Proteção de Dados

RGPD nos recursos humanos: dados de trabalhadores

RGPD nos recursos humanos: como tratar dados de trabalhadores em Portugal — recrutamento, salários, videovigilância e biometria (art. 28.º da Lei 58/2019).

Also available in:Français·Español·Deutsch

A gestão de recursos humanos é uma das áreas de maior risco no RGPD, porque concentra dados de trabalhadores tratados de forma contínua e, frequentemente, sensível. Em Portugal, além do RGPD, aplica-se um regime específico: o artigo 28.º da Lei n.º 58/2019 limita expressamente a videovigilância e a biometria no contexto laboral. Uma empresa cumpre o RGPD nos RH quando mapeia todos os tratamentos — recrutamento, contrato, salários, assiduidade, monitorização — no registo do artigo 30.º, escolhe a base de licitude correta para cada um e respeita os limites nacionais. Este guia percorre esses tratamentos e os erros mais comuns.

Pontos-chave

  • O consentimento não é base válida para a generalidade dos tratamentos de trabalhadores (relação de desequilíbrio).
  • A videovigilância laboral não pode servir para avaliar o desempenho (art. 28.º da Lei 58/2019).
  • A biometria só é admitida para controlo de assiduidade e de acessos.
  • Cada tratamento de RH deve constar do registo do art. 30.º com a sua base de licitude.

Porque o consentimento raramente funciona nos RH

O primeiro erro nos recursos humanos é pedir consentimento ao trabalhador. O RGPD exige que o consentimento seja livre (art. 4.º, n.º 11), e o Comité Europeu para a Proteção de Dados tem sido claro: na relação laboral existe um desequilíbrio de poder que compromete a liberdade do consentimento. O trabalhador dificilmente recusa sem receio de consequências. Por isso, a maioria dos tratamentos de RH assenta noutras bases:

  • Execução do contrato (art. 6.º, n.º 1, al. b): processamento salarial, gestão da relação laboral.
  • Obrigação legal (art. 6.º, n.º 1, al. c): retenções fiscais, Segurança Social, medicina no trabalho.
  • Interesse legítimo (art. 6.º, n.º 1, al. f): certas medidas de segurança, com teste de ponderação documentado.

Recrutamento

No recrutamento, a base é normalmente a diligência pré-contratual (art. 6.º, n.º 1, al. b) ou o interesse legítimo. As regras principais:

  • Recolher apenas os dados relevantes para a função (minimização).
  • Não pedir dados sensíveis (saúde, filiação sindical) salvo exceção legal.
  • Informar os candidatos nos termos dos artigos 13.º-14.º.
  • Eliminar as candidaturas não selecionadas dentro de um prazo curto após o fim do processo — conservá-las «para futuras oportunidades» exige base própria e informação.

Contrato, salários e obrigações legais

A gestão do contrato e o processamento salarial assentam na execução do contrato e em obrigações legais. Estes tratamentos geram os prazos de conservação mais longos dos RH — documentos de suporte salarial e fiscais conservam-se pelo período legal aplicável, que deve constar da política de prazos de conservação. Quando o processamento salarial é feito por um contabilista externo, este é subcontratante e exige contrato do artigo 28.º.

Videovigilância e biometria: os limites do art. 28.º

Este é o ponto onde a lei portuguesa vai além do RGPD. O artigo 28.º da Lei n.º 58/2019 impõe limites estritos:

Tecnologia Regra em Portugal
Videovigilância Permitida para segurança de pessoas e bens; não pode servir para avaliar o desempenho do trabalhador
Biometria Admitida apenas para controlo de assiduidade e de acessos às instalações
Dados biométricos Categoria especial (art. 9.º); exige garantias reforçadas

A videovigilância laboral tem, ainda, de respeitar a sinalização, a minimização e o prazo de conservação de imagens do artigo 19.º da mesma lei (regra geral, 30 dias). Instalar câmaras para vigiar o ritmo de trabalho, ou impor reconhecimento facial para fins que não a assiduidade ou o acesso, é ilícito à luz do artigo 28.º.

Monitorização e teletrabalho

A monitorização de email, navegação ou uso de equipamentos está fortemente limitada pelo princípio da proporcionalidade e pelo Código do Trabalho. A CNPD emitiu orientações sobre o trabalho à distância que reforçam que a monitorização do teletrabalhador não pode ser contínua nem intrusiva, e que o empregador deve informar previamente sobre quaisquer meios de controlo. Ferramentas de «monitorização de produtividade» que capturam ecrãs ou registam toques de teclado dificilmente passam no teste de proporcionalidade.

Informação e transparência aos trabalhadores

Um dever frequentemente esquecido nos recursos humanos é a informação ao trabalhador nos termos dos artigos 13.º e 14.º do RGPD. O trabalhador tem direito a saber que dados a empresa trata, para que finalidades, com que base, com quem os partilha (contabilista, Segurança Social, seguradora) e durante quanto tempo os conserva. Esta informação deve ser prestada no momento da recolha — tipicamente na admissão — e atualizada quando surgem novos tratamentos, como a introdução de videovigilância ou de um sistema de controlo de acessos.

Muitas empresas cumprem este dever com uma política de privacidade dos trabalhadores separada da política dirigida a clientes, adaptada às finalidades laborais. O trabalhador conserva, ainda, os direitos de acesso, retificação e oposição, que a empresa tem de conseguir satisfazer no prazo de um mês. Preparar a organização para responder a estes pedidos — saber onde estão os dados de cada colaborador e conseguir reuni-los — é parte integrante da conformidade, e não apenas uma formalidade documental. A transparência interna é, muitas vezes, o que evita que uma insatisfação laboral se transforme numa queixa à autoridade.

Mapear os tratamentos de RH no registo

Todos estes tratamentos devem constar do registo de atividades de tratamento: recrutamento, contrato, salários, assiduidade, videovigilância, medicina no trabalho, formação. Para cada um, o registo indica finalidade, base de licitude, categorias de dados, destinatários, prazo de conservação e medidas de segurança. Em organizações que tratam dados de trabalhadores em larga escala, ou dados sensíveis, pode ser exigível a designação de um encarregado de proteção de dados. Manter este mapa atualizado, com as bases e prazos corretos, é um trabalho recorrente que plataformas como a Legiscope automatizam, ligando cada tratamento de RH à sua base legal e ao contrato de cada subcontratante.

Perguntas frequentes

Posso pedir consentimento aos meus trabalhadores?

Em regra, não é a base adequada. O desequilíbrio de poder na relação laboral compromete a liberdade do consentimento. Os tratamentos de RH assentam na execução do contrato, na obrigação legal ou no interesse legítimo, conforme o caso.

Posso usar as câmaras de videovigilância para avaliar o desempenho?

Não. O artigo 28.º, n.º 3, da Lei n.º 58/2019 proíbe expressamente usar sistemas de videovigilância para controlar o desempenho profissional do trabalhador. A videovigilância só é lícita para segurança de pessoas e bens.

Posso impor reconhecimento facial ou impressão digital para picar o ponto?

A biometria só é admitida para controlo de assiduidade e de acessos (art. 28.º, n.º 1, da Lei n.º 58/2019), e mesmo assim com garantias reforçadas por ser categoria especial. Fora destes fins, não é lícita no contexto laboral.

Quanto tempo posso guardar candidaturas de recrutamento?

As candidaturas não selecionadas devem ser eliminadas dentro de um prazo curto após o fim do processo. Conservá-las para futuras oportunidades exige uma base própria e informar o candidato, idealmente com o seu acordo.

Conclusão

Os recursos humanos são um campo minado do RGPD porque juntam grande volume de dados, tratamento contínuo e um regime nacional exigente. A regra estruturante é escolher a base certa — quase nunca o consentimento — e respeitar os limites do artigo 28.º da Lei n.º 58/2019: videovigilância que não avalia desempenho, biometria só para assiduidade e acessos. Tudo assenta num registo de tratamentos de RH completo, com bases, prazos e subcontratantes. Uma empresa que domina este mapa evita as falhas mais comuns; uma que trata os dados de trabalhadores como um assunto informal está exposta a queixas e a coimas.

Outros guias setoriais de RGPD: RGPD para imobiliárias, RGPD para advogados e RGPD nos municípios e setor público.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →