2019/09/02

A Lei de Execução - relações laborais vs proteção de dados pessoais

Joana de Sá e Rita Ferreira Ramos refletem sobre questões de proteção de dados pessoais e relações laborais e como estas são abordadas na Lei de Execução.

Durante o período entre a efetiva aplicação do RGPD e a promulgação da Lei 58/2019, de 8 de agosto, doravante “Lei de Execução” (lei que visa assegurar a execução, na ordem jurídica nacional, do RGPD) – um ano e cerca de três meses – ao nível das relações laborais várias questões surgiram, para as quais poucas ou nenhumas respostas concretas existiam, a saber:

  1. Posso tratar os dados pessoais do trabalhador, sem que este me tenha dado o seu consentimento?
  2. Tenho empresas subcontratadas que tratam os dados dos trabalhadores, no entanto não tenho contrato de prestação de serviços. Tenho que ter o contrato e fazer o acordo para o tratamento de dados?
  3. O consentimento do trabalhador é válido?
  4. Posso utilizar as gravações de CCTV’s em processos disciplinares de trabalhadores?
  5. Posso utilizar o sistema de leitura de dados biométricos como meio de controlo de pontualidade e assiduidade do trabalhador?

Assim, embora de forma muito insuficiente, o nosso legislador, com vista a tentar dar resposta a essas questões, bem como a outras, preocupou-se em autonomizar, e sistematizar, as questões relacionadas com as relações laborais num único artigo desta Lei de Execução (cfr. artigo 28º), situação que não acontece no RGPD.

Ora, vamos por partes:

- Quanto à legitimidade para o tratamento dos dados pessoais dos trabalhadores, por parte do empregador, o legislador demonstrou preocupação em esclarecer, se é que dúvidas houvesse, que os dados pessoais podem ser tratados dentro das finalidades e dos limites definidos no Código do Trabalho e respetiva legislação complementar ou noutros regimes setoriais. Portanto, o empregador encontra legitimidade para tratar os dados pessoais do trabalhador, desde que decorra de uma obrigação legal e/ou contratual, o que aliás já resultava do RGPD.

- Relativamente à necessidade (ou não) da existência de acordos para tratamento de dados no âmbito de prestação de serviços com subcontratantes, que tratem dados pessoais dos trabalhadores por conta e em nome do empregador, a lei é clara quanto à sua obrigatoriedade, bem como exige que se garanta sigilo.

- Já no que respeita à questão sobre se o consentimento do trabalhador é válido, como fundamento jurídico para o tratamento dos seus dados, no considerando 43º, do RGPD, esclarece que não se considera que o consentimento possa constituir fundamento jurídico válido para o tratamento em casos específicos em que exista um manifesto desequilíbrio entre o titular dos dados e o responsável pelo tratamento, uma vez que este não será dado de livre vontade (um dos requisitos essenciais do consentimento). Ora, um dos melhores exemplos no que respeita à existência deste desequilíbrio são as relações laborais, uma vez que o empregador, em princípio, terá sempre numa posição de superioridade perante o trabalhador.

Há no entanto quem defenda que existem situações em que, desde que exista uma vantagem (qualquer que seja) para o trabalhador, este consentimento pode ser considerado válido, porém, há quem assuma uma posição mais extrema e, em consequência, defenda que, mesmo nesses casos, o consentimento nunca será válido, mesmo que vise o próprio interesse legítimo do trabalhador.

Todavia, o nosso legislador foi inovador, criando uma terceira corrente que acaba por mitigar as duas posições atrás referidas. Assim, e de acordo com a Lei de Execução, o consentimento, dado pelo trabalhador ao empregador, não é requisito de legitimidade para o tratamento de dados pessoais em duas situações:

i) se o tratamento resultar de uma vantagem jurídica ou económica para o trabalhador; ou,

ii) se esse tratamento resultar de uma obrigação contratual ou de diligências pré-contratuais.

Deste modo, e fazendo uma interpretação do artigo 28º da Lei de Execução, o nosso legislador diz que o consentimento não constitui requisito de legitimidade para o tratamento apenas nestas duas situações, aceitando, assim, que o seja em todas as que não estão mencionadas, o que contraria frontalmente não só com o próprio RGPD como a própria legislação nacional, nomeadamente a laboral.

- Nas questões relativas à utilização de imagens de CCTV’s esta Lei de Execução veio abrir a porta no que aos processos disciplinares de trabalhadores diz respeito.

Assim, esta Lei de Execução veio permitir que imagens recolhidas por CCTV’s no local de trabalho possam ser utilizadas em processos disciplinares de trabalhadores desde que tal processo tenha tido origem num processo penal, em que o trabalhador em causa seja arguido, e vise apurar a sua responsabilidade disciplinar, sendo que a Lei de Execução, nestes caso, esclarece que este tratamento deve ser efetuado nos termos do artigo 20º do Código do Trabalho.

- Por fim, no que respeita aos sistemas de leitura biométrica, para o controlo de pontualidade e assiduidade do trabalhador, esta Lei de Execução veio dar resposta a um vazio legal, isto porque o RGPD proíbe este tipo de tratamento de dados, uma vez que o RGPD esclarece que os dados biométricos são categorias especiais de dados, mas abre a possibilidade de o fazer tendo por base, por exemplo, o consentimento do titular dos dados pessoais ou então os Estados-Membros legislarem nesse sentido. Ora, e como já foi referido anteriormente, o consentimento nas relações laborais, em regra, não é válido. Assim, veio a Lei de Execução o permitir, seguindo as práticas já vigentes em Portugal anteriores ao RGPD, tendo assim tal tratamento, como base de licitude, uma lei.

O empregador pode, por isso, utilizar estes sistemas, desde que assegure que são apenas utilizadas representações dos dados biométricos e que não seja possível, através do processo de recolha, a reversibilidade dos referidos dados (por exemplo, não pode ser reconstituída a impressão digital através das representações dos dados biométricos). No entanto, ficou por esclarecer, relativamente a este ponto, se a utilização deste sistema é apenas para acessos às instalações físicas do empregador, ou se existe a possibilidade de se enquadrar aqui situações de acessos informáticos e/ou acessos a outras tecnologias.

Acresce que, esta disposição legal não significa que as demais obrigações do RGPD e demais legislação não devam ser tidas em atenção, nomeadamente, dependendo do caso concreto, a necessidade de uma avaliação de impacto antes de se iniciar o tratamento dos dados biométricos.

Podemos assim concluir que o legislador nacional perdeu uma excelente oportunidade para responder, esclarecer, aperfeiçoar, e delimitar certas questões pertinentes levantadas pelo RGPD, optando antes por uma filosofia mais conservadora, vaga e genérica, que poderá levar a uma série de interpretações, muitas delas contrárias ao próprio espírito do RGPD. Pelo que muitas das insuficiências atrás referidas passarão pela atuação e da Autoridade de Controlo Portuguesa, a Comissão Nacional de Proteção de Dados.

Joana de Sá | Sócia | Laboral

Rita Ferreira Ramos | Advogada Estagiária | Propriedade Intelectual e Privacidade