QuiosqueAnteriorSeguinte

Destaque Opinião

Poder e permissão

Notas de enquadramento sobre o RGPD e o contexto laboral.

Rui Assis
Advogado e Vice-Presidente do Conselho Geral

No momento atual de autêntico stress social e empresarial decorrente do Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016), regressa, seguramente mais para bem do que para mal, o tema da proteção de dados pessoais no contexto laboral.

Importará ter presente que tal sucede num tempo em que o próprio trabalho conhece transformações profundas, marcadamente decorrentes da chamada era digital, daí também resultando desafios relevantes para o próprio Direito do Trabalho. A norma laboral é chamada a dar resposta a realidades e a problemas novos, sendo colocada perante a opção de se tornar uma norma complacente ou, diversamente, de se constituir como espaço de reafirmação dos direitos fundamentais e de defesa da dignidade da pessoa humana, também e sobretudo no contexto do trabalho. O agora tão falado direito à desconexão digital é precisamente um exemplo paradigmático não só das realidades laborais que emergem (e que levam, no caso, à importância de convocar, num outro tempo mas com igual relevância, os princípios inerentes à limitação da jornada de trabalho...),1 mas também da resposta que importa construir no plano jurídico.

No domínio específico dos dados pessoais, estamos igualmente perante um quadro de alteração tecnológica no respetivo acesso, também em contexto de trabalho, com crescente complexidade das operações de tratamento de dados e com uma banalização quase incontrolável da circulação de dados pessoais.

Esta realidade, marcante, em geral, nas sociedades contemporâneas, ganha no entanto reconhecida relevância e especificidade quando perspetivada no âmbito das relações laborais2, circunstância que o próprio RGPD assume. A previsão do artigo 88º do Regulamento, sistematicamente inserida nas denominadas “Disposições relativas a situações específicas de tratamento”, trata precisamente do “Tratamento no contexto laboral” (é essa a epígrafe da norma), estabelecendo desde logo (no n.º 1), que “Os Estados-Membros podem estabelecer, no seu ordenamento jurídico ou em convenções coletivas, normas mais específicas para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos trabalhadores no contexto laboral, nomeadamente para efeitos de recrutamento, execução do contrato de trabalho, incluindo o cumprimento das obrigações previstas no ordenamento jurídico ou em convenções coletivas, de gestão, planeamento e organização do trabalho, de igualdade e diversidade no local de trabalho, de saúde e segurança no trabalho, de proteção dos bens do empregador ou do cliente e para efeitos do exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados com o emprego, bem como para efeitos de cessação da relação de trabalho”.

E concretizando tal disposição, o n.º 2 do mesmo artigo 88º também preconiza que “As normas referidas incluem medidas adequadas e específicas para salvaguardar a dignidade, os interesses legítimos e os direitos fundamentais do titular dos dados, com especial relevo para a transparência do tratamento de dados, a transferência de dados pessoais num grupo empresarial ou num grupo de empresas envolvidas numa atividade económica conjunta e os sistemas de controlo no local de trabalho”.

Em bom rigor, a norma do artigo 88º do Regulamento é bem mais do que uma norma de reenvio para o legislador nacional; ela constitui também um identificador temático, na perspetiva do legislador europeu, quanto às variáveis mais relevantes que importará ter presentes ao nível do tratamento de dados pessoais no contexto laboral.

No mesmo registo da relevância específica do tratamento de dados pessoais no contexto laboral, cabe ter também presente o património normativo e protetivo atualmente vigente e expresso nas normas do Código do Trabalho relativas aos “Direitos de personalidade”, em particular nos artigos 17º a 22º. Trata-se de um quadro normativo específico codificado a partir do Código do Trabalho de 2003, constituindo, em todo o caso, expressão da tutela conferida quer no plano constitucional, quer no plano civil, com marcado relevo para a proteção da privacidade dos trabalhadores. E que também decorreu, simultaneamente e no plano geral, quer da denominada Lei da Proteção de Dados Pessoais (Lei n.º 67/98, de 26/10, posteriormente alterada pela Lei n.º 103/2015, de 24/8), quer da Diretiva n.º 95/46/CE, de 24/10/1995, cuja transposição foi por esta assegurada.

Com o RGPD há um reforço qualitativo da proteção dos dados pessoais na perspetiva dos respetivos titulares, também no contexto laboral, com previsão de novas obrigações, definição de um relevante quadro de princípios (designadamente nos artigos 5º a 11º do Regulamento) e apresentação de um elenco dos direitos essenciais (artigos 12º a 23º do Regulamento). O incremento da força normativa que o RGPD exprime na proteção dos dados pessoais acompanha, de algum modo, a expansão da noção de intrusividade, a qual se mostra assim determinante para o bom enquadramento dos princípios estabelecidos, bem como para a boa interpretação das normas. A própria noção de dados pessoais, constante do artigo 4º do Regulamento, corresponde a uma perspetiva muito mais ampla e abrangente, considerando explicitamente, por exemplo, os dados de localização e os identificadores por via eletrónica, com evidente relevância para os problemas laborais associados à geolocalização dos trabalhadores3.

Com base nestes pressupostos, o acento tónico do RGPD, no que diz respeito ao acesso e tratamento de dados pessoais dos trabalhadores, situa-se nos limites estabelecidos aos poderes de controle do empregador, hoje ancorados em tecnologias de grande potencial intrusivo4.

Daí resulta, por exemplo, o relevo dado ao princípio da finalidade do tratamento (previsto no artigo 5º, n.º 1, alínea b), do Regulamento, correspondendo ao requisito da existência de um interesse legítimo do empregador no acesso e tratamento), em articulação, sobretudo, com os princípios da proporcionalidade e da transparência. A licitude da atuação do empregador deverá assim ser aferida em função do respeito por tais princípios, de grande densidade normativa, seja no momento do recrutamento, seja na execução do contrato, seja mesmo aquando da cessação do vínculo laboral.

Por outro lado, a respeito do consentimento do titular de dados pessoais para o respetivo tratamento (consentimento que, regra geral, constitui o fundamento para a validade do tratamento), verifica-se que o contexto laboral também implica e induz uma restrição na relevância jurídica do consentimento dado pelo trabalhador5 . Nesse sentido, o Considerando 43 do RGPD estabelece que “A fim de assegurar que o consentimento é dado de livre vontade, este não deverá constituir fundamento jurídico válido para o tratamento de dados pessoais em casos específicos em que exista um desequilíbrio manifesto entre o titular dos dados e o responsável pelo seu tratamento (...)”. É, manifestamente, o caso da relação laboral, daí resultando que a legitimidade de tratamento por parte do empregador deverá decorrer, isso sim, do respeito e observância dos princípios acima referidos, já expressos anteriormente nas normas respetivas do Código do Trabalho, mas que agora surgem reforçados na previsão do RGPD6.

Justificam-se ainda duas notas adicionais a propósito da relevância específica do tratamento de dados no contexto laboral.

A primeira a respeito do “direito ao apagamento dos dados”, ou “direito a ser esquecido”, consagrado no artigo 17º do Regulamento. A era digital, cerceando o sentido da memória, é no entanto, e quase paradoxalmente, avessa ao esquecimento, tão poderosa é a tecnologia que tudo guarda e conserva, para o bem e para o mal. E o direito em causa, na perspetiva do trabalhador, ganha evidente relevância no contexto atual de grande mobilidade profissional.

A segunda nota para fazer referência à norma do artigo 9º do Regulamento, a qual estabelece, como regra, a proibição de tratamento de determinado tipo de dados pessoais, os denominados dados sensíveis. São, na formulação da norma, os “dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa”. A importância deste quadro protetivo reforçado ao nível das relações laborais é evidente, implicando portanto um rigoroso escrutínio da atuação do empregador, designadamente no âmbito das exceções previstas no n.º 2 e no n.º 3 do mesmo artigo 9ª (nas quais se incluem, por exemplo, os aspetos relativos às obrigações do empregador ao nível da medicina do trabalho)7.

Em termos conclusivos, importa reiterar a necessidade de reafirmação, no domínio do tratamento de dados pessoais no contexto laboral, da proteção dos direitos fundamentais e dos direitos de personalidade, independentemente das tecnologias disponíveis e usadas.

Também aqui é essencial assumir que quando quase tudo parece ser tecnicamente possível, nem tudo pode ser juridicamente permitido8, assim também se convocando a fundação ética de S. Paulo para o enquadramento dos problemas que este domínio atualmente suscita.

O autor escreve com o novo Acordo Ortográfico


1 Nesse sentido, Teresa Coelho Moreira, “Algumas Implicações Laborais do Regulamento Geral de Proteção de Dados Pessoais no Trabalho 4.0”, in Questões Laborais, n.º 51, p. 14.
2 Para uma abordagem detalhada do ponto, vide o documento do denominado Grupo de Trabalho do Artigo 29º, Opinion 2/2017 on data processing at work, de 8 de Junho de 2017.
3 Sublinhando a relevância deste aspeto, Teresa Coelho Moreira, “Algumas Implicações…”, cit., p. 20.
4 Vide igualmente Teresa Coelho Moreira, “Algumas Implicações…”, cit., p. 17.
5 Sobre o ponto específico, Joaquín García Murcia e Iván Antonio Rodríguez Cardo, “Implicaciones laborales del Reglamento 2016/679 de la Unión Europea sobre Protección de datos personales”, in Questões Laborais, n.º 51, p. 55 ss.; para uma abordagem geral do problema do consentimento no domínio da proteção de dados, vide o documento do denominado Grupo de Trabalho do Artigo 29º, Guidelines on consent under Regulation 2016/679, com última revisão em 10 de Abril de 2018.
6 Também nesse sentido, Teresa Coelho Moreira, “Algumas Implicações…”, cit., p. 22 e 23.
7 Joaquín García Murcia e Iván Antonio Rodríguez Cardo, “Implicaciones laborales…”, cit., p. 58 ss.; Teresa Coelho Moreira, “Algumas Implicações…”, cit., p. 27.
8 Neste sentido, Teresa Coelho Moreira, “Algumas Implicações…”, cit., p. 33.