Você pode armazenar os arquivos que estão sendo carregados em um diretório fora de seu aplicativo da Web, para que ele não seja diretamente acessível por meio de um URL. Isso garantirá que o servidor da Web não veicule esses arquivos por meio de um URL solicitado.
Quando você precisar veicular esses arquivos, verifique se o usuário que solicitou o arquivo tem acesso a ele. Em outras palavras, verifique se o usuário está autorizado a visualizar os arquivos - você pode autorizar o usuário original que fez o upload do arquivo e os usuários de RH a acessar o arquivo.
Como o servidor da web não tem acesso direto aos arquivos, impedindo que eles sejam exibidos, você terá que escrever um script do lado do servidor em um idioma de sua escolha (PHP / ASP / JSP etc., desde que você não o fez) t indica qualquer um) que, após as verificações de autorização, recuperará o arquivo e entregará seu conteúdo ao usuário.