II SÉRIE-A — NÚMERO 89

40

2 - O número anterior abrange igualmente o tratamento efetuado por subcontratante ou contabilista

certificado em nome do empregador, para fins de gestão das relações laborais, desde que realizado ao abrigo

de um contrato de prestação de serviços e sujeito a iguais garantias de sigilo.

3 - Salvo norma legal em contrário, o consentimento do trabalhador não constitui requisito de legitimidade do

tratamento dos seus dados pessoais:

a) Se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador; ou

b) Se esse tratamento estiver abrangido pelo disposto na alínea b) do n.º 1 do artigo 6.º do RGPD.

4 - As imagens gravadas e outros dados pessoais registados através da utilização de sistemas de vídeo ou

outros meios tecnológicos de vigilância à distância, nos termos previstos no artigo 20.º do Código do Trabalho,

só podem ser utilizadas no âmbito do processo penal.

5 - Nos casos previstos no número anterior, as imagens gravadas e outros dados pessoais podem também

ser utilizados para efeitos de apuramento de responsabilidade disciplinar, na medida em que o sejam no âmbito

do processo penal.

6 - O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de

assiduidade e para controlo de acessos às instalações do empregador.

7 - A transferência de dados pessoais de trabalhadores entre empresas que se encontrem em relação de

domínio ou de grupo, ou mantenham estruturas organizativas comuns, só é lícita nos casos de cedência

ocasional de trabalhador e na medida que seja proporcional, necessária e adequada aos objetivos a atingir.

8 - Os dados pessoais de trabalhadores podem ainda ser transferidos, nos termos do número anterior, nas

situações de cedência de trabalhador por parte de empresa de trabalho temporário e de destacamento para

outro Estado.

Artigo 29.º

Tratamento de categorias especiais de dados pessoais

1 - Nos casos previstos nas alíneas h) e i) do n.º 2 do artigo 9.º do RGPD, o tratamento dos dados previstos

no n.º 1 do mesmo artigo deve ser efetuado por um profissional obrigado a sigilo, ou por outra pessoa sujeita a

dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da informação.

2 - Os titulares de órgãos, trabalhadores e prestadores de serviços do responsável pelo tratamento, o

encarregado de proteção de dados, os estudantes e investigadores na área da saúde e todos os profissionais

de saúde que tenham acesso a dados relativos à saúde estão sujeitos a um dever de sigilo.

3 - O dever de sigilo referido no número anterior é também aplicável a todos os titulares de órgãos e

trabalhadores que, no contexto do acompanhamento, financiamento ou fiscalização da atividade de prestação

de cuidados de saúde, tenham acesso a dados relativos à saúde.

Artigo 30.º

Bases de dados ou registos centralizados de saúde

1 - Os dados relativos à saúde podem ser organizados em bases de dados ou registos centralizados assentes

em plataformas únicas, quando tratados para efeitos das finalidades legalmente previstas no RGPD e na

legislação nacional.

2 - As bases de dados de saúde ou registos centralizados assentes nas plataformas únicas referidas no

número anterior devem preencher os requisitos de segurança e de inviolabilidade previstos no RGPD.

Artigo 31.º

Tratamentos para fins de arquivo de interesse público, fins de investigação científica ou histórica ou

fins estatísticos

1 - O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins

estatísticos deve respeitar o princípio da minimização dos dados e incluir a anonimização ou a pseudonimização

dos mesmos sempre que os fins visados possam ser atingidos por uma destas vias.