(Link para o artigo: A Proteção de Dados Pessoais no Contexto Laboral – Parte I)
OS SISTEMAS BIOMÉTRICOS PARA O CONTROLO DA ASSIDUIDADE
Cada um de nós já teve, seguramente, os seus dados indevidamente tratados, quer pela vulnerabilidade dos sistemas de quem devia garantir essa protecção ou pela utilização abusiva dos referidos dados. Por essa razão, e não só, os estados devem ter um quadro legal que protege os dados pessoais dos seus cidadãos.
Em matéria de protecção de dados pessoais Angola apresenta a seguinte legislação:
- Constituição da República de Angola (art.º 32.º);
- Convenção da União Africana sobre Cibersegurança e Protecção de Dados Pessoais (Ratificada pela Resolução n.º 33/19, de 9 de Julho);
- Estatuto Orgânico da Agência de Protecção de Dados (DP 214/16, de 10 de Outubro);
- Lei da Protecção das Redes e Sistemas Informáticos (Lei n.º 7/17, de 16 de Fevereiro);
- Lei da Videovigilância (Lei n.º 2/20, de 22 de Janeiro);
- Lei da Identificação ou Localização Celular e Vigilância Electrónica (Lei n.º 11/20, de 23 de Abril).
O ponto de partida para essa viagem, que esperamos ser do vosso agrado, é o controlo da assiduidade através de sistemas de recolha de dados biométricos. Não podemos, todavia, iniciar a marcha sem saber o que são dados e o que são dados biométricos.
Não encontramos, na legislação laboral ou no quadro legal sobre a protecção de dados, qualquer definição de dados biométricos. No entanto, podemos construir um conceito partindo da noção legal de dados pessoais.
Nos termos do art.º 5.º al. b) da Lei da Protecção de dados (LPDP), é considerado dado pessoal qualquer informação, seja qual for a sua natureza ou suporte, relativa a uma pessoa singular identificada ou identificável. Dados biométricos serão então as informações sobre as propriedades biológicas das pessoas, suas características fisiológicas, traços físicos, recolhidas através de sistemas biométricos.
Como devem estes dados ser tratados?
Em regra, qualquer operação que consiste na recolha, registo, organização, conservação, alteração, recuperação, consulta, utilização, transmissão ou destruição (art.º 5.º al. o) da LPDP) é ilícita. Tal operação apenas será permitida nas seguintes circunstâncias (art.º 12.º n.º 1 da LPDP):
- Ser antecedida de consentimento inequívoco e expresso do titular dos dados;
- Notificação prévia à Agência de Protecção de Dados.
O consentimento é, todavia, dispensável quando o tratamento dos dados seja indispensável para a execução de um contrato em que o titular dos dados seja (art.º 12.º n.º 2, al. a) da LPDP), como é o caso do controlo da assiduidade. O controlo da assiduidade, como é sabido, é uma manifestação do poder de direcção, que lhe permite estabelecer o período de funcionamento e estabelecer os horários de trabalho, como podemos literalmente extrair do disposto nos artigos 36.º e 37.º da LGT). Queremos com isso dizer que o controlo da assiduidade através de sistemas biométricos não carece de consentimento prévio do trabalhador.
Continua a ser, no entanto, necessário que o empregador notifique a Agência de Protecção de Dados antes da recolha dos referidos dados (35.º LPDP). Agência de Protecção de Dados (APD) é, nos termos do art.º 44 da LPDP, a autoridade administrativa responsável para fiscalizar o cumprimento da lei e concessão de autorizações para o tratamento de dados.
A notificação deve, de acordo com o art.º 36 da LPDP, identificar o responsável pelo tratamento dos dados, os destinatários, a finalidade (que no caso será o controlo da assiduidade). A APD deve pronunciar-se no prazo de 30 dias, findo os quais a notificação é considerada feita, caso não haja qualquer pronunciamento (art.º 35.º n.º 2 da LPDP).
Os dados recolhidos para controlo da assiduidade não podem ser utilizado para outro fim, salvo de o trabalhador concordar ou se a finalidade em causa seja o tratamento histórico ou estatístico da informação recolhida (art.º 9.º da LPDP), devendo para o efeito proceder-se a anonimização dos dados, isto é, retirar qualquer informação ou registo que permita identificar o titular dos referidos dados.
O empregador A violação das obrigações consagrados na LPDP pode implicar a aplicação de uma multa (paga em Kwanzas) que vai de USD 75 000,00 a USD 150 000,00 (art.º 51.º da LPDP), para a responsabilidade criminal a que se pode estar sujeito.
Na prática, todavia, não tem havido aplicação de mulatas a instauração de processos crimes por violação do Direito a Protecção de Dados Pessoais, apesar de ser nossa convicção de que poucos são empregadores que notificam a ADP antes de iniciarem um processo de recolha de dados biométricos. A explicação para esse silêncio das autoridades talvez se explica pelo facto de Agência de Protecção de Dados ter sido formalmente constituída apenas em 2019, apesar de ter um Estatuto Orgânico aprovado desde 2016 e a Lei de Protecção de dados ser de Junho de 2019. Acreditamos, no entanto, que essa tendência vai alterar-se brevemente dada a importância que a proteção de dados pessoais tem assumido.