RGPD:   Tratamento de dados pessoais no contexto laboral

Os departamentos de RH, vendas, jurídico, financeiro, TI e Marketing são alguns dos departamentos cujas as práticas serão mais afetadas pelo RGPD, pois lidam com a maior parte dos dados pessoais pelos quais a organização é responsável pelo tratamento.

Destaco neste artigo o departamento RH, quer pela quantidade de tratamentos de dados pessoais sob sua responsabilidade, quer pela quantidade de mecanismos técnicos e processos organizativos que tem que implementar, através do seu Sistema Geral de Proteção de Dados (SGPD), de modo a estar em conformidade com o RGPD.

No contexto laboral o tratamento dos dados pessoais tem um impacto substancial uma vez que qualquer empresa que tenha trabalhadores a seu cargo, seja uma pequena ou média empresa, seja uma empresa vocacionada para o recrutamento ou trabalho temporário ou mesmo os grandes grupos empresariais, estão obrigados a estar em conformidade com as exigências do RGPD.

É uma área onde se colocam muitos desafios às organizações e alguns deles, são de grande complexidade técnica para a conformidade ao RGPD. São muitos os cenários que se colocam a um departamento RH no tema do tratamento de dados pessoais no contexto laboral. Alguns exemplos:

  • a seleção e o recrutamento de trabalhadores
  • a utilização de recursos de comunicação na empresa (telemóvel, email, internet,…)
  • a utilização de recursos de comunicação fora da empresa
  • o controlo de tempos de trabalho
  • a utilização de sistemas de monitorização de vídeo
  • a monitorização da atividade de trabalhadores nas redes sociais
  • a utilização de veículos automóveis
  • a divulgação de dados a terceiros
  • a transferência internacional de dados

Um dos desafios é a conformidade ao RGDP da aplicação informática de gestão RH.  Alguns dos módulos funcionais terão que ser alterados até 25.05.2018, como por exemplo no módulo referente às Atividades e Serviços de Segurança e Saúde no Trabalho, onde terá que haver uma separação lógica entre os dados referentes á saúde e os restantes dados pessoais ou para a aplicação do exercício do direito ao esquecimento, o modulo de controlo de assiduidades terá que ser adaptado.

Não sendo o consentimento do trabalhador um fundamento legitimo para tratamento de alguns dos seus dados, a entidade patronal como responsável pelo tratamento dos dados pessoais, terá que recorrer ao fundamento do interesse legítimo com frequência. No entanto, a entidade patronal terá que assegurar que o tratamento é estritamente necessário, proporcional e só deve coletar os dados que são tratados (princípio da minimização).

Tenho como referência as recomendações do GT29, transcrevo algumas das orientações e ideias do documento “Opinion 2/2017 on data processing at work” de 8.06.2017:

  • Todos os tratamentos de dados devem ser comunicados aos trabalhadores
  • Sempre que possível, os trabalhadores ou os seus representantes devem ser envolvidos na elaboração das políticas de tratamento de dados pessoais
  • No caso de dispositivos propriedade dos trabalhadores não é permitida a monitorização permanente das comunicações (BYOD)
  • Aplicar o princípio da proporcionalidade que exige que seja sempre escolhida pelo empregador a forma menos intrusiva de tratar os dados
  • O empregador não pode aceder a dados de saúde recolhidos por dispositivos oferecidos ou disponibilizados aos trabalhadores
  • Não se deve recorrer à utilização de tecnologias de reconhecimento facial para análise de ambiente de trabalho (não respeita o princípio da proporcionalidade)
  • A utilização de tecnologia GPS em veículos deverá permitir a sua desativação se o veículo puder ser utilizado para fins privados

Também para estar em conformidade com o RGPD é fundamental implementar várias medidas que cumpram os princípios da segurança e proteção de dados por “default” e por “design”: minimização de dados, pseudoanonimização, transparência e melhoria contínua de sistema e recursos de segurança, por isso não será demais lembrar algumas medidas a tomar em termos de sistemas de informação:

  • Fornecer pastas de rede e ser obrigatório uma política que limita o armazenamento de documentos em computadores portáteis, postos de trabalho, tablets e dispositivos móveis
  • Todos os dados importantes nos computadores portáteis, de secretária, tablets e dispositivos móveis, em redes de comunicação, nos smartphones ou em armazenamentos externos devem estar encriptados

E por último, uma questão: no seu departamento RH estão disponíveis trituradores de papel e há uma política aplicável à trituração de documentos que contenham dados pessoais dos candidatos e dos colaboradores?

 

#GDPR #RGPD #DataPrivacy #DataProtection #Conformidade #Regulamento #formação #Cibersegurança #Laboral