O Comité Europeu de Proteção de Dados (CEPD) aprovou, no dia 14 de janeiro de 2021, as Orientações 1/2021, as primeiras de 2021, sobre exemplos práticos e úteis de notificações de violações de dados pessoais (data breach) (“Orientações”).
Estas Orientações complementam as Guidelines WP250 adotadas pelo Grupo de Trabalho do Artigo 29.º em 2018, acrescentando a experiência entretanto adquirida pelas autoridades de controlo dos vários Estados-Membros com a aplicação do RGPD.
Em comparação com as anteriores orientações, as atuais adotam uma abordagem mais prática, sublinhando a importância de uma análise de risco, na qual se possa avaliar as possíveis causas de violação de dados. Fornecem, igualmente exemplos de violação de proteção de dados (os mais comuns) e os procedimentos a adotar, salientando a importância de documentar todo o processo em caso de violação de dados.
São seis os grupos de exemplos dados: (i) ransomware; (ii) acesso indevido a dados pessoais através da internet; (iii) violação decorrente da atuação humana dentro das empresas; (iv)) dispositivos ou documentos perdidos ou roubados; (v) violação decorrente do envio de correspondência; e (vi) outros casos (envolvendo ‘’engenharia social’’).
Já os exemplos em concreto que são indicados pelo CEPD (cerca de 18) vão desde a apresentação de uma candidatura online a uma vaga de emprego, ao preenchimento de crendenciais num site de uma instituição bancária até à violação de dados pessoais em contexto hospitar.
Ou seja, são situações do dia-a-dia, que poderão desencadear uma violação de dados, a que nenhuma pessoa ou entidade estará de antemão a salvo. É, portanto, recomendável a adoção das salvaguardas necessárias e, em caso de violação de dados, desencadear as seguintes medidas:
- Investigar a violação, para que, identificando a origem da violação, se possa avaliar as medidas a tomar. O ideal é que já exista um “plano de contigência” previamente delineado para o efeito;
- De seguida, diligenciar pelas medidas necessárias à mitigação dos prejuízos resultantes da violação (como, por exemplo, retornar todos os sistemas informáticos afetados a um estado ‘’limpo’’ e remediar a sua vulnerabilidade) e comunicar o ocorrido à autoridade de controlo competente (no caso português, a Comissão Nacional de Proteção de Dados). A comunicação da violação deve ser feita em 72 horas a contar do seu conhecimento, quando seja suscetível de implicar um risco para os direitos e liberdades das pessoas envolvidas (dos titulares dos dados);
- Por fim, se a violação de dados configurar (ou for susceptível de configurar) um elevado risco para os direitos e liberdades, também tem de ser comunicada ao titular dos dados.
Estas Orientações estarão em consulta pública até ao próximo dia 2 de março.
No atual contexto de pandemia, a Assembleia da República (AR) recomendou ao Governo a adoção de medidas para travar o aumento das desigualdades estruturais de género desencadeadas pelos impactos socioeconómicos da COVID-19.
Esta recomendação aparece em linha com as orientações da Organização das Nações Unidas, que, em março do ano passado, já salientava o papel fundamental das mulheres no combate à pandemia, apelando para a definição de medidas que garantissem equidade e “amortecessem” os impactos de género.
As mulheres ocupam atualmente a maioria dos postos de trabalho em serviços não essenciais, substancialmente afetados pelas medidas associadas à COVID-19. Além disso, muitas mulheres trabalham como empregadas domésticas, cuidadoras, na generalidade sem vínculo laboral, não estando abrangidas pelos apoios económicos do Governo.
Perante a atual conjuntura, foi publicado um novo diploma que recomenda ao Governo a adoção das seguintes medidas para travar o aumento das desigualdades estruturais de género:
(i) Reconhecimento e valorização do trabalho não remunerado ao nível do cuidado, como uma contribuição vital para a economia, em linha com o relatório da Organização das Nações Unidas;
(ii) Criação de estímulos positivos para travar o desequilibro de género registado relativamente aos trabalhadores apoiados para ficarem em casa com os filhos;
(iii) Promoção do equilíbrio de género no recurso ao teletrabalho;
(iv) Criação de serviços flexíveis de educação e acolhimento, que permitam um equilíbrio saudável entre vida pessoal, familiar e profissional; e
(v) Criação de incentivos para atrair as mulheres, nomeadamente as jovens, para os setores do digital e da energia.
Estas medidas deverão juntar-se às atuais medidas de «compliance» laboral, que põem o foco na igualdade entre homens e mulheres, e que já vinculam as empresas à adoção de um conjunto de instrumentos como é o caso do plano para a igualdade de género e o Relatório sobre as Remunerações dos Trabalhadores (mulheres e homens).
Trata-se, assim, de uma iniciativa que visa, após regulamentação pelo Governo, um compromisso contínuo com vista à melhoria das práticas pelas empresas no âmbito das medidas a adotar para promover a igualdade de género e que se justifica em face do atual cenário, que é propício a agravar essas desigualdades.
Desde ontem, com a entrada em vigor da Lei n.º 4-B/2021, de 1 de fevereiro, as assembleias de condóminos podem realizar-se através de meios de comunicação à distância, designadamente videoconferência, caso a administração assim o decida ou a maioria dos condóminos o solicite. Poderá igualmente ser adotado um modelo misto, presencial e videoconferência.
Caso algum dos condóminos não tenha, fundamentadamente, condições para participar na assembleia através de meios de comunicação à distância e tenha transmitido essa impossibilidade à administração do condomínio, cabe a esta assegurar-lhe os meios necessários para o efeito, sob pena de a assembleia ter de se realizar presencialmente ou em modelo misto.
A assinatura das atas é igualmente facilitada. Assim, a ata da reunião poderá ser assinada com assinatura eletrónica qualificada ou assinatura manuscrita efetuada no documento original ou em documento digitalizado que contenha outras assinaturas.
Em alternativa, o condómino poderá subscrever e enviar por correio eletrónico para o endereço da administração do condomínio uma declaração em como concorda com o conteúdo da ata que lhe tenha sido remetida pela mesma via. Esta declaração deverá ser junta como anexo ao original da ata.
Cabe à administração do condomínio definir a ordem de recolha das assinaturas ou das declarações a fim de assegurar que as assinaturas constam de um único documento.
Por fim, embora estas regras tenham entrado em vigor ontem, dia 2 de fevereiro, as assembleias de condóminos e a assinatura ou subscrição das respetivas atas que tenham sido realizadas antes daquela em conformidade com o procedimento descrito serão consideradas válidas e eficazes.
A lei do Orçamento de Estado Suplementar de 2020 (“Lei”), criou um regime excecional aplicável aos contratos de exploração de imóveis para comércio e serviços em centros comerciais. Nos termos deste “não são devidos quaisquer valores a título de rendas mínimas, até 31 de dezembro de 2020”, sendo, apenas, devido pelos lojistas o pagamento da componente variável da renda e dos encargos comuns.
Aquando da saída da Lei, questionou-se se a isenção acima mencionada se referia apenas a rendas que se vencessem após a entrada em vigor do diploma ou, ao contrário, se este se referia à data do primeiro estado de emergência, decretado em meados de março de 2020.
Com efeito, surgiram em tribunal diversas disputas entre lojistas e proprietários, em que maioritariamente estes últimos tentaram exigir rendas até à entrada em vigor da Lei, e onde os lojistas se defendiam com a “razão de ser” da isenção, que só faria sentido que salvaguardasse os interesses dos lojistas desde o início do estado de emergência.
Ora, é neste contexto que a Lei n.º 4-A/2021, de 1 de fevereiro vem finalmente clarificar se assistia razão aos lojistas ou aos proprietários: a isenção de rendas mínimas aplica-se assim ao período compreendido entre 13 de março e 31 de dezembro 2020.
Assim, a partir de hoje fica claro que os lojistas que tenham pagado valores referentes a rendas mínimas entre o período de 13 de março e 25 de julho, terão direito ao reembolso desses valores ou a descontá-los em próximas rendas junto das entidades gestoras dos centros comerciais.
O Comité Europeu de Proteção de Dados (CEPD) emitiu recentes orientações sobre a proteção de dados desde a conceção e por defeito, novos conceitos (em particular o primeiro) trazidos pelo Regulamento Geral de Proteção de Proteção de Dados (RGPD).
O que é afinal a proteção de dados desde a conceção e por defeito?
Uma resposta (parcial) a esta questão encontra-se no artigo 25.º do RGPD, que prevê que o responsável pelo tratamento, ou seja, a entidade que define as finalidades (e.g., para efeitos de marketing, recursos humanos, gestão de contratos, etc.) e os meios de tratamento de dados (e.g. através de um software) deve assegurar a adoção de ‘medidas técnicas e organizativas adequadas’ e garantias necessárias à proteção dos dados.
Essas medidas e garantias devem ser asseguradas em dois momentos: no momento da definição dos meios de tratamento e no momento do próprio tratamento de dados (e.g. recolha, acesso, conservação, transferência, apagamento, etc.).
O conceito de ‘medidas técnicas e organizativas’ deve ser interpretado em sentido amplo, por forma a abranger qualquer meio utilizado para o tratamento. Já serem ’adequadas’ significa que essas medidas devem ser suficientes e eficazes. O requisito de adequação aparece, assim, associado a eficácia. São referidos como exemplos de medidas eficazes, entre outras, a formação a colaboradores e a adoção de sistemas de deteção de malware.
As orientações procuram ainda densificar os elementos e princípios que devem ser considerados no momento da definição dos meios de tratamento e no momento do tratamento, tendo em conta os riscos do tratamento para os direitos e liberdades dos indivíduos. Por exemplo, quando o tratamento incida sobre dados de menores, deve ser tido um especial cuidado para acautelar os riscos específicos de tais tratamentos que incidem sobre dados de pessoas vulneráveis.
Para além de concretizarem as obrigações das entidades responsáveis pelo tratamento de dados, as orientações prevêm a possibilidade de se recorrer a mecanismos de certificação para avaliar e demonstrar a conformidade das medidas técnicas adotadas (no âmbito do princípio da responsabilidade, ‘accountability’).
As orientações do CEPD salientam ainda o papel relevante das autoridades de controlo, que, no âmbito dos seus poderes de supervisão, podem verificar se medidas de proteção de dados desde a conceção e por defeito estão a ser adotadas pelos responsáveis pelo tratamento, que podem ficar sujeitos a sanções em caso de falta de conformidade com o RGPD e as recentes orientações.
A delimitação de competências entre as autoridades de controlo principais e as autoridades de controlo interessadas quando estejam em causa tratamentos transfronteiriços de dados pessoais foi objeto de análise pelo advogado-geral Michal Bobek, nas suas conclusões de 13 de janeiro de 2021, no âmbito do processo de questões prejudiciais do Tribunal de Justiça da União Europeia (TJUE), no litígio que opõe a Facebook Ireland Limited, a Facebook Inc. e a Facebook Belgium BVBA (Facebook) contra a Autoridade de Proteção de Dados belga (Autoridade Belga).
Este litígio teve início em 2015, quando a Autoridade Belga acusou a Facebook de violar a legislação belga de proteção de dados por recolha e utilização ilícitas de informações sobre a navegação privada de utilizadores de Internet na Bélgica através de tecnologias como cookies.
Inicialmente, o Tribunal de Primeira Instância de Bruxelas considerou-se competente para decidir quanto às três Facebook. Porém, em 2016, a Facebook interpôs recurso desta decisão, a qual foi revertida. O Tribunal de Recurso considerou que o tribunal belga apenas era competente para apreciar a ação contra a Facebook belga, e submeteu seis questões prejudiciais ao TJUE.
As questões prejudiciais centram-se em saber se, numa situação de tratamento transfronteiriço de dados, apenas a autoridade de controlo principal poderáintentar uma ação que tenha por objeto infrações ao RGPD (‘mecanismo de balcão único’). Em sentido negativo, a Autoridade Belga e algumas autoridades de controlo de outros Estados-Membros, incluindo Portugal, argumentaram que as autoridades de controlo que não sejam a autoridade de controlo principal podem instaurar uma ação ao abrigo da Carta dos Direitos Fundamentais da União Europeia, por forma a garantir um nível elevado de proteção.
Segundo o advogado-geral, a interpretação defendida pela Autoridade Belga esvazia a competência geral de uma autoridade de controlo principal. As situações de atribuição de competência em matéria de tratamento transfronteiriço a outras autoridades de controlo constituem exceção à regra geral, que é a competência da autoridade de controlo principal. A competência de autoridades de controlo interessadas apenas pode ser suscitada quando o assunto disser respeito ao tratamento efetuado num só Estado-Membro e envolver somente titulares de dados nesse Estado-Membro.
Salienta o advogado-geral que um elevado nível de proteção não pressupõe uma multiplicidade de autoridades habilitadas a fazer cumprir o RGPD, antes exigindo um ’quadro de proteção de dados sólido e coerente’. Em termos de proximidade com os cidadãos, tão-pouco se levantam questões, pois o RGPD prevê o direito de os titulares dos dados demandarem tanto os responsáveis pelo tratamento e subcontratantes, como as autoridades de controlo.
Aguardaremos agora a decisão do TJUE, que certamente contribuirá para esclarecer esta relevante questão sobre a articulação de competências entre autoridades de controlo.
Foi ontem publicado um novo diploma que consagra um conjunto de alterações respeitantes ao estado de emergência em vigor até 30 de janeiro, que entram já hoje em vigor.
As novas medidas têm como objetivo a restrição da circulação de trabalhadores que têm funções compatíveis com o regime de teletrabalho e, em simultâneo, facilitar o controlo do teletrabalho pela Autoridade das Condições do Trabalho.
No âmbito laboral, destacam-se as seguintes medidas que visam o reforçar a implementação do teletrabalho:
(i) Obrigatoriedade de todos os trabalhadores que se tenham de deslocar para prestar trabalho presencial, por não se poderem enquadrar em regime de teletrabalho, apresentarem uma declaração emitida pela entidade empregadora ou equiparada;
(ii) Obrigatoriedade de todas as empresas do setor de serviços com mais de 250 trabalhadores enviarem para a Autoridade para as Condições do Trabalho uma listagem nominal dos trabalhadores cuja atividade não é compatível com o regime de teletrabalho ou que não dispõem de condições para o exercer.
A indicação dos trabalhadores deve ser feita independentemente do vínculo laboral, da modalidade ou da natureza da relação jurídica e a lista de trabalhadores deve ser enviada no prazo de 48 horas desde a entrada em vigor do novo diploma (20 de janeiro),
Este reforço da obrigatoriedade do teletrabalho acompanha as normas recentemente publicadas que qualificam como contraordenação laboral muito grave, com uma penalização que pode ir dos €2040,00 até aos €61.200,00, a violação deste regime, sempre que o mesmo seja possível de implementar.
O novo diploma considera ainda como deslocações autorizadas aquelas que sejam realizadas no âmbito da procura ou resposta a uma oferta de trabalho.
Foi publicado recentemente um novo diploma que consagra medidas extraordinárias de apoio aos trabalhadores e às empresas, no contexto do novo estado de emergência. Destacamos as seguintes medidas, todas elas com produção de efeitos desde o passado dia 15:
(i) Atribuição do direito da entidade empregadora requerer, pelo número de dias de suspensão da atividade ou de encerramento das instalações e estabelecimentos, o apoio extraordinário à manutenção do contrato de trabalho (“lay-off simplificado”);
(ii) Possibilidade de a entidade empregadora que se encontre a beneficiar do apoio à retoma progressiva da atividade requerer subsequentemente o lay-off simplificado pelo número de dias de suspensão ou de encerramento;
(iii) Recuperação do direito dos trabalhadores independentes, empresários em nome individual, gerentes e membros dos órgãos estatutários com funções de direção, cujas atividades se encontrem suspensas ou encerradas por determinação legal ou administrativa, de recorrer ao apoio extraordinário à redução da atividade económica, nos termos previstos no respetivo diploma;
(iv) Atribuição, pelo período da suspensão de atividades ou encerramento de instalações e estabelecimentos por determinação legislativa ou administrativa de fonte governamental, de apoios correspondentes à medida extraordinária de incentivo à atividade profissional e ao enquadramento de situações de desproteção social dos trabalhadores, nos termos previstos em diploma específico.
De notar ainda que:
- O novo diploma estabelece a impossibilidade de cumulação do lay-off simplificado com os apoios previstos no Decreto-Lei n.º 46-A/2020, de 30 de junho, nomeadamente do apoio à retoma progressiva da atividade;
- O apoio extraordinário à redução da atividade económica do trabalhador, os apoios correspondentes à medida extraordinária de incentivo à atividade profissional e ao enquadramento de situações de desproteção social dos trabalhadores não conferem isenção do pagamento de contribuições à segurança social; e
- Os referidos apoios não são cumuláveis com: (i) lay-off simplificado; (ii) apoios extraordinários previstos no Decreto-Lei n.º 46-A/2020, de 30 de junho; (iii) apoio extraordinário ao rendimento dos trabalhadores e (iv) prestações do sistema de segurança social.
Foi aprovada a prorrogação até 30 de junho de 2021 do (A) apoio extraordinário à retoma progressiva de atividade em empresas em situação de crise empresarial, bem como do (B) apoio extraordinário à manutenção de contrato de trabalho.
Esta prorrogação é feita a par de algumas alterações aos regimes iniciais.
(A) Quanto ao apoio à retoma progressiva, foi alterado o percentual do requisito da quebra de faturação, que passa a ser igual ou superior a 25%, ao invés dos anteriores 40%.
Foram também alterados os limites da redução temporária do período normal de trabalho (PNT) por trabalhador, que, no caso de quebra de faturação igual ou superior a 75%, pode atingir, por trabalhador, até 100% nos meses de janeiro, fevereiro, março e abril, ou até 75% nos meses de maio e junho de 2021.
No que respeita à compensação retributiva mensal, fixou-se um valor uniforme de 4/5 da retribuição normal ilíquida correspondente às horas não trabalhadas, tendo como teto máximo o triplo da retribuição mínima mensal garantida (RMMG).
Já quanto ao alívio da carga contributiva, foi eliminada possibilidade de isenção total de pagamento de contribuições para a segurança social, mantendo-se a dispensa parcial de pagamento de 50% dessas contribuições relativas aos trabalhadores abrangidos, mas apenas para as micro, pequenas ou médias empresas.
Foi ainda introduzido um incentivo financeiro à manutenção dos postos de trabalho destinado às microempresas, no valor de duas vezes a RMMG por cada trabalhador da empresa abrangido pelo apoio à manutenção dos contratos de trabalho ou pelo apoio extraordinário à retoma progressiva da atividade,
Por último, uma alteração relevante que vem permitir que os membros de órgãos estatutários que exerçam funções de gerência e que constem das declarações de remuneração e com trabalhadores a seu cargo, beneficiem do apoio extraordinário à retoma progressiva de atividade com redução temporária do PNT.
(B) Quanto ao apoio extraordinário à manutenção de contrato de trabalho,
Por último, passa a ser assegurado o pagamento de 100% da retribuição até ao triplo da RMMG aos trabalhadores abrangidos por situações de redução ou suspensão em situação de crise empresarial, previstas no Código do Trabalho, que se iniciem após 1 de janeiro de 2021.
Estas alterações entram em vigor em 1 de janeiro de 2021.
O início de um novo ano é o momento propício para que as empresas se organizem, revejam as suas práticas e criem procedimentos internos que lhes permitam saber, de forma planeada, a que obrigações laborais estão sujeitas e quando e como devem ser cumpridas ao longo do ano, sem percalços de última hora.
Para o efeito, o exercício de revisão que se segue é essencial e permitirá mitigar riscos e evitar coimas indesejáveis. Vejamos então as principais obrigações de compliance laboral que se renovam no início de cada ano.
Documentos de afixação no espaço destinado à informação aos trabalhadores
(i) Mapa de férias
O empregador deve elaborar o mapa de férias, com a indicação do início e do termo dos períodos de férias, até ao dia 15 de abril de cada ano civil e mantê-lo afixado entre esta data e 31 de outubro.
(ii) Aviso em matéria de igualdade e não discriminação
O empregador deve afixar na empresa a informação relativa aos direitos e deveres do trabalhador em matéria de igualdade e de não discriminação.
O não cumprimento das obrigações referidas em (i) e (ii) acima constitui a prática de uma contra-ordenação leve, punida com coima entre os € 204e € 1.530.
(iii) Mapa de horário de trabalho
O empregador é obrigado a elaborar e a afixar o mapa de horário no local de trabalho em lugares de fácil leitura e consulta por todos os trabalhadores, só sendo corretamente elaborado caso possua os requisitos de forma impostos por lei.
A falta da organização dos horários de trabalho e a falta dos seus elementos obrigatórios constitui a prática de uma contra-ordenação grave, punida com coima entre os € 612 e € 9.690. A falta de afixação do horário de trabalho constitui a prática de uma contra-ordenação leve, punida com coima entre os € 204 e € 1.530.
(iv) Regulamento interno
O empregador deve proceder à publicitação do conteúdo do regulamento interno, designadamente afixando-o na sede da empresa e nos locais de trabalho, de modo a possibilitar o seu pleno conhecimento, a todo o tempo, pelos trabalhadores.
A falta de afixação do regulamento interno constitui a prática de uma contra-ordenação grave, punida com coima entre os € 612 e € 9.690.
Registos obrigatórios
(i) Registo de trabalho suplementar
O empregador deve criar um registo de trabalho suplementar, no qual, antes do início da prestação de trabalho suplementar e logo após o seu termo, sejam anotadas as horas de trabalho suplementar. O trabalhador deve avisar o empregador quando não seja efetuado esse registo, imediatamente a seguir à prestação de trabalho suplementar.
A falta de registo do trabalho suplementar constitui a prática de uma contra-ordenação grave, punível com coima entre os € 612 e € 9.690.
(ii) Registo de trabalhadores
O empregador tem o dever de manter atualizado, em cada estabelecimento, o registo dos trabalhadores com indicação do nome, datas de nascimento e admissão, modalidade de contrato, categoria, promoções, retribuições, datas de início e termo das férias e faltas que impliquem perda da retribuição ou diminuição de dias de férias.
(iii) Registo de sanções disciplinares
Ao empregador cabe o dever de manter um registo atualizado das sanções disciplinares, que permita facilmente a verificação do cumprimento das disposições aplicáveis, nomeadamente por parte das autoridades competentes, quando solicitem a sua consulta.
O não cumprimento das obrigações (ii) e (ii) acima constitui a prática de contra-ordenações leves, punível com coima entre os € 204 e € 1.530.
Formação profissional
O empregador deve elaborar o plano de formação anual ou plurianual, com base no diagnóstico das necessidades de qualificação e formação dos trabalhadores (salvo microempresas).
A falta do plano de formação constitui a prática de uma contra-ordenação grave, punível com coima entre os € 612e € 9.690.
Para além das obrigações acimas, existem outras obrigações e instrumentos de “soft law”, que as empresas devem adotar para promover uma verdadeira cultura de compliance laboral, em nome da sua responsabilidade social. Exemplos disso são o Código de Conduta para a Prevenção e Combate ao Assédio no Trabalho e o Plano de Gestão de Riscos de Corrupção e Infrações Conexas.
A organização por parte das empresas, desde o primeiro dia do ano, é, assim, essencial, por forma a cumprirem com todas as obrigações impostas por lei, respeitando os prazos legalmente estabelecidos e, acima de tudo, evitando coimas que podem atingir elevados valores.
A adoção de um mapa calendarizado será a melhor forma de garantir que nenhuma obrigação é esquecida, sendo caso para dizer: 365 novos dias, 365 novas oportunidades.