Ricardo Nascimento

Advogado

Alexandre Gama

Advogado

Como referido pela revista The Economist, em maio de 2017: “The world’s most valuable resource is no longer oil, but data”. O processamento e tratamento dos dados pessoais permite definir o perfil de uma pessoa, por forma a analisar ou prever as suas preferências, gostos, carácter, o seu comportamento, as suas atitudes, o que pode ser usado, não só, para marketing, publicidade, mas também em contexto laboral. São também a base da construção da inteligência artificial e dos algoritmos. Atualmente, as empresas e os departamentos de seleção e recrutamento utilizam frequentemente as redes sociais para obterem um maior grau de conhecimento relativo aos candidatos, usando, por vezes, algoritmos que selecionam determinado perfil de indivíduos para o lugar pretendido, em detrimento de outros.

Estima-se que o negócio desenvolvido em torno dos dados pessoais ascenda, só na União Europeia, a 60.000 milhões de euros, sendo já considerado o novo “ouro”. Prevê-se igualmente que em 2030, 15 a 20% do PIB mundial combinado seja baseado no fluxo de dados.

Consideram-se dados pessoais toda e qualquer informação relativa a pessoas singulares identificadas ou identificáveis, como por exemplo, o nome, morada, e-mail, idade, estado civil, dados de localização, dados genéticos, dados biométricos, um IP de um computador, dados económicos, culturais ou sociais, etc.

Relativamente ao tratamento de dados, entende-se que o mesmo consiste em qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem recurso a meios automáticos, entre as quais se encontram as seguintes: a recolha de dados; o registo desses dados; a organização de dados; a conservação; a adaptação ou alteração; a recuperação; utilização; consulta; divulgação por qualquer forma de disponibilização; comparação ou interconexão; limitação e apagamento ou destruição.

Como é sabido, em 27 de abril de 2016, foi publicado o Regulamento 2016/679 do Parlamento Europeu e do Conselho da União Europeia – Regulamento Geral sobre a Proteção de Dados (RGPD). Este diploma entrou em vigor em 24 de maio de 2016, revogando a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995 e tornou-se aplicável a partir de 25 de maio de 2018.

O RGPD, enquanto Regulamento Comunitário, vigora diretamente no ordenamento jurídico português – e de qualquer outro Estado-Membro –, sem qualquer necessidade de intervenção legislativa do Estado. As regulamentações nacionais – incluindo a portuguesa – visam apoiar a concretização do RGPD em aspetos específicos, facilitando a sua interpretação dentro do enquadramento de cada país.

Recentemente, aos 8 dias de agosto, foi publicada a Lei n.º 58/2019, que assegurou a execução, na ordem jurídica nacional, do RGPD. Tal Lei entrou em vigor no dia subsequente, 9 de agosto e é essencial para clarificar e traduzir alguns aspetos do Regulamento Europeu para a realidade portuguesa. Assim, a legislação final foi publicada mais de um ano depois da data em que as regras de Bruxelas se tornaram obrigatórias na União Europeia (UE) – a 25 de maio de 2018 –, e no que concerne à realidade das relações laborais, a Lei remete, no n.º 1 do seu art. 28.º, para a disciplina constante do Código do Trabalho (CT), maxime arts. 16.º a 22.º deste último diploma. É importante ter sempre presente estes 3 diplomas quando tratamos desta matéria, a que acrescem as normas internacionais, constitucionais, civis e penais que protegem igualmente os direitos fundamentais de personalidade, privacidade e o direito à reserva da intimidade da vida privada. Como objeto deste artigo, interessa-nos em especial, a tutela dos direitos de personalidade de trabalhadores, mormente da defesa da sua privacidade, da confidencialidade das suas mensagens, comunicações, sítios de internet consultados e informações recolhidas, etc. Contudo, a reserva da intimidade da vida privada do trabalhador não prejudica a possibilidade de o empregador estabelecer regras de utilização dos meios de comunicação e das tecnologias de informação e de comunicação manuseados na empresa, nomeadamente através da imposição de limites, tempos de utilização, acessos ou sítios vedados aos trabalhadores (cf. art. 22.º, n.º 2 do CT), sendo que tais regras deverão revestir a forma de regulamento interno (cf. art. 99.º do CT) e ser necessárias, adequadas e proporcionais, não olvidando as novas disposições do RGPD.

O tratamento dos dados pessoais dos trabalhadores destina-se, essencialmente, a permitir a execução dos contratos de trabalho, assim como para o cumprimento de obrigações legais do empregador e/ou para satisfação de interesses legítimos desta.

Relembramos que, com a entrada em vigor do RGPD, passámos de um sistema de heterorregulação para um sistema de autorregulação de proteção de dados. Consequentemente,  verifica-se a desnecessidade de solicitar à CNPD a autorização para a utilização de meios tecnológicos de vigilância à distância (vulgo CCTV), o que tornou os n.ºs 1 e 2 do artigo 21.º do Código do Trabalho obsoletos, esvaziando-os de conteúdo. O mesmo acontece com os sistemas de GPS, sendo que ambas as matérias têm dado a origem a conhecida controvérsia jurisprudencial.

A recente Lei n.º 58/2019 veio instituir a regra – art. 28.º, n.º 3, alínea b) – de que o consentimento do trabalhador não constitui requisito de legitimidade do tratamento dos seus dados pessoais se esse tratamento estiver abrangido pelo disposto na alínea b) do n.º 1 do art. 6.º do RGPD – onde se estipula que o tratamento de dados pessoais é lícito na medida em que for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados –, salvo quando desse tratamento resultar uma vantagem jurídica ou económica para os mesmos (art. 28.º, n.º 3, alínea a)).

Adiante, nos n.ºs 4 e 5 do aludido art. 28.º, a Lei impõe expressamente que os dados pessoais dos trabalhadores recolhidos através de meios tecnológicos de vigilância à distância (tais como imagens recolhidas através de câmaras de videovigilância) só possam ser utilizados em procedimento disciplinar se o forem no âmbito de procedimento criminal. De resto, esta norma vai no sentido (e, por isso, para lá se remete) do postulado nos arts. 20.º e 21.º do CT.

Os dados pessoais dos trabalhadores, constantes do seu contrato de trabalho, bem como aqueles que foram transmitidos no decurso da execução daquele, podem ser tratados e incorporados em distintos ficheiros com diversas finalidades: processar os salários, gratificações, subsídios e outras vantagens patrimoniais; gerir a relação laboral, nomeadamente, a antiguidade, o dossier disciplinar, a carreira contributiva; gerir o sistema de higiene, saúde, segurança no trabalho e prevenção de riscos laborais; controlar a pontualidade e assiduidade; garantir a segurança das instalações através da gravação de imagens pelo sistema de vídeo vigilância, entre outros.

O tratamento dos dados pessoais dos trabalhadores destina-se, essencialmente, a permitir a execução dos contratos de trabalho, assim como para o cumprimento de obrigações legais do empregador e/ou para satisfação de interesses legítimos desta.

O n.º 6 do artigo 28.º da Lei n.º 58/2019 veio legitimar o tratamento dos dados biométricos dos trabalhadores (como sejam a impressão digital, a íris, entre outros) exclusivamente para fins de controlo de acesso às instalações da entidade empregadora ou para fins de controlo de assiduidade dos trabalhadores, devendo assegurar-se que apenas se utilizem representações dos dados biométricos, porquanto, como refere o especialista em segurança informática Bruce Schneier: “If someone steals your password, you can change it. But if someone steals your thumbprint, you can’t get a new thumb”. Sobre tal matéria, bastante complexa, recomenda-se a leitura dos princípios sobre a utilização de dados biométricos no âmbito do controlo de acessos e de assiduidade disponíveis no site da CNPD.

Assim, o trabalhador deve ser informado, não só, do tratamento dos dados biométricos, para efeitos de controlo e de registos pontométricos das entradas e saídas, como também da sua transmissão a entidades terceiras, nomeadamente, à Segurança Social, Autoridade Tributária (AT), Autoridade para as Condições do Trabalho (ACT), Fundo de Compensação do Trabalho (FCT), seguradoras de acidentes de trabalho, empresas de segurança, higiene e saúde no trabalho, entre outras entidades públicas a quem devam ser feitas comunicações legalmente exigíveis.

Quanto aos dados de saúde e dados genéticos, de forma resumida, é imposta às entidades a obrigação de efetuar o acesso a tais dados exclusivamente de forma eletrónica, salvo quando tal não seja possível por impossibilidade técnica ou se o titular dos dados tiver indicado expressamente o contrário, sendo proibida a sua divulgação ou transmissão posterior. É igualmente imposta a obrigação de notificar o titular de dados de saúde ou de dados genéticos de qualquer acesso aos seus dados, pelo que as empresas deverão ser capazes de identificar/rastrear esses acessos para cumprir esta obrigação.

O empregador, enquanto responsável pelo tratamento dos dados, está obrigado a aplicar, em permanência, medidas técnicas, organizativas e de controlo, adequadas e permanentes, para assegurar o necessário nível de segurança ao risco, por forma a manter a integridade e a confidencialidade dos dados pessoais conservados e/ou transmitidos, garantindo que as pessoas autorizadas ao tratamento dos dados assumiram uma obrigação contratual de confidencialidade ou a ela estão legalmente sujeitas.

Por sua vez, o trabalhador, enquanto titular dos dados, tem vários direitos. Desde logo, tem o direito de apresentar reclamação à autoridade de controlo, a Comissão Nacional de Proteção de Dados, em relação à violação, viciação ou omissão de proteção dos seus dados pessoais, a quem a empregadora prestará toda a colaboração, facultando-lhe todas as informações que, no exercício das suas competências, por esta lhe sejam solicitadas.

Depois, o trabalhador tem ainda o direito de solicitar ao empregador o acesso aos seus dados pessoais, podendo/devendo proceder à sua retificação, quando incorretos.

Mais, tem o direito à limitação do tratamento dos dados e à sua portabilidade, quando solicitada, assim como o direito ao apagamento dos mesmos.

Finalmente, o trabalhador pode, a qualquer momento, rever, atualizar e decidir que tipo de dados pretende ver guardados. Para tanto, poderá contactar diretamente o Responsável pelo Tratamento dos Dados, solicitando a qualquer momento a cópia dos dados que lhe digam respeito, a retirada do consentimento (quando aplicável), a retificação, o apagamento, a limitação, a portabilidade e a oposição ao tratamento dos mesmos. Cumpre salientar e informar que a retirada posterior de consentimento não compromete a legalidade do tratamento realizado com base no consentimento previamente dado.