Está em vigor a Lei 58/2019, de 8 de agosto, que é a lei nacional de execução do Regulamento (UE) 2016/679 – Regulamento Geral sobre Proteção de Dados (RGPD). Esta lei revoga a anterior lei de proteção de dados pessoais (Lei 67/98). Entrou também em vigor uma lei específica de proteção de dados para os tratamentos efetuados por autoridades competentes para a deteção, prevenção, investigação e repressão de infrações penais e para a execução de sanções penais – Lei 59/2019, de 8 de agosto. Estes três instrumentos legais constituem a nova legislação de proteção de dados pessoais.
- Quando é que é legal colocar um sistema de biometria?
Os dados biométricos são considerados dados sensíveis, pelo que só é legítimo proceder ao seu tratamento em duas situações: se houver uma lei que expressamente preveja esse tratamento e que, adicionalmente, estabeleça garantias para a defesa dos direitos dos titulares; ou se for obtido o consentimento do titular dos dados, nos termos legalmente exigíveis para o consentimento, ou seja, assegurando que o consentimento é explícito, informado, específico e dado livremente. - Posso colocar um sistema biométrico na minha organização para controlo de acesso e assiduidade dos trabalhadores?
Sim, embora dependendo do cumprimento de todos os requisitos locais e das características do sistema no caso concreto. O tratamento de dados biométricos é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador (artigo 28.º, n.º 6, da Lei 58/2019, e artigo 9.º, n.º 2, alínea b) do RGPD). No entanto, deve assegurar-se que só são utilizadas representações do dado biométrico (template) e que o processo não permita a reversibilidade dos dados (artigo 28.º, n.º 6, da Lei 58/2019). Deve garantir que tem na sua posse uma declaração do fabricante do sistema atestando a existência destas características. No contexto laboral, o tratamento de dados biométricos dos trabalhadores tem ainda de respeitar o disposto no artigo 18.º do Código do Trabalho, com exceção da notificação à CNPD. - Posso usar os dados biométricos já recolhidos no contexto laboral para outra finalidade (por exemplo, controlo de acesso às máquinas de vending)?
Não. A lei é muito clara só admitindo como tratamento legítimo para a finalidade de controlo de assiduidade e/ou controlo de acesso às instalações do empregador. Assim, não podem ser recolhidos e utilizados dados biométricos dos trabalhadores para mais nenhum fim. - Posso usar a biometria para controlar o acesso dos clientes/utentes às minhas instalações?
Sim, desde que obtido o consentimento dos clientes/utentes nos termos legais e melhor explicitados na resposta à Questão 2. No entanto, tem de haver forma alternativa de acesso às instalações para os clientes/utentes que não consentirem na recolha dos seus dados biométricos. Para garantir as condições de liberdade efetiva de escolha, o responsável pelo tratamento não pode criar obstáculos, ou de outro modo dificultar, o acesso alternativo sem controlo biométrico. Os meios empregues no controlo de acesso devem ser proporcionais ao nível de segurança das instalações e às necessidades de verificação de acesso. - Preciso de fazer uma avaliação de impacto sobre a proteção de dados para tratar dados biométricos?
A obrigatoriedade de realizar uma avaliação de impacto sobre a proteção de dados (AIPD) quando há tratamento de dados biométricos depende de vários fatores. As organizações que já possuem uma autorização da CNPD para os tratamentos de dados biométricos – e desde que não tenha havido alteração às condições autorizadas para o funcionamento do sistema – não precisam de realizar uma AIPD. As organizações que não tenham obtido até 25 de maio de 2018 autorização da CNPD, estão obrigadas a realizar uma avaliação de impacto sobre a proteção de dados quando realizarem tratamentos em larga escala, conforme exigido pelo artigo 35.º, n.º 3, alínea b) do RGPD. Quando realizarem tratamentos de dados biométricos, em pequena escala, estão igualmente obrigadas a realizar avaliações de impacto sobre a proteção de dados, sempre que o tratamento recaia sobre titulares de dados de grupos vulneráveis, como é o caso de trabalhadores. (cf. Ponto 7 do Regulamento 1/2018, da CNPD, no seguimento do Parecer 18/2018 do Comité Europeu da Proteção de Dados). Sublinha-se que a avaliação de impacto sobre a proteção de dados pode ser realizada diretamente pelo responsável pelo tratamento ou pela empresa que concebeu e/ou desenvolveu o sistema biométrico (cf. parte final do n.º 1 do artigo 35.º do RGPD). - Preciso de autorização da CNPD para colocar um sistema biométrico?
Não. A obrigação de notificação prévia de tratamentos de dados pessoais à CNPD desapareceu com a aplicação do RGPD. Já não é necessário solicitar autorização, preencher formulário ou pagar taxa à CNPD para realizar tratamentos de dados pessoais abrangidos pelo RGPD. - O que devo fazer se pretender alterar o funcionamento do sistema biométrico já autorizado pela CNPD?
Se fizer alterações ao tratamento de dados biométricos previamente autorizado pela CNPD e às condições aí fixadas, a autorização perde a sua validade (caduca). Em consequência, terá de cumprir todas as exigências legais como se estivesse a projetar um tratamento de dados pela primeira vez. Veja a resposta às questões anteriores desta secção.
Texto retirado e adaptado da Comissão Nacional da Proteção de Dados, https://www.cnpd.pt/