A corrida para cumprir a NR-01 antes de 26 de maio de 2026 está criando um segundo problema que quase ninguém percebeu.
Para avaliar riscos psicossociais, empresas precisam coletar dados sobre ansiedade, assédio, esgotamento e conflitos com lideranças. Esses dados são classificados como dados pessoais sensíveis pela LGPD — e o tratamento inadequado pode gerar multas de até R$ 50 milhões por infração.
A ANPD já sancionou a Secretaria de Saúde de Santa Catarina por falhas na proteção de dados de saúde de mais de 300 mil pacientes, classificando três das quatro infrações como graves.
E em seu Mapa de Temas Prioritários 2026-2027, a Autoridade incluiu dados sensíveis de saúde como foco prioritário de fiscalização, com dez atividades planejadas nos próximos dois anos.
O problema concreto: a ferramenta que a maioria das empresas está usando para essas pesquisas — Google Forms, planilhas, formulários genéricos — não apenas falha em garantir anonimato real.
Ela cria provas documentais de descumprimento da LGPD.
O Enquadramento Legal: Por Que Pesquisa Psicossocial É Tratamento de Dados Sensíveis
A LGPD (Lei 13.709/2018) é explícita. O artigo 5º, inciso II classifica como dados pessoais sensíveis toda informação referente a saúde, vida sexual, convicção religiosa, opinião política, filiação sindical e dados biométricos.
Quando um colaborador responde sobre episódios de assédio, sobrecarga de trabalho, crises de ansiedade ou conflitos interpessoais, está fornecendo dados de saúde mental — enquadramento inequívoco como dado sensível.
O artigo 11 restringe o tratamento desses dados a hipóteses específicas. Para pesquisas de risco psicossocial no contexto da NR-01, duas bases legais se aplicam:
- Cumprimento de obrigação legal ou regulatória (art. 11, II, “a”)
- Tutela da saúde (art. 11, II, “f”)
A combinação dessas duas bases é sólida — mas não dispensa as demais obrigações.
A LGPD exige, cumulativamente, que os princípios de finalidade, necessidade, adequação e segurança sejam respeitados.
E o artigo 38 prevê o RIPD (Relatório de Impacto à Proteção de Dados Pessoais) para tratamentos que possam gerar riscos a direitos fundamentais.
Por Que Google Forms, Planilhas e Formulários Genéricos Não Servem para Pesquisa NR-01
A maioria dos departamentos de RH que estão correndo para cumprir o prazo da NR-01 está recorrendo à solução mais acessível: montar um questionário no Google Forms, coletar respostas numa planilha e produzir um relatório manual.
Parece prático.
Na realidade, essa abordagem falha em todos os requisitos — tanto da LGPD quanto da NR-01.
O problema do “anonimato”
O Google Forms permite desativar a coleta do nome e e-mail. Muitos gestores acreditam que isso torna a pesquisa anônima.
Não torna.
Em ambientes corporativos com Google Workspace, o formulário pode ser configurado para coletar automaticamente o endereço de e-mail do respondente vinculado à conta corporativa — sem que o colaborador sequer perceba.
Mesmo quando essa opção está desativada, o administrador do Workspace tem acesso a logs de atividade.
Além disso, o timestamp das respostas pode permitir reidentificação.
A LGPD é clara: se existe possibilidade de reidentificação, os dados não são anonimizados.
O problema da rastreabilidade
A NR-01 exige:
- metodologia validada
- coleta estruturada
- evidência de ação
Um formulário simples não entrega:
- rastreabilidade
- auditoria
- controle de acesso
- versionamento
- geração de PGRP
Resultado: não atende nem fiscalização nem LGPD.
O problema da qualidade dos dados
Pesquisas sem anonimato real geram respostas distorcidas.
- +58% de aumento em respostas verdadeiras quando anônimas
- 90% de taxa de resposta em pesquisas anônimas
- ~65% em pesquisas identificadas
Resultado prático:
Um PGR baseado em dados distorcidos é um documento de ficção.
O Que Anonimização Real Significa Tecnicamente
Existe uma diferença crítica:
Pseudonimização → ainda é dado pessoal
Anonimização → deixa de ser dado pessoal
Para ser realmente anônimo, o sistema precisa garantir:
- Separação total entre identidade e resposta
- Supressão de metadados
- Agregação mínima de dados
- Impossibilidade de cruzamento
- Ausência de rastreamento
Nenhuma ferramenta genérica garante isso.
O Contexto de Urgência
NR-01 e LGPD estão convergindo.
- 546 mil afastamentos por saúde mental em 2025
- R$ 3,5 bilhões de custo previdenciário
- ANPD intensificando fiscalização
A empresa que errar aqui cria risco duplo:
- trabalhista
- regulatório
Como Resolver as Duas Exigências
A solução precisa garantir:
- Base legal documentada
- Anonimização por design
- Metodologia validada
- PGRP automatizado
- Integração com estrutura organizacional
- Auditoria completa
Como a Livon Resolve Essa Equação na Prática
A Livon não é uma ferramenta de pesquisa adaptada para atender a NR-01 ou a LGPD.
É uma plataforma construída para operar na interseção entre gestão de riscos psicossociais e governança de dados sensíveis, com arquitetura pensada desde a origem para garantir conformidade técnica e jurídica.
A anonimização não é uma configuração — é estrutural. Não existe vínculo técnico entre quem responde e o que é respondido, eliminando o risco de reidentificação desde a coleta. Metadados identificadores não são armazenados e os dados são apresentados apenas de forma agregada, garantindo proteção real.
Ao mesmo tempo, a plataforma vai além da coleta.
Os questionários são estruturados com base em metodologias reconhecidas, permitindo identificar, classificar e priorizar riscos psicossociais de forma consistente com a NR-01.
Esses dados são organizados em um painel analítico e estratégico (BI) com IA, que transforma respostas em leitura clara de risco organizacional — mostrando onde estão os problemas, como evoluem e onde agir primeiro.
A partir disso, a Livon estrutura todo o ciclo exigido pela norma:
identificar → priorizar → agir → evidenciar → monitorar
Cada risco gera planos de ação com responsáveis, prazos e evidências registradas automaticamente, consolidando tudo em um PGRP auditável e pronto para fiscalização ou defesa jurídica.
A integração com a estrutura organizacional permite analisar riscos por área, unidade ou cargo — sem expor indivíduos — resolvendo um dos principais desafios da NR-01.
Hoje, mais de 300 mil vidas já são geridas com esse modelo, com impactos consistentes na redução de absenteísmo e custos de saúde.
No fim, a diferença é simples:
não é sobre coletar dados.
É sobre conseguir confiar neles, agir com base neles e provar o que foi feito.
O Relógio Está Correndo
O prazo da NR-01 é 26 de maio de 2026.
A ANPD já está aplicando sanções.
Empresas usando ferramentas genéricas estão criando evidência de não conformidade.
A convergência NR-01 + LGPD não é um problema.
É uma vantagem para quem resolve corretamente.
