Como é do conhecimento geral de quem actua no mercado português, uma das grandes limitações da actividade das empresas têm sido as exigências legais e procedimentais em matéria de dados pessoais.

De facto, assumindo uma – por vezes exagerada – necessidade de protecção, são actualmente impostas às empresas inúmeras exigências relacionadas com autorizações prévias e notificações à entidade reguladora nestas matérias (Comissão Nacional de Protecção de Dados Pessoais – CNPD), designadamente no que respeita aos trabalhadores, fornecedores e clientes daquelas, as quais não são, muitas vezes, compatíveis com a celeridade e ritmo que o mercado actualmente requer, designadamente tendo em consideração a rápida evolução tecnológica e a utilização crescente de novas tecnologias.

Neste contexto, foi publicado, no passado dia 4 de Maio de 2016, o novo Regulamento Geral sobre Protecção de Dados Pessoais (Regulamento), que será directamente aplicável em todos os Estados Membros da União, e que prevê que as empresas e os responsáveis pelo tratamento de dados pessoais se adaptem às novas regras até ao dia 25 de Maio de 2018.

Apesar de parecer um futuro distante, a verdade é que há um longo caminho a percorrer pelas empresas, para que as mesmas estejam aptas a cumprir todos os requisitos previstos no diploma legal recentemente aprovado.

Com efeito, para além de reforçar conceitos básicos como o “direito a ser esquecido”, de estabelecer o direito do titular dos dados pessoais à portabilidade dos mesmos, e de impor o registo de todas as actividades de tratamento de dados, incluindo os dos trabalhadores, o novo Regulamento impõe um conjunto alargado de obrigações às empresas, que determinam a necessidade de adopção interna de medidas eficazes de compliance.

A este respeito refira-se que, em contrapartida, foram suprimidos alguns mecanismos de controlo externo por parte da autoridade competente (CNPD), tais como a obrigação de notificação prévia, sempre que ocorra um tratamento de dados pessoais, e a necessidade de autorização prévia da CNPD, em casos de tratamento de dados pessoais sensíveis.

Por outro lado, são permitidas excepções à proibição de tratamento de categorias especiais de dados pessoais (dados sensíveis), assim dando maior autonomia às empresas, designadamente no que respeita a dados biométricos, dados de saúde ou dados relativos à filiação sindical, sempre no pressuposto de os mesmos estarem sujeitos à adopção de medidas adequadas de protecção.

Finalmente refira-se que, uma vez que o Regulamento prevê a possibilidade de os Estados-Membros adoptarem normas internas específicas, designadamente ao nível do tratamento de dados pessoais no contexto laboral, actualmente não é, ainda, possível determinar, na totalidade, o enquadramento normativo que será aplicável a partir de 25 Maio de 2018.

Tal significa que Portugal poderá estabelecer condições especiais de tratamento de dados pessoais dos trabalhadores, nomeadamente para efeitos de recrutamento, execução do contrato de trabalho, de cumprimento de obrigações legais ou previstas em instrumentos de regulamentação colectiva de trabalho, de gestão, de planeamento e organização do trabalho, de igualdade e diversidade no emprego, de saúde e segurança no trabalho, de exercício e gozo de direitos e benefícios e de cessação da relação de trabalho.

Neste contexto, deverão ser adoptadas medidas que salvaguardem os direitos fundamentais dos trabalhadores, com especial relevo para a transparência no tratamento dos dados destes, as transferências dos mesmos em contexto de grupo empresarial e os sistemas de controlo no local de trabalho.

Em suma, é importante que as empresas ganhem consciência da urgência em começar a adaptar e a preparar as respectivas estruturas internas, de modo a permitir-lhes uma transição para o novo regime de forma correcta, criteriosa e estruturada.

Sociedade de advogados pbbr