Newsletter 29-10-2018
A recolha de dados biométricos no contexto laboral

“O tratamento de dados biométricos será uma das situações em que o consentimento dado no contexto laboral poderá operar como fundamento legal para um tratamento leal e lícito”.


O Regulamento Geral de Protecção de Dados (de ora em diante RGPD) tem implicações transversais em toda a estrutura organizativa das entidades públicas e privadas. Neste cenário, os Recursos Humanos não são excepção e serão bastante relevantes as alterações que o Regulamento motiva. De entre as várias alterações que o RGPD veio introduzir no contexto laboral, talvez uma das mais sublimes, mas que mais alterações trouxe, foi o alargamento do conceito de “dados pessoais sensíveis”. Fala-se, concretamente, na inclusão dos dados biométricos no âmbito das categorias especiais de dados pessoais.

Antes da entrada em vigor do RGPD, vogava entre nós um princípio de hétero-regulação, em que competia a CNPD enquanto autoridade de controlo, consoante os casos, registar ou autorizar o tratamento de dados pessoais.

Uma vez que os dados biométricos não eram considerados dados sensíveis (pelo menos de forma expressa e unânime), o seu tratamento não estava a priori proibido, razão pela qual bastava ao Responsável pelo Tratamento submeter um pedido fundamentado à CNPD e concomitante autorização desta, para que pudesse ser implementado um sistema de registo de dados biométricos no local de trabalho.

Naturalmente este pedido teria que ser fundamentado de acordo com os ditames da antiga Lei n.º 67/98 de 26 de Outubro (Lei da Protecção de dados), nomeadamente o tratamento deveria ser feito com respeito pela reserva da vida privada do titular dos dados e para finalidades determinadas, explícitas e legítimas, devendo também ser adequado, pertinente e não excessivo em relação à finalidade que motivou a sua recolha.

Ora, antes da entrada em vigor do RGPD a base de licitude para realizar este tratamento, era o facto de existir um interesse legítimo por parte da entidade empregadora em proceder a este tratamento, fosse ele para o controlo de acessos e/ou para o controlo de assiduidade dos trabalhadores, tendo uma base legal fundada no artigo 202.º do Código do Trabalho.

Com esta elevação dos dados biométricos a dados pessoais sensíveis, o seu tratamento passou a ser, por regra, proibido. Esta alteração acarreta a mais relevante contingência: não é possível tratar categorias especiais de dados tendo como fundamento um interesse legítimo do responsável pelo tratamento. Quererá isto significar que, para cumprir com o novo paradigma legal, na minha opinião, apenas será possível enquadrar estes processos de tratamento no âmbito de obrigação jurídica da entidade empregadora (que actualmente não existe no CT ou em outro qualquer normativo legal) ou com consentimento dos titulares (com todos os inconvenientes da sua recolha no âmbito de uma relação de trabalho subordinado).

De todo o modo, não se fazendo prever uma alteração do Código do Trabalho nesta matéria, ou uma disposição que surja da esperada “lei de implementação do RGPD” que gere uma obrigação legal para as entidades empregadoras desta índole, o caminho a seguir para levar a cabo estes processos de tratamento de modo lícito, poderá ser recorrer ao consentimento.

Certo é também que, atenta a subordinação jurídica e o consequente desequilíbrio de posições na relação empregador/ trabalhador, afigura-se como improvável que o titular dos dados possa recusar prestar o consentimento para o tratamento dos dados sem que haja medo ou risco real de consequências negativas decorrentes dessa recusa. Contudo, isto não significa que os empregadores nunca possam utilizar o consentimento como fundamento legal para o tratamento dados. De facto, pode haver situações em que seja possível ao empregador demonstrar que o consentimento foi dado livremente.

Atentas as alterações supra descritas, introduzidas pelo RGPD, o tratamento de dados biométricos poderá ser uma das situações em que o consentimento dado no contexto laboral poderá operar como fundamento legal para um tratamento leal e lícito, cabendo à entidade empregadora a criação de mecanismos que atestem a liberdade do consentimento prestado, assegurando que o acto de dar ou recusar o consentimento não produzirá quaisquer consequências negativas para o trabalhador (p.ex. a criação de um mecanismo alternativo de controlo de assiduidade que permita ao trabalhador escolher; evitar que este consentimento seja recolhido já durante a execução do contrato de trabalho).

Mais ainda, a entrada em vigor deste Regulamento mudou por completo o anterior paradigma de regulação, vigorando agora um sistema de autorregulação. Quer isto dizer que o tratamento de dados pessoais não depende mais de qualquer autorização prévia, sendo o Responsável pelo Tratamento o encarregue por assegurar um tratamento correcto, leal e lícito dos dados pessoais, estando naturalmente este tratamento sujeito a uma qualquer inspeção por parte da autoridade de controlo competente.

Assim, e ainda antes de proceder à eventual recolha do consentimento dos seus trabalhadores, a entidade empregadora deve verificar se o sistema de registo de dados biométrico implementado obteve já autorização por parte da CNPD, prévia à entrada em vigor do RGPD. Caso não exista esta autorização deve a entidade empregadora proceder à realização de uma Avaliação de Impacto sobre Protecção de Dados (AIPD) para determinação, nomeadamente, da origem, natureza, particularidade e gravidade do risco deste tratamento para os direitos liberdades e garantias dos trabalhadores in casu titulares dos dados.

 


Artigos relacionados

Quer fazer parte da equipa?

Ser advogado na Nuno Cerejeira Namora, Pedro Marinho Falcão & Associados é um desafio e uma oportunidade para quem quer abraçar uma carreira na advocacia.