Saiba em que casos as empresas podem controlar trabalhadores com recolha de dados biométricos
O Regulamento Geral sobre a Proteção de Dados (RGPD), que foi entrou em vigor há um ano, determina que o tratamento de dados biométricos é proibido, salvo quando tal se aplica a casos específicos. Inês Pires, associada sénior da Abreu Advogados, explica que se “os dados a utilizar forem necessários, adequados e proporcionais aos objetivos a atingir”, respeitados as circunstâncias e determinados requisitos, a lei permite o tratamento destes dados e a sua utilização”. OS dados biométricos são dados pessoais. Além da proporcionalidade, necessidade e adequação o seu tratamento tem de obedecer a outras regras.
“Os dados biométricos são dados pessoais que permitem ou confirmem a identificação única, através de um processo técnico específico que incide sobre características físicas, fisiológicas ou comportamentais de uma pessoa singular”. como por exemplo impressões digitais ou imagens faciais, nota Inês Pires ao Jornal Económico, acrescentando que, “nos termos do RGPD, o tratamento de dados biométricos é proibido, salvo exclusivas exceções”.
A advogada Inês Pires indica que, ao abrigo do artigo 18.º do Código do Trabalho, “o tratamento de dados biométricos só é permitido se os dados a utilizar forem necessários, adequados e proporcionais aos objetivos a atingir”. No entanto, o artigo 202.º do mesmo Código, relativo ao registo de tempos de trabalho, determina que “o empregador deve manter o registo dos tempos de trabalho, incluindo dos trabalhadores que estão isentos de horário de trabalho, em local acessível e por forma que permita a sua consulta imediata”.
“Precisamente por serem de acesso invasivo à identidade da pessoa, terem um resultado inequívoco e apresentarem uma capacidade de penetração da privacidade ímpar, são considerados de categoria especial, e o seu tratamento reveste-se de especiais cautelas. Especialmente, quando os titulares de dados pessoais pertencem a um universo mais vulnerável, como será o caso do tratamento de dados biométricos de trabalhadores”, sublinha.
Nessas situações, o tratamento dos dados biométicos está sujeito a realização prévia de uma avaliação de impacto de proteção de dados. As empresas devem descrever de que forma serão tratados dos dados pessoais dos trabalhadores, certificando-se de que há uma proporcionalidade entre esse tratamento e os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais.
O responsável pelo tratamento deve demonstrar a necessidade desse processo, bem como as razões pelas quais rejeitou os demais sistema disponíveis, como por exemplo, cartão ou código de acesso. A realização do tratamento de dados pessoais dos trabalhadores deve ainda ser solicitada junto da Comissão de Trabalhadores, caso esta exista.
“É imprescindível garantir que há limitação no acesso aos dados biométricos recolhidos e que estes apenas são acedidos pelos profissionais devidamente habilitados e apenas no escopo do desenvolvimento das suas funções profissionais concretas e determinadas”, indica a advogada Inês Pires. “Assim, quando a finalidade do tratamento de dados biométricos é o controlo de acessos para controlo de assiduidade a base de licitude é o cumprimento de obrigação jurídica, e, observados os requisitos anteriormente referidos, o tratamento pode prosseguir”.
A advogada Inês Pires responde a mais dúvidas:
Tenho instaladas várias câmaras de videovigilância no átrio da minha empresa há alguns anos. Fui adiando tratar formalmente do assunto, por isso não sei se é necessário pedir autorizações ou pagar taxas ou tomar outra diligência. E o RGPD aplica-se?
A legislação em matéria de dados pessoais é aplicável à instalação de sistema de videovigilância, tanto o RGPD como a anterior, pois a imagem de uma pessoa é um dado pessoal porque permite identificá-la ou faz com que seja identificável. A situação descrita está desconforme com a lei. Antes da aplicação do RGPD o procedimento era distinto daquele que atualmente vigora: o responsável pelo tratamento de dados pessoais tinha de pedir uma autorização à Comissão Nacional de Proteção de Dados (CNPD), antes de iniciar o tratamento, pagar a devida taxa e aguardar pelo deferimento ou não do pedido. Não podia instalar as câmaras antes da resposta da CNPD. Atualmente, o paradigma mudou, já não é necessário pedir autorização ou pagar taxa junto da CNPD, mas sim, na senda de um lógica de autorregulação prevista no RGPD, ponderar e garantir que o tratamento a realizar através da videovigilância é necessário/ imprescindível e proporcional, que se limita aos dados pessoais estritamente relevantes e que não há meio alternativo para atingir as finalidades pretendidas. Nos termos da lei será necessário: i) informar os titulares de dados pessoais, através da afixação de aviso em local visível; ii) documentar o tratamento, procedendo ao registo da informação legal relativa ao tratamento; iii) implementar medidas técnicas e organizativas que adequadas a controlar o nível de segurança proporcional ao risco; iv) não ultrapassar o tempo de conservação das imagens (em princípio, 30 dias); e v) consoante as circunstâncias concretas do tratamento, aferir da necessidade de realizar uma avaliação de impacto de proteção de dados (processo destinado a descrever o tratamento de dados pessoais, que pretende avaliar a necessidade e a proporcionalidade desse tratamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais, determinando as medidas necessárias para dar resposta a esses riscos). Por último, interessa acrescentar que o responsável deve acautelar que não capta imagens em zonas não autorizadas, nomeadamente no contexto laboral (que acarreta obrigações acrescidas, nomeadamente a consulta prévia da Comissão de Trabalhadores) ou em zonas que invadam de forma desproporcionadamente excessiva a privacidade dos titulares.
O Encarregado da Proteção de Dados pode participar à autoridade de controlo nacional práticas irregulares do responsável pelo tratamento em oposição a este?
O Encarregado da Proteção de Dados (EPD), de acordo com o RGPD, tem um estatuto de independência e de imparcialidade e está obrigado a controlar o cumprimento, por parte da organização, de toda a legislação relacionada com a proteção de dados, nomeadamente em auditorias, atividades de sensibilização e formação do pessoal implicado nas operações de tratamento. Não obstante os deveres de trabalhador, caso detete práticas irregulares na organização, o EPD não recebe instruções do seu empregador nesta matéria, estando vinculado a cooperar com a autoridade de controlo (Comissão Nacional de Proteção de Dados – CNPD) e, nessa medida, a reportá-las, não podendo ser destituído nem penalizado pelo responsável pelo tratamento pelo facto de exercer as suas funções. Além da denúncia externa, o EPD deve informar diretamente a direção ao mais alto nível do responsável pelo tratamento.
Notícia atualizada
