Destaque

Dados biométricos

Tratamento de dados biométricos para efeitos de registo de tempos de trabalho e de assiduidade e pontualidade.

31 março, 2022≈ 5 mins de leitura

Da análise efetuada, o EPD conclui o seguinte:

O tratamento de dados biométricos para controlo de assiduidade, ou para controlo de acesso às instalações da entidade patronal, é legitimo apenas quando os métodos adotados sejam adequados, necessários e proporcionais face aos direitos dos trabalhadores e às garantias de equilíbrio entre os interesses e os direitos em presença.

Sabendo que este tratamento de dados biométricos é suscetível de contender com a privacidade dos trabalhadores, propõe-se que o responsável pelo tratamento:

- Procure sempre o meio menos invasivo, escolhendo, sempre que possível, um método não biométrico;

- Questione as razões que o levaram a optar por um sistema de controlo biométrico, especifique o objetivo a atingir pelo sistema e avalie a proporcionalidade dos dados a incluir no sistema, utilizando apenas os dados relevantes para que a finalidade seja atingida;

- Determine se as medidas de segurança adotadas são adequadas e eficazes, os direitos a atribuir aos trabalhadores e, se a aplicação dispõe de um mecanismo próprio para o exercício desses direitos;

- Assegure que apenas são utilizadas representações dos dados biométricos e que não seja possível, através do processo de recolha, a reversibilidade dos referidos dados;

- Informe o trabalhador sobre aspetos como as finalidades do tratamento, os sistemas e meios utilizados, o prazo e a informação guardada, quem pode aceder aos dados e em que circunstâncias, como é que os dados são protegidos e, também, os direitos dos trabalhadores, neste âmbito;

- Utilize tecnologias que não envolvam qualquer violação dos direitos de personalidade dos trabalhadores;

- Garanta que a recolha de dados biométricos não tem qualquer implicação com a integridade física do trabalhador, não afetando, igualmente, o seu direito à identidade pessoal e à intimidade da vida privada;

- Assegure que a localização dos equipamentos de leitura dos dados biométricos não permitem controlar a circulação dos trabalhadores no interior das instalações;

- Conserve os dados pessoais pelo período necessário para a prossecução das finalidades do tratamento, destruindo-os no momento da transferência do trabalhador para outro local de trabalho ou da cessação do contrato de trabalho.

Relativamente às medidas técnicas, sugere-se que o responsável pelo tratamento:

- Mantenha registos de todas as atividades de tratamento, designadamente para controlo e garantia de que a finalidade original é respeitada;

- Grave / armazene os dados em modelos biométricos próprios de modo a garantir que os trabalhadores só podem ser identificados num sistema;

- Utilize um sistema que permita a anulação da ligação de identidade, quer para a renovar, quer para a apagar definitivamente;

- Garanta a cifragem e decifragem biométricas na gravação / armazenamento;

- Utilize sistemas distintos para determinar se os dados biométricos são genuínos e se os mesmos se encontram associados a um trabalhador;

- Defina uma taxa de erro de aceitação e uma taxa de erro de rejeição próxima do zero (a utilização de sistemas com deficiente grau de desempenho pode violar o princípio da exatidão e o da qualidade dos dados e podem comprometer a finalidade do tratamento e criar dificuldades acrescidas ao trabalhador, que se podem vir a refletir no exercício dos seus direitos);

- Exija garantia escrita do fabricante, de que as chaves dos algoritmos não são cedidas a terceiros, nem à própria UC, e de que os sistemas não permitem a reversão;

- Exija do seu fornecedor informação detalhada do software e das características dos equipamentos, bem como a apresentação de soluções mais seguras.

Do mesmo modo, propõe-se que o trabalhador deva conhecer:

- A identificação e os contactos do responsável pelo tratamento dos dados ou de quem age por ele;

- Os contactos do Encarregado de Proteção de Dados;

- A finalidade e licitude do tratamento;

- O prazo de conservação dos dados;

- Os seus direitos e como os exercer;

- Se existe interconexão deste sistema com o sistema de gestão de pessoal/remunerações;

- As principais medidas técnicas e organizativas de segurança implementadas.

Para colmatar possíveis riscos de ineficiência do sistema, propõe-se que o mesmo seja testado num período experimental, eventualmente com recurso a outras tecnologias complementares de dupla verificação/validação do registo, como a visualização do nome e/ou outros dados do trabalhador.

Para saber mais, consulte o documento completo aqui.

Partilhe