Os departamentos de RH, vendas, jurídico, financeiro, TI e Marketing são alguns dos departamentos cujas as práticas são mais afetadas pelo RGPD, pois lidam com a maior parte dos dados pessoais pelos quais a organização é responsável pelo tratamento (data controller).

Destaco neste artigo o departamento RH, quer pela quantidade de tratamentos de dados pessoais sob sua responsabilidade, quer pela quantidade de elementos técnicos e processos organizativos que tem que implementar, através do seu Sistema Geral de Proteção de Dados (SGPD), de modo a estar em conformidade com as disposições com o RGPD e em linha com o Código de Trabalho e a Lei nº 58/2019 de 8 de agosto.

No contexto laboral o tratamento dos dados pessoais tem um impacto substancial uma vez que qualquer empresa que tenha trabalhadores a seu cargo, seja uma pequena ou média empresa, seja uma empresa vocacionada para o recrutamento ou trabalho temporário ou mesmo os grandes grupos empresariais, estão obrigados a estar em conformidade com as exigências do RGPD.

É uma área onde se colocam muitos desafios operacionais às organizações e alguns deles, são de grande complexidade técnica para a conformidade ao RGPD. São muitos os cenários que se colocam a um departamento RH no tema do tratamento de dados pessoais no contexto laboral. Alguns exemplos:

  • a seleção e o recrutamento de trabalhadores
  • a utilização de recursos de informação e comunicação na empresa (computador, telemovel, email, internet,…)
  • a utilização de recursos de comunicação fora da empresa
  • o controlo de tempos de trabalho
  • a biometria de assiduidade
  • a monitorização da atividade de trabalhadores nas redes sociais
  • a utilização de meios de vigilância à distância (utilização de veículos automóveis e a geolocalização, videovigilancia)
  • os testes de álcool e psicotrópicos
  • Processos disciplinares
  • a partilha e a divulgação de dados a terceiros
  • a subcontratação para processamento salarial
  • a transferência internacional de dados (exportação de dados extra-EEE)
  • a pandemia COVID-19
  • o teletrabalho
  • tempos de retenção e conservação dos dados pessoais em contexto laboral adequados às obrigações legais de conservação

Um dos desafios é a conformidade ao RGDP da aplicação informática de gestão RH.  Alguns dos módulos funcionais devem estar adequados , entre outros, o módulo referente às Atividades e Serviços de Segurança e Saúde no Trabalho, onde terá que haver uma separação lógica entre os dados referentes á saúde e os restantes dados pessoais,  a aplicação do exercício do direito ao esquecimento, o modulo de controlo de assiduidade, formação profissional,

São  muito relevantes o artigo 88.º e o considerando 43 do RGPD, o artigo 28.º da Lei 58/2019, sendo de relevar que o Consentimento do trabalhador não é fundamento legitimo para tratamento de alguns dos seus dados.  O Consentimento é uma excepção e só pode existir se não houver consequências negativas para o titular dos dados.

A entidade patronal como responsável pelo tratamento dos dados pessoais, terá que recorrer ao fundamento do interesse legítimo com frequência, à obrigação contratual e ao cumprimento de obrigações jurídicas para justificar a licitude do tratamento de dados dos trabalhadores. No entanto, e no caso  do interesse legítimo, a entidade patronal terá que assegurar que o tratamento é estritamente necessário, proporcional, devendo coletar somente os dados que são tratados para atingir a finalidade do tratamento.

Tenho como referência as recomendações do GT29, transcrevo algumas das orientações e ideias do documento “Opinion 2/2017 on data processing at work” de 8.06.2017:

  • Todos os tratamentos de dados devem ser comunicados aos trabalhadores
  • Sempre que possível, os trabalhadores ou os seus representantes devem ser envolvidos na elaboração das políticas de tratamento de dados pessoais
  • No caso de dispositivos propriedade dos trabalhadores não é permitida a monitorização permanente das comunicações (BYOD)
  • Aplicar o princípio da proporcionalidade que exige que seja sempre escolhida pelo empregador a forma menos intrusiva de tratar os dados
  • O empregador não pode aceder a dados de saúde recolhidos por dispositivos oferecidos ou disponibilizados aos trabalhadores
  • Não se deve recorrer à utilização de tecnologias de reconhecimento facial para análise de ambiente de trabalho (não respeita o princípio da proporcionalidade)
  • A utilização de tecnologia GPS em veículos deverá permitir a sua desativação se o veículo puder ser utilizado para fins privados

Também para estar em conformidade com o RGPD é fundamental implementar várias medidas que cumpram os princípios da segurança e proteção de dados “by default & by design”: minimização de dados, pseudoanonimização, transparência e melhoria contínua de sistema e recursos de segurança da informação, por isso não será demais lembrar algumas medidas a tomar em termos de sistemas de informação:

  • Fornecer pastas de rede e ser obrigatório uma política que limita o armazenamento de documentos em computadores portáteis, postos de trabalho, tablets e dispositivos móveis
  • Todos os dados importantes nos computadores portáteis, de secretária, tablets e dispositivos móveis, em redes de comunicação, nos smartphones ou em armazenamentos externos devem estar encriptados
  • Realizar DPIA (Avaliação de Impacto sobre a Privacidade) nos tratamento com recurso à biometria ou à CCTV
  • Documentos a ter em conta (artigo 13.º do RGPD): Direito à informação através do contrato de trababalho ou adenda e sempre que aplicável, acordo de confidencialidade
  • Estabelecer, com os Subcontratantes,  Acordos de Tratamento de Dados com as clausula-tipo do artigo 28.º
  • Se aplicável, estabelecer com os outros responsáveis pelo tratamento,  Acordos de Tratamento de Dados na conformidade com os artigos 4.º e 26.º do RGPD
  • Documentar as transferências internacionais de dados

E por último, uma questão: no seu departamento RH estão disponíveis trituradores de papel e há uma política aplicável à trituração de documentos que contenham dados pessoais dos candidatos e dos colaboradores?

Como saber mais:

Contacte a Controlgal Consulting: Promovemos ações de formação planeadas de acordo com  as características e as necessidades de cada Organização.  Através do serviço de auditoria, as Organizações poderão verificar a sua conformidade com a legislação de proteção de dados e identificar eventuais situações de não conformidade.

EDPB_Guidelines