentada do ambiente regulatório contemporâneo.
Maio de 2026 não será apenas marco de fiscalização trabalhista. Será um momento decisivo para as empresas compreenderem que saúde ocupacional e gestão de dados caminham juntas. A partir dessa data, a fiscalização deverá avaliar não só se o Programa de Gerenciamento de Riscos existe no papel, mas se há registros organizados, critérios claros de monitoramento e controle sobre as informações produzidas — especialmente aquelas relacionadas à saúde mental dos trabalhadores. Isso significa que relatórios, questionários, registros de denúncia e investigações internas precisarão estar não apenas implementados, mas protegidos, estruturados e alinhados à LGPD.
As organizações que compreenderem que gestão de riscos é conceito integrado — físico, emocional e informacional — estarão mais preparadas para um ambiente regulatório cada vez mais interconectado e orientado à responsabilização.
Proteger a saúde, hoje, também significa proteger dados. Ignorar essa interseção não é apenas descuido técnico. É falha estratégica.
About the Author
