Employee Data Protection Policy (Portugal)

A Política de Proteção de Dados de Trabalhadores é o documento empresarial celebrado em Portugal ao abrigo de Regulamento (UE) 2016/679 (RGPD).

O regime laboral português atribui ao empregador a posição de responsável pelo tratamento na aceção do artigo 4.º nº 7 do RGPD. O artigo 17.º nº 1 do Código do Trabalho proíbe ao empregador exigir ao candidato a emprego ou ao trabalhador a prestação de informações relativas à sua vida privada, salvo quando estas sejam estritamente necessárias e relevantes para avaliar a respetiva aptidão no que respeita à execução do contrato de trabalho. O artigo 17.º nº 3 sujeita estas informações ao regime de proteção dos dados pessoais. O incumprimento gera responsabilidade contraordenacional grave nos termos do artigo 28.º nº 1 do mesmo Código.

A Comissão Nacional de Proteção de Dados (CNPD), enquanto autoridade de supervisão portuguesa nos termos do artigo 51.º do RGPD e da Lei nº 58/2019, tem aplicado coimas administrativas elevadas em matéria laboral. As coimas previstas no artigo 83.º do RGPD podem atingir 20 milhões de euros ou 4% do volume de negócios anual mundial, consoante o que for superior. A CNPD tem privilegiado a tutela de áreas sensíveis: videovigilância nos locais de trabalho (artigos 20.º e 21.º do Código do Trabalho), controlo do correio eletrónico e da utilização da Internet (artigo 22.º), biometria para controlo de assiduidade (artigo 28.º da Lei nº 58/2019), geolocalização de viaturas atribuídas a trabalhadores e transferências internacionais para fora do Espaço Económico Europeu.

A Política de Proteção de Dados de Trabalhadores em Portugal articula-se com o Regulamento Interno da Empresa adotado nos termos do artigo 99.º do Código do Trabalho. O artigo 6.º da Lei nº 58/2019 esclarece o regime do consentimento do trabalhador: o desequilíbrio de poderes entre empregador e trabalhador limita a validade do consentimento como base de licitude, exigindo recurso preferencial a outras bases — execução do contrato de trabalho (artigo 6.º nº 1 alínea b RGPD), cumprimento de obrigação legal (alínea c), interesse legítimo do empregador (alínea f) — devidamente fundamentadas e documentadas.

A política integra ainda o quadro de governação interna que comprovará perante a CNPD o cumprimento do princípio da responsabilidade (accountability) do artigo 5.º nº 2 do RGPD: registo das atividades de tratamento nos termos do artigo 30.º, avaliação de impacto sobre proteção de dados (DPIA) nos termos do artigo 35.º para tratamentos de elevado risco como videovigilância sistemática, designação do encarregado da proteção de dados (DPO) nos termos do artigo 37.º, e procedimento de notificação de violações à CNPD em 72 horas nos termos do artigo 33.º. O DPO é obrigatório nas situações do artigo 37.º nº 1 e da Lei nº 58/2019, designadamente em entidades públicas e em entidades cuja atividade principal envolva controlo regular e sistemático em larga escala.

Os efeitos práticos da Política de Proteção de Dados de Trabalhadores em Portugal estendem-se a três planos: vincula a estrutura interna do empregador (departamento de Recursos Humanos, gestores diretos, prestadores de serviços de payroll, medicina do trabalho), define os direitos dos trabalhadores (acesso, retificação, apagamento, limitação, portabilidade e oposição nos termos dos artigos 15.º a 21.º do RGPD) e estabelece o quadro de responsabilidades para situações de incumprimento, incluindo procedimentos disciplinares previstos no Código do Trabalho e sanções contraordenacionais perante a CNPD e a ACT.

A Política de Proteção de Dados de Trabalhadores em Portugal é exigida em todas as entidades empregadoras, públicas ou privadas, com sede ou estabelecimento em território nacional, com pelo menos um trabalhador subordinado nos termos do artigo 11.º do Código do Trabalho aprovado pela Lei nº 7/2009. A obrigação resulta diretamente do RGPD e do princípio da transparência do artigo 12.º, complementado pelas exigências específicas do artigo 17.º do Código do Trabalho e da Lei nº 58/2019, de 8 de Agosto.

A política é necessária no momento da admissão de cada trabalhador, devendo integrar o conjunto de documentos de acolhimento ao lado do contrato de trabalho (sem termo, a termo certo, a termo incerto, em comissão de serviço, contrato de teletrabalho ao abrigo da Lei nº 83/2021), do Regulamento Interno da Empresa adotado nos termos do artigo 99.º do Código do Trabalho, das normas de Segurança e Saúde no Trabalho (Lei nº 102/2009) e da política de utilização de tecnologias da informação. A entrega contra recibo assinado fixa o termo inicial do conhecimento pelo trabalhador para efeitos do artigo 13.º do RGPD.

A política torna-se urgente em qualquer projeto que envolva tratamento de dados de elevado risco. A videovigilância nos locais de trabalho exige autorização prévia da CNPD nos termos do artigo 20.º nº 4 do Código do Trabalho — a captação de imagem ou som no local de trabalho carece de fundamento de licitude excecional e de balanced test rigoroso entre interesse legítimo do empregador e direito à reserva da vida privada do trabalhador. A geolocalização de viaturas atribuídas a trabalhadores foi objeto de orientações específicas da CNPD que limitam o tratamento a finalidades estritas de gestão da frota.

Na contratação de prestadores de serviços externos com acesso a dados pessoais de trabalhadores — empresas de payroll, contabilistas certificados inscritos na Ordem dos Contabilistas Certificados (OCC), revisores oficiais de contas inscritos na OROC, médicos do trabalho, plataformas de gestão de RH em cloud, fornecedores de equipamentos com configuração técnica — a política deve refletir a obrigação de celebrar contrato de subcontratação ao abrigo do artigo 28.º do RGPD, com cláusulas detalhadas sobre finalidades, durações, segurança, transferências e devolução ou destruição de dados.

A política é exigida em projetos de implementação de sistemas biométricos de controlo de assiduidade. O artigo 28.º da Lei nº 58/2019 limita a utilização de dados biométricos para controlo de assiduidade e acessos aos casos em que essa solução seja estritamente necessária, ofereça maior segurança que alternativas (cartão, código pessoal, palavra-passe) e sejam adoptadas medidas técnicas e organizativas adequadas. A ausência destas precauções tem gerado coimas significativas aplicadas pela CNPD, com fundamentação detalhada em deliberações públicas.

A política é igualmente necessária em projetos de monitorização do correio eletrónico e da utilização da Internet pelo trabalhador. O artigo 22.º do Código do Trabalho admite a definição de regras de utilização desde que o trabalhador seja informado previamente, mas o conteúdo das comunicações privadas mantém-se protegido pelo direito à reserva da vida privada do artigo 16.º do mesmo Código e pelo artigo 26.º da Constituição da República Portuguesa de 1976. A Política de Proteção de Dados deve articular esta matéria com a política de utilização aceitável de sistemas informáticos.

No recrutamento, a política deve estabelecer regras sobre o tratamento de dados de candidatos a emprego — limites do artigo 17.º nº 1 do Código do Trabalho à exigência de informações sobre vida privada, prazos de conservação dos curricula vitae não selecionados (recomendação CNPD: 12 meses salvo consentimento explícito para conservação por bolsa de candidatos), e regras sobre verificação de antecedentes (criminal record check, restrita a casos justificados pela natureza da função).

Nas operações de fusão, aquisição, cisão ou trespasse de estabelecimento ao abrigo dos artigos 285.º a 287.º do Código do Trabalho (transmissão de empresa ou estabelecimento), a política deve ser revista para incorporar a transmissão dos dados pessoais dos trabalhadores transferidos, fixar o regime aplicável durante a fase de transição e identificar o novo responsável pelo tratamento. A CNPD tem exigido informação prévia aos trabalhadores transferidos com antecedência mínima de 15 dias úteis.

Uma Política de Proteção de Dados de Trabalhadores em Portugal juridicamente eficaz integra um conjunto de elementos formais e substanciais alinhados com o artigo 13.º do RGPD, com a Lei nº 58/2019 de 8 de Agosto e com o artigo 17.º do Código do Trabalho aprovado pela Lei nº 7/2009. A redação cuidada destes elementos é determinante para a prova do princípio da responsabilidade (accountability) do artigo 5.º nº 2 do RGPD em sede de fiscalização pela Comissão Nacional de Proteção de Dados (CNPD).

Identificação do responsável pelo tratamento. A política deve identificar o empregador como responsável pelo tratamento na aceção do artigo 4.º nº 7 do RGPD, indicando a denominação social, sede, NIPC, CAE de atividade económica, número de trabalhadores e dados de contacto institucionais. Para grupos empresariais, deve esclarecer-se a articulação entre responsável principal e eventuais corresponsáveis nos termos do artigo 26.º do RGPD, com publicação dos elementos essenciais do acordo de corresponsabilidade.

Identificação do encarregado da proteção de dados (DPO). A política deve indicar o nome, a forma de contacto (endereço eletrónico dedicado, número telefónico com indicativo +351, morada postal) e as competências do DPO designado nos termos dos artigos 37.º a 39.º do RGPD. Para entidades públicas e empresas cuja atividade principal envolva controlo regular e sistemático em larga escala, a designação é obrigatória. Para as restantes, é facultativa mas recomendada como prova de boa prática perante a CNPD.

Finalidades do tratamento. A política deve enumerar com precisão as finalidades do tratamento de dados de trabalhadores: gestão do contrato de trabalho (admissão, contrato escrito quando exigido pelos artigos 94.º a 110.º do Código do Trabalho, retribuição, férias, faltas, avaliação de desempenho); cumprimento de obrigações legais (declarações à Autoridade Tributária e Aduaneira no Portal das Finanças, declarações à Segurança Social, IES anual, comunicações à ACT); segurança e saúde no trabalho ao abrigo da Lei nº 102/2009 (medicina do trabalho, plano de prevenção, fichas de aptidão); gestão da formação profissional ao abrigo dos artigos 130.º a 134.º do Código do Trabalho; processo disciplinar nos termos dos artigos 351.º a 358.º; e finalidades acessórias (gestão de benefícios sociais, comunicações internas, eventos).

Bases de licitude do tratamento. Para cada finalidade, a política deve identificar a base de licitude correspondente entre as previstas no artigo 6.º nº 1 do RGPD: execução do contrato de trabalho (alínea b) para gestão da retribuição e organização do trabalho; cumprimento de obrigação legal (alínea c) para declarações fiscais e à Segurança Social; interesse legítimo (alínea f) para finalidades de segurança patrimonial e prevenção de fraude com balanced test documentado; consentimento (alínea a) apenas residualmente quando seja efetivamente livre e revogável. Para categorias especiais de dados — saúde, sindicalização, vida sexual, biometria, dados genéticos —, a base adicional do artigo 9.º nº 2 do RGPD é necessária, designadamente as alíneas b) (direito laboral e segurança social) e h) (medicina do trabalho).

Categorias de dados tratados. A política deve descrever as categorias de dados pessoais tratados: dados de identificação (nome, número do Cartão de Cidadão, NIF, NISS, morada, fotografia para crachá), dados de contacto (telemóvel com indicativo +351, endereço eletrónico), dados profissionais (currículo, formação, certificações de Ordens Profissionais, experiência), dados retributivos (vencimento, subsídios, complementos, IRS retido na fonte), dados bancários (IBAN PT50 para pagamento), dados de saúde (fichas de aptidão da medicina do trabalho, baixas), dados de assiduidade (cartões de ponto, biometria quando autorizada), dados de avaliação de desempenho, dados de utilização de tecnologias.

Destinatários e transferências. A política deve listar os destinatários internos (departamento de Recursos Humanos, gestores diretos com need-to-know, contabilidade) e externos (Autoridade Tributária e Aduaneira, Instituto da Segurança Social, ACT, IEFP, fundos de pensões, seguradoras, sindicatos quando autorizado pelo trabalhador, prestadores de serviços de payroll e medicina do trabalho). As transferências para fora do Espaço Económico Europeu exigem garantias adicionais nos termos dos artigos 44.º a 49.º do RGPD: decisão de adequação da Comissão Europeia, cláusulas contratuais-tipo, regras vinculativas para empresas (BCR), ou derrogações específicas.

Prazos de conservação. A política deve fixar prazos específicos: dados contratuais conservados por 5 anos após cessação do contrato (prazo geral de prescrição dos créditos laborais nos termos do artigo 337.º do Código do Trabalho); dados fiscais por 10 anos nos termos do artigo 123.º do CIRS e do artigo 123.º nº 2 do CIRC; dados da Segurança Social por 10 anos; fichas de medicina do trabalho por 30 anos após cessação do contrato nos termos do regulamento da medicina do trabalho; videovigilância por 30 dias salvo necessidade de prova; curricula de candidatos não selecionados por 12 meses (recomendação CNPD).

Direitos dos titulares. A política deve descrever os direitos dos trabalhadores e dos antigos trabalhadores nos termos dos artigos 15.º a 22.º do RGPD: acesso (artigo 15.º), retificação (artigo 16.º), apagamento (artigo 17.º), limitação do tratamento (artigo 18.º), portabilidade (artigo 20.º), oposição (artigo 21.º) e direito de não estar sujeito a decisões individuais automatizadas (artigo 22.º). Deve indicar o canal de exercício (formulário próprio, endereço eletrónico do DPO), o prazo de resposta (1 mês prorrogável por 2 meses adicionais nos termos do artigo 12.º nº 3) e o direito de queixa à CNPD nos termos do artigo 77.º.

Medidas técnicas e organizativas. A política deve referir as medidas implementadas nos termos do artigo 32.º do RGPD: encriptação em trânsito e em repouso, pseudonimização quando aplicável, controlo de acessos com perfis diferenciados, registo de auditoria, formação periódica dos colaboradores, planos de continuidade de negócio, testes regulares de segurança. A forms-legal.com disponibiliza este modelo de Política de Proteção de Dados de Trabalhadores em Portugal como ponto de partida operacional. A redação final deve ser revista por advogado especializado em direito laboral e proteção de dados ou por DPO com experiência prática. Documentos relacionados disponíveis no nosso catálogo: Regulamento Interno da Empresa, Política de Privacidade RGPD geral e Política de Teletrabalho.

Procedimento de violação de dados. A política deve descrever o procedimento de notificação de violações: deteção, contenção, avaliação do risco, notificação à CNPD em 72 horas nos termos do artigo 33.º do RGPD através do Portal de Notificação de Violações da CNPD, comunicação aos titulares quando o risco seja elevado nos termos do artigo 34.º, registo interno de violações nos termos do artigo 33.º nº 5, e revisão de medidas para prevenir recorrência. A correta gestão do incidente é factor atenuante decisivo na fixação da coima pela CNPD.

O preenchimento da Política de Proteção de Dados de Trabalhadores em Portugal segue uma sequência prática alinhada com o artigo 30.º do RGPD (registo das atividades de tratamento) e com o princípio da responsabilidade do artigo 5.º nº 2. A correta articulação entre o documento operacional e o registo de atividades é determinante para a prova do cumprimento perante a Comissão Nacional de Proteção de Dados (CNPD).

Passo 1 — Identificar o responsável pelo tratamento. Recolha a denominação social registada na Conservatória do Registo Comercial em www.empresaonline.pt, NIPC, sede estatutária, capital social, CAE da atividade principal, número de trabalhadores e dados institucionais de contacto (telefone com indicativo +351, endereço eletrónico, morada com código postal NNNN-NNN). Para grupos empresariais, identifique a articulação entre responsável principal e corresponsáveis nos termos do artigo 26.º do RGPD.

Passo 2 — Designar e identificar o DPO. Verifique se a designação é obrigatória nos termos do artigo 37.º nº 1 do RGPD ou da Lei nº 58/2019 (entidades públicas, controlo regular e sistemático em larga escala, tratamento em larga escala de categorias especiais). Indique nome, qualificação, dados de contacto dedicado e competências. O DPO deve ser independente e reportar diretamente ao mais alto nível da gestão. Considere certificação por entidade reconhecida (APDPO, exames internacionais EXIN, IAPP).

Passo 3 — Mapear finalidades. Liste todas as finalidades do tratamento de dados de trabalhadores: admissão, processamento de retribuição, declarações fiscais à Autoridade Tributária e Aduaneira, declarações à Segurança Social Direta, gestão de férias e faltas, avaliação de desempenho, formação profissional ao abrigo dos artigos 130.º a 134.º do Código do Trabalho, segurança e saúde ao abrigo da Lei nº 102/2009, processo disciplinar nos termos dos artigos 351.º a 358.º, gestão de benefícios. Para cada finalidade, identifique a base de licitude do artigo 6.º do RGPD e, para categorias especiais, a base do artigo 9.º.

Passo 4 — Listar categorias de dados e destinatários. Para cada finalidade, especifique categorias de dados tratados (identificação, contacto, profissionais, retributivos, bancários com IBAN PT50, saúde, biometria, geolocalização) e destinatários internos (Recursos Humanos, gestores, contabilidade) e externos (AT no Portal das Finanças, ISS, ACT, IEFP, fundos de pensões, seguradoras, prestadores de serviços com contrato de subcontratação ao abrigo do artigo 28.º).

Passo 5 — Fixar prazos de conservação. Aplique os prazos legais setoriais: 5 anos após cessação para dados contratuais (artigo 337.º do Código do Trabalho); 10 anos para dados fiscais (artigos 123.º do CIRS e CIRC); 10 anos para Segurança Social; 30 anos para fichas de medicina do trabalho; 30 dias para videovigilância salvo prova; 12 meses para CV de candidatos não selecionados. Documente a justificação de cada prazo no registo de atividades.

Passo 6 — Avaliar transferências internacionais. Identifique transferências para fora do Espaço Económico Europeu — uso de plataformas SaaS de RH com servidores nos EUA, holding fora da UE, prestadores cloud globais. Avalie o quadro de garantias nos termos dos artigos 44.º a 49.º do RGPD: decisão de adequação da Comissão Europeia, cláusulas contratuais-tipo na versão pós-Schrems II, regras vinculativas para empresas (BCR), ou derrogações específicas. Após Schrems II (acórdão TJUE C-311/18), avalie medidas suplementares para transferências para os EUA.

Passo 7 — Definir direitos dos titulares e canais. Indique os direitos dos artigos 15.º a 22.º do RGPD (acesso, retificação, apagamento, limitação, portabilidade, oposição, decisões automatizadas) e o procedimento de exercício: formulário disponível na intranet, endereço eletrónico do DPO, prazo de resposta de 1 mês prorrogável por 2 meses, gratuitidade salvo pedidos manifestamente infundados ou excessivos. Inclua referência ao direito de queixa à CNPD nos termos do artigo 77.º do RGPD.

Passo 8 — Documentar medidas de segurança. Descreva as medidas técnicas e organizativas nos termos do artigo 32.º: encriptação em trânsito (TLS 1.3) e em repouso (AES-256), pseudonimização, controlo de acessos com perfis diferenciados (need-to-know), registo de auditoria com logs por 12 meses, autenticação multifator para acessos administrativos, formação anual obrigatória, plano de continuidade de negócio, testes anuais de penetração e cópias de segurança encriptadas.

Passo 9 — Estabelecer procedimento de violação de dados. Defina o fluxo: deteção (canais internos e externos), contenção (isolamento dos sistemas afetados), avaliação do risco (alto, médio, baixo), notificação à CNPD em 72 horas através do Portal de Notificação de Violações da CNPD, comunicação aos trabalhadores quando o risco seja elevado, registo interno de todas as violações nos termos do artigo 33.º nº 5, lições aprendidas e revisão de controlos.

Passo 10 — Aprovar, divulgar e revisão periódica. Submeta a política à aprovação da gestão de topo (administração, gerência) e à consulta da Comissão de Trabalhadores quando exista nos termos do artigo 423.º do Código do Trabalho. Divulgue por entrega contra recibo a cada trabalhador e por publicação na intranet. Estabeleça revisão obrigatória anual e revisão extraordinária após qualquer alteração relevante (novo sistema, fusão, aquisição, decisão da CNPD ou do Tribunal Constitucional).

Os requisitos legais da Política de Proteção de Dados de Trabalhadores em Portugal resultam da articulação entre o Regulamento (UE) 2016/679 (RGPD) diretamente aplicável, a Lei nº 58/2019 de 8 de Agosto que executa o RGPD na ordem jurídica portuguesa, e o artigo 17.º do Código do Trabalho aprovado pela Lei nº 7/2009. A jurisprudência da Comissão Nacional de Proteção de Dados (CNPD) e do Tribunal Constitucional consolidou orientações específicas sobre o tratamento laboral.

Responsável pelo tratamento. O empregador é responsável pelo tratamento na aceção do artigo 4.º nº 7 do RGPD. A obrigação de cumprir o RGPD aplica-se a todas as entidades empregadoras, públicas ou privadas, com sede ou estabelecimento em Portugal, independentemente do número de trabalhadores. Para grupos empresariais, deve definir-se a articulação entre responsável principal e corresponsáveis ao abrigo do artigo 26.º do RGPD, com acordo escrito que defina as responsabilidades de cada um.

DPO. O artigo 37.º nº 1 do RGPD exige a designação obrigatória de encarregado da proteção de dados em três situações: tratamento por autoridade ou organismo público; atividade principal que exija controlo regular e sistemático em larga escala; atividade principal que envolva tratamento em larga escala de categorias especiais de dados (saúde, sindicalização, biometria). A Lei nº 58/2019 mantém a aplicação direta do RGPD nesta matéria. Para as restantes entidades, a designação é facultativa mas constitui boa prática.

Limites do artigo 17.º do Código do Trabalho. O artigo 17.º nº 1 proíbe ao empregador exigir ao candidato a emprego ou ao trabalhador informações relativas à sua vida privada, salvo quando estas sejam estritamente necessárias e relevantes para avaliar a aptidão para o exercício da função. O artigo 17.º nº 2 proíbe a exigência de informação relativa à saúde ou estado de gravidez salvo em situações excecionais com fundamento na natureza do posto de trabalho e com justificação por escrito. O artigo 17.º nº 4 sujeita estas informações à proteção dos dados pessoais. O incumprimento gera responsabilidade contraordenacional grave nos termos do artigo 28.º nº 1.

Videovigilância. O artigo 20.º do Código do Trabalho proíbe ao empregador a utilização de meios de vigilância à distância no local de trabalho destinados a controlar o desempenho profissional do trabalhador, salvo quando tenha por finalidade a proteção e a segurança de pessoas e bens. O artigo 20.º nº 4 exige autorização prévia da CNPD. A não observância gera coima por contraordenação muito grave e responsabilidade civil pelos danos causados ao trabalhador, podendo ser invocada para fundamentar resolução com justa causa nos termos do artigo 394.º.

Controlo do correio eletrónico. O artigo 22.º nº 1 do Código do Trabalho admite a definição pelo empregador de regras de utilização dos meios de comunicação na empresa, designadamente do correio eletrónico. O nº 2 protege o conteúdo das mensagens de natureza pessoal. O Tribunal Constitucional, em decisões reiteradas, tem sublinhado a tutela da reserva da vida privada nos termos do artigo 26.º da Constituição da República Portuguesa de 1976. A política deve distinguir claramente conta profissional e conta pessoal e regular as condições de acesso pelo empregador.

Dados biométricos. O artigo 28.º da Lei nº 58/2019 limita o tratamento de dados biométricos para controlo de assiduidade e acessos à condição de necessidade estrita, maior segurança comparada com alternativas (cartão, código pessoal), e adoção de medidas técnicas e organizativas adequadas. A CNPD tem aplicado coimas significativas em casos de utilização desproporcional de biometria em atividades de baixo risco.

Consentimento do trabalhador. O artigo 6.º da Lei nº 58/2019 esclarece que o consentimento como base de licitude no contexto laboral é admissível apenas quando seja efetivamente livre, situação raramente verificada dada a relação de subordinação. As bases preferenciais são execução do contrato (artigo 6.º nº 1 alínea b RGPD), cumprimento de obrigação legal (alínea c), interesse legítimo (alínea f) com balanced test documentado.

Subcontratação. A contratação de prestadores de serviços com acesso a dados de trabalhadores (payroll, contabilistas certificados da Ordem dos Contabilistas Certificados — OCC, médicos do trabalho, plataformas de RH em cloud) exige contrato de subcontratação ao abrigo do artigo 28.º do RGPD com cláusulas obrigatórias detalhadas: finalidades, durações, tipos de dados, categorias de titulares, medidas técnicas e organizativas, regras sobre transferências, devolução e destruição.

DPIA. O artigo 35.º do RGPD exige avaliação de impacto sobre a proteção de dados (DPIA) em tratamentos de elevado risco. A CNPD publicou listas indicativas de operações sujeitas a DPIA, incluindo videovigilância sistemática, biometria, monitorização de comunicações, scoring automatizado de trabalhadores. A DPIA deve ser conservada e disponibilizada à CNPD em sede de fiscalização.

Notificação de violações. O artigo 33.º do RGPD exige notificação à CNPD em 72 horas após o conhecimento da violação, salvo se a violação não for suscetível de resultar em risco para os direitos e liberdades. O artigo 34.º exige comunicação aos titulares afetados quando a violação for suscetível de implicar risco elevado. O incumprimento da notificação gera coima autónoma por contraordenação muito grave.

Direitos dos titulares. Os artigos 15.º a 22.º do RGPD conferem ao trabalhador direitos de acesso, retificação, apagamento, limitação, portabilidade, oposição e direito de não estar sujeito a decisões individuais automatizadas. O prazo de resposta é de 1 mês prorrogável por 2 meses adicionais nos termos do artigo 12.º nº 3. O direito de queixa à CNPD está consagrado no artigo 77.º.

Coimas. O artigo 83.º do RGPD prevê coimas administrativas até 20 milhões de euros ou 4% do volume de negócios anual mundial, consoante o que for superior. A Lei nº 58/2019 estabelece o procedimento contraordenacional perante a CNPD com recurso para o Tribunal da Concorrência, Regulação e Supervisão (TCRS) e, em última instância, para o Tribunal da Relação.

Os erros mais frequentes na Política de Proteção de Dados de Trabalhadores em Portugal expõem o empregador a coimas administrativas elevadas pela Comissão Nacional de Proteção de Dados (CNPD) ao abrigo do artigo 83.º do RGPD e a responsabilidade civil perante os trabalhadores. A análise das deliberações públicas da CNPD revela um conjunto de falhas recorrentes prevenidas com revisão atenta da política e do registo de atividades de tratamento.

Adoção de modelos genéricos sem adaptação à realidade da empresa. Políticas copiadas de modelos genéricos sem mapeamento real das atividades de tratamento, sem identificação concreta de finalidades, bases de licitude e prazos, são facilmente desconsideradas pela CNPD. A solução é elaborar a política a partir do registo de atividades nos termos do artigo 30.º do RGPD, refletindo a realidade operacional do empregador.

Uso indevido do consentimento como base de licitude. O empregador que invoque consentimento do trabalhador como base de licitude para a generalidade dos tratamentos ignora o desequilíbrio estrutural da relação laboral. O artigo 6.º da Lei nº 58/2019 e as orientações da CNPD são restritivas. A solução é recorrer a execução do contrato, cumprimento de obrigação legal e interesse legítimo com balanced test documentado, reservando o consentimento para tratamentos verdadeiramente facultativos (utilização da imagem em comunicação institucional, partilha de dados com sindicatos quando o trabalhador o decida, participação em programas de benefícios opcionais).

Videovigilância sem autorização prévia da CNPD. A instalação de câmaras no local de trabalho sem autorização prévia exigida pelo artigo 20.º nº 4 do Código do Trabalho gera coima por contraordenação muito grave e impede a utilização das gravações como prova em processo disciplinar. A solução é submeter pedido fundamentado à CNPD com identificação dos pontos de captação, finalidades, prazos de conservação (regra: 30 dias), medidas de segurança e justificação da proporcionalidade.

Recolha excessiva de dados na admissão. A exigência de informações sobre vida privada, situação familiar, gravidez, opções políticas, sindicalização ou crenças religiosas no formulário de admissão viola o artigo 17.º nº 1 do Código do Trabalho e gera contraordenação grave nos termos do artigo 28.º. A solução é restringir a recolha ao estritamente necessário e relevante para a função, com fundamentação por escrito da necessidade quando se afaste da regra geral.

Ausência de contratos de subcontratação com prestadores. O recurso a empresas de payroll, contabilistas certificados da OCC, plataformas de RH em cloud ou medicina do trabalho sem contrato de subcontratação ao abrigo do artigo 28.º do RGPD expõe o empregador a coima autónoma e a responsabilidade pelos atos do subcontratante. A solução é celebrar contrato de subcontratação com cláusulas obrigatórias, idealmente integrando módulos de cláusulas contratuais-tipo da Comissão Europeia para transferências internacionais.

Prazos de conservação genéricos ou indefinidos. Políticas que indiquem "o prazo necessário" sem fixação de períodos concretos por categoria de dado violam o princípio da limitação da conservação do artigo 5.º nº 1 alínea e) do RGPD. A solução é fixar prazos específicos por finalidade e categoria — 5 anos para dados contratuais (artigo 337.º Código do Trabalho), 10 anos para fiscais e Segurança Social, 30 anos para fichas de medicina do trabalho, 30 dias para videovigilância, 12 meses para CV não selecionados — com base legal indicada.

Falta de canal específico de exercício de direitos. A ausência de procedimento dedicado para exercício dos direitos dos artigos 15.º a 22.º do RGPD gera atrasos no cumprimento do prazo de 1 mês do artigo 12.º nº 3 e queixas à CNPD. A solução é criar formulário próprio na intranet, endereço eletrónico do DPO, e fluxo interno com responsável de cada pedido, prazo intermédio de validação e prazo final de resposta.

Omissão da notificação de violações em 72 horas. A não notificação atempada à CNPD através do Portal de Notificação de Violações da CNPD gera coima autónoma por contraordenação muito grave nos termos do artigo 83.º nº 4 do RGPD, mesmo quando a violação inicial seja de risco moderado. A solução é definir procedimento interno claro de deteção, escalonamento ao DPO, avaliação rápida de risco e notificação à CNPD com formulário pré-preparado para emergências.