Alterações recentes nas leis e regulamentos de monitorização de funcionários

Tem-se verificado uma evolução rápida e global no sentido de reforçar as leis relativas à privacidade dos utilizadores. Grande parte deste facto pode ser atribuído às tecnologias que ultrapassam os quadros jurídicos. O advento e a escala da IA generativa (ou IA genérica) é um exemplo disso.

A McKinsey, em 2023, indicou que o potencial económico das aplicações de IA genéticas se situa entre 2,6 biliões de dólares e 4,4 biliões de dólares anualmente. Mas, ao mesmo tempo, compreender, controlar e garantir a segurança da IA Gen é um desafio significativo para as funções de risco e conformidade. Porquê? Porque existe uma falta de transparência funcional e dos dados utilizados para o treino, potencial para violações da propriedade intelectual e uma série de preocupações com a violação da privacidade do utilizador - e tudo isto a uma escala e velocidade sem precedentes.

A situação não é tão clara no domínio da monitorização dos trabalhadores, mas o fácil acesso e utilização dos dados dos trabalhadores - graças a uma análise poderosa, à utilização da IA e à unificação dos dados - põe em causa a viabilidade de regras e regulamentos concebidos para uma era menos intensiva em dados.

De acordo com um inquérito Segundo a Top10VPN, a procura de soluções de monitorização de funcionários disparou após a pandemia, atingindo 75% em março de 2020, 75% em janeiro de 2022 e 73% no primeiro trimestre de 2022. Muitas empresas, grandes e pequenas, em todo o mundo confiam nessas soluções para garantir que o trabalho esteja no caminho certo, que as pessoas sejam responsáveis e que não haja roubo de tempo que possa ser prejudicial à privacidade dos funcionários e aos resultados financeiros da empresa. Mas há dois lados da moeda.

As ferramentas de monitorização dos empregados são cada vez mais poderosas. São capazes de seguir tudo, desde as teclas convencionais até à navegação mais avançada na Web e até mesmo expressões faciais. Os benefícios, se pensarmos nisso, são múltiplos. As empresas podem aumentar a produtividade, identificar potenciais lacunas de segurança e ameaças internas, descobrir áreas a melhorar e conceber políticas a favor dos empregados, e até mesmo compreender o que funciona bem para o bem-estar dos empregados.

Mas, ao mesmo tempo, existe um grande potencial de utilização indevida. As empresas podem dar-se conta de que estão a ser demasiado intrusivas, ao ponto de criar um ambiente de trabalho tóxico e de se tornar um terreno fértil para a desconfiança. De facto, o acesso granular aos dados de atividade pode abrir caminho à discriminação e ao tratamento injusto. Os métodos de trabalho dos empregados podem ser mal interpretados como se estivessem a faltar ao trabalho. E é por isso que é frequente ouvir-se dizer que os trabalhadores não gostam de ser vigiados. Sobre o 39% dos trabalhadores afirmam que o controlo tem um impacto negativo na sua relação com o empregador. 43% confirmam que esta prática afecta a moral da empresa.

Já discutimos muitas vezes o regulamentos existentes em vigor, como o Regulamento Geral sobre a Proteção de Dados (RGPD), a Lei da Privacidade das Comunicações Electrónicas (ECPA), etc. Estes regulamentos, especialmente o RGPD, estabeleceram normas elevadas para proteger os dados e a privacidade dos utilizadores. Isto inclui também um enfoque bem definido nos dados dos funcionários.

No entanto, o âmbito e a escala da recolha de dados possíveis ultrapassam as capacidades dos regulamentos que foram previstos há apenas alguns anos. Por outras palavras, o fosso entre o que é tecnologicamente possível e o que é legalmente permitido está a aumentar. O resultado? Um vácuo regulamentar que deixa espaço aberto para a utilização inadvertida e mesmo intencional da tecnologia para fins de vigilância. Assim, as reformas regulamentares e o diálogo contínuo sobre a manutenção dos quadros existentes são um apelo válido.

Actualizações e alterações nas leis de monitorização dos trabalhadores

Tendo em conta as preocupações acima referidas, as jurisdições de todo o mundo estão a aperceber-se da urgência de implementar leis que prometam a regulamentação dos sistemas alimentados por IA e a proteção dos direitos e dos dados dos trabalhadores.

Para facilitar a compreensão e o entendimento do impacto, enumeramos quatro dessas grandes actualizações e as regiões geográficas que serão influenciadas.

O Information Commissioner's Office (ICO) intensificou recentemente a regulamentação das actividades de intrusão de dados por parte das empresas. O caso de fevereiro de 2024 da Serco Leisure Operating Limited, que obteve a Aviso de execução da ICO serve como um bom exemplo. O regulador deu instruções à empresa para deixar de processar dados biométricos. Esta instrução foi apoiada pelos artigos 5.º, 6.º e 9.º, que defendem um processamento justo e legal, uma base legal para o processamento, entre outros.

Tudo isto, tendo como pano de fundo as orientações actualizadas do ICO para a monitorização legal no Reino Unido, sugere que o regulador está a acompanhar os avanços tecnológicos no espaço da vigilância. A sua ideia é garantir uma maior segurança regulamentar, proteger os direitos de proteção de dados dos funcionários e criar um ecossistema empresarial que promova a confiança entre funcionários e clientes.

Eis as principais actualizações das práticas laborais e das diretrizes de proteção de dados do ICO que são relevantes para a utilização de software de monitorização de empregados:

• Controlar os trabalhadores de acordo com a lei: O ICO torna obrigatório que as empresas considerem as seis bases legais e escolham uma delas para monitorizar legalmente os trabalhadores. Estas bases incluem o consentimento, o contrato, a obrigação legal, os interesses vitais, a tarefa pública e os interesses legítimos. Cada base engloba procedimentos que conduzem a uma monitorização legal e mantêm tudo sob controlo.

• Informar sobre a tomada de decisões automatizada: O ICO define o plano de ação para as empresas que utilizam software de monitorização dos empregados que ajuda a tomar decisões legais automatizadas. Nesse caso, as empresas têm de informar os trabalhadores sobre as informações que estão a ser processadas e a lógica subjacente a esse processamento. Os empregados também precisam de ter a oportunidade de exigir intervenção humana.

• Listas de controlo: Para facilitar o mapeamento dos requisitos regulamentares para as práticas de toda a empresa, a ICO oferece listas de controlo que as empresas podem utilizar para ter em conta a proteção de dados.

A Comissão Nacional da Informática e da Liberdade (CNIL) de França tem uma abordagem semelhante à da OIC para garantir que as empresas sejam responsabilizadas pela utilização indevida dos dados dos trabalhadores - precisamente o que a sua recente Coima de 32 milhões de euros na Amazon France Logistique diz-nos.

A Autoridade Francesa de Proteção de Dados determinou que a Amazon tinha criado um sistema de monitorização ilegal em que a empresa media as interrupções de trabalho granulares para microgerir os funcionários. A resposta global da autoridade à Amazon foi uma sanção contra várias violações do RGPD, incluindo as relacionadas com a monitorização dos funcionários através de scanners, a não garantia de um tratamento legal de acordo com o artigo 6.

Dito isto, eis as recentes actualizações da resposta da CNIL à vigilância dos trabalhadores, que as empresas interessadas devem ter em conta:

• A agregação e o tempo de retenção dos dados: Uma informação importante da recente decisão da CNIL é o facto de se centrarem estritamente no período de tempo que as empresas mantêm os dados dos trabalhadores e se esse período é justificável. Tomando emprestado o exemplo da Amazon, a CNIL observou que os dados do scanner do armazém recolhidos ao longo do mês foram utilizados para análise estatística. Em vez disso, a entidade reguladora decidiu que uma semana é suficiente para avaliar o desempenho e identificar as necessidades de formação.

• Transparência da informação: Embora não seja um aspeto novo, a decisão da CNIL levantou dúvidas sobre a forma como as empresas evitam informar os trabalhadores (incluindo os trabalhadores temporários) sobre a prática e a extensão do controlo - algo que não será aceite pelas autoridades reguladoras.

A Lei de Proteção de Dados Pessoais Digitais de 2023 está pendente de legislação e de consulta pública, mas espera-se que traga uma série de mudanças significativas no panorama indiano de monitorização dos trabalhadores.

A lei apresenta uma abordagem equilibrada do consentimento relativamente à utilização dos dados dos trabalhadores. De acordo com a lei, os empregadores devem obter o consentimento dos trabalhadores para o tratamento de dados. Isto limitará a utilização não consentida de dados por parte dos RH das empresas. No entanto, a lei reserva às entidades patronais o direito de ultrapassar o consentimento em caso de cenários que constituam "determinadas utilizações legítimas". Estas incluem situações relacionadas com perdas ou responsabilidades.

A União Europeia também está a atualizar as políticas bem estabelecidas do RGPD, que controlam a monitorização dos funcionários em toda a UE e que são, de facto, um conjunto básico de regras para regular a vigilância em todo o mundo. Algumas das principais alterações dizem respeito a:

• Promover um melhor funcionamento dos processos transfronteiriços, com uma melhor admissibilidade das queixas e a racionalização da resolução de litígios
• Proporcionar uma melhor fase às partes objeto de investigação, de modo a que as suas vozes sejam ouvidas e sejam propostas resoluções rápidas

Trata-se de actualizações mais qualitativas para aperfeiçoar o panorama regulamentar, mas o seu impacto pode ser significativo no que diz respeito à coerência na aplicação e execução dos princípios do RGPD em toda a UE.

• As autoridades reguladoras de todo o mundo estão a reagir à utilização de melhores tecnologias para monitorizar os trabalhadores e a garantir que isso é feito de forma legal
• Os direitos dos trabalhadores estão no centro destas novas actualizações
• Qualquer utilização indevida das tecnologias de controlo e dos dados dos trabalhadores exigiria um maior controlo e responsabilização

Leia também: Como controlar os trabalhadores de forma legal e eficaz