Tecnologias de geolocalização no contexto laboral: Comissão Nacional de Proteção de Dados aprova princípios e condições gerais

gps_portugal

Por João Ferreira Pinto

No passado mês de Outubro (2014) a Comissão Nacional de Proteção de Dados (CNPD), autoridade de controlo em Portugal, aprovou os termos e condições aplicáveis aos tratamentos decorrentes da utilização de tecnologias de geolocalização no contexto laboral, designadamente, em veículos automóveis e em dispositivos móveis inteligentes (smartphones, portáteis e tablets).

Os dispositivos de georreferenciação são sistemas de vigilância à distância, de rastreamento continuo de objetos e/ou pessoas e constituem uma ingerência na vida privada. São particularmente intrusivos fora do horário de trabalho e nos períodos de pausa e de descanso, incluindo fins-de-semana.

Tratamento:

A instalação de tecnologias de geolocalização em veículos automóveis e em dispositivos móveis inteligentes utilizados pelos trabalhadores consubstancia um tratamento de dados pessoais.

Dados sensíveis:

Os dados relativos à localização dos trabalhadores dizem respeito à vida privada e são considerados dados sensíveis. Estes dados são especialmente protegidos na Lei n.º 67/98, de 26 de Outubro, Lei de Proteção de Dados Pessoais (LPDP) e o seu tratamento é genericamente proibido no art.º 7.º da LPDP.

Legitimidade:

O consentimento do trabalhador não constitui um fundamento de legitimidade válido, pelo que a legitimidade do tratamento só pode basear-se em disposição legal, desde que com garantias de não discriminação e aplicação de medidas de segurança, cfr. art.º 15.º da LPDP.

O Código do Trabalho (CT) admite a utilização de meios tecnológicos de controlo à distância para fins de “proteção de pessoas e bens” ou “quando particulares exigências inerentes à atividade o justifiquem”, cfr. art.º 20.º, n.º 2 do CT (também aplicável por remissão na Lei Geral do Trabalho em Funções Públicas).

Finalidades:

A geolocalização não pode ser utilizada para “controlar o desempenho profissional do trabalhador”, cfr. art.º 20.º, n.º 1 do CT, e apenas pode ser usada para determinados fins de acordo com critérios rigorosos de proporcionalidade, para finalidades “determinadas, explícitas e legítimas”, cfr. art.º 5.º, n.º 1. al. b) da LPDP.

  1. No que diz respeito à utilização de tecnologias de geolocalização em veículos automóveis, apenas é admitida pela CNPD nas seguintes situações:
  2. A gestão de frotas em serviço externo: nas áreas de atividade de assistência técnica externa/ao domicílio; distribuição de bens, transporte de passageiros, transporte de mercadorias; e segurança privada;
  3. Proteção de bens: transporte de materiais perigosos e transporte de materiais de valor superior a €10.000,00.
  4. Relativamente aos dispositivos móveis inteligentes (smartphones, portáteis e tablets) para fins de proteção do bem em si mesmo, considera a CNPD que a geolocalização é excessiva, desproporcional e desajustada face a outras possibilidades, tais como o recurso a políticas de segurança da informação, autenticação forte do utilizador, encriptação ou MDM (Mobile Device Management).

Responsável:

No contexto laboral, o responsável será a entidade empregadora ou o organismo público, que determina as finalidades e os meios de tratamento.

Tempo de conservação:

Os dados só podem ser conservados por um período máximo de 1 (uma) semana, sem prejuízo da sua manutenção em caso de procedimento criminal pelos prazos legalmente previstos.

Interconexões e comunicações a terceiros:

Estando em causa dados sensíveis, a interconexão só pode ocorrer caso exista uma base legal especifica, nos termos do art.º 7.º da LPDP, pelo que ao não existir essa base legal não há fundamento legitimador para a interconexão.

Igualmente, nos termos do art.º 3.º.al. f) da LPDP não existem situações que justifiquem comunicações dos dados a terceiros.

Transparência e direitos dos titulares:

De acordo com os princípios da transparência e da boa-fé, cfr. artigos 2.º e 5.º, n.º 1, al. a) da LPDP, o responsável está obrigado a dar conhecimento detalhado aos trabalhadores da existência de dispositivos de geolocalização nos equipamentos que disponibiliza, bem como, a dar conhecimento das condições de exercício dos seus direitos nos termos da LPDP, cfr. art.º 11.º.

Medidas de segurança:

Por estarem em causa dados sensíveis, o responsável pelo tratamento deve adotar as especiais medidas de segurança previstas no art.º 15.º da LPDP e possuir um sistema de auditoria fiável. Deverá ser implementada uma política de análise de logs (com relatórios periódicos), os quais devem ser guardados pelo prazo de 90 (noventa) dias.

O texto da referida Deliberação está disponível em:

http://www.cnpd.pt/bin/orientacoes/DEL_7680-2014_GEO_LABORAL.pdf