RGPD e o Tratamento de dados pessoais em contexto laboral
Os departamentos de RH, vendas, jurídico, financeiro, TI e Marketing são alguns dos departamentos cujas as práticas são mais afetadas pelo RGPD, pois lidam com a maior parte dos dados pessoais pelos quais a organização é responsável pelo tratamento (data controller).
Destaco neste artigo o departamento RH, quer pela quantidade de tratamentos de dados pessoais sob sua responsabilidade, quer pela quantidade de elementos técnicos e processos organizativos que tem que implementar, através do seu Sistema Geral de Proteção de Dados (SGPD), de modo a estar em conformidade com as disposições com o RGPD e em linha com o Código de Trabalho e a Lei nº 58/2019 de 8 de agosto.
No contexto laboral o tratamento dos dados pessoais tem um impacto substancial uma vez que qualquer empresa que tenha trabalhadores a seu cargo, seja uma pequena ou média empresa, seja uma empresa vocacionada para o recrutamento ou trabalho temporário ou mesmo os grandes grupos empresariais, estão obrigados a estar em conformidade com as exigências do RGPD.
É uma área onde se colocam muitos desafios operacionais às organizações e alguns deles, são de grande complexidade técnica para a conformidade ao RGPD. São muitos os cenários que se colocam a um departamento RH no tema do tratamento de dados pessoais no contexto laboral. Alguns exemplos:
- a seleção e o recrutamento de trabalhadores
- a utilização de recursos de informação e comunicação na empresa (computador, telemovel, email, internet,…)
- a utilização de recursos de comunicação fora da empresa
- o controlo de tempos de trabalho
- a biometria de assiduidade
- a monitorização da atividade de trabalhadores nas redes sociais
- a utilização de meios de vigilância à distância (utilização de veículos automóveis e a geolocalização, videovigilancia)
- os testes de álcool e psicotrópicos
- Processos disciplinares
- a partilha e a divulgação de dados a terceiros
- a subcontratação para processamento salarial
- a transferência internacional de dados (exportação de dados extra-EEE)
- a pandemia COVID-19
- o teletrabalho
- tempos de retenção e conservação dos dados pessoais em contexto laboral adequados às obrigações legais de conservação
Um dos desafios é a conformidade ao RGDP da aplicação informática de gestão RH. Alguns dos módulos funcionais devem estar adequados , entre outros, o módulo referente às Atividades e Serviços de Segurança e Saúde no Trabalho, onde terá que haver uma separação lógica entre os dados referentes á saúde e os restantes dados pessoais, a aplicação do exercício do direito ao esquecimento, o modulo de controlo de assiduidade, formação profissional,
São muito relevantes o artigo 88.º e o considerando 43 do RGPD, o artigo 28.º da Lei 58/2019, sendo de relevar que o Consentimento do trabalhador não é fundamento legitimo para tratamento de alguns dos seus dados. O Consentimento é uma excepção e só pode existir se não houver consequências negativas para o titular dos dados.
A entidade patronal como responsável pelo tratamento dos dados pessoais, terá que recorrer ao fundamento do interesse legítimo com frequência, à obrigação contratual e ao cumprimento de obrigações jurídicas para justificar a licitude do tratamento de dados dos trabalhadores. No entanto, e no caso do interesse legítimo, a entidade patronal terá que assegurar que o tratamento é estritamente necessário, proporcional, devendo coletar somente os dados que são tratados para atingir a finalidade do tratamento.
Tenho como referência as recomendações do GT29, transcrevo algumas das orientações e ideias do documento “Opinion 2/2017 on data processing at work” de 8.06.2017:
- Todos os tratamentos de dados devem ser comunicados aos trabalhadores
- Sempre que possível, os trabalhadores ou os seus representantes devem ser envolvidos na elaboração das políticas de tratamento de dados pessoais
- No caso de dispositivos propriedade dos trabalhadores não é permitida a monitorização permanente das comunicações (BYOD)
- Aplicar o princípio da proporcionalidade que exige que seja sempre escolhida pelo empregador a forma menos intrusiva de tratar os dados
- O empregador não pode aceder a dados de saúde recolhidos por dispositivos oferecidos ou disponibilizados aos trabalhadores
- Não se deve recorrer à utilização de tecnologias de reconhecimento facial para análise de ambiente de trabalho (não respeita o princípio da proporcionalidade)
- A utilização de tecnologia GPS em veículos deverá permitir a sua desativação se o veículo puder ser utilizado para fins privados
Também para estar em conformidade com o RGPD é fundamental implementar várias medidas que cumpram os princípios da segurança e proteção de dados “by default & by design”: minimização de dados, pseudoanonimização, transparência e melhoria contínua de sistema e recursos de segurança da informação, por isso não será demais lembrar algumas medidas a tomar em termos de sistemas de informação:
- Fornecer pastas de rede e ser obrigatório uma política que limita o armazenamento de documentos em computadores portáteis, postos de trabalho, tablets e dispositivos móveis
- Todos os dados importantes nos computadores portáteis, de secretária, tablets e dispositivos móveis, em redes de comunicação, nos smartphones ou em armazenamentos externos devem estar encriptados
- Realizar DPIA (Avaliação de Impacto sobre a Privacidade) nos tratamento com recurso à biometria ou à CCTV
- Documentos a ter em conta (artigo 13.º do RGPD): Direito à informação através do contrato de trababalho ou adenda e sempre que aplicável, acordo de confidencialidade
- Estabelecer, com os Subcontratantes, Acordos de Tratamento de Dados com as clausula-tipo do artigo 28.º
- Se aplicável, estabelecer com os outros responsáveis pelo tratamento, Acordos de Tratamento de Dados na conformidade com os artigos 4.º e 26.º do RGPD
- Documentar as transferências internacionais de dados
E por último, uma questão: no seu departamento RH estão disponíveis trituradores de papel e há uma política aplicável à trituração de documentos que contenham dados pessoais dos candidatos e dos colaboradores?
Como saber mais:
Contacte a Controlgal Consulting: Promovemos ações de formação planeadas de acordo com as características e as necessidades de cada Organização. Através do serviço de auditoria, as Organizações poderão verificar a sua conformidade com a legislação de proteção de dados e identificar eventuais situações de não conformidade.