Temas Transversais

Impacto do RGPD na Gestão de RH no Luxemburgo

O Regulamento (UE) 2016/679 (RGPD) aplica-se integralmente aos dados dos trabalhadores e impõe requisitos estritos aos empregadores luxemburgueses: os sistemas de vigilância não podem ser implementados sem informação prévia à representação dos trabalhadores, as obrigações declarativas perante a segurança social e as autoridades mantêm-se num quadro seguro, e a conservação dos dossiês de RH deve respeitar os princípios da minimização dos dados e da limitação da conservação.

Bases legais: RGPD Art. 6; Art. L.261-1; Art. L.621-3; Art. CSS-VI-426; Art. CSS-VI-442 Atualizado: junho de 2026

1. Enquadramento da Vigilância dos Trabalhadores

Condições de licitude

O empregador só pode implementar um sistema de vigilância dos trabalhadores se este assentar numa das bases jurídicas previstas no artigo 6.º, n.º 1, alíneas a) a f) do RGPD — consentimento, execução de um contrato, obrigação legal, defesa de interesses vitais, missão de interesse público ou interesses legítimos (Art. L.261-1, n.º 1). O recurso aos interesses legítimos implica uma ponderação com os direitos e liberdades dos trabalhadores envolvidos.

Informação prévia obrigatória

Antes de qualquer implementação, o empregador deve informar o comité misto, a delegação do pessoal ou, na sua ausência, a Inspeção do Trabalho e das Minas (ITM). Esta informação deve especificar (Art. L.261-1, n.º 2):

›a finalidade do tratamento e as modalidades de funcionamento do sistema;

›o prazo de conservação dos dados recolhidos;

›um compromisso expresso de não utilização dos dados para fins diferentes dos declarados.

Direito de recurso dos trabalhadores

No prazo de 15 dias após a informação, os trabalhadores ou a sua delegação podem solicitar um parecer de conformidade à Comissão Nacional para a Proteção de Dados (CNPD). Este pedido tem efeito suspensivo: o sistema não pode ser implementado enquanto a CNPD não se tiver pronunciado (Art. L.261-1, n.º 4).

A apresentação de uma reclamação junto da CNPD não pode constituir nem motivo grave nem motivo legítimo de despedimento (Art. L.261-1, n.º 5).

Fim da autorização prévia da CNPD: desde a aplicação do RGPD em 2018, a autorização prévia da CNPD deixou de ser necessária para a criação de uma atividade de tratamento de dados. No entanto, a obrigação de informação individual e coletiva mantém-se integralmente, e o empregador deve manter um registo das atividades de tratamento atualizado e documentado.

2. Obrigações Declarativas e Acesso Administrativo

O RGPD não isenta o empregador das suas obrigações legais de transmissão de dados a organismos públicos. Estes fluxos de dados são estritamente delimitados e efetuam-se num quadro seguro.

Declarações à segurança social (Art. CSS-VI-426)

O empregador tem a obrigação de declarar mensalmente ao Centro Comum da Segurança Social (CCSS):

›as bases de cotização de cada trabalhador;

›as horas extraordinárias realizadas;

›os períodos de incapacidade para o trabalho.

Acesso direto das autoridades (Art. L.621-3)

O Ministro responsável pelo emprego e a ADEM podem dispor de um acesso direto e seguro — com autenticação forte — aos ficheiros do CCSS (afiliações, salários declarados) e a outras bases de dados administrativas (registo de estrangeiros, beneficiários do rendimento mínimo garantido, etc.). Este acesso limita-se à verificação da elegibilidade para as prestações e ao acompanhamento dos candidatos a emprego.

Poderes de controlo (Art. CSS-VI-442)

Os mandatários dos organismos de segurança social e outras autoridades de controlo estão habilitados a solicitar qualquer documento relativo à identidade, atividade e remuneração dos trabalhadores. Este direito de comunicação é distinto do direito de vigilância interna do empregador e escapa ao mecanismo de informação prévia previsto pelo Art. L.261-1.

3. Conservação e Gestão dos Dados de RH

Princípios da minimização e da limitação da conservação

O RGPD impõe que os dados sejam recolhidos apenas na quantidade estritamente necessária (minimização) e conservados unicamente pelo período necessário para as finalidades que justificaram a sua recolha (limitação da conservação). O empregador deve definir e documentar prazos de conservação para cada categoria de dados pessoais tratados.

Prazos práticos para os dossiês de RH

Não existe prazo legal geral aplicável aos dossiês pessoais dos trabalhadores, com exceção dos documentos contabilísticos sujeitos à prescrição de 10 anos ao abrigo do Código Comercial. Como boa prática, recomenda-se conservar os dossiês pelo menos até ao termo dos prazos de contestação da rescisão do contrato, o que cobre os recursos em matéria de despedimento.

Aplicam-se prazos específicos consoante a natureza do documento:

›recibos de vencimento e documentos de salário: 10 anos (prescrição contabilística);

›dossiê disciplinar: prazo a limitar à relevância da sanção;

›dados de candidatos não selecionados: a eliminar num prazo razoável após o fim do processo de recrutamento (em geral 6 meses), salvo consentimento explícito do candidato para uma conservação mais longa;

›imagens de videovigilância: prazo muito curto (tipicamente 30 dias no máximo), salvo incidente que exija a sua conservação para fins probatórios.

A ausência de um registo dos prazos de conservação constitui uma deficiência documental suscetível de ser identificada pela CNPD durante um controlo. Este registo é distinto — mas complementar — do registo das atividades de tratamento na aceção do Art. 30.º do RGPD.

4. Encarregado de Proteção de Dados (EPD) e Avaliação de Impacto

Designação do EPD

A designação de um Encarregado de Proteção de Dados (EPD) é obrigatória em três hipóteses (Art. 37.º do RGPD):

›a empresa é uma autoridade ou organismo público;

›as suas atividades principais exigem um acompanhamento regular e em grande escala de pessoas (ex.: monitorização de comportamentos em linha, geolocalização de frota);

›as suas atividades principais implicam um tratamento em grande escala de dados sensíveis (estado de saúde, dados biométricos, dados sindicais, etc.).

Fora destas hipóteses legalmente impostas, a designação voluntária de um EPD é encorajada, nomeadamente para as empresas de média dimensão que tratam volumes significativos de dados de trabalhadores.

Avaliação de Impacto sobre a Proteção de Dados (AIPD)

Uma AIPD (ou DPIA — Data Protection Impact Assessment) é obrigatória quando o tratamento previsto for suscetível de implicar um risco elevado para os direitos e liberdades das pessoas (Art. 35.º do RGPD). Em contexto de RH, os tratamentos em causa incluem nomeadamente:

›sistemas de vigilância contínua (vídeo, keyloggers, monitorização da atividade informática);

›tratamento de dados biométricos (controlo de acesso por impressão digital ou reconhecimento facial);

›decisões automatizadas com impacto significativo nos trabalhadores (pontuação, seleção algorítmica);

›geolocalização sistemática dos trabalhadores fora da condução profissional.

Quando uma AIPD revelar um risco residual elevado que o empregador não consiga atenuar por seus próprios meios, deve consultar a CNPD antes da implementação do tratamento (Art. 36.º do RGPD).

Tem alguma questão sobre o RGPD ou a gestão dos dados de RH na sua empresa?

Perguntar à Kymora →

As informações contidas nesta ficha são fornecidas a título meramente indicativo e não constituem aconselhamento jurídico. Podem conter inexatidões ou não refletir as mais recentes alterações legislativas ou jurisprudenciais. Para qualquer situação específica, consulte um profissional do direito.