A evolução sistemática dos sistemas telemáticos fornecidos por operadores do sector, bem como a crescente disponibilidade deste tipo de equipamento instalado de fábrica em viaturas novas, estão a potenciar e tornar mais eficiente a gestão da frota, bem como variadas tarefas logísticas, sejam elas de distribuição ou de assistência técnica.
A obrigatoriedade do e-Call, o sistema europeu de alerta automático em caso de emergência, veio dar novo impulso à possibilidade de agregação de funcionalidades, dado que, associado a ele, existe um sistema ativo e permanente de comunicações.
As ferramentas essenciais de gestão assentam também, cada vez mais, em sistemas de telemetria, com conectividade total e permanente, para a transmissão de dados em tempo real.
No entanto, é imperioso acautelar como a necessidade de rentabilizar o uso da frota e de manter uma visão global do desempenho das viaturas e dos seus utilizadores podem colidir com os direitos individuais dos trabalhadores, ainda que no exercício de atividade para a empresa.
Ora se esta já é uma preocupação atual para muitas organizações, a entrada em vigor, em 25 de maio de 2018, do novo Regulamento Geral de Proteção de Dados (RGPD), levanta novas dúvidas sobre as restrições que pode criar nesta matéria.
Antes de mais, a aplicação deste normativo europeu não vem, no essencial, alterar as preocupações da lei vigente em Portugal: proteger o trabalhador e impedir o empregador de agir de forma lesiva para os interesses do empregado, recorrendo a métodos intrusivos e abusivos da sua privacidade.
Sobretudo os que decorrem fora da atividade ou do seu horário laboral, daí o reforço da preocupação em manter disponível um comando que permitir ao utilizador desligar o sistema telemático, de modo a cumprir com o RPGD.
O novo Regulamento Geral sobre Proteção de Dados – Regulamento (EU) 2016/679, de 27 de abril de 2016 – estabelece coimas que podem atingir 20 milhões de euros ou até 4% do volume anual de negócios da empresa a nível mundial, consoante o montante mais elevado
O que o novo regulamento quer mudar
Facilitando a recolha de dados, uma vez que desobriga a necessidade de parecer prévio quanto à instalação, fica mais exigente o tratamento de todos os dados pessoais recolhidos, sob pena de coimas substancialmente agravadas.
Para efeitos de acompanhamento, controlo e responsabilidade sobre a utilização desses dados, passa a ser obrigatório, por parte da empresa, a nomeação de responsabilidade pela condução e gestão do processo (“Responsável pelo tratamento”)
Define o regulamento, que pode ser nomeado “Responsável pelo Tratamento” pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, “individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais”
O que justifica a figura do “Subcontratante”, de igual modo “uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes”
De facto, se atualmente há trâmites obrigatórios para a instalação de tecnologia com capacidade de recolha de dados de condução, nomeadamente a necessidade de um parecer prévio da Comissão Nacional de Proteção de Dados, essa exigência deixa de vigorar e cabe à empresa a responsabilidade da aplicação legal, bem como das metodologias de recolha e tratamento dos dados por essa via obtidos.
Contudo, os artigos 35.º e 36.º não dispensam a necessidade de pareceres prévios internos de avaliação de impacto sobre a proteção de dados, na recolha e no tratamento, em particular quando o uso de novas tecnologias, “tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares”.
“Ao efetuar uma avaliação de impacto sobre a proteção de dados, o responsável pelo tratamento solicita o parecer do encarregado da proteção de dados”, sendo que a realização de uma avaliação de impacto sobre a proteção de dados é obrigatória no caso da “avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar”.
O “Responsável pelo tratamento” ou “Subcontratante” garantem o cumprimento de um conjunto de procedimentos e prazos para a conservação de informações que devem servir apenas para fins estatísticos (“Pseudonimização”), não devendo nunca ser tratadas de forma individual e menos ainda divulgadas.
Isto é aplicável tanto naquilo que respeita a identificação direta do seu utilizador, mas também da matrícula, nos casos da viatura estar atribuída a um só utilizador ou de ser possível a sua identificação no momento em análise.
Compete ao “Responsável pelo tratamento”, além da análise prévia relativa à conformidade legal da recolha e do tratamento, fazer uso dos dados, por exemplo, quando está em causa localizar a viatura em caso de furto, controlar a sinistralidade ou estabelecer responsabilidades quanto a coimas, nos casos de viaturas partilhadas por diversos condutores.
Os dados pessoais são “Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades” (art.º 5)
Para além das viaturas
Mas as empresas devem também acautelar outras questões com influência direta sobre os departamentos de marketing e de assistência ao cliente.
Nomeadamente em empresas prestadoras de serviços de manutenção, por exemplo. Mas não só.
Todas as empresas que, em algum momento, possam ter recolhido dados considerados pessoais – num momento da venda ou de orçamentação, por exemplo – não podem fazer uso desses mesmos dados para qualquer outra tarefa, sem o consentimento escrito, livre e inequívoco do cidadão.
Ou seja, os dados recolhidos destinam-se estritamente aos fins para os quais foram facultados, não sendo considerados os dados obtidos aleatoriamente, nomeadamente por via eletrónica
A entrada em vigor deste regulamento deve-se precisamente à utilização generalizada de meios digitais e do acesso facilitado à internet, no que concerne ao potencial de obtenção de dados de contacto e da sua utilização para fins não consentidos pelos visados.
Como as operações de marketing telefónico e/ou digital.
Por isso, os cidadãos passam a ter o direito de exigirem o acesso aos seus próprios dados pessoais, assim como a solicitarem esclarecimentos sobre as políticas de segurança adotadas para a proteção desses mesmos dados.
Bem como à sua eliminação (“Direito a ser esquecido”, artigo 17.º).
Isto como forma de acautelar a sua divulgação a terceiros (“transmissão de dados”), bem como o acesso fraudulento às respetivas bases.
De resto, passa a existir uma janela de apenas 72 horas para proceder à notificação de violação das políticas de segurança dos dados à autoridade competente (CNPD em Portugal) e aos próprios titulares dos dados (“Violação de dados pessoais” que provoque, “de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”), competindo à figura responsável pela proteção das informações, seu tratamento e uso, facultar os esclarecimentos necessários relativos ao facto.
(Art.º 33 – Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente nos termos do artigo 55.o, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares)
O que as empresas podem e devem fazer:
- Nomear o Responsável/Encarregado pelo tratamento dos dados ou uma Subcontratante, sendo sempre estabelecer um agente responsável, dentro da empresa;
- Atestar a conformidade com o RGPD de todos os sistemas instalados (telemáticos, de controlo de acessos e uso, video-vigilância e outros), bem como de todos os procedimentos adotados para com os dados recebidos;
- Atualizar as Políticas de Privacidade, nomeadamente na garantia de proteção de todos os dados que a empresa disponha e da sua utilização, assegurando que os mesmos são utilizados apenas para os fins para que os quais foram recolhidos;
- Proceder ao tratamento dos dados em poder e/ou recolhidos, quando apenas para fins estatísticos, procedendo à sua eliminação após a conclusão do estudo;
- Facultar ao cidadão o acesso a todos os dados disponíveis sobre si e proceder à retificação ou eliminação dos mesmos, quando solicitado pelo próprio;
- Reportar às autoridades supervisoras, nas 72 horas após o incidente, quebras de segurança que possam afetar a confidencialidade dos dados em poder das empresa, bem como os visados pela ocorrência, sempre que decorra “elevado risco para os direitos e liberdades” (art.º 34)