2021-03-29

A MACEDO VITORINO convida-o a preencher o primeiro de um conjunto de questionários do nosso programa MVCOMPLIANCE. Arrancamos com um conjunto de questões de âmbito transversal, que incluem matérias de responsabilidade social, branqueamento de capitais, “compliance” laboral, privacidade e proteção de dados.

Ao preencher este questionário, conseguirá identificar as medidas que a sua empresa tem em curso e as que estão por adotar, bem como as respetivas consequências. Este questionário não substitui, todavia, a realização de um diagnóstico à sua empresa para uma adequada gestão de riscos.

A MACEDO VITORINO agradece o seu interesse e a sua participação nesta iniciativa. Contamos consigo para nos acompanhar nesta verdadeira transformação.
Para responder ao questionário (não demorará mais de 2 minutos), clique aqui.

Partilhar
2020-11-13

O Tribunal da Relação de Guimarães condenou, em acórdão recentemente publicado, uma empresa por assédio moral a trabalhador, o que, não sendo um caso novo (ou tão pouco isolado), é revelador da importância que o «compliance» laboral deve assumir no dia a dia das empresas, através, nomeadamente, da adoção de um conjunto de instrumentos de autorregulação, de que é exemplo o Código de Conduta para Prevenção e Combate ao Assédio no Trabalho.

No caso em análise, o trabalhador, perante a recusa de desempenhar funções incompatíveis com a sua categoria e experiências profissionais, viu o seu posto de trabalho ser transferido para uma sala conhecida por “sala dos queimados”, sem nunca mais lhe ter sido atribuída qualquer tipo de tarefa. Na mesma sala, encontravam-se outros trabalhadores em situação semelhante, que, todavia, acabariam por negociar a cessação da sua relação laboral com a empresa. O trabalhador ficaria, assim, totalmente isolado na referida sala, numa situação de absoluta inatividade, enquanto negociava a cessação da sua relação, o que nunca ocorreu devido às condições propostas, e que o levaria a uma depressão.

O tribunal de recurso, que confirmou a decisão de primeira instância, considerou terem sido desencadeadas práticas de perseguição pela empresa com vista a que o trabalhador abandonasse o seu emprego ou aceitasse uma alteração de funções. Para o tribunal, a situação em causa, que se traduz numa violação do dever de ocupação efetiva, consubstancia uma prática de assédio moral e que justifica a condenação da empresa a indemnizar o trabalhador por danos (no caso, danos morais).

Não se sabe se, no caso, a empresa tinha em vigor um Código de Conduta para Prevenção e Combate ao Assédio no Trabalho, mas, sabe-se, que, a existir ou não, alguma coisa falhou. Sabe-se também que esta decisão revela a necessidade de adoção de um conjunto de boas práticas pelas empresas.

O código de conduta, que constitui um dos instrumentos de «compliance» laboral de implementação obrigatória, é um desses exemplos de boas práticas. O código de conduta visa dar a conhecer, evitar, identificar, eliminar e punir situações e comportamentos suscetíveis de consubstanciar assédio no trabalho. Por assédio, entende-se a prática de um comportamento indesejado com o objetivo ou o efeito de afetar a dignidade da pessoa ou criar um ambiente intimidativo, hostil, degradante, humilhante ou desestabilizador, como é ilustrativo este caso.

A redação do Código de Conduta para Prevenção e Combate ao Assédio no Trabalho deve ser cuidada, sob pena de não cumprir a sua finalidade, que é simultaneamente informativa, preventiva, dissuasora e até, em certa medida, repressiva de práticas semelhantes. Em particular, o código de conduta deve (i) definir claramente o que constitui assédio, (ii) as consequências da adoção desta prática discriminatória, (iii) o que deve ser feito, em caso de uma (potencial) situação de assédio, pelo trabalhador e por terceiros, nomeadamente, (iv) prever a adoção de mecanismos de reporte adequados para o superior hierárquico e departamento de recursos humanos e a sua necessária confidencialidade.

A par de outros instrumentos obrigatórios, o código de conduta deve ser efetivamente implementado tanto no setor privado como no setor público, sob pena de práticas como as descritas no acórdão se repetirem e com consequências negativas para os trabalhadores e para as empresas.

Ver pdf Partilhar
2020-07-21

O Tribunal de Justiça da União Europeia (TJUE) voltou a decidir pela inadequação do programa aplicável às transferências de dados entre a União Europeia (UE) e os EUA.

Esta decisão de 16.07.2020 (caso Schrems II) é a sequela de uma anterior decisão do TJUE (de 06.10.2015, caso Schrems I), que invalidou o anterior programa Porto Seguro (“Safe Harbour”). Este programa foi substituído pelo programa Escudo de Proteção (“Privacy Shield”) agora considerado inadequado para assegurar o nível de proteção exigido pelo Regulamento Geral de Proteção de Dados (RGPD). Em contraposição, o TJUE considerou como válida a solução assente em cláusulas contratuais tipo de proteção de dados (CCT) adotadas pela Comissão Europeia para transferências internacionais de dados pessoais.

Esta decisão do TJUE, em sede de reenvio prejudicial, surge na sequência de uma queixa apresentada por M. Schrems. O cidadão austríaco, utilizador do Facebook, fez a denúncia à autoridade de controlo austríaca, no sentido de proibir o Facebook Ireland de transferir os seus dados pessoais para os EUA. Os dados pessoais dos utilizadores do Facebook residentes na UE são transferidos para servidores do Facebook Inc., nos EUA, onde são objeto de tratamento, ao abrigo de CCT. Segundo M. Schrems, as CCT não assegurariam um nível de proteção adequado dos dados pessoais contra atividades de vigilância das autoridades públicas norte-americanas.

Seguindo a Opinião do Advogado-Geral (opinião não vinculativa publicada em 19.12.2019), o TJUE considerou as CCT adequadas. Afirmando que no âmbito da avaliação da adequação do nível de proteção garantido pelo país terceiro, a Comissão Europeia tem em conta, nomeadamente, as vias de recurso administrativo e judicial para os titulares de dados pessoais objeto de transferência.

Já o nível de proteção conferido pelo Escudo de Proteção é posto em causa pelo TJUE, com o fundamento de que as ingerências que resultam dos programas de vigilância das autoridades públicas norte-americanas não estão sujeitas a exigências que garantam, no cumprimento do princípio da proporcionalidade, um nível de proteção jurisdicional equivalente ao do RGPD.

Embora as CCT permaneçam válidas, as organizações que atualmente justifiquem as transferências internacionais de dados em CCT, terão de considerar se, tendo em conta a natureza dos dados pessoais, as finalidades e o contexto do tratamento, e o país de destino, existe um "nível de proteção adequado", tal como exigido pela legislação da UE. Caso contrário, devem considerar adotar garantias adicionais. Já as organizações que justifiquem as transferências internacionais no Escudo de Proteção terão de procurar urgentemente soluções alternativas, tendo, nomeadamente, em conta as derrogações previstas no RGPD (por exemplo, consentimento explícito do titular dos dados, quando a transferência for necessária para a celebração ou execução de um contrato). As CCT, regras vinculativas aplicáveis às empresas, códigos de conduta ou procedimentos de certificação serão outras das soluções alternativas.

Ver pdf Partilhar
2020-04-29

No atual contexto da pandemia da doença Covid-19, as empresas questionam-se que medidas de prevenção do contágio entre trabalhadores poderão ser adotadas tendo em vista o regresso progressivo à atividade, nomeadamente se é admissível a recolha de dados relativos à saúde dos seus trabalhadores, incluindo a medição da sua temperatura corporal.

A Comissão Nacional de Proteção de Dados (CNPD) veio pronunciar-se sobre este tema através de uma orientação sobre a recolha de dados de saúde de trabalhadores. A CNPD considera que o empregador não poderá proceder à recolha e registo da temperatura corporal dos trabalhadores, exceto quando recorra a profissionais de saúde no âmbito da medicina no trabalho e mediante justificação escrita.

Ao abrigo do Regulamento Geral de Proteção de Dados (RGPD), a temperatura corporal insere-se numa das categorias especiais de dados – dados de saúde – sujeito a proteção jurídica reforçada. O RGPD proíbe que os empregadores possam recolher ou registar dados de saúde dos trabalhadores, salvo para os efeitos previstos na legislação laboral. O Código do Trabalho prevê que o empregador não poderá exigir ao trabalhador dados de saúde, salvo quando particulares exigências inerentes à natureza da atividade o justifiquem e seja fornecida por escrito a sua fundamentação. Os dados de saúde devem ser prestados perante um médico, que só poderá comunicar ao empregador se o trabalhador está apto para trabalhar.

Partindo de uma interpretação literal desta norma do Código do Trabalho, a CNPD considera que o legislador não transferiu para o empregador uma função que é exclusiva das autoridades de saúde, nem estas delegaram tal função nos empregadores, o que é verdade. Esta norma não foi, todavia, pensada para ser aplicada em situações excecionais, mas num contexto dito “normal” da relação laboral. A aplicação da referida norma é, portanto, discutível neste cenário.

O Ministério do Trabalho já se pronunciou sobre o tema, considerando que a medição da temperatura corporal dos trabalhadores poderá ser viável em determinadas circunstâncias. O Governo deverá, em breve, clarificar o tema, por via legislativa, não sendo de esquecer que compete ao empregador o dever de cuidado, incluindo o dever de zelar pela segurança dos seus trabalhadores no local de trabalho e obviamente com recurso à proporcionalidade.

A título excecional, o RGPD (de aplicação imediata), prevê que o tratamento de dados de saúde é admissível, através de um profissional de saúde (sujeito a sigilo profissional), se esse tratamento for necessário por motivos de interesse público no domínio da saúde pública, nomeadamente para evitar a monitorização de epidemias e da sua propagação, o que é, sem dúvida, o caso. Este é o fundamento que legitimará os empregadores a procederem à recolha da temperatura corporal dos trabalhadores (dentro de determinados condicionalismos). Para situações excecionalíssimas, justificar-se-á a aplicação de regras também elas excecionalíssimas.

Ver pdf Partilhar
2020-04-22

Regulamento Geral de Proteção de Dados (RGPD), aplicável desde 25 de maio de 2018, estabelece as regras relativas ao tratamento de dados pessoais em toda a União Europeia (UE). O RGPD tem como objetivo assegurar um nível coerente e elevado de proteção dos dados pessoais e sem comprometer a livre circulação de dados na UE.

O RGPD revogou a Diretiva 95/46/CE, de 24 de outubro de 1995, em vigor desde 1995, bem com a Lei 67/98, de 26 de outubro de 1998 (anterior lei de proteção de dados pessoais).

Desde agosto último, encontra-se também em vigor a Lei 58/2018, de 8 de agosto de 2019, que assegura a execução do RGPD na ordem jurídica portuguesa (Lei de Execução do RGPD).

Entidades públicas e privadas estão a tomar medidas excecionais para prevenir e mitigar a COVID-19 na UE, não sendo Portugal a exceção. Em Portugal, foi decretado o estado de emergência no passado dia 19 de março e, desde então, já foi prorrogado por duas vezes e permanecerá, pelo menos, em vigor, até ao dia 2 de maio de 2020.

No atual contexto de COVID-19, a Comissão Nacional de Proteção de Dados (CNPD) emitiu:

(a)         Deliberação n.º 2020/170, de 16 de março de 2020, na qual informa que os prazos de resposta aos projetos de deliberação se encontram interrompidos durante o período de estado de emergência, voltando a contar-se novo prazo findo aquele período; e

(b)        Três orientações:

(i)        Orientações de 2 de abril de 2020 sobre a utilização de sistemas de videovigilância e de alarmística no contexto COVID-19, nas quais se salienta que as empresas de segurança privada estão proibidas de exercer atividades que se enquadram no âmbito dos  poderes exclusivos das autoridades judiciárias ou policiais, incluindo o controlo fronteiriço e a prevenção e repressão de crimes em locais públicos;

(ii)       Orientações de 9 de abril de 2020 para os diferentes intervenientes nos tratamentos de dados pessoais efetuados na utilização de tecnologias de suporte ao ensino à distância, uma vez que os estudantes portugueses estão a ter ensino à distância; e

(iii)      Orientações de 17 de abril de 2020 sobre o controlo à distância em regime de teletrabalho, emitidas em resposta às múltiplas questões colocadas à CNPD relacionadas com a utilização de diversos softwares para o controlo da atividade laboral prestada em regime de teletrabalho, onde a CNPD esclarece que as normas laborais relativas à inadmissibilidade do controlo à distância do desempenho do trabalhador se mantêm aplicáveis.

Para além destas quatro iniciativas, não foram fornecidas informações adicionais relacionadas com a proteção de dados e a COVID-19 pela CNPD. Em sentido inverso, outras autoridades de supervisão, por exemplo, as suas congéneres no Reino Unido e na Alemanha, divulgaram um conjunto de elementos e de perguntas e respostas (FAQs) nos seus sítios de Internet para esclarecer questões relativas à proteção de dados decorrentes do atual contexto.

A presente situação pode implicar o tratamento de diferentes categorias de dados pessoais, incluindo de categorias especiais de dados pessoais, como é o caso dos dados de saúde, nomeadamente num contexto laboral. Não só na fase atual de propagação, mas também em fases subsequentes de estagnação e mitigação, o tratamento de dados pessoais pode ser necessário para o cumprimento de obrigações impostas por lei à entidade empregadora, por exemplo, obrigações relativas à saúde e segurança no local de trabalho, ou ao interesse público, por exemplo, para controlo de doenças e outras ameaças à saúde.

Tendo em conta que várias questões podem surgir no contexto laboral (mas não só), preparámos uma lista de perguntas e respostas (FAQs) para ajudar as organizações a responderem a estes novos desafios.

1. As entidades empregadoras podem recolher dados pessoais dos seus trabalhadores para evitar a propagação do vírus da COVID-19 no local de trabalho? Em caso afirmativo, que dados pessoais poderão ser objeto de tratamento pela entidade empregadora face ao atual contexto?

A entidade empregadora pode recolher dados pessoais dos seus trabalhadores por forma a evitar a propagação do vírus no local de trabalho, na medida em que tal seja necessário ao cumprimento dos deveres que lhes são impostos por lei (por exemplo, dever de cuidado) e à organização do trabalho nos termos da legislação laboral.

São os seguintes os critérios que devem presidir ao tratamento dos dados pessoais dos trabalhadores: (i) critério da necessidade, ou seja, o tratamento tem de ser necessário à prossecução de determinada finalidade (ou seja, se o tratamento for necessário à proteção da saúde dos trabalhadores e/ou ao cumprimento de obrigações impostas por lei, por exemplo, deveres de informação) e (ii) minimização dos dados em conformidade com o RGPD, o que significa que apenas podem ser objeto de tratamento os dados que sejam adequados, pertinentes e limitados ao que é necessário relativamente à finalidade prosseguida.

À partida, a recolha dos seguintes dados pessoais dos trabalhadores não levantará dúvidas: nome, dados de contacto, dados de contacto de outras pessoas dentro da organização, anterior ou futura permanência numa zona de elevado risco, anteriores contactos com pessoas possivelmente infetadas e ausência de sintomas. Por seu turno, os dados de saúde, os quais são considerados uma categoria especial de dados, estão sujeitos a regras específicas e que exigem critérios mais exigentes e uma inter-relação entre o RGPD, a Lei de Execução do RGPD e a legislação laboral, como melhor veremos abaixo.

2. Nestas circunstâncias, que requisitos devem as entidades empregadoras cumprir quando procedem ao tratamento de dados pessoais dos seus trabalhadores?

As entidades empregadoras podem recolher e tratar dados pessoais dos trabalhadores, incluindo dados de saúde, para determinar se (i) os trabalhadores estão infetados ou estiveram em contacto com uma pessoa infetada, ou (ii) se estiveram numa zona de risco elevado durante um determinado período.

As entidades empregadoras devem informar os trabalhadores sobre os casos COVID-19 e tomar medidas de proteção adequadas, mas não devem divulgar mais informações do que aquelas que sejam consideradas necessárias. Ou seja, as entidades empregadoras devem manter os trabalhadores informados sobre os casos de COVID-19 na sua organização, mas não devem identificar as pessoas em questão.

A divulgação de dados pessoais de pessoas infetadas (confirmadas e suspeitas) com o intuito de informar outros trabalhadores ou terceiros só é lícita se for estritamente necessário, em circunstâncias excecionais, conhecer a identidade dessa pessoa, a fim de mitigar a propagação da COVID-19 e permitir que os trabalhadores adotem as respetivas medidas de salvaguarda. Nestes casos muito excecionais (sempre que seja necessário revelar o nome dos trabalhadores que contraíram o vírus, por exemplo, num contexto preventivo), os trabalhadores em causa devem ser previamente informados e ser adotadas as medidas adequadas para assegurar a proteção da sua dignidade e integridade.

3. Qual é o fundamento jurídico para esse tratamento de dados pelas entidades empregadoras?

O tratamento de dados dos trabalhadores pode ser justificado pelo facto de o tratamento ser necessário para efeitos de prossecução de interesses legítimos da entidade empregadora e/ou de terceiros (artigo 6/1(f) RGPD).

Por sua vez, o tratamento de dados de saúde pode ser justificado se esse tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos da entidade empregadora em matéria de legislação laboral, de segurança social e de proteção social (artigo 9/2(b) RGPD).

Neste âmbito, é ainda relevante ter em conta a inter-relação entre o RGPD, a Lei de Execução do RGPD e a legislação laboral, em particular:

(a)         O artigo 28.º/1 da Lei de Execução do RGPD, que estabelece que a entidade empregadora pode proceder ao tratamento dos dados pessoais dos trabalhadores para efeitos e dentro dos limites previstos no Código de Trabalho;

(b)        O artigo 17.º/1(b) do Código do Trabalho, que estabelece que a entidade empregadora não pode pedir a um trabalhador que divulgue dados de saúde, salvo quando circunstâncias excecionais relacionadas com a atividade profissional possam justificar essa divulgação e os respetivos fundamentos sejam fornecidos por escrito pela entidade empregadora. Os dados de saúde são fornecidos a um médico, que apenas pode informar a entidade empregadora se o trabalhador se encontra ou não apto ao exercício da sua atividade profissional; e

(c)         O artigo 29.º/2 da Lei de Execução do RGPD, que estabelece que categorias especiais de dados, nomeadamente dados de saúde, podem ser tratados por  razões de interesse público no domínio da saúde pública, tais como a proteção contra graves ameaças transfronteiriças à saúde, e que devem ser adotadas medidas adequadas e específicas para salvaguardar os direitos e liberdades do titular dos dados, nomeadamente  o sigilo profissional.

Isto significa que o fundamento jurídico relativo à prossecução de interesses legítimos da entidade empregadora e, relativamente aos dados de saúde, o fundamento jurídico relativo ao cumprimento de obrigações e do exercício de direitos específicos em matéria de legislação laboral, resultam do dever geral de cuidado da entidade empregadora para com os seus trabalhadores. Os dados de saúde devem ser tratados pela entidade empregadora, por meio de um profissional de saúde sujeito a sigilo profissional, o que significa que não podem, em princípio, ser divulgados a outros trabalhadores, salvo em circunstâncias excecionais e na medida em que tal se revele necessário para evitar a propagação da COVID-19 no local de trabalho.

Ao abrigo do dever de cuidado, a entidade empregadora deve assegurar a proteção da saúde de todos os seus trabalhadores, o que inclui igualmente uma resposta adequada à divulgação da COVID-19, para efeitos de prevenção e rastreabilidade (isto é, subsequente prevenção relativamente a pessoas que estiveram em contacto com os trabalhadores infetados ou potencialmente infetados).

Note-se ainda que o RGPD inclui derrogações à proibição do tratamento de determinadas categorias especiais de dados pessoais, tais como os dados de saúde, sempre que seja necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde (artigo 9.º/2(i) RGPD), ou quando for necessário proteger os interesses vitais das pessoas (artigo 9.º/2(e) RGPD), quando o tratamento não se puder basear manifestamente noutro fundamento jurídico. Como refere considerando 46 do RGPD, alguns tipos de tratamento podem servir tanto importantes interesses públicos como interesses vitais do titular dos dados, por exemplo, se o tratamento for necessário para fins humanitários, incluindo a monitorização de epidemias e da sua propagação.

Por sua vez, o consentimento dos trabalhadores não pode ser considerado como um fundamento jurídico lícito, uma vez que, numa relação laboral, existe um claro desequilíbrio entre os trabalhadores (titulares de dados) e a entidade empregadora (responsável pelo tratamento). É pouco provável que o consentimento dos trabalhadores seja livremente dado no contexto de uma relação laboral.

4. As entidades empregadoras podem proceder ao tratamento de dados pessoais de visitantes do local de trabalho para fins relacionados com a COVID-19?

Sim, as entidades empregadoras podem proceder ao tratamento de dados pessoais dos visitantes do local de trabalho para fins relacionados com a COVID-19 para determinar se (i) estão infetados ou estiveram em contacto com uma pessoa infetada, ou (ii) estiveram numa zona de risco elevado durante determinado período, e desde que as medidas a adotar sejam proporcionais.

As medidas relativas a terceiros que exijam o tratamento de dados de saúde podem ser justificadas ao abrigo do RGPD se o tratamento for necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde, prevendo-se a adoção de medidas adequadas e específicas que salvaguardem os direitos e liberdades do titular dos dados, em particular o sigilo profissional (artigo 9/2(i) do RGPD).

O consentimento dos visitantes (titulares de dados) só pode ser considerado como um fundamento jurídico lícito em matéria de medidas de combate à COVID-19 se cumprir todos os requisitos do consentimento previstos no RGPD, incluindo se os visitantes forem informados sobre o tratamento de dados e puderem dar o seu consentimento de forma voluntária. Isto significa que os visitantes devem estar cientes, pelo menos, da identidade do responsável pelo tratamento de dados (a organização) e das finalidades de tratamento a que os dados pessoais se destinam no contexto da COVID-19.

5. A entidade empregadora pode recolher números de telemóvel e endereços de correio eletrónico privados dos seus trabalhadores?

Durante a pandemia, o recurso ao teletrabalho surge, quando seja possível, como uma alternativa viável para evitar deslocações ao local de trabalho e contacto físico com outros trabalhadores ou terceiros. Por isso, tornou-se uma realidade trabalhar a partir de casa com recurso aos dispositivos ou equipamentos de comunicações dos próprios trabalhadores.

Além do mais, neste contexto, pode revelar-se necessário proceder à recolha de números de telemóvel e endereços de correio eletrónico privados dos trabalhadores, o que é lícito, se esses dados pessoais forem utilizados para assegurar a "disponibilidade contínua" (mas não ininterrupta) dos trabalhadores durante a atual crise da COVID-19, nomeadamente quando estejam no referido regime de teletrabalho.

Pode também ser necessário recorrer à utilização desses dados se, por exemplo, a infraestrutura de tecnologias de informação da própria organização ficar sobrecarregada ou caso se verifique um problema técnico que cause uma interrupção nas comunicações, revelando-se necessário recorrer ao telemóvel ou ao endereço de correio eletrónico privados dos colaboradores para efeitos de comunicação para fins laborais. Nesta situação, deve ser assegurado, na medida do possível, que não são partilhados dados sensíveis através de meios de comunicação que não sejam considerados seguros, nomeadamente através do correio eletrónico, por forma a salvaguardar o risco de acesso não autorizado aos dados por terceiros.

Na verdade, deve ser adotado o mesmo tipo de medidas de segurança em regime de teletrabalho do que aquelas que são adotadas em circunstâncias normais, por exemplo, encriptação de hardware e software, um sistema de autenticação de password em dois/três níveis, manter ficheiros de registo de acessos (log in).

Além do mais, os dados só podem ser utilizados para a finalidade pretendida e devem ser imediatamente eliminados após cessar a finalidade de tratamento.

6. As entidades empregadoras podem utilizar soluções tecnológicas para controlo remoto do desempenho dos seus trabalhadores em regime de trabalho à distância? Por exemplo, podem ser gravadas chamadas de videoconferência entre trabalhadores?

De acordo com as recentes orientações emitidas pela CNPD, a regra geral de proibição de utilização de meios de vigilância à distância, com a finalidade de controlar o desempenho profissional do trabalhador, é plenamente aplicável à realidade de teletrabalho. Aliás, à mesma conclusão sempre se chegaria pela aplicação dos princípios da proporcionalidade e da minimização dos dados pessoais, uma vez que a utilização de tais meios implica uma restrição desnecessária e seguramente excessiva da vida privada do trabalhador.

Por esta razão, soluções tecnológicas para controlo à distância do desempenho do trabalhador não são admitidas ao abrigo do RGPD e demais legislação aplicável. Refere a CNPD que são disso exemplo os softwares que, para além do rastreamento do tempo de trabalho e de inatividade, registam as páginas de Internet visitadas, a localização do terminal em tempo real, as utilizações dos dispositivos periféricos (ratos e teclados), fazem captura de imagem do ambiente de trabalho, observam e registam quando se inicia o acesso a uma aplicação, controlam o documento em que se está a trabalhar e registam o respetivo tempo gasto em cada tarefa (por exemplo, “TimeDoctor”, “Hubstaff”, “Timing”, “Manic Time”, “TimeCamp”, “Toggl”, “Harvest”).

Ferramentas deste tipo recolhem manifestamente em excesso dados pessoais dos trabalhadores, promovendo o controlo do trabalho num grau muito mais detalhado do que aquele que pode ser legitimamente realizado no contexto da sua prestação nas instalações da entidade empregadora. E a circunstância de o trabalho estar a ser prestado a partir do domicílio não justifica uma maior restrição da esfera jurídica dos trabalhadores. Nessa medida, a recolha e o subsequente tratamento daqueles dados violam o princípio da minimização dos dados pessoais e são, portanto, proibidos. 

Do mesmo modo, não é admissível impor ao trabalhador que mantenha a sua câmara de vídeo permanentemente ligada, nem será, em princípio, de admitir a possibilidade de gravação de videochamadas entre a entidade empregadora e os trabalhadores.

Apesar da inadmissibilidade da utilização de tais ferramentas, a CNPD salienta, todavia, a entidade empregadora mantém o poder de controlar a atividade do trabalhador, o que poderá fazer, designadamente, fixando objetivos, criando obrigações de reporte com a periodicidade que entenda, marcando reuniões em teleconferência.

7. Os ficheiros de trabalhadores podem ser objeto de tratamento no domicílio de um trabalhador (por exemplo, pelo pessoal de Recursos Humanos)?

O tratamento dos ficheiros de trabalhadores só pode ocorrer no domicílio de um outro trabalhador, que faça, por exemplo, parte do Departamento de Recursos Humanos, em circunstâncias excecionais, ou seja, se esse tratamento for estritamente necessário e na medida em que sejam tomadas medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a sua perda, destruição ou danificação acidental, incluindo, por exemplo, encriptação de hardware e software, um sistema de autenticação de senha em dois/três níveis, ficheiros de registo de acesso, não impressão de documentos no domicílio.

 

Se precisar de mais esclarecimentos ou assistência em quaisquer questões relacionadas com questões de proteção de dados pessoais, não hesite em contactar-nos.

Ver pdf Partilhar
2020-04-20

A Comissão Europeia apresentou recentemente orientações para o desenvolvimento de aplicações de rastreio de contactos e de alerta na luta contra a COVID-19, as quais podem ter um impacto significativo na erradicação do vírus e desempenhar um papel importante na estratégia de levantamento das medidas de contenção.

Essas aplicações podem ser dotadas: (i) informações exatas sobre a pandemia COVID-19 para os utilizadores; (ii) questionários de autodiagnóstico e orientações para os utilizadores (funcionalidade de controlo de sintomas); (iii) notificação de alerta às pessoas que tenham estado na proximidade de uma pessoa infetada, para que sejam testadas ou se isolem (funcionalidades de rastreio de contactos e de alerta); e/ou (iv) um fórum de comunicação entre pacientes em autoisolamento e médicos, nomeadamente fornecendo diagnósticos mais aprofundados e aconselhamento em matéria de tratamento (telemedicina).

Atendendo à natureza extremamente sensível dos dados (em particular, dados de saúde) e à finalidade das aplicações, estas devem cumprir o Regulamento Geral sobre a Proteção de Dados (RGPD) e a Diretiva de Privacidade Eletrónica, e ser implementadas em estreita coordenação com as autoridades de saúde pública e as autoridades nacionais de proteção de dados.

Os utilizadores devem manter o controlo total sobre os dados pessoais, o que pressupõe que deem o seu prévio consentimento (cumprindo os requisitos do RGPD) e separadamente para cada funcionalidade de uma aplicação. Em caso de utilização de dados de proximidade, estes devem ser conservados no dispositivo do utilizador e só devem ser partilhados com o seu prévio consentimento; os utilizadores devem poder exercer os seus direitos ao abrigo do RGPD, pelo que, entre outros, poderão, a qualquer momento, retirar o seu consentimento.

As aplicações devem respeitar o princípio de minimização dos dados, pelo que só podem ser tratados os dados pessoais relevantes e limitados à finalidade em causa. Por exemplo, para efeitos de rastreio de contactos, a Comissão Europeia considera que os dados de localização não são necessários, pelo que não aconselha a sua utilização.

As regras da UE exigem que os dados pessoais tratados sejam exatos, pelo que a Comissão Europeia considera que devem ser utilizadas tecnologias como o Bluetooth, para avaliar com maior precisão o contacto entre os diferentes utilizadores. Os dados devem ser conservados no dispositivo do utilizador e encriptados, bem como só devem ser conservados durante o período necessário, em termos médicos, e durante a vigência das medidas de contenção.

Para o êxito destas aplicações é fundamental a confiança dos cidadãos e que se sintam seguros com a sua utilização, o que deve ser assegurado mediante um estrito cumprimento das regras da UE de proteção de dados pessoais.

Ver pdf Partilhar
2019-08-12

Foi publicada a 8 de agosto a Lei n.º 58/2019, que assegura a execução do Regulamento Geral de Proteção de Dados (RGPD) na ordem jurídica portuguesa. Destacamos abaixo as disposições mais relevantes:

  • A obrigatoriedade de designação de encarregados de proteção de dados nas entidades públicas. Para este efeito, incluem-se nas entidades públicas, para além do Estado, regiões autónomas e autarquias locais, as empresas do setor empresarial do Estado.
  • A limitação da prestação do consentimento prévio exigido pelo RGDP a menores que já tenham completado 13 (treze) anos de idade. Nos restantes casos, o tratamento de dados só é lícito se o consentimento for prestado pelos representantes legais do menor.
  • Em caso de incumprimento da lei ou do RGPD, a aplicação de coimas entre 1.000€ e 2.000.000€, no caso das pequenas e médias empresas, e entre 2.000€ e 20.000.000€, no caso das grandes empresas. As entidades públicas também estão sujeitas à aplicação de coimas. Contudo, podem solicitar à Comissão Nacional de Proteção de Dados (CNPD) a sua dispensa pelo prazo de três anos.
  • Os dados recolhidos só poderão ser conservados pelo prazo que vier a ser fixado por norma legal ou regulamentar ou, na falta desta, pelo prazo que se mostre necessário para a prossecução da finalidade para o qual foram recolhidos. Quando os dados sejam necessários para comprovar o cumprimento de obrigações contratuais, o prazo de conservação cessa quando cessar o prazo de prescrição dos direitos a que se reportam.
  • O consentimento do titular dos dados não é exigido no âmbito laboral se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador ou se o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido deste.
  • A imposição de limites aos sistemas de videovigilância, quando admitidos nos termos da  Lei n.º 34/2013, de 16 de maio, estabelecendo áreas sobre as quais as câmaras não podem incidir e proibindo, exceto com o consentimento prévio da CNPD, a captação de som.
  • A alteração da Lei n.º 43/2004, de 18 de agosto, que regula a organização e o funcionamento da CNPD.

A nova lei entrou em vigor no dia 9 de agosto e mantém em vigor toda a legislação portuguesa de proteção de dados em tudo o que não contrarie o diploma ou o RGPD.

Ver pdf Partilhar
2019-05-22

Na semana em que o RGPD completa um ano de aplicação, a ECO Online falou com Cláudia Martins, advogada especialista em proteção de dados, da Macedo Vitorino & Associados. Segundo a advogada “o RGPD não é inconsequente. A aplicação que, neste momento, ainda está a ser feita é que poderá estar a ser inconsequente”.

Leia o artigo na íntegra, publicado na ECO, no pdf. 

 

Ver pdf Partilhar
2019-05-20

Um ano após a entrada em vigor do novo Regime Geral da Proteção de Dados, o Jornal de Negócios faz um balanço em primeira linha de como as organizações (não) se estão a adaptar ao regime.

Segundo a advogada Cláudia Fernandes Martins, especialista em proteção de dados na Macedo Vitorino & Associados, embora tenha existido «(...) um “esforço proativo” por parte de entidades privadas e públicas (…), isto não significa que a maioria das organizações tenha implementado as medidas necessárias para atuarem em conformidade com o RGPD (...).» Confirma ainda que «existem atrasos na implementação do RGPD ao nível do setor público».


Se quiser saber mais, leia o artigo na íntegra no pdf. 

Ver pdf Partilhar
2018-11-23
“RGPD seis meses depois” é o título do artigo de opinião publicado no jornal Negócios

Cláudia Martins, advogada sénior da Macedo Vitorino & Associados faz um balanço quase seis meses após a aplicação do Regulamento e refere “muitas empresas privadas, grandes, médias e pequenas, e ainda outras empresas e entidades do setor público não implementaram o RGPD de forma completa e rigorosa.”

A advogada acrescenta ainda que é importante as organizações reverem de forma correta, os seus procedimentos de proteção de dados.

Leia o artigo de opinião no pdf.

Ver pdf Partilhar
2018-09-14
A Macedo Vitorino & Associados e o seu cliente «Human Talent» estão em destaque na Advocatus by ECO e no Sapo Online.

No âmbito da 28.ª edição do Digital Business Congress a Macedo Vitorino & Associados foi convidada pela APDC a desafiar um dos seus clientes a partilhar a sua experiência relativa à implementação do Regulamento Geral de Proteção de Dados.

Especialmente para esta sessão, que decorre no dia 26 de setembro às 12h15 no CCB, a Macedo Vitorino convidou a «Human Talent», empresa de consultoria para as áreas de outsourcing especializado, programas de apoio a doentes, consultoria e marketing digital, a participar no painel dedicado ao tema “Regulação e Proteção de Dados”. Aqui serão debatidos e analisados os múltiplos desafios e as novas obrigações impostas pelo RGPD, dando a conhecer as estratégias utilizadas para assegurar a conformidade com as novas regras.

Ver pdf Partilhar
2018-06-28
Notícia publicada no iOnline onde se analisa uma deliberação da ERC caso as novas regras de proteção de dados do RGPD já estivessem a ser aplicadas.

Contactada pelo jornal iOnline sobre uma recente deliberação da ERC, a advogada Cláudia Martins esclarece que “Se, à data a que se reportam os factos, as novas regras de proteção de dados do RGPD já estivessem a ser aplicadas, o caso seria certamente mais dramático”.

“No caso, para ter existido uma fuga de informação, ao terem sido divulgados emails confidenciais, significa que o sigilo profissional não foi respeitado, bem como que os emails foram divulgados sem o consentimento prévio das partes envolvidas”, acrescenta a advogada.

Leia a notícia aqui e saiba como enfrentar as novas regras impostas pelo RGPD em https://www.macedovitorino.com/mvdata

Ver pdf Partilhar
2018-05-29
Artigo publicado no Dinheiro Vivo sobre como sobreviver ao RGPD e evitar multas

Neste artigo a advogada Cláudia Martins destaca as principais medidas a implementar no âmbito do Regulamento de Proteção de Dados, que passou a ser aplicado a 25 de maio de 2018, e recomenda a consulta do “kit de sobrevivência”, um projeto desenvolvido pela Macedo Vitorono, que o ajudará a identificar os riscos e a implementar o RGPD, em «MVData».

Ver pdf Partilhar
2018-05-28
Artigos sobre o «MVData»  - o Kit de Sobrevivência que ajuda a implementar o Regulamento Europeu de Proteção de Dados (RGPD)

Leia os artigos publicados pela Advocatus by ECO, Advogar, APDC e Sapo online e saiba mais sobre como enfrentar as novas regras impostas pelo RGPD em https://www.macedovitorino.com/mvdata

Partilhar
2018-05-25

O «MVData» é um projeto desenvolvido pela Macedo Vitorino & Associados para preparar os seus clientes para enfrentar as novas regras impostas pelo Regulamento Europeu de Proteção de Dados (RGPD).

No dia em que passa a ser aplicável o RGPD, 25 de maio de 2018, a Macedo Vitorino & Associados disponibiliza através do «MVData» informação sobre o tema da proteção de dados e esclarece as questões mais frequentes que os clientes nos têm colocado.

O «MVData» procura ajudar as empresas e as organizações a identificar riscos e a definir prioridades para que possam cumprir as regras do RGPD.

Em paralelo com a criação do «MVData» desenvolvemos uma ferramenta para auxiliar as empresas a avaliar os riscos e as prioridades sobre o grau de prossecução das obrigações e regras previstas no RGPD”, refere Cláudia Martins, coordenadora do projeto e advogada sénior da Macedo Vitorino & Associados. “Já implementámos esta solução com alguns clientes, os resultados obtidos têm permitido resolver algumas questões e o feedback das empresas tem sido bastante positivo”, acrescenta a advogada.

No MVData é possível encontrar resposta às questões mais frequentes relativas ao RGPD, assim como aceder a informações úteis relacionadas com o próprio Regulamento, nomeadamente às principais orientações do Grupo de Trabalho do Artigo 29 e a informação disponibilizada pela Comissão Europeia e Comissão Nacional de Proteção de Dados, a autoridade de controlo em Portugal. 

O «MVData» disponibiliza ainda artigos, entrevistas e publicações da Macedo Vitorino & Associados sobre o Regulamento, e a agenda de eventos sobre o tema, em que a sociedade participa ou organiza. 

Para saber mais sobre o «MVData» clique no seguinte link: www.macedovitorino.com/mvdata/

Este projeto reforça a presença e o portfólio digital da Macedo Vitorino & Associados, que este ano lançou o «Why Portugal» depois de, em 2016, ter lançado o «MVStart», um programa que visa apoiar o nascimento e crescimento de startups portuguesas e estrangeiras.

Ver pdf Partilhar
2018-05-25
Artigo publicado no ECO onde a advogada Cláudia Martins fala sobre a nova função de “Data Protection Officer” (DPO) que surge no âmbito do Regulamento de Proteção de Dados e que passa a ser hoje aplicado.

Em entrevista ao ECO a advogada esclarece que o DPO ou “Encarregado da Proteção de Dados” é a pessoa ou entidade encarregue de assegurar que a organização adota as medidas necessárias para atuar em conformidade com as normas o RGPD.

Um DPO deverá, entre outros requisitos, reunir os seguintes:

  • ser uma pessoa com experiência no sector onde irá atuar;
  • conhecer muito bem a organização em questão;
  • ter uma boa capacidade de comunicação, uma vez que servirá de interlocutor entre a organização, os titulares dos dados e a organização;
  • ser acessível, o que será crucial;
  • ser capaz de conjugar preocupações de natureza comercial e de «compliance»; e
  • ter uma boa capacidade de avaliação de riscos. Não será, portanto, tarefa fácil encontrar alguém que conjugue todos estes requisitos.

Para além das suas principais funções, que passam por controlar a conformidade das práticas da organização com as normas de proteção de dados pessoais e aconselhar a organização e os seus colaboradores quanto à adoção das práticas mais adequadas, o que implicará sensibilização e formação do pessoal, realização de auditorias, repartição de responsabilidades, um DPO terá uma função de interlocutor no trinómio «organização/titulares dos dados/autoridade de controlo» e será o ponto de contacto para a autoridade de controlo, devendo estar apto a responder, de forma expedita, às questões colocadas pela autoridade de controlo.

Leia o artigo completo «Há uma nova profissão. O DPO vai tratar da Proteção de dados»

Ver pdf Partilhar
2018-05-15
Entrevista publicada no Jornal i onde a advogada Cláudia Martins explica algumas questões sobre o Regulamento de Proteção de Dados que se aplicam no dia a dia. 

Têm de existir fundamentos que permitam o tratamento de dados de clientes por parte das empresas. No caso de dados estritamente necessários à relação contratual entre cliente e prestador de serviços não é necessário que seja pedido o consentimento. Ou seja, uma empresa de telecomunicações, de fornecimento de água ou luz não tem de pedir consentimento ao cliente para tratar dados como o nome a morada e o número de contribuinte”, refere a advogada em entrevista.

Leia o artigo completo: «O que precisa saber no dia a dia sobre o regulamento de proteção de dados».

Ver pdf Partilhar
2018-04-18
Artigo de opinião sobre os cartões de visita no âmbito do RGPD publicado na Advocatus by Eco.

A advogada Cláudia Martins esclarece uma das questões que tem merecido particular interesse, que é a de saber que destino estará reservado aos cartões de visita a partir de 25 de maio de 2018.

Leia o artigo de opinião «Ficarão os cartões de visita "em vias de extinção" com o RGPD?»

Ver pdf Partilhar
2018-04-12

Em conversa com o Dinheiro Vivo / Diário de Notícias, Cláudia Martins, advogada sénior da Macedo Vitorino & Associados, esclarece algumas questões relativas ao RGPD sobre caso 'Cambridge Analytica' e o Facebook.

No que diz respeito aos desafios para as redes sociais de forma a cumprirem o novo regulamento, Cláudia refere "..será o de assegurar aos seus utilizadores que os seus dados apenas serão utilizados para as finalidades para que foram recolhidos e para as quais os utilizadores deram o seu consentimento. Ou seja, é importante assegurar que não há um uso indevido dos dados pessoais e que os utilizadores efetivamente conseguem, exercendo os seus direitos, que, a qualquer momento, esses dados deixem de ser utilizados.".

A advogada acrescenta ainda que "A disseminação dos dados pela Internet, sem que os utilizadores consigam ter o controlo sobre os seus próprios dados pessoais será, sem dúvida, um dos maiores desafios."

Leia o artigo em "E agora Facebook? Europa vai servir de exemplo para todo o mundo".

Ver pdf Partilhar
2018-04-03
Artigo de opinião sobre o grande desafio que o RGPD vem trazer às organizações e às suas administrações publicado na revista Aspectos.

A advogada Cláudia Martins explica no artigo «RGPD: Um Desafio Sistémico para as Administrações» que "as organizações passam a ter um papel ativo na aplicação do RGPD, sendo responsáveis pelo seu cumprimento e por comprová-lo. Para ajudar as organizações e, em particular, os seus quadros de gestão superior, o RGPD introduz a figura do Encarregado de Proteção de Dados. Apesar de a sua designação não ser obrigatória para todos os casos, a verdade é que se tornará crucial que as organizações designem uma ou várias pessoas, fornecendo-lhe os recursos humanos, tecnológicos e a formação necessários para assegurar a conformidade com o RGPD."

Ver pdf Partilhar