A consulta de antecedentes criminais no contexto da ISO 27001 é um dos temas que mais surgem em nossas consultorias e auditorias de Sistema de Gestão de Segurança da Informação (SGSI). Seja durante a fase de implementação, na elaboração de políticas de RH ou no momento da auditoria interna e externa, essa é uma dúvida recorrente dos clientes.
Afinal, a norma exige a verificação de antecedentes criminais?
Percebemos, na prática, que há muita interpretação equivocada sobre o controle A.6.1 - Seleção. Algumas organizações entendem que a ISO “obriga” a exigir certidão criminal de todos os colaboradores. Outras, evitam qualquer tipo de verificação por receio de infringir a legislação trabalhista ou a Lei Geral de Proteção de Dados (LGPD). Entre esses dois extremos, surgem inseguranças jurídicas e riscos de não conformidade.
Foi justamente por conta desse cenário recorrente que decidimos elaborar este artigo. Nosso objetivo aqui é esclarecer tecnicamente o que a ISO 27001 realmente exige, explicar qual é a finalidade do controle, demonstrar os limites legais aplicáveis no Brasil e indicar em quais situações a prática pode ser considerada uma não conformidade.
A ideia é desmistificar o tema e criar uma referência clara para consultas futuras, tanto para empresas que estão implementando a norma, quanto para profissionais que atuam com auditoria, compliance e segurança da informação.
Consultar antecedentes criminais gera não conformidade?
Não, consultar antecedentes criminais não configura uma não conformidade na auditoria ISO 27001, desde que não viole nenhuma outra lei de proteção de dados. Isso porque a própria norma ISO 27001, em seu Anexo A.6.1 - Seleção, orienta que as empresas realizem esse tipo de verificação em colaboradores e fornecedores antes de conceder-lhes acesso a informações confidenciais.
Assim, essa consulta é parte do controle de triagem das pessoas dentro da norma, mas exige cuidado na conduta para não ocasionar uma não conformidade.
Contudo, a norma não deve ser interpretada como autorização automática para a empresa exigir antecedentes criminais de qualquer candidato ou empregado. A ISO é uma norma de gestão que exige proporcionalidade e justificativa documental baseada em análise de risco, ela não substitui nem sobrepõe a legislação brasileira ou princípios constitucionais.
O que é o Anexo A.6.1 da ISO 27001?
Dentro do Anexo A da ISO/IEC 27001, há o controle A.6.1 – Seleção. Para saber o que é e compreender corretamente a finalidade, é fundamental analisar a orientação detalhada fornecida pela ISO/IEC 27002. O texto da norma estabelece: “Convém que verificações de antecedentes de todos os candidatos a serem contratados sejam realizadas antes de ingressarem na organização e de modo contínuo, de acordo com as leis, regulamentos e ética aplicáveis e que sejam proporcionais aos requisitos do negócio, à classificação das informações a serem acessadas e aos riscos percebidos.”
O propósito é de “assegurar que todo o pessoal seja elegível e adequado para os papéis para os quais são considerados e permaneça elegível e adequado durante sua contratação.”
Veja que a norma não cita explicitamente antecedentes criminais em seu objetivo e propósito.
Qual a finalidade do Anexo A.6.1 da ISO 27001?
A finalidade do controle A.6.1 não é investigar antecedentes criminais de forma automática ou indiscriminada. O objetivo central é assegurar que as pessoas sejam elegíveis, idôneas, competentes e adequadas às funções que irão desempenhar, especialmente quando essas funções envolvem acesso a informações sensíveis ou recursos críticos. A palavra utilizada pela norma é “screening”, que significa triagem ou verificação, e não exclusivamente “verificação de antecedentes criminais”.
Portanto, o controle busca mitigar riscos internos relacionados a fraude, sabotagem, vazamento de informações, acesso indevido, conflitos de interesse e incompetência técnica para funções críticas.
Que “antecedentes” são esses?
Com base na ISO 27002, os antecedentes que podem ser verificados incluem:
- Verificação da completude e exatidão do currículo.
- Confirmação de qualificações acadêmicas e profissionais alegadas;
- Verificação independente de identidade (documentos oficiais).
- Verificações mais detalhadas, como análise de crédito ou registros criminais, apenas quando o cargo for crítico.
- Validação do histórico profissional para confirmar experiências, períodos de atuação e funções exercidas em empregadores anteriores.
- Conferência de referências e qualificações profissionais indicadas pelo candidato.
- Verificação da regularidade de registros profissionais junto a conselhos, ordens ou órgãos reguladores.
- Análise de eventuais conflitos de interesse que possam comprometer a atuação ética e independente do profissional.
Observe que a análise de registros criminais aparece como uma possibilidade, não como uma obrigação universal. Ela é citada como exemplo de verificação adicional para funções críticas. Todos os estes podem ser realizados desde que não viole nenhuma legislação, seja de privacidade, proteção de dados pessoais e trabalhista.
O que caracteriza uma função crítica segundo a norma?
A ISO 27002 orienta que verificações mais detalhadas sejam consideradas quando o cargo envolver:
- Acesso a recursos de tratamento de informações;
- Manuseio de informações confidenciais;
- Acesso a dados financeiros;
- Tratamento de dados pessoais;
- Tratamento de dados de saúde;
- Funções fundamentais para a organização;
- Papéis específicos de segurança da informação.
Portanto, a norma associa maior rigor de verificação ao nível de risco da função, não ao simples ato de contratar alguém.
Quando a empresa pode pedir antecedentes criminais legalmente?
No Brasil não existe uma lei específica que autorize ou obrigue a exigência de certidão de antecedentes criminais na contratação de colaboradores. A Consolidação das Leis do Trabalho (CLT) não proíbe de forma expressa, mas o direito à privacidade, à dignidade da pessoa humana e à não discriminação limitam essa prática.
O Tribunal Superior do Trabalho (TST) consolidou entendimento no chamado Tema Repetitivo nº 1 de 2017 (IRR 0002430-58.2013.5.13.0023), dispondo que:
• A exigência de certidão de antecedentes criminais é legítima e não caracteriza dano moral quando amparada em previsão legal ou quando for justificada pela natureza do cargo ou pelo grau especial de confiança exigido;
• Por outro lado, quando a exigência não se justifica em razão da natureza do ofício, da previsão legal ou do grau especial de fidúcia exigido, ela caracteriza tratamento discriminatório e pode configurar dano moral passível de indenização.
Esse entendimento está publicado nas ementas do próprio Tribunal Superior do Trabalho, com publicação no Diário Eletrônico da Justiça do Trabalho em setembro de 2017.
Exemplos de situações em que a exigência foi considerada legítima na jurisprudência incluem cargos que envolvem atuação direta com valores, segurança patrimonial ou sistemas críticos; cuidado com menores, idosos ou pessoas vulneráveis; atividades que exigem alto grau de confiança ou sigilo; e funções que envolvem direção, uso de máquinas pesadas ou substâncias perigosas.
O que acontece quando a exigência é ilegal ou injustificada?
Quando a exigência de antecedentes não tem relação com as atribuições do cargo, a jurisprudência trabalhista entende que isso pode configurar discriminação, potencialmente gerando dano moral in re ipsa, independentemente de o candidato ter sido contratado ou não.
Além de repercussões trabalhistas e indenizatórias, essas práticas podem violar direitos fundamentais garantidos pela Constituição Federal, como o direito à privacidade e à dignidade da pessoa humana.
Em que situações a consulta de antecedentes criminais resulta em não conformidade?
A consulta de antecedentes criminais não é, por si só, uma exigência obrigatória da ISO 27001, mas pode ser utilizada como uma medida adicional de verificação dentro do controle A.6.1, desde que proporcional ao risco da função e juridicamente válida.
A não conformidade não surge do ato de consultar antecedentes, mas da forma como essa prática é conduzida e justificada.
Para evitar não conformidade e riscos trabalhistas e regulatórios, alguns critérios devem ser rigorosamente observados. Primeiramente, é essencial compreender que a ISO 27001 exige proporcionalidade e conformidade legal. O controle A.6.1 determina que verificações de antecedentes sejam realizadas de acordo com os requisitos do negócio, a classificação das informações acessadas, os riscos percebidos e leis e regulamentos aplicáveis.
Em síntese, o problema não é consultar antecedentes. O problema é fazê-lo sem governança, sem base legal e sem análise de risco. Quando a organização entende o controle apenas como “pedir certidão criminal”, ela reduz indevidamente o escopo do requisito. Quando entende como um mecanismo estruturado de mitigação de risco humano, ela aplica o controle corretamente.
Como conseguir a certificação ISO 27001?
A certificação ISO/IEC 27001 é obtida a partir da implantação de um Sistema de Gestão de Segurança da Informação (SGSI), estruturado conforme os requisitos da norma e validado por auditoria independente. O processo envolve diagnóstico, definição de escopo, avaliação de riscos, implementação de controles, capacitação das pessoas envolvidas e verificação da efetividade dos processos adotados.
Na prática, a organização precisa mapear os ativos de informação, identificar ameaças e vulnerabilidades, estabelecer políticas e procedimentos formais, definir responsabilidades e demonstrar que a segurança da informação é tratada de forma sistemática, contínua e alinhada à estratégia do negócio.
Com uma metodologia adequada, esse processo pode ser conduzido de forma objetiva e eficiente. Nós atuamos na consultoria e assessoria para implantação da ISO/IEC 27001, com metodologia própria que permite a certificação em até seis meses. Nossa abordagem contempla a adequação aos requisitos da norma, o apoio na definição e implementação dos controles, além da conscientização dos colaboradores sobre boas práticas de segurança da informação.
Sua empresa é acompanhada desde a fase inicial de planejamento, até a auditoria de certificação, com foco em integridade, disponibilidade e confidencialidade das informações.
Se a sua organização precisa estruturar ou evoluir a gestão da segurança da informação, nós da Dédalo Security podemos apoiar todo o processo de implantação e certificação da ISO/IEC 27001. Fale com nossa equipe, entenda o nível de maturidade atual do seu negócio e se certifique em até seis meses!
Marcos Gomes
Consultor na Dédalo Inteligência em Segurança da Informação.
Referências:
ABNT NBR ISO/IEC 27001:2022
ABNT NBR ISO/IEC 27002:2022
Lei Geral de Proteção de Dados Pessoais (LGPD) LEI Nº 13.709, DE 14 DE AGOSTO DE 2018
