Recentemente a organização e gestão da base de dados de contas domiciliadas no sistema financeiro português (‘’Base de Dados de Contas’’) sofreu importantes alterações com a publicação e entrada em vigor da Instrução n.º 27/2020 do Banco de Portugal (‘’Instrução’’).
Visando dar cumprimento ao disposto no artigo 81.º-A do Regime Geral da Instituições de Crédito e Sociedades Financeiras, alterado pela Lei n.º 58/2020, de 31 de agosto, a Instrução n.º 27/2020, revogou a Instrução do Banco de Portugal n.º 7/2011, de 15 de abril e densificou vários aspetos relacionados com o funcionamento da Base de Dados de Contas.
Com efeito, as instituições de crédito, sociedades financeiras, instituições de pagamento, instituições de moeda eletrónica e as sucursais em Portugal de entidades participantes com sede no estrangeiro e as demais entidades destinatárias da instrução devem enviar ao Banco de Portugal a informação relativa às contas abertas (tal como já o faziam ao abrigo da revogada Instrução n.º 7/2011) e aos cofres locados pela respetiva entidade, na aceção dada seu artigo 2.º.
Relativamente à informação a reportar, verifica-se agora que, no caso das contas, para além da informação já exigida ao abrigo da Instrução n.º 7/2011, devem também ser enviadas informações relativas à identificação dos intervenientes e à data de início e de fim da relação de cada interveniente com a conta.
No que diz respeito à informação a reportar no caso dos cofres, estas informações incluem, por exemplo, a indicação se o cofre está ou não associado a uma conta, a identificação dos intervenientes e ainda a data de início e de fim da relação de cada interveniente com o cofre.
Relativamente a prazos, a Instrução esclarece que as entidades a esta sujeitas comunicam até ao dia 15 de cada mês as alterações à informação previamente prestada, ocorridas no mês anterior. De salientar que os intervenientes têm direito a conhecer a informação que a seu respeito conste da Base de Dados de Contas e de solicitar a sua retificação ou atualização.
Outra importante alteração reside na possibilidade de acesso (mediante pedido) à informação constante da Base de Dados de Contas pela generalidade das autoridades competentes em matéria de prevenção do branqueamento de capitais e do financiamento do terrorismo, podendo ser transmitida, entre outras entidades, à Autoridade Tributária e Aduaneira e ao Instituto da Gestão Financeira da Segurança Social, I.P.
Adicionalmente, prevê-se o acesso direto e não filtrado a esta informação pela Unidade de Informação Financeira da Polícia Judiciária e pelo Departamento Central de Investigação e Ação Penal da Procuradoria-Geral da República.
Esta Instrução entrou em vigor no dia 27 de novembro de 2020. Neste sentido, a informação sobre o beneficiário efetivo das contas abertas em momento anterior a esta data e que não sofram alterações durante o período transitório estabelecido, devem ser reportadas até 31 de março de 2021. Já a informação sobre cofres locados em momento anterior à entrada em vigor da presente Instrução deve ser reportada até 31 de maio de 2021.
Em entrevista, Guilherme Machado Dray fala sobre o o Livro Verde sobre o Futuro do Trabalho, o teletrabalho e o que tem mudado no mundo do direito laboral durante a pandemia.
Encontre a entrevista na página 20 da revista Pessoas (edição Novembro/Dezembro de 2020) ou lei-a na íntegra no pdf.
Foi publicado um novo diploma que altera o apoio extraordinário à retoma progressiva a atividade paras as empresas que se encontrem em situação de “crise empresarial”.
Novas medidas
As entidades empregadoras que se encontrem abrangidas por uma situação de “crise empresarial”, nos termos definidos no artigo 3.º do diploma que cria o apoio extraordinário à retoma progressiva da atividade, podem requerer o apoio:
(i) Até ao limite máximo de redução do período normal de trabalho (PNT) correspondente ao escalão de quebra de faturação imediatamente seguinte ao do limite pelo qual se encontrava abrangido no mês de novembro de 2020, desde que já beneficiem do apoio no mês anterior; ou
(ii) Até ao limite máximo de redução do PNT correspondente ao escalão de quebra de faturação imediatamente seguinte ao da quebra de faturação verificada no mês de novembro de 2020, quando não tenham beneficiado do apoio no mês anterior.
Condições de acesso
Para requerer as novas medidas, a entidade empregadora deve:
(i) Sob compromisso de honra atestar a situação prevista nos pontos (i) ou (ii), consoante a situação em que se encontre; e
(ii) Manter o normal funcionamento da sua atividade durante o mês civil completo a que se refere o pedido inicial de apoio ou de prorrogação, exceto nos períodos em que sejam determinadas limitações à atividade por decisão do Governo.
Entrada em vigor e produção de efeitos
As novas alterações, que já se encontram em vigor, produzem efeitos no mês de dezembro, bem como durante a vigência do diploma que regulamenta a aplicação do estado de emergência decretado pelo Presidente da república, ou de outro que lhe vier a suceder com o mesmo objeto.
No passado dia 24 de novembro a nossa sócia Cláudia Fernandes Martins deu uma aula aberta sobre a administração pública e a proteção de dados.
Aqui ficam os pontos mais importantes a reter:
- O RGPD estabelece um conjunto de novos direitos para os cidadãos em geral e novas obrigações e procedimentos a adotar pela Administração Pública;
- O ónus de aplicação das regras de proteção de dados é transferido para os entes públicos quando realizem tratamento de dados pessoais;
- A Administração Pública fica sujeita a obrigações acrescidas, incluindo a obrigação de dar acesso e informar os particulares, designar um Encarregado de Proteção de Dados e adotar medidas de segurança adequadas;
- O acesso aos documentos administrativos deve orientar-se pelos princípios da administração aberta e da proteção de dados pessoais;
- Quando estejam em causa documentos administrativos que contenham dados pessoais, o princípio da proporcionalidade deve ser a matriz de resolução de conflitos.
Veja aqui a aula completa:
O Comité Europeu de Proteção de Dados (CEPD) adotou um conjunto de recomendações que visam reforçar a análise da adequação dos instrumentos que permitem as transferências de dados da União Europeia (UE) para países terceiros.
As recomendações do CEPD surgem na sequência do acórdão Schrems II, que declarou inválido o Escudo de Proteção da Privacidade UE-EUA (Pricvacy Shield Framework) (sobre este acórdão, ver aqui), um dos instrumentos utilizado nas transferências de dados entre a UE e os EUA.
No referido acórdão, o TJUE reconhece que, tal como acontecia com o Escudo de Proteção da Privacidade, as cláusulas contratuais-tipo e outros instrumentos para transferência (por exemplo, as regras vinculativas aplicáveis às empresas, os códigos de conduta e os procedimentos de certificação) previstos no Regulamento Geral de Proteção de Dados (RGPD) não funcionam num vazio. Cabe, assim, aos exportadores de dados verificar de forma casuística, em colaboração com a entidade do país terceiro que importa os dados, se as regras desse país terceiro afetam a eficácia das medidas de salvaguarda previstas no RGPD. Em caso afirmativo, devem ser adotadas medidas suplementares que preencham estas lacunas por força do princípio de responsabilização (accountability) do RGPD.
O TJUE não especifica, todavia, quais são essas medidas, mas apenas que os exportadores terão de as identificar caso a caso. Por forma a concretizar as medidas, o CEPD adotou um conjunto de recomendações, enumerando seis passos a adotar (não exaustivos e que podem/devem ser complementados consoante o país terceiro) e pela seguinte ordem:
- Conhecer o país terceiro destino da transferência de dado;
- Verificar as garantias de adequação em que a transferência se baseia;
- Determinar se na legislação ou na prática do país terceiro existe algo que possa colidir ou diminuir as salvaguardas dos instrumentos de transferências em que se baseiam;
- Uma vez identificados os fatores de risco, adotar medidas suplementares, que podem ser de natureza técnica, contratual ou organizacional;
- Adotar as diligências formais e processuais para o efeito, devendo, caso necessário, consultar as autoridades de supervisão competentes; e
- Reavaliar periodicamente as práticas de transferências, com vista a uma vigilância contínua e adequação dos níveis de proteção.
Assiste-se a um reforço dos deveres de diligência dos exportadores de dados, que, para além de escolherem o instrumento ou combinação de instrumentos mais adequado(s), terão de adotar medidas de diligência acrescidas, sob pena de violação de dados com pesadas multas associadas.
O Comité Europeu de Proteção de Dados (CEDP) aprovou a sua primeira decisão vinculativa no âmbito do mecanismo de cooperação entre autoridades de controlo de proteção de dados num processo de violação de proteção de dados conduzido à Twitter International Company (Twitter) pela autoridade de controlo irlandesa, que tem também em curso investigações ao Facebook e WhatsApp.
No final de 2018, a empresa Twitter sofreu uma violação de dados pessoais devido à exploração de uma vulnerabilidade do seu sistema. No início de janeiro de 2019, voltaria a ser alvo de uma outra violação que permitiu um acesso não autorizado a contas privadas do Twitter. Neste contexto, a autoridade de controlo irlandesa, autoridade do país onde se encontra sedeada a empresa tecnológica que explora a plataforma Twitter, abriu uma investigação por forma a verificar se as notificações das violações de dados tinham sido feitas oportunamente à autoridade de controlo e aos utilizadores da plataforma pela empresa.
O Regulamento Geral de Proteção de Dados (RGPD) impõe que, em caso de violação de dados, a organização comunique a violação, no prazo máximo de 72 horas, a contar do seu conhecimento, à autoridade de controlo e, quando for provável que dessa violação resulte um elevado risco para os titulares dos dados, a dar-lhes conhecimento, sem demora injustificada.
Uma vez concluída a investigação, a autoridade de controlo irlandesa apresentou, no dia 22 de maio de 2020, o seu projeto de decisão a outras autoridades de controlo interessadas, as quais são chamadas a pronunciar-se, ao abrigo do mecanismo de cooperação entre autoridades de controlo, quando estejam em causa tratamentos de dados transfronteiriços, como é o caso. O projeto de decisão da autoridade de controlo da Irlanda viria a ser alvo de objeções por diversas autoridades de controlo, no que versava, entre outras questões, sobre o papel da Twitter enquanto responsável único pelo tratamento de dados e sobre a medida da coima proposta.
Em caso de discordância do projeto de decisão da autoridade de controlo principal por uma ou várias autoridade(s) de controlo, como aconteceu, o CEPD é chamado a intervir, fazendo uso do mecanismo previsto no artigo 65.º do RGPD, e a proferir decisão vinculativa.
No dia 9 de novembro de 2020, o CEPD adotou, assim, a sua primeira decisão vinculativa (que não é pública, pelo que não se conhece ainda o seu teor) devendo agora notificar as autoridades de controlo interessadas. A autoridade de controlo irlandesa tem o prazo máximo de um mês para adotar a sua decisão final tendo em conta a decisão vinculativa do CEPD. Espera-se, assim, que durante o próximo mês venha a ser conhecida a decisão aplicada à Twitter, que arrisca incorrer numa pesada coima, que pode atingir os 20 milhões de euros ou 4% do seu volume de negócios anual a nível mundial.
No âmbito do conjunto de medidas adotadas pelo Governo que visam o apoio às empresas no contexto da retoma da atividade, tendo em vista a manutenção dos postos de trabalho, foi publicado um novo diploma que altera as regras de sequencialidade dos apoios à manutenção dos postos de trabalho.
Até à entrada em vigor do novo diploma, às empresas que beneficiaram do regime do lay-off simplificado, eram disponibilizados dois apoios, mutuamente exclusivos:
- Incentivo à normalização da atividade, aplicável às empresas que estavam em condições de retomar a sua atividade em condições “normais”; ou
- Apoio à retoma progressiva da atividade, aplicável às empresas em que o regresso à atividade “normal” não se afigurava possível. O apoio permitia a redução do período normal de trabalho e dos salários, em função da quebra de faturação, garantindo a Segurança Social uma contribuição para o pagamento das remunerações.
As novas alterações permitem agora que as entidades empregadoras que tenham recorrido ao incentivo à normalização a atividade até 31 de outubro de 2020 possam excecionalmente beneficiar do apoio à retoma progressiva da atividade, sem ter de devolver os montantes recebidos no âmbito do apoio à normalização da atividade.
No âmbito do novo diploma, foi ainda estabelecida uma nova regra aplicável às entidades empregadoras que tenham recorrido à aplicação do “lay-off tradicional” e que pretendam aceder ao apoio à retoma progressiva da atividade.
Em suma: o novo diploma estabelece que o empregador que tenha recorrido à aplicação das medidas de redução ou suspensão previstas no Código do Trabalho, e que pretenda aceder ao apoio extraordinário à retoma progressiva de atividade, não fique sujeito ao prazo que limita o recurso a medidas de redução ou suspensão, a que alude o artigo 298.º-A do Código do Trabalho (“(…) período de tempo equivalente a metade do período anteriormente utilizado”).
As novas alterações entram em vigor a partir de dia 19 de novembro, e surgem por força da evolução da pandemia.
Estima-se também que os apoios à manutenção dos postos de trabalho, que só estão em vigor até ao final do ano, sejam brevemente prorrogados para todo o ano de 2021.
O Código do Procedimento Administrativo (“CPA”) foi alterado pela primeira vez cinco anos após a sua entrada em vigor.
A Lei n.º 72/2020, de 16 de novembro, visa fundamentalmente acelerar e desmaterializar o procedimento administrativo e para este efeito:
- Permite genericamente a utilização de meios telemáticos (comumente designados por plataformas de videoconferência) nas reuniões dos órgãos colegiais da Administração Pública, os quais devem ser referidos nas convocatórias e nas atas das reuniões;
- Estabelece que o consentimento do interessado para a realização de notificações por via eletrónica deve ser prestado previamente no decurso do procedimento e que, em caso de impossibilidade de acesso à caixa postal eletrónica ou à conta eletrónica utilizada junto da plataforma informática onde corre o procedimento, a notificação considera-se efetuada no quinto dia útil posterior ao seu envio (ou no primeiro dia útil seguinte a esse quando esse dia não seja útil), a menos que o interessado comprove que foi comunicada a alteração da caixa postal ou conta eletrónica ou que a comunicação foi impossível ou na circunstância de o serviço de comunicações eletrónicas ter impedido a correta receção da notificação;
- Prevê as notificações por anúncio quando existam 25 destinatários a notificar (e não 50 como na versão inicial do CPA);
- Reduz para 5 dias o prazo geral para a notificação de atos administrativos;
- Estabelece que o procedimento administrativo é preferencialmente desmaterializado, devendo ser utilizadas ferramentas eletrónicas que permitam a autenticação de quem intervém no procedimento;
- Encurta o prazo-regra de decisão do procedimento para 60 dias, admitindo-se a sua prorrogação excecional, uma ou mais vezes, até um máximo de 90 dias, bem como o prazo de caducidade por falta de decisão em procedimentos de iniciativa oficiosa que podem conduzir a decisão desfavorável para o interessado, o qual passa a ser de 120 dias; e
- Encurta igualmente o prazo para emissão de pareceres para 20 dias, salvo se for fixado prazo diferente pelo responsável da direção do procedimento, o qual não pode ser inferior a 10 dias nem superior a 30.
As três primeiras alterações acima referidas – uso de meios telemáticos e regras relativas a receção de notificações eletrónicas e notificações por anúncio – aplicam-se aos procedimentos administrativos em curso a 17 de novembro de 2020.
As restantes alterações aplicar-se-ão aos procedimentos administrativos que se iniciem após 1 de dezembro de 2020 (salvo a relativa à desmaterialização preferencial dos procedimentos).
Para além das alterações ao CPA descritas anteriormente, a Lei n.º 72/2020, de 16 de novembro, estabelece ainda um regime transitório de simplificação aplicável aos procedimentos administrativos comuns e especiais (previstos em legislação setorial), com exceção dos procedimentos de elaboração de regulamentos administrativos, de avaliação de impacte ambiental e de avaliação ambiental estratégica.
Sumariamente, este regime transitório prevê que, nos procedimentos mais complexos ou em que haja lugar a consulta a diversas entidades para parecer ou pronúncia, seja obrigatoriamente realizada uma conferência procedimental deliberativa com a participação de todas as entidades envolvidas tendo em vista a emissão simultânea dos pareceres ou pronúncias e da decisão final do procedimento, no prazo de 15 dias a contar do início do procedimento.
O direito de audiência prévia do interessado será exercido oralmente na conferência, podendo ser apresentadas alegações escritas que ficarão em anexo à ata da sessão.
Poderá haver lugar a uma segunda conferência caso na primeira tenham sido acordadas as alterações que o interessado deverá realizar para permitir o deferimento do seu pedido.
O regime transitório entrou em vigor em 17 de novembro de 2020 e aplica-se até 30 de junho de 2021 aos procedimentos administrativos em curso.
A Comissão Nacional de Proteção de Dados (CNPD) emitiu recentes orientações sobre os tratamentos de dados pessoais de saúde no âmbito do estado de emergência. A CNPD identifica possíveis incongruências no Decreto n.º 8/2020, de 8 de novembro, em matéria de controlo da temperatura corporal, realização de testes de diagnóstico de SARS-CoV-2 e reforço da capacidade de rastreio, com o Regulamento Geral de Proteção de Dados (RGPD).
No atual contexto, o controlo da temperatura corporal é permitido, por meios não invasivos, em situações de acesso ao local de trabalho, meios de transporte, instituições públicas, estabelecimentos prisionais, etc.. A CNPD esclarece que os termómetros digitais realizam um processamento informático de informação pessoal – a temperatura corporal – que está sujeito ao RGPD. Embora seja expressamente proibido o registo da temperatura corporal associado à identidade da pessoa, a partir da informação de saúde recolhida, o seu titular, dependendo do contexto, poderá ser identificável e, como tal, não se encontra excluída da aplicação do RGPD.
Mais, está em causa um dado pessoal de saúde, que constitui uma das categorias especiais de dados pessoais e cuja recolha (para ser legítima) deve ser necessária, em particular, para efeitos de medicina preventiva ou do trabalho, de diagnóstico médico e desde que realizada por um profissional de saúde sujeito a sigilo profissional ou por outra pessoa sujeita a uma obrigação de confidencialidade. A regulamentação do estado de emergência, ao prever que a medição da temperatura pode ser realizada por trabalhador, não acautela os direitos dos titulares dos dados, sendo necessário, segundo a CNPD, que o trabalhador fique sujeito a um dever de confidencialidade.
Quanto à realização de testes de diagnóstico, a CNPD salienta que a realização do teste deve ser assegurada por um profissional de saúde sujeito à obrigação de sigilo profissional. Deve ainda ser acautelada a privacidade das pessoas obrigadas à sua realização para evitar a estigmatização e discriminação dos portadores do vírus. Torna-se, por conseguinte, necessário proceder à definição de procedimentos subsequentes à deteção de um resultado positivo.
Ao nível do reforço da capacidade de rastreio, nos casos em que este não seja realizado por um profissional de saúde, a CNPD alerta ainda para a necessidade de vincular o trabalhador mobilizado a um dever específico de confidencialidade, sob pena de um tratamento desigual, consoante a pessoa que recolha os dados se encontre ou não sujeita a um dever de sigilo .
As medidas acima devem ser adotadas em conformidade com o RGPD, que continua a ser aplicável, ainda que a atual situação seja excecional, sob pena de elevadas coimas. As únicas exceções admissíveis são as previstas no RGPD.
As empresas cotadas e as entidades do setor empresarial do Estado e do setor empresarial local têm até ao próximo dia 25 de novembro para comunicar os planos para a igualdade de género relativos a 2021. As empresas que ainda não o fizeram estão em tempo de o fazer, mas têm de acelerar, sob pena de entrega intempestiva do plano.
A elaboração anual dos planos para a igualdade de género, que é vinculativa para as entidades do setor público empresarial do Estado e para as empresas cotadas em bolsa, tem como principal objetivo alcançar uma efetiva igualdade de tratamento e de oportunidades entre mulheres e homens, promovendo a igualdade no acesso ao emprego, a igualdade nas condições de trabalho, a igualdade remuneratória, a proteção na parentalidade e a conciliação da atividade profissional com a vida familiar e pessoal. Está em causa, no limite, a promoção da igualdade de oportunidades.
A elaboração do plano deve seguir o Guião para a Implementação de Igualdade de Género, disponibilizado pela Comissão para a Igualdade no Trabalho e no Emprego (“CITE”), respeitando o procedimento nele previsto e que é composto por quatro fases: (i) diagnóstico, (ii) elaboração do plano, (iii) publicação e (iv) monitorização.
As empresas devem publicar os planos no seu sítio da Internet e enviá-los à Comissão para a Cidadania e a Igualdade de Género e à CITE até ao referido dia 25 de novembro. As obrigações das empresas não terminam, todavia, nesta data, pois, como previsto na quarta fase do guião da CITE, é necessário que haja uma monitorização contínua da implementação do plano.
Trata-se, portanto, de uma iniciativa que visa um compromisso contínuo das empresas com vista à melhoria das suas práticas e que fica sujeita a fiscalização da Autoridade das Condições do Trabalho (ACT). Disso dá, aliás, nota o relatório do Orçamento do Estado para 2021 (OE2021), que prevê que a ACT irá notificar as grandes empresas que revelem diferenças remuneratórias entre homens e mulheres para apresentarem “um plano de avaliação das diferenças detetadas”.
A par do plano, o Relatório sobre as Remunerações dos Trabalhadores (mulheres e homens) constitui outro dos instrumentos de «compliance» laboral no âmbito da igualdade de género.
O «compliance» laboral não se limita, todavia, aos instrumentos de promoção de igualdade de género. Existem outros instrumentos vinculativos, de que se destaca o Código de Conduta para a Prevenção e Combate ao Assédio no Trabalho e o Plano de Gestão de Riscos de Corrupção e Infrações Conexas, bem como outras obrigações e instrumentos de “soft law”, que as empresas devem adotar para promover uma verdadeira cultura de «compliance» laboral, em nome da sua responsabilidade social.