KYE + PGR: o papel do background check na mitigação de riscos de contratação

Quando falamos em riscos corporativos, muitos pensam em fraudes financeiras, cibersegurança ou conformidade regulatória. Mas há um fator silencioso, e muitas vezes negligenciado, que pode comprometer tudo isso: o comportamento humano.

Mais do que processos e controles, são as pessoas que sustentam ou fragilizam a integridade de uma empresa.

Neste artigo vamos combinar dois conceitos essenciais nessa equação: KYE – Know Your Employee e PGR – Programa de Gerenciamento de Riscos para explicar por que o processo de verificação de antecedentes e validação de identidade assume papel central na mitigação de riscos humanos. 

O que é Background Check? 

Background check é o processo em que organizações verificam a identidade de um candidato e suas informações pessoais.

Na prática, isso inclui: confirmação de identidade, e, investigação de antecedentes criminais ou condutas ilícitas, múltiplas bases de dados (nacionais e internacionais) e validação de identidade digital (para evitar fraudes de candidato).

O background check atua no pré-onboarding (ou seja, antes da incorporação ou contratação definitiva), mas idealmente também se repete ou se complementa durante a vida funcional, conforme risco.

Um background check bem conduzido, inserido em uma estratégia de KYE + PGR, abre caminho para uma governança que não depende apenas de controles tecnológicos, mas de processos humanos bem desenhados.

Leia também: Recrutamento Estratégico: Como Usar KYE e Checagem de Antecedentes com Inteligência

O que é KYE – Know Your Employee?

KYE refere-se ao processo sistemático de conhecer o colaborador ou trabalhador antes de integrá-lo à organização e também de acompanhar sua jornada enquanto permanece em vínculo ou relação com a empresa. 

Assim como o KYC – Know Your Customer – ganhou centralidade em compliance financeiro, o KYE emerge em compliance trabalhista, de terceirizados, fornecedores e até mesmo de parceiros estratégicos.

Esse “conhecer” vai além de “tem carteira assinada, não possui processos”. Significa entender histórico profissional, reputação, integridade, situações de risco (como envolvimento em trabalho análogo à escravidão, fornecedores com condições inadequadas, histórico de fraudes ou condutas contrárias à ética).

O que é PGR – Programa de Gerenciamento de Riscos?

O PGR faz parte da agenda de governança corporativa, gestão de riscos e compliance. Em sua essência, é a arquitetura que permite identificar, avaliar, monitorar e mitigar os riscos que a empresa enfrenta, inclusive os riscos humanos, operacionais e de reputação. 

O PGR mobiliza instrumentos como mapeamento de riscos, matriz de probabilidade x impacto, monitoramento contínuo, indicadores-chave e plano de ação para mitigação. Em muitos países o PGR está ligado a normas regulatórias (por exemplo, no Brasil as Normas Regulamentadoras ou requisitos de auditoria de riscos).

Qual é a importância do background check nesse contexto?

Mitigação de risco interno e reputacional

O risco humano tem se destacado como uma grande vulnerabilidade, por exemplo, a McKinsey afirma que 50% das violações de segurança envolvem um componente interno, ou seja, a própria força de trabalho, terceirizados ou fornecedores. Isso se traduz em exposição a fraudes, acessos indevidos, sabotagem, vazamento de dados, sistemas comprometidos ou atitudes ilícitas que afetam a empresa.

Além disso, a Gartner adverte que, até 2028, um em cada quatro perfis de candidato será falso, o que significa que confiar apenas em entrevistas não é mais suficiente. Em termos de imagem corporativa, uma falha de seleção ou um colaborador com conduta inadequada pode custar multa regulatória, danos de marca ou perda de confiança de clientes/investidores.

Integração com compliance e governança

Quando se fala em compliance empresarial, muitas vezes o foco recai em regimes regulatórios (antissuborno, anticorrupção, proteção de dados, compliance trabalhista). 

O background check serve como mecanismo preventivo dentro desse universo porque permite que a empresa valide previamente quem entra no âmbito da sua governança corporativa, reduzindo a probabilidade de que colaboradores ou terceiros se tornem vetores de risco (por exemplo, por infrações trabalhistas, práticas de trabalho análogo à escravidão, fraudes de identidade).

Fornecedores e força de trabalho estendida

O risco não vem apenas de funcionários diretos, com o crescimento do modelo de workforce estendida (terceirizados, freelancers, parceiros e cadeia de suprimentos), o risco se expande. 

Um artigo da HireRight destaca que muitas empresas estão gastando menos com background check para trabalhadores contingentes, o que é um grande erro, afinal estes profissionais acessam sistemas ou dados sensíveis da mesma forma que os funcionários diretos. 

Isso significa que o background check também deve cobrir fornecedores e terceiros, reforçando o TPRM (Third Party Risk Management) e a homologação de fornecedores.

Convergência com monitoramento e qualidade de dados

Uma verificação robusta requer dados de qualidade e monitoramento regular. No contexto de validação de identidade e background check, isso significa garantir que as bases de dados sejam limpas, atualizadas e confiáveis. 

A conformidade com regimes de proteção de dados impõe que o tratamento desses dados seja adequado, com base legal, retenção definida e minimização de dados. Esse cuidado reforça que o background check não é apenas “rodar uma verificação”, mas inserir o processo no ciclo de governança de dados, qualidade e compliance.

Leia também: Políticas de Background Check para RH: Contratações Seguras com Base Legal e Gestão de Riscos

O que a lei permite (e o que proíbe) no background check

Quando o assunto é checagem de antecedentes, a principal dúvida do RH costuma ser até onde a checagem pode ir sem violar a lei trabalhista ou a LGPD. A resposta passa por três pilares jurídicos que precisam ser lidos em conjunto.

1. Situações em que o background check é obrigação legal

 A Lei nº 14.811/2024 alterou o Estatuto da Criança e do Adolescente para determinar que instituições sociais e estabelecimentos educacionais que desenvolvem atividades com crianças e adolescentes devem exigir e manter certidões de antecedentes criminais atualizadas de todos os colaboradores, com atualização a cada seis meses.

Na prática, isso significa que escolas, ONGs, igrejas e outras organizações que atuam com público infantojuvenil não estão apenas “autorizadas”, mas são obrigadas a rodar esse tipo de verificação como medida de proteção. A ausência desse controle pode ser entendida como falha de governança e de cuidado com o dever de proteção.

2. Quando o background check é permitido, mas precisa ser proporcional

A Lei nº 9.029/1995 proíbe práticas discriminatórias para acesso ou manutenção da relação de emprego. Ao julgar o Incidente de Recursos Repetitivos, o TST consolidou o entendimento de que exigir certidão de antecedentes criminais é legítimo quando:

• Houver previsão legal específica (como no caso de instituições que trabalham com crianças);

• A natureza do cargo envolver grau especial de confiança ou risco, como vigilância, manuseio de valores, substâncias sensíveis, informações sigilosas ou cuidado direto com menores, idosos ou pessoas vulneráveis.

Fora desses contextos, exigir antecedentes “por padrão” pode ser interpretado como prática discriminatória e gerar condenação por dano moral coletivo, como a própria jurisprudência recente do TST vem reforçando.

3. LGPD: base legal, minimização e transparência

Do ponto de vista de dados, o background check é tratamento de dados pessoais (e muitas vezes sensíveis). A LGPD – Lei 13.709/2018 – exige que esse tratamento tenha base legal clara, finalidade específica e seja limitado ao necessário.

Na prática, isso significa que o RH precisa documentar:

• Qual a base legal usada (obrigação legal, execução de contrato, legítimo interesse, prevenção à fraude e à segurança, etc.);

• Quais dados serão consultados (não “tudo o que existir”, mas o que é pertinente ao risco da função);

• Quem acessa, por quanto tempo e como é feito o descarte dessas informações?

Em resumo, não é ilegal fazer background check,  o que não pode é fazer sem critério, sem base legal e sem relação com o risco da função. 

Quando o processo é amarrado ao KYE e ao PGR, com políticas claras, matriz de risco e registro das decisões, o background check deixa de ser um “campo minado trabalhista” e passa a ser uma ferramenta sólida de gestão de riscos humanos, alinhada tanto à legislação trabalhista quanto à LGPD.

Leia também: Políticas de Background Check para RH: Contratações Seguras com Base Legal e Gestão de Riscos

Benefícios do background check na mitigação de riscos humanos

• Redução significativa do risco de ingresso de pessoas não conformes com padrões éticos/reputacionais, o que diminui a probabilidade de vazamentos, fraudes internas, condutas ilícitas.

• Fortalecimento da governança corporativa: a empresa demonstra que pratica o pilar “governança, riscos e compliance” com consistência.

• Proteção de marca e reputação: ao demonstrar rigor na seleção e no controle de pessoas e terceiros, a empresa se posiciona de forma mais sólida perante stakeholders.

• Contribuição para o ambiente de trabalho: colaboradores sabem que os pares ou terceiros passaram por verificação e isso reforça confiança, cultura de integridade.

Desafios do background check na mitigação de riscos humanos

• Definir o nível de verificação adequado para cada função (risco × custo × experiência do candidato).

• Garantir que os processos respeitem privacidade, legislações nacionais/internacionais (ex: LGPD no Brasil, GDPR na Europa).

• Manter base de dados atualizada e qualidade dos fornecedores de verificação.

• Equilibrar a experiência do candidato/colaborador (maior rigidez pode afastar bons talentos) com a necessidade de mitigação de risco.

Passo a passo prático para implementar KYE + PGR com background check

Para gerentes de compliance e marketing que devem promover governança e processos de seleção rigorosos, propomos alguns passos práticos:

Defina o universo de risco

1. Mapeie quais perfis ou tipos de vínculo oferecem maior risco humano, por exemplo: colaboradores com acesso confidencial, terceirizados que atuam em ambiente crítico, fornecedores com visita à planta, áreas de TI ou financeiro.

2. Crie matriz de risco (probabilidade × impacto) para “entrada de pessoa de risco” dentro da organização, atribuindo níveis (baixo, médio, alto).

3. No PGR, inclua esse risco como “Risco de Talento/Colaborador” ou “Risco de Terceiro”.

Estabeleça critérios de KYE e baseline de background check

1. Para cada nível de risco definido (“alto”, “médio”, “baixo”), determine quais verificações são obrigatórias, por exemplo: identidade, histórico criminal, referências profissionais, consulta ao cadastro de empregadores em condições análogas à escravidão.

2. Formalize o procedimento de pré-onboarding (KYE) antes da assinatura de contrato ou instalação operacional.

3. Documente o que “validação de identidade” significa no seu contexto (incluir vídeo, autenticação por biometria, etc).

4. Alinhe a política interna que defina que o ingresso está condicionado à aprovação do background check.

Integre ao processo de PGR, monitoramento e reavaliação

1. No PGR, defina indicadores de risco humano (por exemplo, percentual de colaboradores que passaram por verificação, percentual de fornecedores críticos sem verificação, incidências de condutas impróprias, etc.).

2. Inclua no plano ações periódicas de rechecagem (por exemplo, para pessoas em áreas sensíveis ou fornecedores).

3. Estabeleça canal de monitoramento de alertas (“red flags”) pós-contratação: mudança de função, acesso a sistemas, histórico negativo recente.

4. Conecte ao TPRM: Os fornecedores ou terceiros devem estar submetidos ao mesmo nível de exame, se expostos ao risco.

Cumpra requisitos de proteção de dados e governança

1. Assegure que o uso de dados pessoais no background check esteja legalmente fundamentado (consentimento, interesse legítimo ou obrigação legal) e que se respeite privacidade, minimização e retenção, conforme regime aplicável.

2. Insira o background check no escopo da governança de dados: qual base usamos, quem acessa, como é armazenada a informação, como é eliminado o dado após o ciclo.

3. Garanta que há contrato ou termo com os prestadores que realizam verificação, para que respeitem padrões de qualidade, confiabilidade e confidencialidade.

Estabeleça comunicação, treinamento e cultura de compliance

1. Sensibilize os gestores e RH para a importância do processo, que não é “checar por checar”.

2. Use política de conduta e ética interna para informar os candidatos e funcionários de que a empresa realiza background check e validação de identidade como parte de governança.

3. Capacite os times de aquisição e fornecedores para interpretar resultados de verificação (quando é uma “red flag”, quando é impeditivo, quando exige mitigação).
4. Estabeleça um feedback loop: se uma verificação identificar risco, como será acionado? Quem aprova? Qual o plano de contingência?

Como o background check fortalece o KYE + PGR e transforma compliance em vantagem competitiva

Se o mundo corporativo hoje exige mais do que controles financeiros ou tecnológicos, exige controle humano, então o processo de background check, inserido na lógica de KYE + PGR, é uma peça central da matriz de governança, riscos e compliance. 

Ao validar identidades, investigar histórico, monitorar fornecedores/terceiros e integrar tudo isso no programa de risco da empresa, o gestor de compliance ganha um instrumento prático, inteligível e eficaz para mitigar riscos humanos, daqueles que, por descuido ou dolo, podem gerar impactos elevados em imagem, finanças ou regulação.

Em síntese: não basta “contratar rápido”; é preciso contratar com segurança com base em dados, em processos e em governança. 

A validação de identidade e o background check deixam de ser vistos como custo ou burocracia para se tornarem investimento de mitigação. Para organizações que operam em ambientes regulados ou com cadeias complexas de fornecedores, essa disciplina muitas vezes faz a diferença entre estar um passo à frente e reagir a um incidente.

A Netrin transforma KYE + PGR em resultado real

A Netrin ajuda sua empresa a estruturar um processo completo e automatizado de mitigação de riscos humanos, do desenho de políticas à integração de verificações de identidade e background check.

Com mais de 20 anos de experiência e tecnologia própria, desenvolvemos frameworks de governança, mapeamos riscos, selecionamos prestadores qualificados e implementamos dashboards inteligentes para monitoramento contínuo.

Com soluções nativas integradas a mais de 1.000 fontes públicas e privadas, oferecemos análises em tempo real sobre aspectos fiscais, jurídicos, ambientais e reputacionais. Assim, transformamos o KYE + PGR em uma prática sustentável, segura e eficiente dentro da sua operação de compliance.