RGPD e o Tratamento de dados pessoais em contexto laboral

Os departamentos de RH, vendas, jurídico, financeiro, TI e Marketing são alguns dos departamentos cujas as práticas são mais afetadas pelo RGPD, pois lidam com a maior parte dos dados pessoais pelos quais a organização é responsável pelo tratamento (data controller).

Destaco neste artigo o departamento RH, quer pela quantidade de tratamentos de dados pessoais sob sua responsabilidade, quer pela quantidade de elementos t√©cnicos e processos organizativos que tem que implementar, atrav√©s do seu Sistema Geral de Prote√ß√£o de Dados (SGPD), de modo a estar em conformidade com as disposi√ß√Ķes com o RGPD e em linha com o C√≥digo de Trabalho e a Lei n¬ļ 58/2019 de 8 de agosto.

No contexto laboral o tratamento dos dados pessoais tem um impacto substancial uma vez que qualquer empresa que tenha trabalhadores a seu cargo, seja uma pequena ou média empresa, seja uma empresa vocacionada para o recrutamento ou trabalho temporário ou mesmo os grandes grupos empresariais, estão obrigados a estar em conformidade com as exigências do RGPD.

√Č uma √°rea onde se colocam muitos desafios operacionais √†s organiza√ß√Ķes e alguns deles, s√£o de grande complexidade t√©cnica para a conformidade ao RGPD. S√£o muitos os cen√°rios que se colocam a um departamento RH no tema do tratamento de dados pessoais no contexto laboral. Alguns exemplos:

  • a sele√ß√£o e o recrutamento de trabalhadores
  • a utiliza√ß√£o de recursos de informa√ß√£o e comunica√ß√£o na empresa (computador, telemovel, email, internet,‚Ķ)
  • a utiliza√ß√£o de recursos de comunica√ß√£o fora da empresa
  • o controlo de tempos de trabalho
  • a biometria de assiduidade
  • a monitoriza√ß√£o da atividade de trabalhadores nas redes sociais
  • a utiliza√ß√£o de meios de vigil√Ęncia √† dist√Ęncia (utiliza√ß√£o de ve√≠culos autom√≥veis e a geolocaliza√ß√£o, videovigilancia)
  • os testes de √°lcool e psicotr√≥picos
  • Processos disciplinares
  • a partilha e a divulga√ß√£o de dados a terceiros
  • a subcontrata√ß√£o para processamento salarial
  • a transfer√™ncia internacional de dados (exporta√ß√£o de dados extra-EEE)
  • a pandemia COVID-19
  • o teletrabalho
  • tempos de reten√ß√£o e conserva√ß√£o dos dados pessoais em contexto laboral adequados √†s obriga√ß√Ķes legais de conserva√ß√£o

Um dos desafios √© a conformidade ao RGDP da aplica√ß√£o inform√°tica de gest√£o RH. ¬†Alguns dos m√≥dulos funcionais devem estar adequados , entre outros, o m√≥dulo referente √†s Atividades e Servi√ßos de Seguran√ßa e Sa√ļde no Trabalho, onde ter√° que haver uma separa√ß√£o l√≥gica entre os dados referentes √° sa√ļde e os restantes dados pessoais,¬† a aplica√ß√£o do exerc√≠cio do direito ao esquecimento, o modulo de controlo de assiduidade, forma√ß√£o profissional,

S√£o¬† muito relevantes o artigo 88.¬ļ e o considerando 43 do RGPD, o artigo 28.¬ļ da Lei 58/2019, sendo de relevar que o Consentimento do trabalhador n√£o √© fundamento legitimo para tratamento de alguns dos seus dados.¬† O Consentimento √© uma excep√ß√£o e s√≥ pode existir se n√£o houver consequ√™ncias negativas para o titular dos dados.

A entidade patronal como respons√°vel pelo tratamento dos dados pessoais, ter√° que recorrer ao fundamento do interesse leg√≠timo com frequ√™ncia, √† obriga√ß√£o contratual e ao cumprimento de obriga√ß√Ķes jur√≠dicas para justificar a licitude do tratamento de dados dos trabalhadores. No entanto, e no caso¬† do interesse leg√≠timo, a entidade patronal ter√° que assegurar que o tratamento √© estritamente necess√°rio, proporcional, devendo coletar somente os dados que s√£o tratados para atingir a finalidade do tratamento.

Tenho como refer√™ncia as recomenda√ß√Ķes do GT29, transcrevo algumas das orienta√ß√Ķes e ideias do documento ‚ÄúOpinion 2/2017 on data processing at work‚ÄĚ de 8.06.2017:

  • Todos os tratamentos de dados devem ser comunicados aos trabalhadores
  • Sempre que poss√≠vel, os trabalhadores ou os seus representantes devem ser envolvidos na elabora√ß√£o das pol√≠ticas de tratamento de dados pessoais
  • No caso de dispositivos propriedade dos trabalhadores n√£o √© permitida a monitoriza√ß√£o permanente das comunica√ß√Ķes (BYOD)
  • Aplicar o princ√≠pio da proporcionalidade que exige que seja sempre escolhida pelo empregador a forma menos intrusiva de tratar os dados
  • O empregador n√£o pode aceder a dados de sa√ļde recolhidos por dispositivos oferecidos ou disponibilizados aos trabalhadores
  • N√£o se deve recorrer √† utiliza√ß√£o de tecnologias de reconhecimento facial para an√°lise de ambiente de trabalho (n√£o respeita o princ√≠pio da proporcionalidade)
  • A utiliza√ß√£o de tecnologia GPS em ve√≠culos dever√° permitir a sua desativa√ß√£o se o ve√≠culo puder ser utilizado para fins privados

Tamb√©m para estar em conformidade com o RGPD √© fundamental implementar v√°rias medidas que cumpram os princ√≠pios da seguran√ßa e prote√ß√£o de dados ‚Äúby default & by design‚ÄĚ: minimiza√ß√£o de dados, pseudoanonimiza√ß√£o, transpar√™ncia e melhoria cont√≠nua de sistema e recursos de seguran√ßa da informa√ß√£o, por isso n√£o ser√° demais lembrar algumas medidas a tomar em termos de sistemas de informa√ß√£o:

  • Fornecer pastas de rede e ser obrigat√≥rio uma pol√≠tica que limita o armazenamento de documentos em computadores port√°teis, postos de trabalho, tablets e dispositivos m√≥veis
  • Todos os dados importantes nos computadores port√°teis, de secret√°ria, tablets e dispositivos m√≥veis, em redes de comunica√ß√£o, nos smartphones ou em armazenamentos externos devem estar encriptados
  • Realizar DPIA (Avalia√ß√£o de Impacto sobre a Privacidade) nos tratamento com recurso √† biometria ou √† CCTV
  • Documentos a ter em conta (artigo 13.¬ļ do RGPD): Direito √† informa√ß√£o atrav√©s do contrato de trababalho ou adenda e sempre que aplic√°vel, acordo de confidencialidade
  • Estabelecer, com os Subcontratantes,¬† Acordos de Tratamento de Dados com as clausula-tipo do artigo 28.¬ļ
  • Se aplic√°vel, estabelecer com os outros respons√°veis pelo tratamento,¬† Acordos de Tratamento de Dados na conformidade com os artigos 4.¬ļ e 26.¬ļ do RGPD
  • Documentar as transfer√™ncias internacionais de dados

E por √ļltimo, uma quest√£o: no seu departamento RH est√£o dispon√≠veis trituradores de papel e h√° uma pol√≠tica aplic√°vel √† tritura√ß√£o de documentos que contenham dados pessoais dos candidatos e dos colaboradores?

Como saber mais:

Contacte a Controlgal Consulting: Promovemos a√ß√Ķes de forma√ß√£o planeadas de acordo com¬† as caracter√≠sticas e as necessidades de cada Organiza√ß√£o.¬† Atrav√©s do servi√ßo de auditoria, as Organiza√ß√Ķes poder√£o verificar a sua conformidade com a legisla√ß√£o de prote√ß√£o de dados e identificar eventuais situa√ß√Ķes de n√£o conformidade.

EDPB_Guidelines