Base de dados dos trabalhadores 
Documentos e assinatura digital 
Relatórios e análises 
Folhas de pagamento e incidentes 
Software de controlo de tempo e assiduidade 
Turnos e registo de serviço 
Ausências e férias 
Fluxos de trabalho 
Despesas 
Software de recrutamento e seleção 
Onboarding 
Formação e procedimentos 
Comunicação interna 
Software de avaliação de desempenho 
Inquéritos e formulários 
Chatbot 
Esta semana falamos com Soraya San Segundo: Consultora Sénior de Proteção de Dados na Datages Consulting, sobre os limites legais à utilização de dados biométricos para o registo laboral, devido ao regulamento atualizado do RGPD.
Bem-vinda, Soraya. Para começar a entrevista, diga-nos quem é e qual é a sua paixão.
Sou consultora de proteção de dados. No local de trabalho, uma das áreas que me agrada é ajudar as empresas a compreender e a cumprir os regulamentos de privacidade para além de uma obrigação, mas com a visão de garantir a viabilidade da empresa, assegurando que os funcionários se sentem seguros e respeitados num mundo cada vez mais digitalizado.
Acredito que é possível encontrar um equilíbrio entre a inovação tecnológica e o respeito pela privacidade das pessoas, e trabalhar neste domínio permite-me contribuir para esse equilíbrio.
Faça-nos uma breve introdução aos sistemas biométricos e ao registo de dados e de tempo: como têm sido utilizados até agora?
Os sistemas de dados biométricos, como o reconhecimento facial ou o reconhecimento de impressões digitais, têm sido tradicionalmente utilizados para o controlo de acesso e a gestão do tempo de trabalho no local de trabalho. Estes sistemas permitem um registo mais preciso e seguro do tempo de trabalho, ajudando as empresas a cumprir as suas obrigações legais e a gerir eficazmente a assiduidade do seu pessoal.
E o que mudou desde a atualização do regulamento e porquê?
As actualizações regulamentares, como o RGPD, introduziram alterações significativas na forma como os dados biométricos podem ser utilizados.
Antes das orientações publicadas pela AEPD em 23 de novembro de 2023, estava estabelecido que o consentimento dos titulares dos dados podia validar a utilização de dados biométricos. Tal incluía a possibilidade de utilizar esse método para o registo do tempo de trabalho. No entanto, as orientações emitidas pela AEPD deixam claro que não existe qualquer apoio jurídico para esta prática.
Mesmo que os trabalhadores dêem o seu consentimento, tal não é suficiente para considerar legal o tratamento desses dados.
Estas restrições baseiam-se nos princípios da adequação, da necessidade e da proporcionalidade. Por outras palavras, deve ser claramente demonstrado que a utilização de dados biométricos é absolutamente necessária e proporcional para atingir o objetivo pretendido e que não existem alternativas menos invasivas. Esta clarificação é crucial, pois sublinha que o consentimento por si só não é suficiente para validar a utilização de dados biométricos, especialmente num ambiente de trabalho em que existe um desequilíbrio entre o trabalhador e o empregador.
Em que casos é que a utilização de dados biométricos é considerada legítima?
Em primeiro lugar, um dos requisitos básicos é efetuar uma avaliação de impacto antes de utilizar estes dados. Este processo examina cuidadosamente os potenciais riscos e benefícios associados ao tratamento de dados biométricos. No entanto, é importante notar que esta avaliação, por si só, não garante a legitimidade do tratamento.
Além disso, há que ter em conta que a utilização de dados biométricos deve ser um último recurso. Isto significa que a empresa deve demonstrar claramente que a utilização de tais dados é absolutamente necessária e proporcional para atingir o objetivo pretendido. Por outras palavras, não deve haver alternativas menos invasivas disponíveis. Esta condição é fundamental para garantir que o tratamento dos dados biométricos é efectuado de forma ética e respeitadora da privacidade dos trabalhadores."
Mesmo que os trabalhadores dêem o seu consentimento, tal não é suficiente para considerar lícito o tratamento desses dados. Estas restrições baseiam-se nos princípios da adequação, necessidade e proporcionalidade. Ou seja, deve ser claramente demonstrado que a utilização de dados biométricos é absolutamente necessária e proporcional para atingir o objetivo pretendido e que não existem alternativas menos invasivas.
Então, como é que os trabalhadores podem marcar o ponto sem que as empresas violem as regras?
- Cartões de identificação
- Códigos PIN
- Aplicações móveis
- Assinaturas electrónicas
- Registo manual
- Cartões de proximidade
- Sistemas de reconhecimento de voz
- Sistemas de reconhecimento facial sem armazenamento de dados biométricos
Estas são apenas algumas das formas alternativas de marcação de ponto que não requerem o processamento de dados biométricos e que podem ser implementadas pelas empresas para cumprir os regulamentos de proteção de dados.
Por último, que sanções poderão ser aplicadas às empresas em caso de incumprimento da regulamentação relativa aos dados biométricos?
As empresas que não cumpram a regulamentação relativa ao tratamento de dados biométricos podem ser objeto de várias sanções, desde advertências e ordens de cessação de atividade até sanções financeiras significativas. Se, no passado, a Agência Espanhola de Proteção de Dados (AEPD) não impunha sanções pecuniárias pela utilização destes controlos no local de trabalho, como já foi referido, as circunstâncias mudaram.
A AEPD pode agora aplicar coimas por falta de comunicação de informações sobre estes sistemas, por falta de uma avaliação de impacto ou por utilização desproporcionada destes controlos. No passado, essas coimas variavam entre 5 000 e 200 000 euros. No entanto, o Regulamento Geral sobre a Proteção de Dados (RGPD) prevê que o incumprimento do regulamento pode ser sancionado até 20 milhões de euros ou 4% do volume de negócios anual global do exercício financeiro anterior, consoante o montante mais elevado.
É importante notar que o pagamento da coima não legitima o tratamento dos dados biométricos. Para além das sanções administrativas, as empresas podem também ser objeto de pedidos de indemnização por parte dos trabalhadores afectados, tanto no âmbito do direito do trabalho como do direito civil.
Para mais informações, consulte o guia sobre a utilização de dados biométricos para controlo de presença e de acesso publicado pela Agência Espanhola de Proteção de Dados (AEDP).
Esta terça-feira, 23 de abril, às 11:00h (hora espanhola), falaremos com Soraya San Segundo sobre a utilização de dados biométricos para o registo laboral, etc. Não perca!
