Deliberação 7680/2014 – Aplicável aos tratamentos de dados pessoais decorrentes da utilização de tecnologias de geolocalização no contexto laboral

Consulte aqui o documento original

 

Considerando que:

I. A evolução tecnológica traz novos e constantes desafios na relação laboral e na adaptação do Direito à realidade;

II. A «sociedade do conhecimento» assume hoje formas de expressão que têm elevado impacto no modo como os cidadãos e os agentes económicos se relacionam e, portanto, também no âmbito da relação entre entidades empregadoras e trabalhadores;

III. Os avanços tecnológicos constituem um fator determinante para a modernização, a organização, o aumento da produtividade e competitividade das empresas, que simultaneamente podem ser utilizadas para potenciar um maior controlo dos trabalhadores em matéria de produtividade, na verificação do grau de eficiência e na apreciação da sua competência no desempenho das funções, e até na aferição do cumprimento das ordens e instruções da entidade empregadora;

IV. Os dispositivos de geolocalização, como qualquer sistema de vigilância, envolvem restrições de direitos fundamentais pelo que, em caso de conflito de direitos, as restrições devem limitar-se ao necessário para salvaguardar outros
direitos ou interesses fundamentais, de acordo com o princípio da proporcionalidade, na sua tripla vertente de adequação, necessidade e proporcionalidade em sentido estrito, implicando uma ponderação dos interesses fundamentais em conflito;V. É, em consequência, fundamental garantir o justo equilíbrio entre a tutela da esfera jurídica do trabalhador e o princípio da liberdade de gestão empresarial e organização dos meios de produção que visem a promoção do desenvolvimento da empresa, e especificamente conciliar estes princípios com os direitos fundamentais da reserva da intimidade da vida privada e da proteção de dados pessoais;

VI. O artigo 8.º, n.º 1, da Convenção Europeia dos Direitos do Homem estabelece que qualquer pessoa tem direito à sua vida privada e familiar; e no ordenamento jurídico da União Europeia, o artigo 7.º da Carta dos Direitos Fundamentais da União Europeia impõe o «respeito pela vida privada e familiar, pelo seu domicílio (…)» estando consagrado no artigo 8.º da mesma Carta e no artigo 16.º do Tratado sobre o Funcionamento da União Europeia o direito à proteção dos dados pessoais;

VII. A Constituição da República Portuguesa (CRP), no catálogo formal dos direitos, liberdades e garantias, prevê o direito à reserva da vida privada e familiar e à proteção legal contra qualquer forma de discriminação (artigo 26.º), enquanto expressão da dignidade da pessoa humana, consagrada no seu artigo 1.º, bem como o direito à proteção dos dados pessoais (artigo 35.º);

VIII. A CRP determina ainda que são nulas todas as provas obtidas mediante (…) abusiva intromissão na vida privada, no domicílio, na correspondência ou nas telecomunicações (artigo 32.º, n.º 8);

IX. Os artigos 2.º e 5.º da Lei n.º 67/98, de 26 de outubro, consagram princípios nucleares em matéria de proteção de dados, firmando-se que o tratamento de dados se deve processar «de forma transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias»;

X. O Código do Trabalho (CT) contém disposições específicas relativas à tutela dos direitos de personalidade, as quais são expressão da tutela constitucional e civilística dos direitos de personalidade do trabalhador no quadro da relação
laboral, com especial destaque para o direito à reserva da intimidade da vida privada, previsto no artigo 16.º do CT, e para proteção de dados pessoais dos trabalhadores, consagrada no artigo 17.º do CT – normas aplicáveis também às relações laborais públicas, por força da alínea b) do n.º 1 do artigo 4.º da Lei Geral do Trabalho em Funções Públicas, aprovada pela Lei n.º 35/2014, de 20 de junho;

XI. A subordinação jurídica no âmbito da relação laboral, quando confrontada com a utilização das tecnologias e com o tratamento de dados pessoais do trabalhador, deve ser adequada às exigências legais atinentes ao regime de proteção de dados, assumindo particular relevância, nomeadamente, os princípios da finalidade, da adequação, da necessidade e da proporcionalidade, da transparência e da boa-fé, bem como os direitos de informação, acesso e oposição. Assim, tendo em conta:

– A Convenção 108 do Conselho da Europa, de 28 de janeiro de 1981, para a proteção das pessoas relativamente ao tratamento automatizado de dados de caráter pessoal, e o seu Protocolo Adicional, de 8 de novembro de 2001;
– A Carta Social Europeia (revista) do Conselho da Europa (CETS n.º 163), aprovada em Estrasburgo em 3 de maio de 1996;
– O artigo 8.º da Convenção Europeia dos Direitos do Homem, do Conselho da Europa, de 4 de novembro de 1950;
– Os artigos 7.º, 8.º, 27.º e 31.º da Carta dos Direitos Fundamentais da União Europeia;
– O artigo 16.º do Tratado sobre o Funcionamento da União Europeia; – A Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;
– Os artigos 26.º, n.º 1, 32.º, n.º 8, e 35.º da Constituição da República Portuguesa;
– A Lei n.º 67/98, de 26 de outubro, que transpõe para a ordem jurídica portuguesa a Diretiva 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;
– O artigo 80.º do Código Civil;
– O Código do Trabalho, aprovado pela Lei n.º 7/2009, de 12 de fevereiro, alterado pelas Leis n.ºs 105/2009, de 14 de Setembro, 53/2011, de 14 de outubro, 23/2012, de 25 de junho, 47/2012, de 29 de agosto, 69/2013, de 30 de agosto e 27/2014, de 8 de maio, designadamente os seus artigos 10.º, 16.º, 17.º, 20.º, 21.º, 97.º, 99.º, 106.º e 107.º, e a alínea b) do n.º 1 do artigo 4.º da Lei Geral do Trabalho em Funções Públicas, aprovada pela Lei n.º 35/2014, de 20 de junho; A Comissão Nacional de Proteção de Dados (doravante, CNPD) delibera estabelecer os princípios e as condições gerais aplicáveis aos tratamentos de dados pessoais decorrentes da utilização de tecnologias de geolocalização no contexto laboral.

A. Meios tecnológicos para obter a geolocalização

1. Existem atualmente vários meios tecnológicos que permitem conhecer a localização geográfica de um objeto e/ou de uma pessoa, os quais utilizam diferentes tipos de infraestruturas na oferta de serviços de geolocalização, designadamente GPS, estações de base GSM e WI-FI.

2. O desenvolvimento destas tecnologias permite hoje determinar a localização geográfica com grande precisão. A tecnologia GPS (Global Positioning System – sistema de localização global), por exemplo, possibilita a localização de um dispositivo móvel, equipado com recetor GPS, com uma margem de erro de 4 a 15 metros. O número crescente de satélites em órbita tem permitido reduzir esta margem de erro, georreferenciando pessoas e/ou objetos com 1-2 metros de diferença em relação ao seu posicionamento real.

3. A tecnologia que até há poucos anos apenas possibilitava conhecer a área aproximada onde se encontrava uma determinada pessoa e/ou objeto e que apenas funcionava em zonas ao ar livre, atualmente permite determinar a localização quase exata da pessoa, mesmo que esta esteja dentro de portas. A precisão da georreferenciação diz-nos se uma pessoa está em casa, no centro comercial, na pastelaria, no cinema ou no mercado, no jardim ou na rua em frente a um número de
porta concreto. Acresce ainda que as diferentes tecnologias podem ser combinadas de modo a potenciar um melhor serviço.

4. Os dispositivos de geolocalização facultam a obtenção de um vasto manancial de dados relativos ao utilizador, os quais permitem, consoante a extensão de dados a tratar, elaborar perfis comportamentais ao rastrear as movimentações realizadas e, nessa medida, identificar hábitos de vida pelos percursos efetuados, pelos locais frequentados, pelos tempos de permanência.

5. No contexto laboral, os dispositivos de geolocalização são essencialmente utilizados em veículos automóveis da entidade empregadora e também em dispositivos móveis inteligentes, como telemóveis ou computadores portáteis^[1]Aqui também se incluindo os tablets, de uso cada vez mais generalizado , disponibilizados pelo empregador para benefício da atividade profissional, independentemente de também poderem ser utilizados para fins privados dos trabalhadores, se tal estiver devidamente previsto, por via contratual ou por regulamento interno.

6. Os dispositivos de geolocalização instalados em veículos, além de recolherem dados sobre a sua localização, permitem ainda registar parâmetros relativos à viatura (designadamente, sensores de portas, sensores de movimento dentro das cabines), parâmetros de condução (tais como, travagens, força G, velocidade, RPM, consumos), entre outros dados.

7. Hoje em dia, os sistemas de geolocalização estão normalmente associados ao cérebro eletrónico do veículo, permitindo nomeadamente o bloqueio automático do motor, caso o dispositivo GPS seja desligado, ou o seu bloqueio remoto, em situação de furto.

8. A forma de recolha dos dados e o seu armazenamento variam consoante o sistema adotado. Todavia, havendo necessidade de recorrer a prestadores de serviços externos para a geolocalização dos veículos automóveis, a informação fica
habitualmente armazenada na empresa prestadora do serviço, embora também haja outras opções tecnológicas, incluindo ficar armazenada na própria viatura e ser descarregada posteriormente.

9. No que diz respeito aos telemóveis^[2]Não se trata aqui de abordar a possibilidade de localização que existe sempre por parte do operador de telecomunicações, nos termos previstos na lei, ou das possibilidades de ativar a … Continue reading disponibilizados aos trabalhadores pelo empregador, o conhecimento da sua localização por parte da entidade patronal será possível se esta, na qualidade de assinante, contratar esse serviço com o operador telefónico ou instalar no telemóvel uma aplicação que forneça a localização do equipamento.

10. Em relação aos computadores portáteis (mas igualmente possível para os telemóveis), o empregador pode conhecer a localização do equipamento se aí instalar uma solução MDM (Mobile Device Management), configurada para aceder ao sensor
de GPS. Aliás, também é possível aceder por esta via a outros sensores do aparelho, como sejam a câmara e o microfone.

11. O MDM permite fazer uma gestão remota do equipamento, incluindo o acesso a documentos, bem como a sua limpeza/destruição, por motivos de segurança. Esta solução é particularmente útil em caso de perda ou furto do equipamento móvel. O grau de profundidade da gestão do MDM depende da forma como estiver configurado.

12. A CNPD analisa aqui as implicações para a proteção de dados e a privacidade dos trabalhadores dos dispositivos de geolocalização nos veículos automóveis, por um lado, e nos dispositivos móveis inteligentes, por outro, no âmbito da relação laboral.

B. O direito à proteção de dados e à privacidade dos trabalhadores no âmbito da relação laboral

13. Todo o trabalhador tem o direito a condições de trabalho que não comprometam a sua dignidade e que respeitem os princípios de proteção de dados pessoais e da vida privada. Esta obrigação resulta agora clara para todos os Estados Membros da União Europeia por força da entrada em vigor do Tratado de Lisboa, momento a partir do qual a Carta dos Direitos Fundamentais da União Europeia se tornou vinculativa para os Estados Membros, sempre que apliquem a legislação europeia 14. Embora o Tribunal de Justiça da União Europeia (TJUE) só se tenha pronunciado recentemente sobre o direito à proteção de dados pessoais no contexto laboral, num pedido prejudicial enviado por um tribunal português^[3]TJUE, Acórdão de 30 de maio de 2013, processo C-342/12,Worten-Equipamentos para o Lar, SA/ Autoridade para as Condições de Trabalho … Continue reading , o Tribunal Europeu dos Direitos do Homem (TEDH) já proferiu várias decisões relativas ao respeito pela vida privada na esfera profissional^[4]4 http://hudoc.echr.coe.int/ .

15. No caso Amann c. Suiça^[5] Cf. Amann v. Switzerland [GC], n.º 27798/95, § 65, ECHR 2010 , o TEDH reitera que «o armazenamento de dados relativos à vida privada de uma pessoa está abrangido pela aplicação do artigo 8.º, n.º 1 [da Convenção Europeia dos Direitos do Homem]». Salienta que «o termo ‘vida privada’ não pode ser interpretado restritivamente (…)», não havendo «razão de princípio que justifique excluir as atividades de natureza profissional e de negócios da noção de vida privada».

16. Por outro lado, no caso Uzun c. Alemanha^[6]Cf. Uzun v. Germany, n.º 35623/05, § 52, ECHR 2010. O TEDH considera, no entanto, que o nível de interferência da vigilância por GPS não é tão elevado como na vigilância visual e acústica, … Continue reading , o Tribunal considerou que a monitorização por GPS é uma interferência na vida privada, tal como protegida pelo artigo 8.º, n.º1, da CEDH

17. Com efeito, os dispositivos de geolocalização, em particular o GPS, são comummente definidos como sistemas de rastreamento de objetos e/ou pessoas e, nessa medida, constituem uma ingerência na vida privada.

18. No entanto, tal caracterização não valoriza devidamente o potencial que esta tecnologia encerra. Além de o rastreamento ser feito “ao minuto” e poder ser realizado de forma intensiva e prolongada no tempo, dando lugar a registos sistemáticos da localização de pessoas, estes equipamentos permitem ademais extrair informação adicional que lhe pode estar associada.

19. Deste modo, da utilização de dispositivos de geolocalização resultam tratamentos de dados pessoais, sempre que se relacionem, direta ou indiretamente, com uma pessoa, independentemente do grau de impacto que a utilização desses dados venha a ter, no caso concreto, para a privacidade da pessoa.

20. No contexto laboral, o uso de dispositivos de geolocalização, instalados em veículos automóveis ou em dispositivos móveis inteligentes e controlados pela entidade empregadora, constitui um sério risco de invasão da privacidade do
trabalhador, na medida em que estes podem ser reveladores da localização permanente do trabalhador e do seu histórico de movimentos, bem como do seu modo de atuação.

21. Tal possibilidade torna-se ainda mais intrusiva quando a geolocalização dos equipamentos se prolonga além do tempo da prestação do trabalho e abrange as pausas e períodos de descanso, onde se incluem os fins-de-semana do trabalhador, entrando claramente na esfera da sua vida pessoal e da sua privacidade fora do universo laboral.

22. Se a monitorização durante o trabalho já comporta riscos para a privacidade do trabalhador e, por isso, deverá ser sujeita a um juízo de proporcionalidade e acompanhada de um conjunto de medidas que garantam um nível mínimo de intervenção, um controlo dos movimentos do trabalhador durante a fruição do seu tempo livre e pessoal afigura-se inadmissível.

23. É, pois, necessário fazer uma aturada ponderação entre os interesses da entidade empregadora em alcançar determinados objetivos legítimos e a proteção dos direitos fundamentais dos trabalhadores, carecendo de profunda fundamentação a legitimidade para a utilização de dispositivos de geolocalização no contexto laboral, atento o tratamento de dados pessoais de grande sensibilidade que a mesma implica.

24. Por outro lado, há que encontrar soluções concretas, quer ao nível do desenho da tecnologia^[7]Através da aplicação do conceito de “Privacy by Design” (PbD). Ver informação disponível
em: http://www.privacybydesign.ca/ , quer ao nível dos procedimentos, que impeçam com eficácia qualquer controlo da geolocalização dos trabalhadores fora do exercício da atividade profissional, pelo facto de continuarem a manter ao seu cuidado e para uso pessoal os equipamentos do empregador.

25. A CNPD já se pronunciou, no âmbito da deliberação n.º 1638/2013^[8]Disponível em http://www.cnpd.pt/bin/orientacoes/Delib_controlo_comunic.pdf , aplicável aos tratamentos de dados pessoais decorrentes do controlo da utilização para fins privados das tecnologias de informação e comunicação no contexto laboral, sobre o enquadramento do direito à privacidade dos trabalhadores no âmbito da relação laboral. Mantém-se, para os efeitos da presente deliberação, pertinente e atual o enquadramento que ali se fez, com as necessárias adaptações à tecnologia em causa.

26. As características distintivas da relação laboral colocam vários desafios em matéria de proteção de dados relativamente ao cumprimento das obrigações e exercício dos direitos das partes. Com efeito, o poder de direção representa, ex vi artigos 10.º e 97.º do CT, o direito da entidade empregadora fixar os termos em que deve ser prestado o trabalho, nos limites estabelecidos pelo contrato de trabalho e pelas normas que o regem – o que é, em certa medida, a concretização do disposto no artigo 61.º (direito à iniciativa privada) da CRP. Tal poder tem como limite os direitos e garantias do trabalhador, expressão da proteção jurídica que a lei e a Constituição a este conferem.

27. No que diz respeito ao tratamento de dados pessoais decorrentes da utilização das tecnologias de geolocalização no contexto laboral, há que encontrar o justo equilíbrio entre o direito à proteção de dados e à privacidade dos trabalhadores e a liberdade de gestão e organização que é conferida pela lei aos empregadores.

28. O poder de organização reconhecido pelo CT à entidade empregadora há-de implicar que o correspondente poder de controlo do cumprimento das regras de organização tenha a medida necessária à efetivação daquele poder.

29. A entidade empregadora deve recorrer aos meios que se revelem menos intrusivos, obedecendo aos princípios da necessidade, da proporcionalidade e da boafé, e, consequentemente, demonstrar que escolheu opções com menor impacto sobre os direitos fundamentais dos trabalhadores.

30. Na verdade, a instalação de dispositivos de geolocalização nos equipamentos pode permitir alcançar fins legítimos do empregador, relacionados nomeadamente com a eficiência e a qualidade do serviço, a otimização de recursos ou a proteção de bens, desde que não seja usada como forma de localização do paradeiro do trabalhador^[9]Cf. Parecer n.º 13/2011, de 16 de maio de 2011, do Grupo de Trabalho de Proteção de Dados da UE (grupo previsto no artigo 29.º da Diretiva de Proteção de Dados), sobre serviços de … Continue reading ou como ferramenta de monitorização do seu desempenho profissional, o que está claramente proibido por lei (cf. artigo 20.º do CT).

31. Nesse sentido, é imprescindível aferir se são idóneos e justificados os meios adotados para atingir os objetivos propostos e quais as medidas necessárias para prevenir utilizações abusivas da informação recolhida.

32. É de salientar que os trabalhadores estão hoje sujeitos no seu quotidiano profissional a um número crescente de controlos específicos, que, pela sua intensidade e sobreposição, propiciam uma monitorização praticamente contínua do trabalhador com forte incidência na sua privacidade. Efetivamente, o desenvolvimento tecnológico e a disponibilização no mercado de várias ferramentas de vigilância a custos acessíveis a pequenas e médias empresas potenciaram a utilização generalizada de tecnologias de controlo ao nível dos recursos humanos.

33. A título exemplificativo, só no local de trabalho, atente-se nos sistemas de videovigilância, nos sistemas biométricos para controlo de assiduidade, nos sistemas de controlo da utilização dos telefones, do correio eletrónico, do acesso à Internet ou do computador, nos controlos de alcoolemia ou de substâncias psicoativas, nos controlos médicos ou nos sistemas de geolocalização. Todos eles controlos que podem coexistir e que incidem sobre os mesmos trabalhadores.
34. Esta realidade não pode deixar de ser devidamente sopesada na apreciação da CNPD, em particular tendo em conta as situações que ao longo dos anos têm chegado ao seu conhecimento através de queixas de trabalhadores ou dos seus representantes, quanto a desvios de finalidade, utilização abusiva dos dados pessoais, divulgação não autorizada, entre outras.

35. Aquilo que separadamente pode constituir uma restrição proporcional dos direitosdo trabalhador, quando apreciado juntamente com a adoção de outras regras também elas limitadoras de direitos, acaba revestindo um carácter desproporcional e violador das garantias constitucionais.

36. Impõe-se assim determinar a extensão e o alcance do poder de estabelecer semelhantes regras bem como as condições que devem estar reunidas para a sua definição, para que as compressões dos direitos dos trabalhadores sejam ainda proporcionais à finalidade que prosseguem e respeitem o núcleo essencial dos direitos e liberdades daqueles

C. Tratamento de dados relativos à geolocalização em contexto laboral

37. A instalação pela entidade empregadora de tecnologias de geolocalização em veículos automóveis e em dispositivos móveis inteligentes usados pelos trabalhadores, na medida em que é igualmente indiciadora da localização dos seus utilizadores, bem como reveladora em alguns casos de determinadas ações^[10]Como sejam, por exemplo, no caso das viaturas automóveis, o modo de condução (designadamente, velocidade, travagens, RPM) ou, no caso dos computadores portáteis, o modo de utilização de … Continue reading , consubstancia um tratamento de dados pessoais, na aceção da alínea b) do artigo 3.º da Lei n.º 67/98, de 26 de outubro – a Lei de Proteção de Dados Pessoais (de ora em diante, LPD), pelo que está submetido às suas disposições.

38. Conforme disposto no artigo 2.º da LPD, como princípio geral da lei, «o tratamento de dados pessoais deve processar-se de forma transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais».

39. A recolha de dados deve visar finalidades legítimas e específicas, não podendo os dados ser tratados para alcançar objetivos incompatíveis com a finalidade (ou finalidades) que a justificou inicialmente.

40. Ainda quanto ao princípio da qualidade dos dados, as alíneas c) e d) do n.º 1 do artigo 5.º da LPD prescrevem que os dados pessoais devem ser adequados e não excessivos em relação às finalidades para que são tratados e conservados apenas durante o período necessário para a prossecução desses fins.

a. Condições de legitimidade

41. Os dados relativos à localização do trabalhador, bem como ao seu histórico de movimentações e outros dados associados, constituem informação relativa a pessoas singulares identificadas ou identificáveis, os quais, por dizerem respeito à vida privada dos trabalhadores, se enquadram no conceito de dados sensíveis, em conformidade com o disposto na alínea a) do artigo 3.º e no n.º 1 do artigo 7.º da LPD.

42. A especial sensibilidade que caracteriza os dados de localização, em particular no âmbito da prestação de serviços de comunicações eletrónicas, está bem patente na proteção que lhes é conferida por lei^[11]Cf. Artigo 7.º da Lei n.º 41/2004, de 18 de agosto, na redação dada pela Lei n.º 46/2012, de 29 de agosto (Lei da Privacidade nas Comunicações Eletrónicas), que estabelece as condições para … Continue reading , a qual apenas admite, regra geral, o seu tratamento de forma anonimizada, acautelando a proteção da privacidade do assinante ou utilizador.

43. Também a Lei de proteção de dados oferece uma proteção acrescida aos dados pessoais sensíveis, estabelecendo uma proibição genérica do seu tratamento, nos termos do n.º 1 do artigo 7.º da LPD.

44. Assim, o mesmo só pode ocorrer se se verificar alguma das situações previstas no n.º 2 do artigo 7.º da LPD, ou seja mediante disposição legal, consentimento expresso do titular dos dados ou quando por motivos de interesse público importante for indispensável ao exercício das atribuições legais ou estatutárias do responsável pelo tratamento.

45. No contexto aqui em análise, o consentimento do trabalhador para estes tratamentos de dados não configura um fundamento de legitimidade válido, devido à evidente situação de desequilíbrio de poder existente na relação laboral que não garante que o consentimento seja dado de forma livre, condição indispensável à luz da alínea h) do artigo 3.º da LPD.^[12]Sobre as condições do consentimento livre, veja-se no mesmo sentido a Proposta de Regulamento de Proteção de Dados apresentada pela Comissão Europeia e atualmente em discussão ao nível do … Continue reading

46. Também o fundamento em existência de interesse público importante indispensável ao exercício das atribuições legais das entidades empregadoras não releva, por motivos óbvios dos requisitos exigidos, para as circunstâncias do tratamento de dados em causa.

47. Assim, no caso concreto, o tratamento de dados pessoais sensíveis só pode basear a sua legitimidade em disposição legal. E, mesmo assim, o n.º 2 do artigo 7.º da LPD impõe ainda a garantia de não discriminação e a aplicação das medidas de segurança previstas no artigo 15.º da LPD.

48. A possibilidade de geolocalização de pessoas no contexto laboral não se encontra expressamente prevista em qualquer norma do ordenamento jurídico nacional. Contudo, sendo os dispositivos de geolocalização equipamentos tecnológicos que permitem controlar remotamente os trabalhadores – de forma continuada e melhorada, conforme as funcionalidades atrás descritas – entende a CNPD que eles constituem um meio de vigilância à distância^[13]A CNPD conhece o Acórdão do Supremo Tribunal de Justiça, de 13 de novembro de 2013 (Processo 73/12.3TTVNF.P1.S1), no qual é citado o Acórdão de 22 de maio de 2007 (Processo 07S054), e nos quais … Continue reading , pelo que existe no Código do Trabalho (e na Lei Geral do Trabalho em Funções Públicas, por remissão para este) a previsão legal necessária e indispensável para sustentar a legitimidade destes tratamentos de dados.

49. Com efeito, o CT admite, no artigo 20.º, n.º 2, a utilização de equipamento tecnológico para vigilância à distância para a finalidade de «proteção e segurança de pessoas e bens» ou «quando particulares exigências inerentes à natureza da actividade o justifiquem», preceito que serve de fundamento à mesma utilização no âmbito das relações de trabalho em funções públicas, por força da alínea b) do n.º 1 do artigo 4.º da Lei Geral do Trabalho em Funções Públicas, aprovada pela Lei n.º 35/2014, de 20 de junho.

50. Assim, as disposições conjugadas do n.º 2 do artigo 7.º da LPD e do n.º 2 do artigo 20.º do CT constituem fundamento de legitimidade para o tratamento de dados relativos à localização do trabalhador, desde que observados os requisitos quanto às finalidades dos tratamentos e quanto à idoneidade dos meios para alcançar os fins pretendidos.

b. Finalidades do tratamento de dados e admissibilidade de usos

51. As entidades empregadoras pretendem usar a geolocalização para uma grande variedade de fins, sendo que alguns deles se prendem de uma maneira ou de outra com a proteção de bens, sejam veículos automóveis (e as suas cargas) ou os dispositivos móveis inteligentes em si e a informação importante que podem conter.

52. Desde logo se sublinha que a geolocalização não pode ser usada para «controlar o desempenho profissional do trabalhador», conforme disposto no n.º1 do artigo 20.º do CT, pelo que essa não é uma finalidade legítima. Logo, os dados pessoais, mesmo que recolhidos para outras finalidades legítimas, não podem ser utilizados direta ou indiretamente para a avaliação do desempenho do trabalhador.

53. Por outro lado, o CT limita a possibilidade de utilização pelo empregador de meios de vigilância à distância à existência de determinados fins e pressupostos.

54. Considerando as características das tecnologias de geolocalização e a forma como são aplicadas, nem sempre é possível na prática mitigar devidamente os riscos inerentes à sua utilização.

55. Por conseguinte, atendendo ao grau de intrusão que a localização e o perfil de movimentos e ações dos trabalhadores pode implicar para a sua privacidade, a admissibilidade de usos de dispositivos de geolocalização neste quadro tem de ser necessariamente restringida, obedecendo a critérios rigorosos de proporcionalidade, sob pena de não ser possível garantir o núcleo essencial do direito.

56. Nos termos da alínea b) do n.º 1 do artigo 5.º da LPD, os dados devem ser recolhidos para finalidades «determinadas, explícitas e legítimas».

57. No que diz respeito aos dispositivos de geolocalização instalados pela entidade empregadora nos veículos automóveis, os fins habitualmente declarados prendem-se com a gestão de frotas na ótica da gestão otimizada de recursos (nomeadamente, rotas, consumos, capacidade de resposta na prestação de serviço, tempos de espera), com a proteção de pessoas e bens, com a prova de cumprimento de contrato ou prova do cumprimento de legislação relativa à segurança rodoviária, em particular no que diz respeito às obrigações de descanso dos motoristas.

58. Quanto à utilização da geolocalização para prova do cumprimento de contrato, no sentido de poder demonstrar, por exemplo, as horas a que o serviço foi prestado ou que se esteve no local para fazer uma entrega, considera-se que a utilização de dispositivos de geolocalização não se afigura o meio mais adequado para alcançar o objetivo. Na verdade, o comprovativo da hora, dia e local de entrega de mercadoria ou
prestação de serviço pode ser feito através da assinatura do recetor ou beneficiário do serviço. Por outro lado, caso o serviço não possa ser prestado por eventual ausência do destinatário, os dados de geolocalização não permitem provar, por si só, essa ausência, não sendo assim um meio idóneo para cumprir a finalidade.

59. No quadro do cumprimento da legislação rodoviária, sempre se dirá que o legislador comunitário e nacional já fez a ponderação necessária e estabeleceu quais os meios adequados para controlar, designadamente, os períodos de descanso dos motoristas ou a quilometragem média realizada num determinado período, não tendo considerado ser necessário recorrer à utilização de tecnologias de geolocalização para esse fim, pelo que não há razões ponderosas para introduzir essa possibilidade por iniciativa do empregador.

60. Quanto à finalidade de gestão de frotas, entendida aqui no âmbito mais reduzido e específico de gestão da frota em serviço externo em que a localização dos vários veículos é relevante para a distribuição do serviço, para a informação dos tempos de espera ou para a melhoria da capacidade de resposta, a CNPD entende que há certas atividades em que se pode justificar a utilização de dispositivos de geolocalização para este fim.

61. Efetivamente, ter um retrato permanente em tempo real da localização dos veículos usados para a prestação de serviços ao cliente mostra-se necessário e uma mais-valia significativa à tomada de decisões na hora, melhorando a capacidade de resposta na prestação do serviço e otimizando os recursos.

62. Conforme o disposto no n.º 2 do artigo 21.º do CT, quando existirem particulares exigências relacionadas com a natureza da atividade, os meios de vigilância à distância podem ser justificados. Nessa medida, por aplicação do princípio da necessidade e da proporcionalidade, entende a CNPD que podem ser utilizados dispositivos de geolocalização para gestão da frota em serviço externo nas seguintes atividades: assistência técnica externa ou ao domicílio; distribuição de bens; transporte de passageiros; transporte de mercadorias; segurança privada.

63. Desta finalidade ficam naturalmente excluídos os veículos automóveis que, embora integrando a frota da entidade empregadora, não são utilizados para a prestação de serviço externo nos termos acima definidos, pelo que a sua localização para este fim não se mostra ajustada.

64. Quanto à finalidade de proteção de bens, e tendo em conta a sua formulação demasiadamente genérica, considera a CNPD dever ser feita uma rigorosa ponderação entre os valores aqui em conflito, no sentido de conciliar o direito à
proteção do bem com o direito à proteção de dados e à privacidade; caso contrário, ficará ferida a perspetiva de excecionalidade e de singularidade que o legislador pretendeu imprimir à norma, pois ficariam automaticamente abrangidos todos os veículos automóveis.

65. Antes de mais, impõe-se esclarecer que neste âmbito a proteção de pessoas tem apenas uma dimensão reflexa da proteção do bem que é objeto direto da geolocalização. Na verdade, em caso de furto do veículo, a geolocalização não oferece qualquer proteção ou segurança à pessoa, mas será apenas um eventual indicador da localização da viatura, pelo que não se constituindo aqui como uma finalidade específica, não se faz a sua apreciação^[14]A geolocalização ter como fim a proteção de pessoas no contexto laboral só se concebe excecionalmente, numa situação em que o veículo fosse roubado com a pessoa lá dentro e esta lá se … Continue reading . Do mesmo modo, a proteção do em geolocalizado só se estenderá aos bens transportados^[15]Esta não é uma proteção absoluta, pois a carga pode ser retirada do veículo e, nesse caso, a menos que a própria carga tenha dispositivos de localização não há forma de a referenciar por … Continue reading , nos casos em que ocorrer furto da viatura com a carga e esta lá se mantiver.

66. É pois essencial estabelecer quais as situações em que se mostra pertinente a monitorização dos dispositivos de geolocalização nas viaturas e que condições devem ser observadas. Muito embora o número de furtos de viaturas não seja, no âmbito das participações criminais, proporcionalmente elevado^[16]Cf. Relatório Anual de Segurança Interna 2013 em:
http://www.portugal.gov.pt/media/1391220/RASI%202013.pdf , a CNPD está ciente que atualmente a instalação de dispositivos de geolocalização nos veículos automóveis é valorizada pelas empresas seguradoras, pelo menos como um instrumento auxiliar da investigação em caso de furto da viatura. Nessa medida, as empresas e entidades públicas podem obter uma significativa redução de custos neste campo se as viaturas estiverem equipadas com GPS.

67. Todavia, também é evidente que se o objetivo é usar os dados recolhidos após o furto da viatura para fins de investigação criminal e eventual recuperação do bem, não é necessário o empregador aceder aos dados pessoais se o veículo não for furtado. Assim sendo, o empregador não precisa de aceder ou receber quaisquer informações relativas à localização e aos movimentos das viaturas, o que seria excessivo para alcançar o fim pretendido

68. Deve, pois, ser encontrada uma solução técnica^[17]Uma solução do tipo “Break-The-Glass” é simples e pode ser eficaz para atingir o propósito desejado. Aliás, foi desenvolvida por uma equipa portuguesa da Faculdade de Ciências da … Continue reading – junto da empresa subcontratada para fornecer o serviço de geolocalização ou dentro da própria entidade empregadora, se for o caso – em que o registo dos dados de geolocalização fica selado, impedindo um acesso fácil e sistemático, e só pode ser aberto para efeitos de participação criminal, quando ocorrer furto da viatura.

69. Em derrogação a esta circunstância, há situações particulares em que a monitorização contínua dos dispositivos de geolocalização pode encontrar justificação para a finalidade de proteção de bens, por razões da existência de riscos concretos de segurança, especialmente atendendo à carga que transportam.

70. São os casos em que as viaturas transportam materiais perigosos, nomeadamente, materiais tóxicos ou inflamáveis, resíduos perigosos, armas, munições ou explosivos, medicamentos ou precursores de droga, em que o controlo
do percurso das viaturas – que se desenrola em áreas essencialmente não urbanas – associado a outros meios de comunicação e alerta, se revela importante para uma atuação mais eficaz.

71. De igual modo, se mostra pertinente a monitorização da geolocalização de veículos que transportam materiais de valor elevado^[18]Por referência ao definido na alínea a) do n.º 1 do artigo 202.º do Código Penal , por constituírem potenciais alvos de atividade criminosa. Consequentemente, entende a CNPD que se mostra
ajustado, neste contexto, fixar em 10 mil Euros o limite mínimo do valor da carga transportada para que se justifique a monitorização dos dispositivos de geolocalização para a finalidade de proteção de bens.

72. Relativamente à geolocalização de telemóveis ou computadores portáteis da entidade empregadora, as finalidades visadas são normalmente a proteção do bem em si, a gestão do trabalho externo através da localização do trabalhador, a segurança de informação confidencial ou de importância relevante contida no dispositivo.

73. Convém sublinhar que a geolocalização do telemóvel pela entidade empregadora é ainda mais intrusiva da privacidade do trabalhador, porquanto o telemóvel acompanha sempre a pessoa para onde quer que esta se desloque, permitindo assim dar uma visão mais detalhada dos seus movimentos.

74. No seguimento das considerações já elaboradas a propósito da geolocalização das viaturas, entende-se que o valor do bem destes equipamentos não sobreleva o nível de compressão dos direitos do trabalhador que tal envolve. Nesse sentido, a CNPD considera que é excessivo e desproporcional o tratamento de dados de geolocalização dos dispositivos móveis inteligentes para a finalidade de proteção de bens.

75. Também se exclui a utilização da geolocalização em telemóveis para fins de gestão do serviço externo através da localização do trabalhador. Considera a CNPD revelar-se este um meio excessivo e desajustado, não só pela sua natureza
particularmente intrusiva, uma vez que o telemóvel acompanha sempre a pessoa, como também por ser possível alcançar o mesmo objetivo por meio mais adequado, designadamente através da geolocalização na viatura que seguramente é utilizada para a realização do serviço externo.

76. Consequentemente, o empregador não pode aceder a dados de geolocalização dos telemóveis, através dos operadores de telecomunicações usando a sua qualidade de cliente/assinante, na medida em que esses dados impactam negativamente na
privacidade dos utilizadores do equipamento.

77. Além disso, não podem ser instalados nos dispositivos móveis disponibilizados aos trabalhadores aplicações que ativem os sensores GPS e comuniquem essas informações à entidade empregadora.

78. Quanto à utilização de GPS nos computadores portáteis para fins de proteção de informação sensível da entidade empregadora que tais equipamentos possam conter, salienta-se que o conhecimento da geolocalização do portátil não é impeditivo de uma violação de segurança, não sendo por isso a geolocalização do equipamento um meio adequado para proteger a informação.

79. Na realidade, as entidades devem adotar políticas rigorosas de segurança da informação, conscientes de que a saída de informação do espaço físico do responsável e o seu armazenamento num portátil, com acesso à Internet, se traduz num risco acrescido.

80. Por isso, antes de mais, a informação deverá estar protegida por autenticação forte do utilizador para aceder ao equipamento, com salvaguardas de número limitado de tentativas, e por métodos adequados de encriptação, que minimizem os riscos de acesso por terceiros não autorizados, em caso de perda ou furto do equipamento.

81. Além disso, com a instalação de um MDM (Mobile Device Management) no dispositivo móvel, a entidade empregadora pode apagar remotamente a informação se o equipamento for perdido ou roubado, numa tentativa de proteger a informação. Para esse fim, não tem, de facto, nenhuma necessidade de ativar o sensor de GPS.

82. A geolocalização do equipamento não é, pois, um meio idóneo para alcançar o objetivo desejado, pelo que o empregador deve configurar o MDM em conformidade, não ativando o sensor de GPS

83. Em suma, são admitidos os tratamentos de dados relativos à geolocalização, no caso dos veículos automóveis, para as seguintes finalidades:
 Gestão da frota em serviço externo: nas áreas de atividade de assistência técnica externa/ao domicílio; distribuição de bens; transporte de passageiros; transporte de mercadorias; segurança privada.
 Proteção de bens: transporte de materiais perigosos e transporte de materiais de valor elevado

84. Quando a instalação de dispositivos de geolocalização tem o intuito específico de proceder a participação criminal em caso de furto, embora os dados de geolocalização sejam automaticamente registados, o empregador não pode aceder aos dados de geolocalização, a menos que a viatura seja roubada.

85. No caso dos telemóveis e computadores portáteis, não se admite que o empregador monitorize a geolocalização daqueles equipamentos, não podendo aceder a essa informação, quando disponível nas operadoras, nem instalar aplicações nos dispositivos móveis inteligentes que ativem os sensores de GPS.

86. Por último, reitera-se, conforme prescrito no n.º 1 do artigo 20.º do CT, que os dados relativos à geolocalização não podem ser usados para controlar o desempenho do trabalhador, mas apenas para as finalidades acima descritas.

87. Se do tratamento destes dados resultarem indícios da prática de crime, pode essa informação ser utilizada para sustentação da participação criminal respetiva. Nos casos em que tal ocorra, admite-se que a entidade empregadora possa também utilizar aquela informação no âmbito de procedimento disciplinar, quando aqueles factos forem de per si violadores dos deveres do trabalhador. Deste modo, considera a CNPD garantir-se a defesa dos legítimos interesses do empregador, ao mesmo tempo que se assegura não haver desvio de finalidade, não sendo os dados pessoais usados para controlo do desempenho do trabalhador

c. Responsável pelo tratamento

88. O responsável pelo tratamento de dados, nos termos da definição constante na alínea d) do artigo 3.º da LPD, é “a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam determinados por disposições legislativas ou regulamentares, o responsável pelo tratamento deve ser indicado na lei de organização e funcionamento ou no estatuto da entidade legal ou estatutariamente competente para tratar os dados pessoais em causa”.

Assim, no contexto laboral, o responsável pelo tratamento será a entidade empregadora ou o organismo de emprego público que determina as finalidades e os meios do tratamento.

89. Nos casos em que as entidades empregadoras têm veículos automóveis em regime de locação, que venham desde logo equipados com dispositivos GPS, mas os dados de geolocalização continuam a ser recebidos pela empresa locadora, deverá
ficar claro qual o papel desempenhado pela locadora: se de responsável pelo tratamento de dados, não podendo assim proceder a qualquer tipo de controlo das movimentações do veículo, só admissível em caso de furto da viatura para acionar
mecanismos de resposta técnica ou de participação criminal; se de entidade subcontratada da locatária para prestação do serviço de registo do GPS, devendo nessa circunstância ser feito o contrato previsto no artigo 14.º da LPD e respeitadas todas as condições previstas nesta deliberação.

90. Do mesmo modo, todos aqueles que disponibilizam ao público em geral (operadoras de telecomunicações, fabricantes de automóveis, fornecedores de plataformas), por via de contratos de prestação de serviços, a tecnologia e os mecanismos para monitorização dos dispositivos de geolocalização assumem a qualidade de responsáveis do tratamento de dados pessoais.

91. Contudo, porque esta deliberação restringe o seu âmbito ao tratamento de dados pessoais de geolocalização no contexto laboral, tais situações não são objeto de análise.

d. Categorias de dados pessoais e prazos de conservação

92. O princípio da proporcionalidade, previsto na alínea c) do n.º 1 artigo 5.º da LPD, reclama que os dados recolhidos sejam adequados a prosseguir a finalidade da sua recolha, e os estritamente necessários para o mesmo efeito, devendo, por isso, o tratamento de dados reduzir-se ao mínimo indispensável ao cumprimento da respetiva finalidade.

93. Por aplicação deste princípio, os dados a tratar e os meios utilizados devem ser ajustados à organização da empresa, à natureza concreta da atividade e ser compatíveis com os direitos e obrigações dos trabalhadores consignados na legislação do trabalho, correspondendo a um “interesse empresarial sério” que, através do exercício dos poderes de direção e esperando a subordinação do trabalhador, tal tratamento não se revele abusivo e desproporcionado em relação à proteção da esfera privada do trabalhador.

94. Vejam-se então quais as categorias de dados pessoais que podem ser objeto de tratamento e em que moldes, em função das finalidades já determinadas nos pontos 51-87. Em primeiro lugar, podem ser tratadas as seguintes categorias de dados, num elenco de dados que sejam estritamente necessários para o cumprimento da finalidade neste contexto: dados de geolocalização da viatura; dados de identificação do(s) trabalhador(es), sua categoria/função; dados relativos à identificação do veículo.

Isto constitui um acervo comum de dados pessoais para todas as finalidades permitidas, podendo sofrer algum aditamento por motivos de exigência específica do fim em causa, competindo à entidade empregadora demonstrar a pertinência do
tratamento desses dados junto da CNPD.

95. No que diz respeito à geolocalização de veículos automóveis, é de salientar que alguns dos dados recolhidos em associação à localização da viatura, como os parâmetros de condução^[19]Designadamente, dados sobre a velocidade, travagens, RPM, consumos, tempos de paragem. , se relacionados com o condutor, consubstanciam dados pessoais dificilmente indissociáveis do desempenho profissional do trabalhador. Sendo tal finalidade proibida por lei (n.º 1 do artigo 20.º do CT), o único modo de garantir que essa informação, uma vez recolhida, não é efetivamente utilizada para a avaliação do trabalhador, é tornar os dados não identificáveis. Isto permitirá ao empregador realizar estudos estatísticos com vista a uma melhor gestão de rotas e otimização de recursos, com base em informação agregada, que não revele direta ou indiretamente a identidade do condutor. Para isso, deve o responsável pelo tratamento tomar as medidas necessárias para garantir a anonimização desses dados, designadamente por acordo com a entidade subcontratada para a prestação do serviço, que deverá assegurar que os relatórios são disponibilizados dessa forma.

96. Em relação à finalidade de gestão da frota em serviço externo, considera-se ainda pertinente o tratamento de dados relativos à carga transportada e ao serviço a prestar, tais como identificação e contacto dos clientes, locais e horas de prestação do serviço, descrição do serviço, circuito de distribuição, percurso e paragens, tempos de espera.

97. Por se tratar de um processo dinâmico de acompanhamento contínuo, de tomada de decisão ou de informação ao público, quanto à prestação do serviço, considera-se que a finalidade, de uma maneira geral, se esgota na visualização em tempo real dos dados de georreferenciação ou da última posição comunicada.

98. No entanto, admite-se que os dados possam ser conservados por um período máximo de 1 (uma) semana, a fim de serem sujeitos a um processo de anonimização para posterior análise estatística de suporte à atividade de gestão. Adverte-se que o tratamento estatístico dos dados não pode de modo nenhum assumir um carácter discriminatório relativamente aos trabalhadores.

99. Em relação à finalidade de proteção de bens (transporte de materiais perigosos ou valiosos), admite-se o tratamento de dados sobre as características da viatura, dados relativos ao transporte (coordenadas do levantamento e entrega das mercadorias, pessoas de contacto), percurso previsto, carga transportada, procedimentos de segurança e/ou de emergência adotados, registo de incidentes.

100. No âmbito desta finalidade, e atendendo à eventual necessidade de conferir posteriormente a integridade da carga, considera-se adequada a conservação dos dados por um período máximo de 1 (uma) semana após o fim do percurso do transporte da mercadoria, sem prejuízo da sua manutenção em caso de procedimento criminal pelos prazos legalmente previstos.

101. Relativamente aos dados recolhidos dos dispositivos de geolocalização, quando instalados para fins exclusivos de participação criminal em caso de furto, considera-se que a entidade empregadora não pode aceder aos dados de geolocalização das suas viaturas (ou receber qualquer comunicação com essa informação).

102. O registo deve estar tecnicamente selado e só poderá ser aberto, quando ocorrer furto da viatura. Nesse caso, os dados de geolocalização devem ser comunicados de imediato às autoridades competentes. Este acesso tem de ficar devidamente registado através de logs que identifiquem quem, quando e a que acedeu.

103. Podendo não ser imediata a deteção de furto do veículo, por motivos de paragem mais prolongada (por exemplo, fim-de-semana, folgas), considera-se ser ajustado fixar o prazo máximo de conservação do registo das posições de georreferenciação da viatura por 1 (uma semana), sem prejuízo da sua manutenção enquanto durar o procedimento criminal. Devem ser eliminados no mesmo prazo quaisquer outros dados automaticamente recolhidos pelos dispositivos de geolocalização, os quais não se afiguram necessários para a finalidade em causa.

104. Compete ao responsável pelo tratamento tomar as medidas necessárias, inclusivamente por via contratual junto da entidade subcontratada, para garantir que os dados de geolocalização não são utilizados para nenhuma outra finalidade.

105. Não há lugar ao tratamento de dados de geolocalização dos dispositivos móveis inteligentes, como os telemóveis ou computadores portáteis, de acordo com o exposto
no ponto 85.

106. Convém, no entanto, reiterar que o empregador não pode solicitar informação à empresa prestadora do serviço telefónico, relativa à geolocalização de telemóveis, com base na sua qualidade de cliente, pois trata-se aqui de salvaguardar a privacidade do utilizador, obrigação a que a operadora de telecomunicações se encontra igualmente vinculada.

107. Ademais, a entidade empregadora não pode, de igual modo, instalar qualquer aplicação no telemóvel que disponibiliza ao trabalhador e que lhe permite receber informação sobre a geolocalização do equipamento, nem instalar o MDM configurado para ativar o sensor GPS.

108. O mesmo se aplica aos computadores portáteis, cujos sensores de GPS (e de câmara e de microfone) não podem ser ativados através de MDM. Este software deverá apenas cingir-se a proteger a informação sensível da empresa ou organismo público através da funcionalidade de wipe /destruição dos ficheiros em causa.

109. Por último, o responsável pelo tratamento deve assegurar que os dados são eliminados de imediato findo o prazo de conservação respetivo (dando indicações precisas nesse sentido à entidade subcontratada quando esta processa a informação), podendo, devido ao curto período de armazenamento da informação, introduzir um sistema de eliminação automática, que garanta a observância do prazo máximo.

e. Processamento da informação interna e externamente

110. A escolha sobre a qualidade do subcontratado por conta do responsável pelo tratamento ou do serviço da entidade empregadora que seja encarregado de tratar os dados pessoais decorrentes de geolocalização deve ser equacionada de forma a não colocar em causa as garantias dos trabalhadores contempladas no CT.

111. Em virtude do tipo de características das tecnologias de geolocalização, poucas serão as entidades que não necessitam de recorrer a uma entidade subcontratada para fornecimento deste tipo de serviço. Desta maneira, o processamento da informação pode realizar-se interna e/ou externamente.

112. Quando houver lugar ao processamento da informação internamente, de acordo com as finalidades previstas e os limites de utilização dos dados, este não deverá ser efetuado pelo departamento de recursos humanos do responsável pelo tratamento, uma vez que tal possibilidade pode comprometer a proibição de controlo do desempenho profissional do trabalhador através de meio de vigilância à distância (cf. disposto no n.º 1 do artigo 20.º do CT).

113. Daí que a escolha do departamento/secção ou mesmo funcionário que irá processar a informação deverá recair sobre o serviço responsável pela área operacional/logística ou de segurança, não podendo, como já se referiu, dar
conhecimento dos dados de geolocalização e dados pessoais relacionados ao departamento de recursos humanos. 114. Excetuam-se do cumprimento desta obrigação as empresas que, pela sua dimensão, não possuam comprovadamente diferentes departamentos, serviços ou unidades, que permitam a separação inequívoca entre a gestão de recursos humanos e a gestão da frota. Nestas situações, devem os empregadores observar escrupulosamente que os dados relativos à geolocalização são apenas usados para os fins autorizados e não para o controlo do desempenho do trabalhador, designadamente através da adoção de medidas organizacionais para o efeito e da emissão de orientações claras sobre esta matéria ao pessoal envolvido.

115. Havendo lugar à subcontratação, tal como resulta da alínea e) do artigo 3.º, conjugado com o disposto nos artigos 14.º e 15.º, todos da LPD, cumpre escolher quem «ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efetuar», devendo o responsável pelo tratamento «zelar pelo cumprimento dessas medidas».

116. Para dar cumprimento ao disposto na presente deliberação, o responsável pelo tratamento terá de dar instruções muito precisas à entidade subcontratada e encontrar soluções concretas que permitam proceder ao tratamento de dados nas condições estabelecidas^[20]A CNPD irá promover junto das empresas que prestam serviços de geolocalização de veículos o desenvolvimento das soluções técnicas aplicacionais, que permitam dar cumprimento aos mecanismos de … Continue reading

f. Interconexões e comunicações de dados a terceiros

117. A interconexão de dados pessoais deve ser, nos termos do artigo 9.º, n.º 2, da LPD, adequada à prossecução das finalidades legais e aos interesses legítimos dos responsáveis dos tratamentos, e não implicar discriminação ou diminuição de direitos, liberdades e garantias dos titulares dos dados.

118. O controlo legitimamente exercido pela entidade empregadora no contexto aqui em análise pretende atingir objetivos específicos, os quais são passíveis de ser plenamente alcançados sem necessidade de recurso a interconexões com outros tratamentos de dados, em particular da responsabilidade do mesmo empregador, como sejam as bases de dados de recursos humanos. Tal interconexão apresentarse-ia como desproporcional, tendo em conta o nível e o tipo de controlo permitido e a natureza dos dados em causa, os quais reclamam a adoção de formas menos intrusivas para garantir o interesse legítimo do empregador.

119. De qualquer modo, uma operação de interconexão de dados pessoais só poderia ocorrer nos termos definidos no artigo 7.º da LPD, por estarem em causa dados sensíveis. Não existindo base legal específica para uma interconexão neste âmbito, não existe por conseguinte fundamento legitimador para tal tratamento.

120. No que diz respeito a comunicações de dados a terceiros, dada a natureza do controlo pretendido não existem situações que justifiquem, no âmbito dos tratamentos com esta finalidade, comunicações nos termos da definição prevista na alínea f) do artigo 3.º da LPD, sem prejuízo das comunicações resultantes do cumprimento de obrigação legal no contexto de processo judicial.

g. Transparência e direitos dos titulares dos dados

121. O princípio da transparência é fundamental no regime da proteção de dados e enformador do princípio da boa-fé, em que devem assentar os tratamentos de dados pessoais (cf. artigo 2.º e artigo 5.º, n.º 1, alínea a) da LPD).

122. O responsável pelo tratamento está, pois, obrigado a dar conhecimento aos trabalhadores da existência de dispositivos de geolocalização nos equipamentos que lhes disponibiliza para o exercício da atividade profissional e/ou para uso pessoal.

123. As condições de utilização dos equipamentos, que podem variar de trabalhador para trabalhador, devem estar estabelecidas por escrito, seja por via contratual, acordo mútuo ou regulamento interno.

124. Apesar de a natureza da utilização que é dada aos equipamentos transcender o objeto desta deliberação, alerta-se para o facto de tais disposições não poderem, em circunstância alguma, impor aos trabalhadores controlos de geolocalização não permitidos pela lei ou pela CNPD.

125. A prestação da informação aos trabalhadores deve respeitar o disposto no n.º 1 do artigo 10.º da LPD e ser acompanhada preferencialmente de uma consulta aos trabalhadores ou aos seus representantes sobre a extensão e o alcance das medidas preconizadas pelo empregador, sem prejuízo da obrigação prevista no n.º 4 do artigo 21.º do CT, quando haja comissão de trabalhadores, de que lhe seja solicitado o competente parecer, o qual deverá acompanhar a notificação à CNPD.

126. Além disso, deve o responsável pelo tratamento manter à disposição da CNPD, e dos trabalhadores e seus representantes, uma descrição pormenorizada das tecnologias de geolocalização utilizadas pela entidade empregadora, com explicação clara e objetiva do seu funcionamento e dos procedimentos concretos adotados em cumprimento da presente deliberação.

127. No que diz respeito aos direitos dos trabalhadores, enquanto titulares dos dados, de acordo com o disposto no artigo 11.º da LPD, aqueles reconduzem-se aos direitos de acesso aos dados que lhes digam respeito, bem como à sua retificação, apagamento ou bloqueio se os dados objeto de tratamento não cumprirem o disposto na LPD.

128. A entidade empregadora deve assim informar os trabalhadores sobre as condições para o exercício destes direitos e facultar-lhes mediante pedido individual, livremente e sem restrições, com periodicidade razoável e sem demoras ou custos excessivos, as informações previstas nas alíneas a), b) e c) do n.º 1 do artigo 11.º da LPD.

h. Medidas de segurança

129. No que toca a medidas de segurança, deve o responsável, por em causa estarem dados sensíveis, cumprir o disposto no artigo 15.º da LPD.

130. Em especial, devem adotar-se medidas que impeçam o acesso à informação por pessoas não autorizadas, estabelecendo-se um perfil de acesso específico para as finalidades aqui em análise. Os acessos aos sistemas que registem estas informações só poderão ser efetuados com contas de utilizador que permitam identificar univocamente o indivíduo.

131. O responsável pelo tratamento tem de garantir que estas medidas são igualmente aplicadas pelas entidades externas, subcontratadas para a prestação do serviço e processamento da informação.

132. Tem de ser garantido um acesso restrito, sob o ponto de vista físico e lógico, aos servidores do sistema, os quais devem manter um registo de acesso à informação sensível, bem como registos da transmissão de dados, para controlo das operações e para a realização de auditorias internas e externas. Esta é uma questão primordial e essencial para a proteção de dados pessoais, pelo que um tratamento desta natureza tem, necessariamente, que possuir um sistema de auditoria fiável.

133. Assim, por forma a garantir a rastreabilidade dos acessos impõe-se que os responsáveis parametrizem os sistemas para que os logs registem quem fez o acesso, respetiva data e hora (timestamp), operações efetuadas atribuindo um número sequencial (id) a cada ocorrência e um campo de hash aplicado sobre os elementos anteriores (id, utilizador, data, hora e operação).

134. Os logs, para terem validade legal, têm de estar assinados digitalmente. Deverá ser implementada uma política de análise de logs, com a realização de relatórios periódicos de análise, que devem ser mantidos para efeitos de fiscalização pela CNPD.

135. No que respeita à conservação destes logs, estabelece-se o prazo de 90 dias, atendendo ao prazo máximo de conservação dos dados e à natureza do tratamento.

136. A política de segurança da informação deve ainda contemplar as medidas técnicas e os procedimentos necessários para cumprimento das condições estabelecidas nesta deliberação, designadamente os mecanismos para uma correta anonimização dos dados em caso de utilização posterior para fins estatísticos; a interdição de acesso aos dados de geolocalização, exceto quando ocorrer furto, sempre que a participação criminal seja o fim em vista; a prevenção de utilizações abusivas e de desvios de finalidade.

D. A geolocalização fora da atividade profissional

137. Quando os veículos automóveis^[21]A CNPD não autoriza o controlo de geolocalização (ou a ativação dos sensores GPS) no dispositivos móveis inteligentes durante o exercício da atividade profissional, pelo que não se coloca … Continue reading são disponibilizados aos trabalhadores para utilização privada e estão equipados com dispositivos de geolocalização, suscitam-se questões adicionais ao nível da privacidade dos trabalhadores, na medida em que a possibilidade de monitorização da sua localização e das suas movimentações extravasa o contexto laboral, estendendo-se claramente para a esfera da vida pessoal e familiar do trabalhador.

138. O facto de a viatura ser da entidade empregadora não lhe dá a faculdade de controlar a sua geolocalização, pois tal implica conhecer também a geolocalização do seu condutor no seu tempo livre e de autodisponibilidade, o que é claramente desproporcional.

139. Acresce que não há previsão legal que permita esse controlo de geolocalização fora do exercício da atividade profissional. Por outro lado, como já exposto no ponto 45, o consentimento do trabalhador não é um fundamento válido para legitimar este controlo.

140. Deste modo, a CNPD considera que não pode haver monitorização da geolocalização da viatura quando esta estiver a ser utilizada pelo trabalhador para fins privados.

141. Embora tecnicamente os dados de geolocalização continuem a ser registados, tornando possível em caso de extrema necessidade (e.g., furto) saber onde se encontra o veículo, eles não deverão todavia ser controlados pela entidade empregadora. Ora para garantir que tal não acontece, os dados não deverão estar disponíveis para consulta.

142. É, pois, imperioso encontrar uma solução concreta e eficaz que dê ao trabalhador, na qualidade de titular de dados, a possibilidade de ser ele a controlar o processamento dos seus dados pessoais, de acordo com os seus períodos de trabalho, pausas e descanso, não ficando sujeito a uma monitorização por parte da entidade empregadora fora do exercício da atividade profissional.

143. Uma vez que existem várias opções tecnológicas no plano da geolocalização, poderá haver também mais do que uma via de resolução. De qualquer modo, é indispensável que as empresas prestadoras dos serviços de geolocalização e que decidem das metodologias de organização e funcionamento do serviço deem o seu contributo para o desenvolvimento de soluções práticas que permitam distinguir o exercício da atividade profissional do tempo pessoal do trabalhador.

144. Com efeito, é essencial que o trabalhador possa entrar em ‘modo privado’ quando termina o trabalho e retomar o ‘modo profissional’ quando inicia o trabalho. E é ao trabalhador que tem de ser dada a capacidade de acionar tal mecanismo.

145. Não se trata aqui de uma opção, mas sim de uma obrigação de as empresas e entidades públicas adotarem uma solução de salvaguarda sempre que os veículos automóveis, equipados com geolocalização, possam ser utilizados para fins privados dos trabalhadores.

146. Assim, nos casos em que a tecnologia utilizada o permite, sem bloqueio da viatura, deve ser dada a possibilidade de o trabalhador ligar e desligar (switch on/switch off) o dispositivo de GPS, consoante está ou não ao serviço. Esta é a solução mais fácil, já usada noutros países europeus^[22]Ver a este propósito a situação na Irlanda, em: http://www.dataprotection.ie/docs/Data_Protection_in_the_Workplace/1239.htm#10 .

147. No entanto, há tecnologias em que o sistema de GPS está interligado eletronicamente ao motor do veículo, por razões de segurança contra furtos, e desligar o dispositivo força o bloqueio da viatura, não sendo por isso esta uma solução aplicável. Quando for este o sistema GPS usado, a única possibilidade é recorrer à própria tecnologia, através do conceito de Privacy by Design, para encontrar as respostas necessárias para resolver a situação. Na verdade, é possível desenvolver uma aplicação adicional que permita separar a utilização profissional da utilização privada através de um controlo/interruptor colocado na viatura, sem desligar o sistema GPS, ou eventualmente um mecanismo virtual que atinja o mesmo objetivo.

148. A transição de um modo para outro implicará que o registo da geolocalização da viatura fique aberto e acessível ou fechado e inacessível à entidade empregadora, conforme respetivamente o uso seja profissional ou privado. Esta solução técnica permitiria também auditar eventual acesso indevido, garantindo com muito maior eficácia que a entidade empregadora não conhece nem monitoriza a geolocalização dos seus trabalhadores nos tempos livres. Em caso de furto da viatura, quando esta estiver à guarda do trabalhador, é sempre possível, como atrás já explicado, aceder à informação de geolocalização. 149. Seja qual for o sistema que venha a ser desenvolvido, o responsável pelo tratamento tem de garantir que tecnicamente não há possibilidade de o empregador visualizar os dados de geolocalização das viaturas quando usadas para fins privados.

E. Procedimentos a adotar pelas entidades empregadoras

150. As entidades empregadoras devem, antes de tudo, avaliar o impacto da utilização das tecnologias na privacidade dos trabalhadores e recorrer aos meios mais adequados e menos intrusivos para alcançar os legítimos objetivos da organização.

151. A instalação de dispositivos de geolocalização e o tratamento de dados pessoais que envolve devem ser sempre precedidos de consulta e informação transparente aos trabalhadores sobre os fins e os meios utilizados, não lhes devendo ser submetido para assinatura qualquer termo de aceitação da tecnologia ou das condições, pois o consentimento do titular dos dados não é neste âmbito um fundamento de legitimidade válido, sem prejuízo de poder ser submetido a assinatura dos trabalhadores documento comprovativo de que lhes foi prestado o direito de informação.

152. Nos termos dos artigos 27.º, n.º 1, e 28.º, n.º 1, alínea a), da LPD, em conjugação com o disposto no artigo 21.º, n.º 1, do CT, as entidades empregadoras, enquanto responsáveis pelo tratamento de dados pessoais, devem proceder à sua notificação com vista à obtenção da competente autorização por parte da CNPD. Para este efeito, a CNPD disponibiliza no seu sítio da Internet um formulário específico para os tratamentos de dados neste âmbito: http://www.cnpd.pt/bin/legal/forms.htm

153. Nos termos do n.º 4 do artigo 21.º do CT, o pedido de autorização à CNPD deve ser acompanhado de parecer da comissão de trabalhadores ou, não tendo este sido emitido no prazo de dez dias após a consulta, de comprovativo do pedido de parecer As entidades empregadoras que pretendam utilizar tecnologias de geolocalização em veículos automóveis no contexto laboral, devem observar as condições e os limites estabelecidos na presente Deliberação.

* Aprovada na sessão plenária da Comissão Nacional de Protecção de Dados, em Lisboa, a 28 de outubro de 2014^[23]Atendendo à diversidade das tecnologias de geolocalização e da sua utilização para múltiplos fins, a CNPD efetuou um procedimento de auscultação, em várias fases, dos representantes das … Continue reading