Soluções Varonis facilitam a implementação de processos

Exclusive Group realça a importância da aplicação das normas do GDPR sobre os dados processados pelos RH

A relação entre colaborador e entidade empregadora no contexto do GDPR, já em vigor desde o passado dia 25 de maio, pode ser uma área confusa – urge fazer esclarecimentos e criar o equilíbrio perfeito à luz da nova Lei, sobretudo face ao risco de pesadas coimas pelo seu incumprimento

 

Lisboa, 5 de junho de 2018 – O Exclusive Group, grupo de tecnologias e serviços de valor acrescentado (VAST), realça a importância de se encontrar uma harmonia perfeita face ao novo quadro normativo introduzido desde o passado dia 25 maio com o General Data Protection Regulation (GDPR) – ou Regulamento Geral sobre a Proteção de Dados (RGPD) – nomeadamente no que concerne à relação entre empregado e entidade patronal e aos dados que são processados pelos respetivos departamentos de Recursos Humanos.

Neste capítulo, uma das situações que pode gerar maior confusão prende-se com a relação entre o colaborador de uma empresa e a entidade patronal. Uma vez que a informação reunida pelo empregador se relaciona a um sujeito vulnerável (o funcionário, neste caso) e contém uma classe especial de dados pessoais sensíveis (saúde, folha salarial, eventual associação a sindicatos, etc.), enquadra-se dentro do limite estabelecido pelos reguladores do GDPR no âmbito de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) – que obriga as empresas a realizar e documentar uma análise de risco formal aos dados que têm em sua posse.

O Exclusive Group, através das suas soluções Varonis, pode ajudar as empresas nestes processos. Trata-se de um processo concebido para descrever o tratamento dos dados feito pelo empregador, bem como avaliar a necessidade da proporcionalidade para ajudar a gerir o risco (tendo em vista os direitos e liberdades das pessoas nacionais resultantes do processamento de dados pessoais através da avaliação) e determinar as medidas para abordar os dados e as proteções em seu redor.

“São diversas as questões que devem ser devidamente esclarecidas sob pena de colocarem as empresas em situação de incumprimento” refere Elizabeth Alves, Sales Manager da Exclusive Networks em Portugal, salientando ainda que, “as penalizações financeiras associadas ao incumprimento, podem não ser únicas. Nada impede a Autoridade de Proteção de Dados de voltar a analisar uma empresa e de lhe imputar outra infração se não estiver em conformidade, mesmo que já tenha sido multada – num caso ou noutro, poderá significar o fechar de portas para a grande maioria das empresas”.

De acordo com Sara Jodka, advogada especializada em questões relacionadas com a privacidade de dados e cibersegurança, “é difícil imaginar uma situação em que um empregador não tenha de fazer uma AIPD – que, sublinhe-se, é diferente do interesse legítimo que supera a documentação dos direitos dos funcionários, e que precisa de ser feita”.  Para a especialista, “a AIPD é acionada sempre que exista processamento de dados confidenciais – a que organização sindical pertence, qual a filiação, dados de natureza religiosa, etnia, etc.”. Simplificando, Sara Jodka esclarece: “É, no fundo, um documento vivo da empresa que permite fazer o rastreio dos dados de cada funcionário: onde estão guardados, para onde estão a ir, o que lhes acontece quando alguém os solicita ou quando o titular os pretende apagar, etc. ”

Outra questão que importa referir é a Licitude do Tratamento. Ao analisar os motivos pelos quais se podem processar dados, surgem duas razões: por consentimento e por base legal. No contexto do empregador, podem ser aplicadas várias bases legais – uma delas é, se existe um acordo como, por exemplo, para cumprir termos de um contrato, uma negociação coletiva ou um simples contrato de trabalho.

“Pode também haver um outro tipo de base legal: se o empregador tiver um interesse maior nos dados que não supere o direito do titular dos dados, neste caso, o funcionário”, refere Sara Jodka. “No entanto, quando falamos de dados do consumidor deve procurar-se invariavelmente obter o consentimento expresso do próprio – dar a ler, informar e pedir para assinalar aquela caixa de autorização.”

A última questão, mas igualmente importante, na relação entre empregado e empregador, prende-se com o espetro territorial de aplicação do GDPR – algo que deve ser devidamente estudado sobretudo no caso das multinacionais. “A nova realidade introduzida pelo GDPR é nada fácil, pelo que o meu melhor conselho será sempre este: em caso de dúvida, o melhor é falar com um advogado especializado na matéria. Mesmo que seja uma conversa de apenas meia hora, muitas vezes é o suficiente para se conseguir identificar falhas e determinar a melhor forma de enquadrar os RH no contexto do GDPR”, conclui Sara Jodka.