Quando é que é legal colocar um sistema de biometria? Os dados biométricos são considerados dados sensíveis, pelo que só é legítimo proceder ao seu tratamento em duas situações: se houver uma lei que expressamente preveja esse tratamento e que, adicionalmente, estabeleça garantias para a defesa dos direitos dos titulares; ou se for obtido o consentimento do titular dos dados, nos termos legalmente exigíveis para o consentimento, ou seja, assegurando que o consentimento é explícito, informado, específico e dado livremente.

 

Posso colocar um sistema biométrico na minha organização para controlo de acesso e assiduidade dos trabalhadores? Sim, embora dependendo do cumprimento de todos os requisitos locais e das características do sistema no caso concreto. O tratamento de dados biométricos é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador (artigo 28.º, n.º 6, da Lei 58/2019, e artigo 9.º, n.º 2, alínea b) do RGPD).

No entanto, deve assegurar-se que só são utilizadas representações do dado biométrico (template) e que o processo não permita a reversibilidade dos dados (artigo 28.º, n.º 6, da Lei 58/2019). Deve garantir que tem na sua posse uma declaração do fabricante do sistema atestando a existência destas características.

No contexto laboral, o tratamento de dados biométricos dos trabalhadores tem ainda de respeitar o disposto no artigo 18.º do Código do Trabalho, com exceção da notificação à CNPD.

 

Posso usar os dados biométricos já recolhidos no contexto laboral para outra finalidade (por exemplo, controlo de acesso às máquinas de vending)? Não. A lei é muito clara só admitindo como tratamento legítimo para a finalidade de controlo de assiduidade e/ou controlo de acesso às instalações do empregador. Assim, não podem ser recolhidos e utilizados dados biométricos dos trabalhadores para mais nenhum fim.

 

Posso usar a biometria para controlar o acesso dos clientes/utentes às minhas instalações? Sim, desde que obtido o consentimento dos clientes/utentes nos termos legais e melhor explicitados na secção dedicada ao Consentimento.

No entanto, tem de haver forma alternativa de acesso às instalações para os clientes/utentes que não consentirem na recolha dos seus dados biométricos. Para garantir as condições de liberdade efetiva de escolha, o responsável pelo tratamento não pode criar obstáculos, ou de outro modo dificultar, o acesso alternativo sem controlo biométrico. Os meios empregues no controlo de acesso devem ser proporcionais ao nível de segurança das instalações e às necessidades de verificação de acesso.

 

Preciso de fazer uma avaliação de impacto sobre a proteção de dados para tratar dados biométricos? A obrigatoriedade de realizar uma avaliação de impacto sobre a proteção de dados (AIPD) quando há tratamento de dados biométricos depende de vários fatores. As organizações que já possuem uma autorização da CNPD para o tratamento de dados biométricos – e desde que não tenha havido alteração às condições autorizadas para o funcionamento do sistema – não precisam de realizar uma AIPD.

As organizações que não tenham obtido até 25 de maio de 2018 autorização da CNPD, estão obrigadas a realizar uma avaliação de impacto sobre a proteção de dados quando realizarem tratamentos em larga escala, conforme exigido pelo artigo 35.º, n.º 3, alínea b), do RGPD.

Quando realizarem tratamentos de dados biométricos, em pequena escala, estão igualmente obrigadas a realizar avaliações de impacto, sempre que o tratamento recaia sobre titulares de dados de grupos vulneráveis, como é o caso de trabalhadores. Veja o Ponto 7 do Regulamento 1/2018 da CNPD, no seguimento do Parecer 18/2018 do Comité Europeu da Proteção de Dados.

 

Quem tem de fazer a avaliação de impacto?A obrigação de promover a realização de uma avaliação de impacto antes de iniciar o tratamento de dados é do responsável pelo tratamento. Contudo, a avaliação de impacto sobre a proteção de dados pode ser realizada diretamente pelo responsável pelo tratamento ou pela empresa que concebeu e/ou desenvolveu o sistema biométrico (cf. parte final do n.º 1 do artigo 35.º do RGPD), desde que o responsável pelo tratamento assuma os seus resultados.

 

Preciso de autorização da CNPD para colocar um sistema biométrico? Não. A obrigação de notificação prévia de tratamentos de dados pessoais à CNPD desapareceu com a aplicação do RGPD. Já não é necessário solicitar autorização, preencher formulário ou pagar taxa à CNPD para realizar tratamentos de dados pessoais abrangidos pelo RGPD.

 

O que devo fazer se pretender alterar o funcionamento do sistema biométrico já autorizado pela CNPD? Se fizer alterações ao tratamento de dados biométricos previamente autorizado pela CNPD e às condições aí fixadas, a autorização perde a sua validade (caduca). Em consequência, terá de cumprir todas as exigências legais como se estivesse a projetar um tratamento de dados pela primeira vez. Veja a resposta às questões anteriores.