DADOS DOS TRABALHADORES A agilização do direito à privacidade dos trabalhadores com a crescente e hegemónica utilização das denominadas tecnologias de informação, levaram a Comissão Nacional de Protecção de Dados ( CNPD ) a traçar as linhas orientadoras aplicáveis aos tratamentos de dados pessoais decorrentes do controlo da utilização, para fins privados, dos telefones, do email e da Internet no contexto laboral. Neste sentido, e volvidos cerca de onze anos sobre a primeira decisão relativa a esta matéria, a CNPD veio (apenas) muito recentemente (em Novembro passado) divulgar as novas orientações aplicáveis e constantes da sua Deliberação n.º 1638/2013, datada de 16 Julho 1. De notar que a nova Deliberação não representa um corte com a anterior, mas antes uma concretização das regras e procedimentos de ordem técnica, pretendendo clarificar a interpretação dos limites do poder de direcção do empregador em contraposição ao direito à privacidade dos trabalhadores. 1. A fronteira entre o pessoal e o profissional O grau de compressão do direito à privacidade dos trabalhadores face ao poder de direcção e controlo do empregador encontram no artigo 22.º do Código do Trabalho a base do enquadramento legal que a Deliberação em análise vem consagrar. Assim, esclarece-se que o controlo a realizar neste âmbito pelo empregador deverá ter sempre em consideração os princípios da necessidade, proporcionalidade e boa-fé. Em concreto, é de notar que: - ao empregador é vedado o acesso ao conteúdo das mensagens de natureza pessoal e à informação de carácter não profissional; - o poder de direcção e controlo do empregador permite que este estabeleça as regras de utilização dos meios trabalho, nomeadamente sobre as ferramentas de trabalho/ tecnologias de informação e comunicação, postas ao serviço dos trabalhadores; - a proibição absoluta da utilização das ferramentas de trabalho/tecnologias de informação do empregador para fins pessoais é, face à massificação das mesmas, irrealista e de evitar. 1 A Deliberação em análise exclui do seu âmbito os tratamentos de dados pessoais decorrentes da utilização de sistemas de geolocalização, vulgo GPS. www.abreuadvogados.com 1/6
2. Regime geral a. Finalidade e Princípios jurídicos aplicáveis No âmbito da Deliberação em análise vem a CNPD esclarecer que o controlo da utilização privada das ferramentas de trabalho/tecnologias de informação do empregador será legítima quando vise: - a própria gestão das referidas ferramentas de trabalho/tecnologias de informação do empregador; e/ou - a produtividade dos trabalhadores. Contudo, a recolha de dados efectuada ao abrigo das mencionadas finalidades, e não de outras, deverá tentar minimizar o grau de intrusão na vida dos trabalhadores, mais devendo ser adoptados métodos de controlo genérico, que evitem o recurso à consulta individualizada de dados pessoais, dando-se assim cumprimento ao princípio da proporcionalidade. Por outro lado, e ao abrigo do princípio da boa-fé, devem os trabalhadores ser previamente informados sobre as condições de utilização das tecnologias de informação e comunicação do empregador para fins privados, pois só assim será possível ao trabalhador avaliar o nível de privacidade oferecido. De destacar, a título de novidade, a previsão do prazo máximo de seis meses para a conservação dos dados recolhidos no âmbito do controlo da utilização, para fins privados, dos meios de informação e comunicação do empregador. A conservação de tais dados para além do referido prazo apenas será admissível em caso de processo disciplinar ou judicial pendente. b. Condições de legitimidade A legitimidade para o processamento de dados respeitantes à utilização privada dos meios de informação e comunicação do empregador resulta do estatuído nos artigos 22º, número 2 e 97º. do Código do Trabalho. www.abreuadvogados.com 2/6
2. Regime geral (continuação) c. Interconexões e comunicações de dados a terceiros Tendo em consideração as finalidades de controlo exercidas pelo empregador, a CNPD considera desnecessária e excessiva a interconexão com outros tratamentos de dados, mais considerando especialmente gravoso o cruzamento de dados com/ para outra base de dados do mesmo empregador. d. Direito de acesso, rectificação e eliminação À semelhança do estipulado em outras Deliberações da CNPD, e ao abrigo do principio da boa-fé, o empregador deverá assegurar aos seus trabalhadores, na qualidade de titulares de dados pessoais, o direito à rectificação, actualização, bloqueio ou eliminação dos seus dados, mais devendo facultar, a pedido do trabalhador, todas as informações necessárias às finalidades referidas. e. Procedimentos a adoptar pelos empregadores A grande novidade no campo dos procedimentos e medidas a adoptar com vista à implementação das regras de utilização interna das tecnologias de informação e comunicação postas à disposição dos trabalhadores, vai para o que a CNPD denomina de Privacy Impact Assessment: trata-se de uma avaliação prévia do impacto das medidas de controlo a implementar na esfera da privacidade dos trabalhadores, por forma a que as mesmas sejam o menos intrusivas possível sem, contudo, deixarem de prosseguir os legítimos objectivos do empregador. Mais a CNPD aconselha a criação de um Regulamento Interno que discipline a matéria, cuja elaboração deverá ser precedida pela audição da estrutura representativa de trabalhadores, caso exista. O mesmo deverá ser publicado a fim de se tornar eficaz e está sujeito a prévia autorização a obter junto da CNPD. www.abreuadvogados.com 3/6
2. Regime geral (continuação) f. Medidas de segurança Tendo em consideração a defesa do direito à privacidade dos trabalhadores e a eventual existência de dados sensíveis, cabe ao empregador adoptar as medidas de segurança, física e a nível informático, que previnam acessos indevidos ao sistema. Mais deverá o empregador implementar, e aqui reside a grande novidade a este respeito, um sistema de registos de logs, o qual permita identificar, de forma fiável, quem acedeu, em que data e a que horas ao sistema, possibilitando a realização de auditorias internas e externas sobre os acessos aos servidores e em que condições tais acessos ocorreram. Os ditos logs deverão ser assinados digitalmente sob pena de não terem validade jurídica. 3. Aspectos específicos do controlo de dados referentes a: a. Comunicações telefónicas Em relação à utilização, pelos trabalhadores, dos telefones (móveis e fixos) pertencentes ao empregador, a regra geral é a da proibição generalizada de qualquer tipo de mecanismo de escuta, armazenamento, intercepção ou outro. A CNPD recomenda que as regras de utilização dos telefones sejam definidas em Regulamento Interno, dando-se assim a conhecer aos trabalhadores não só o grau de privacidade esperado como também os limites à utilização de tais meios de informação e comunicação do empregador. Mais recomenda a CNPD a criação de uma linha telefónica exclusiva e alternativa nas empresas para chamadas pessoais dos respectivos trabalhadores. Quanto ao prazo de conservação dos dados relativos às chamadas telefónicas realizadas, este não deverá ser superior ao prazo de pagamento da respectiva factura ao operador telefónico. Por último, de referir que ao abrigo da Deliberação n.º 629/2010 da CNPD, de 13 de Setembro, e conforme legislação aplicável, existem situações excepcionais em que se permite a gravação de chamadas, como sejam os casos de: obtenção de prova da relação contratual, chamadas de emergência e monitorização da qualidade de atendimento. www.abreuadvogados.com 4/6
3. Aspectos específicos do controlo de dados referentes a (continuação): b. Email Outra grande novidade da Deliberação no tocante às restrições de acesso, por parte do empregador, à conta de email do trabalhador é a recomendação no sentido de serem criadas uma ou várias pastas pessoais e independentes para arquivo pessoal de informação não profissional. Por outro lado, são esclarecidas as regras para os acessos em caso de ausência do trabalhador. A este respeito a CNPD defende a utilização de mensagens automáticas de out of the office com indicação de um endereço de email alternativo para que o remetente da mensagem possa reenviar a mesma. De resto, e como já era defendido pela CNPD, a regra geral é da proibição genérica de consulta das mensagens constantes do email do trabalhador, que a ser possível e dentro dos limites estalecidos em Regulamento Interno, deverá sê-lo na presença do trabalhador em apreço e, preferencialmente, acompanhado de um elemento da estrutura representativa dos trabalhadores da empresa, caso esta exista. c. Internet No tocante à utilização da Internet disponibilizada pelo empregador, suas condições e tempo de acesso, restrições aplicáveis e demais aspectos disciplinadores, todos deverão integrar o Regulamento da Interno da empresa, dando assim a conhecer aos seus destinatários as regras de utilização vigentes. A Deliberação em análise volta a realçar a importância de o empregador escolher metodologias de cariz genérico no tocante ao controlo dos tempos de utilização e sítios visualizados em detrimento de análises casuísticas que põem em causa a privacidade dos trabalhadores, mais aconselhando à utilizando de filtros que restrinjam ou impossibilitem o acesso a determinado tipo de conteúdo ou de ficheiros. www.abreuadvogados.com 5/6
4. Acesso remoto Fruto da evolução tecnológica, que ora permite a visualização e/ou monitorização à distância da actividade realizada pelo trabalhador no respectivo terminal informático, vem a CNPD, pela primeira vez, debruçar-se sobre esta nova temática, determinando a proibição total do uso de ferramentas informáticas como: - VNC-Virtual Networking Computing para fins de visualização e controlo da actividade do trabalhador (podendo esta tecnologia ser usada apenas em caso de assistência técnica a pedido ou com o conhecimento do trabalhador); - Electronically Stored Information para fins de pesquisa, localização de informação e de ficheiros por via da introdução de uma expressão de busca. A este respeito volta a reiterar a necessidade da divisão entre pastas pessoais e profissionais, por forma a que seja garantida a privacidade do teor daquelas aquando da realização de backups ou de buscas ao sistema. Por último, ainda de referir que embora as Deliberações da CNPD não tenham cariz vinculativo, representam as orientações seguidas por esta autoridade, a qual é a responsável pela concessão, ou não, dos pedidos de autorização que lhe são submetidos, o que desde logo confere às mesmas a maior relevância em matéria de protecção de dados. 6/6 Esta Analysis contém informação e opiniões de carácter geral, não substituindo o recurso a aconselhamento jurídico para a resolução de casos concretos. Para mais informações, por favor contacte-nos através do email apdt@abreuadvogados.com ABREU ADVOGADOS DEZEMBRO MARÇO 2013 Lisboa Porto Funchal LISBOA PORTO MADEIRA Av. das Forças Armadas, 125-12º 1600-079 Lisboa, Portugal Tel.: (+351) 21 723 1800 Fax.: (+351) 21 7231899 E-mail: lisboa@abreuadvogados.com Rua S. João de Brito, 605 E - 4º 4100-455 Porto Tel.: (+351) 22 605 64 00 Fax.: (+351) 22 600 18 16 E-mail: porto@abreuadvogados.com Rua Dr. Brito da Câmara, 20 9000-039 Funchal Tel.: (+351) 291 209 900 Fax.: (+351) 291 209 920 E-mail: madeira@abreuadvogados.com WWW.ABREUADVOGADOS.COM ANGOLA (EM PARCERIA) BRASIL (EM PARCERIA) CHINA (EM PARCERIA) MOÇAMBIQUE (EM PARCERIA) TIMOR-LESTE (EM (JOINT PARCERIA) OFFICE)