Proteção de dados e utilização de dados biométricos no local de trabalho: análise de uma decisão judicial importante

Pontos essenciais do acórdão

O acórdão analisa a conformidade jurídica da utilização de sistemas biométricos, nomeadamente a identificação por impressões digitais, para o registo dos horários de trabalho e o controlo de acesso num hospital privado. O conselho de empresa e a organização sindical autora alegaram a violação de direitos fundamentais - privacidade, saúde e liberdade de associação - e pediram a retirada do sistema, a sua substituição por métodos alternativos e o pagamento de uma indemnização.

O tribunal julgou improcedente o pedido e concluiu que o sistema em vigor cumpria os princípios da legalidade, da necessidade e da proporcionalidade exigidos pela legislação aplicável em matéria de proteção de dados. Em particular, a decisão destaca os seguintes aspectos:

• A imagem completa da impressão digital não é armazenada: de acordo com as caraterísticas do sistema, apenas é guardado um modelo biométrico parcial, encriptado e gerado por algoritmos que impedem a reconstrução da impressão digital original. Este mecanismo reforça o cumprimento do princípio da minimização dos dados previsto no artigo 5.º, n.º 1, alínea c), do RGPD, limitando o tratamento às informações estritamente necessárias para a finalidade pretendida.
• Foramrealizadas avaliações e análises de risco: o hospital realizou várias avaliações de impacto sobre a proteção de dados (APD), tanto antes como depois da implementação do sistema biométrico. Estas avaliações incluíram uma análise pormenorizada da adequação, necessidade e proporcionalidade do tratamento, bem como a identificação e atenuação dos riscos associados. O tribunal avaliou positivamente esta questão, registando que a organização tomou medidas para garantir a segurança e minimizar o impacto nos direitos dos trabalhadores.
• O dever de informação foi cumprido: está provado que os trabalhadores e os seus representantes legais foram informados da implementação e do funcionamento do sistema biométrico. Esta comunicação ocorreu através de reuniões da Comissão de Trabalhadores, cláusulas contratuais específicas e através do portal do trabalhador, onde foram detalhadas as caraterísticas do tratamento, a sua finalidade e as garantias aplicadas. Deste modo, são respeitados os princípios de transparência e de direito à informação previstos nos artigos 12.º e 13.º do RGPD.
• Base de legitimidade reforçada: o tribunal considera que o sistema biométrico tem uma base de legitimidade reforçada. Baseia a legalidade do tratamento de dados biométricos no artigo 9.º, n.º 2, alínea i), do RGPD, no entendimento de que existem razões de interesse público no domínio da saúde, bem como nos regulamentos relativos à proteção de infra-estruturas críticas. Além disso, o acórdão remete para o Regulamento relativo à Inteligência Artificial (Lei da IA), argumentando que a verificação biométrica presencial apresenta um nível de risco reduzido ou mesmo inexistente para os direitos e liberdades das pessoas em causa.

Além disso, o tribunal sublinha que o hospital implementou medidas de segurança avançadas, incluindo a encriptação de informações, a eliminação automática de dados em caso de adulteração do dispositivo e o registo de eventos, em conformidade com os requisitos do RGPD.

Conflito com o RGPD e os critérios da Agência Espanhola de Proteção de Dados (AEPD)

Embora o tribunal tenha considerado lícito o tratamento biométrico no contexto hospitalar, a sua argumentação apresenta discrepâncias substanciais em relação aos critérios consolidados da AEPD, que mantém uma interpretação mais restritiva da utilização de dados biométricos no local de trabalho. Os principais pontos de conflito são os seguintes:

• Natureza dos dados tratados: a AEPD considera que o modelo biométrico constitui um dado pessoal e, quando utilizado para identificar ou autenticar uma pessoa singular, pode ser considerado um dado biométrico pertencente a uma categoria especial nos termos dos artigos 4.14 e 9.1 do RGPD. O facto de o modelo não permitir a reconstrução da imagem completa da impressão digital não altera esta qualificação, uma vez que o elemento decisivo é a finalidade do tratamento, ou seja, a identificação ou autenticação da pessoa.
• Proibição do art. 9.1 do RGPD: no domínio do registo de tempo e do controlo de acesso para fins laborais, a AEPD sustenta que, atualmente, não existe em Espanha qualquer regulamento com força de lei que autorize expressamente a utilização de dados biométricos nos termos do artigo 9.2.b) do RGPD. Além disso, o consentimento do trabalhador não é considerado uma base jurídica válida, devido ao desequilíbrio inerente à relação de trabalho e à disponibilidade de métodos alternativos e menos intrusivos. Consequentemente, o tratamento de dados biométricos não passa o teste da necessidade, exceto em casos excepcionais, que devem ser estrita e sectorialmente acreditados.
• Sobre a aplicação do artigo 9.º, n.º 2, alínea i), do RGPD: O artigo 9.º, n.º 2, alínea i), do RGPD permite o tratamento de categorias especiais de dados por razões de interesse público no domínio da saúde pública, desde que exista uma base regulamentar no direito da União ou dos Estados-Membros e se apliquem garantias específicas. No entanto, um sistema de marcação de ponto - mesmo num hospital - não é automaticamente abrangido por esta exceção, uma vez que a sua principal finalidade está relacionada com o trabalho e não com a saúde. Atualmente, não existe uma autorização legal específica que autorize o registo biométrico do tempo de trabalho por razões de saúde pública, circunstância que a AEPD tem sublinhado repetidamente quando constata a ausência de base jurídica no domínio laboral.
• Realização de uma avaliação de impacto (EIPD): embora a legislação laboral obrigue as empresas a manter um registo diário da jornada de trabalho, não impõe a utilização de um sistema específico: podem ser utilizados cartões, aplicações móveis ou terminais, desde que garantam fiabilidade e objetividade. Tal não implica que a utilização de dados biométricos seja automaticamente permitida. A AEPD defende que este tipo de tratamento só é admissível quando se comprove que não existe uma alternativa menos intrusiva e tenha sido efectuada uma PIDD com um resultado favorável, aplicando também medidas de segurança reforçadas. As recentes sanções impostas aos sistemas de registo baseados em impressões digitais confirmam que a abordagem atual é particularmente restritiva.
• Sobre a Lei da IA e o risco dos sistemas biométricos: O Regulamento (UE) 2024/1689 (Lei da IA) não qualifica automaticamente a verificação biométrica presencial utilizada para o registo de tempo como sendo de "baixo risco". O seu principal objetivo é proibir ou regular práticas de alto risco, como a identificação biométrica à distância em espaços públicos, e estabelecer obrigações diferenciadas de acordo com as categorias de risco. Por conseguinte, a afirmação judicial de que a verificação não remota implica "baixo ou nenhum risco" não decorre do texto da Lei da IA e do seu sistema de classificação.

Conclusões alcançadas

Embora este acórdão forneça um critério relevante ao considerar legítima a utilização de sistemas biométricos em ambientes de cuidados de saúde, desde que sejam aplicadas medidas técnicas robustas e que sejam efectuadas AIP para provar a sua proporcionalidade, a interpretação do tribunal gera alguma incerteza.

O tribunal baseia a legalidade no artigo 9.º, n.º 2, do RGPD e reforça-a com referências à Lei da IA, apesar de não existir atualmente em Espanha qualquer regulamentação que autorize expressamente a utilização da biometria para o controlo de assiduidade, posição que foi estabelecida pela AEPD, e de ser necessária uma base legal específica para o tratamento de dados biométricos no local de trabalho, considerando insuficiente o consentimento do trabalhador, dado o desequilíbrio inerente à relação laboral, o que pode gerar insegurança jurídica.

Além disso, deve ser esclarecido que a exceção prevista no artigo 9.2.i do RGPD - relacionada com o interesse público na saúde pública - só é aplicável a entidades do sector da saúde e não pode ser extrapolada, por si só, para organizações de outras áreas, onde a utilização de dados biométricos para controlo de assiduidade poderia não ter cobertura legal suficiente.

Assim, importa referir que o acórdão oferece argumentos defensivos contra a utilização deste tipo de sistema e que, para reduzir o risco de sanção administrativa, é prioritário que as organizações disponham de aconselhamento jurídico especializado para avaliar todas as alternativas disponíveis e regulamentar adequadamente a opção pela biometria, documentando exaustivamente a necessidade, a proporcionalidade e as garantias aplicadas.

Nota informativa elaborada pela área de Proteção de Dados da ECIJA Madrid.