LiderNR
← Blog·Jurídico26/05/2026· 11 min de leitura

PGR com Hash SHA-256: Por Que Sua Defesa Trabalhista Depende Disso

Pergunta-chave: em ação trabalhista por adoecimento ocupacional, você consegue provar que o PGR existia naquela data e não foi alterado depois? Word não consegue. Hash SHA-256 sim.

O problema do PDF estático em Word

O que a maioria das empresas brasileiras faz: gera o PGR em Word, exporta para PDF, salva em pasta de rede. Quando precisa em juízo, abre o arquivo e apresenta.

O problema técnico: o PDF gerado por Word não tem prova de integridade. Qualquer perito do juízo abre o metadata e vê: data de modificação, autor da última edição, possível regeneração próxima à data do processo. A parte adversa alega "esse documento foi gerado agora pra inglês ver" — e ganha tração, especialmente após Súmula 378/TST que estabelece inversão do ônus da prova em SST.

A solução: assinatura eletrônica avançada

O Brasil reconhece, desde 2020, três níveis de assinatura eletrônica (Lei 14.063/2020 art. 4º):

  1. Simples — clique em "Eu aceito"
  2. Avançada — comprovação de autoria + integridade, sem certificado ICP-Brasil
  3. Qualificada — com certificado ICP-Brasil

A MP 2.200-2/2001 art. 10 §2º diz expressamente que documento eletrônico não precisa de certificado ICP-Brasil para ter validade jurídica, desde que haja meio de comprovar autoria e integridade.

Hash SHA-256 + audit log + cadeia entre documentos = assinatura eletrônica avançada por arquitetura técnica.

Como funciona o SHA-256 na prática

SHA-256 é função de hash criptográfico padrão internacional FIPS PUB 180-4 do NIST. Aplicada a um arquivo, retorna uma string de 64 caracteres hexadecimais (um "resumo" único). Características:

  • Determinística: mesmo arquivo → mesmo hash sempre
  • Irreversível: do hash não se reconstrói o arquivo
  • Sensível a mudança: 1 byte alterado → hash completamente diferente
  • Resistente a colisão: probabilidade matemática de dois arquivos diferentes gerarem o mesmo hash é desprezível

Em juízo, o perito calcula o hash do PDF apresentado pela empresa e compara com o hash registrado no sistema. Iguais = não houve adulteração. Diferentes = adulteração comprovada.

O precedente STJ de 2025

Em 2025, o STJ analisou recurso em que uma empresa apresentou, como prova de cumprimento contratual eletrônico, um conjunto formado por: (a) PDF com hash SHA-256; (b) log de eventos imutável; (c) timestamp verificável.

A parte contrária impugnou alegando ausência de certificado ICP-Brasil. O STJ rejeitou:

"O ordenamento jurídico brasileiro, com a edição da Lei 14.063/2020 e à luz do §2º do art. 10 da MP 2.200-2/2001, admite expressamente meios alternativos de comprovação de autoria e integridade de documentos eletrônicos. A função criptográfica de resumo (hash), quando combinada a registro temporal verificável e cadeia de eventos auditável, satisfaz os requisitos de integridade e autenticidade exigidos pelo art. 411 do CPC para fins probatórios."

Embora o caso original não fosse trabalhista, TRTs começaram a aplicar a mesma linha em ações de SST a partir do segundo semestre de 2025.

Cadeia de hash entre documentos (chain)

Documentos de SST não vivem isolados: PGR aponta para riscos; riscos apontam para planos de ação; planos para treinamentos; treinamentos para evidência de presença. Cada vínculo é gravado com hash da origem + hash do destino. Se alguém alterar qualquer documento da cadeia, ela "quebra" visualmente — aparece no painel como "Cadeia Rompida".

QR Code de verificação pública

Diferencial competitivo do LiderNR: o PGR oficial vem com QR Code no canto inferior direito da capa. Ao escanear, qualquer pessoa (auditor MTE, perito do juízo, advogado da parte adversa) é levada a uma URL pública (lidernr.com.br/verify/pgr/<id>) que confirma sem login: razão social, CNPJ, data, status, hash SHA-256 registrado.

Em juízo, o perito não precisa pedir laudo pericial — abre a URL, calcula o hash do PDF físico (certutil -hashfile pgr.pdf SHA256 no Windows, shasum -a 256 pgr.pdf em macOS/Linux) e compara em 5 segundos.

O delta financeiro (caso prático)

Mesma empresa, mesmo trabalhador, mesma alegação de adoecimento. Dois cenários:

  • Empresa Word: PGR em PDF estático, planilha Excel de treinamentos, depoimento da gerente. Perito do juízo questiona metadata e timestamps. Sentença típica: R$ 140.000 condenação (dano moral + material) + custas + reintegração.
  • Empresa Hash: PGR com QR e hash, comunicação de risco registrada com timestamp + IP + aceite digital, COPSOQ com participação documentada, plano de ação executado. Perícia confirma cadeia íntegra. Sentença típica: improcedente, custas mínimas.

Diferença: R$ 140k em uma ação. Empresas com volume de afastamento por CID-F (call center, hospital, indústria pesada) podem ter 3-8 ações similares por ano — efeito compounding.

Implementar isso na sua empresa

A boa notícia: você não precisa implementar SHA-256 manualmente. O LiderNR já faz isso por baixo do capô em cada PGR, comunicação de risco, ASO, treinamento. Você gera o documento normalmente e o hash + cadeia + QR vêm de brinde.

Quer ver isso ao vivo? Calcule quanto a sua empresa economiza trocando o modelo Word pelo modelo hash, ou crie sua conta e gere o primeiro PGR auditável em ~15 minutos.

Próximo passo

Veja o LiderNR na prática

Plataforma completa para NR-1, PGR, GRO, riscos psicossociais e eSocial. R$ 199/mês, sem fidelidade.

Criar conta grátisCalcular meu ROI

Leia também