Voltar à Página de entradaVoltar à Página de entrada

Pesquisar por palavra         

Français English
Ir para o Sítio do projecto DADUSFormulário de pedido de informaçõesFormulário de apresentação de Reclamações/Queixas
Rua de São Bento n.º 148-3º 1200-821 Lisboa - Tel: +351 213928400 - Fax: +351 213976832 - e-mail: geral@cnpd.pt

 

PRINCÍPIOS SOBRE A PRIVACIDADE NO LOCAL DE TRABALHO*

 

O tratamento de dados em centrais telefónicas, o controlo do e-mail e do acesso à Internet

 

Considerando que

 

1.      As novas tecnologias têm um impacto decisivo na vida social, económica e nas relações estabelecidas entre empregadores e empregados;

2.      A aposta nas novas tecnologias contribui, de uma forma decisiva, quer na óptica dos cidadãos, quer da sociedade em geral, para a promoção da igualdade, para a sua participação mais activa na vida pública e para uma integração efectiva no que já se designou por «sociedade do conhecimento».

3.      As novas tecnologias se apresentam como factor decisivo para a modernização, organização, aumento da produtividade e de competitividade dos agentes económicos. Podem, simultaneamente, também, ser utilizadas para potenciar um maior controlo dos trabalhadores em matéria de  produtividade, na verificação do grau de eficiência ou na apreciação da sua competência e, até, servir de instrumento de aferição do cumprimento das ordens e instruções da entidade empregadora.

4.      O registo e eventual utilização de informação, no seio da empresa, na sequência da realização de chamadas telefónicas no local de trabalho, o controlo e verificação do conteúdo dos e-mails dos trabalhadores ou o grau de utilização da Internet – constituindo verdadeiros tratamentos de dados pessoais dos trabalhadores – suscitam problemas jurídicos relativos à salvaguarda da sua privacidade;

5.      O artigo 39.º n.º 1 da LCT reconhece ao empregador, de forma expressa, o direito de fixar os termos em que deve ser prestado o trabalho, devendo fazê-lo nos limites estabelecidos pelo contrato de trabalho e das normas que o regem;

6.      O trabalhador deve “velar pela boa conservação e utilização dos bens relacionados com o seu trabalho, que lhe foram confiados pela entidade empregadora” (art. 20.º al. e) da LCT);

7.      A entidade empregadora está proibida de se opor, por qualquer forma, a que o trabalhador exerça os seus direitos (cf. artigo 21.º n.º 1 al. a) da LCT);

8.      Os direitos dos trabalhadores têm que ser confrontados com a “liberdade de empresa”, também ela com tutela constitucional, e não comprimir, de forma desproporcionada, os poderes do empregador para não comprometer a execução ou a subsistência do contrato;

9.      O DL n.º 5/94, de 11 de Janeiro, consagrou – em obediência à Directiva n.º 91/533/CE – a obrigação de a entidade empregadora informar o trabalhador sobre as condições aplicáveis ao contrato e à relação de trabalho.

10.  A Convenção Europeia dos Direitos do Homem, aprovada para ratificação pela Lei n.º 65/78, de 13 de Outubro, estabelece – no artigo 8.º n.º 1 – que “qualquer pessoa tem o direito à sua vida privada e familiar, do seu domicílio e da sua correspondência”;

11.  O Tribunal Europeu dos Direitos do Homem considera que não existe qualquer razão de princípio para interpretar a noção de «vida privada» de forma a dela excluir as actividades profissionais ou comerciais e que “as chamadas telefónicas provenientes do local de trabalho, tal como aquelas que são feitas do domicílio, podem encontrar-se compreendidas nas noções de «vida privada» e de «correspondência» previstas no artigo 8.º n.º 1”.

12.  O artigo 26.º da CRP reconhece o direito à identidade pessoal, ao desenvolvimento da personalidade ...à reserva da intimidade da vida privada e familiar e à protecção legal contra qualquer forma de discriminação.

13.  São nulas todas as provas obtidas mediante... abusiva intromissão na vida privada, no domicílio, na correspondência ou nas telecomunicações (artigo 32.º n.º 8 da CRP);

14.  “O domicílio e o sigilo da correspondência e dos outros meios de comunicação privada são invioláveis” (artigo 34.º da CRP);

15.  O artigo 2.º da Lei 67/98 consagra princípios nucleares em matéria de protecção de dados ao afirmar que o tratamento de dados se deve processar “de forma transparente e no estrito respeito pela reserva da vida privada” e pelos “direitos liberdades e garantias”.

16.  A subordinação jurídica, quando confrontada com a utilização das novas tecnologias e com o tratamento de dados pessoais do trabalhador, deve ser adequada às exigências legais atinentes ao regime de protecção de dados, assumindo particular relevância, nomeadamente, os princípios da transparência, do direito de informação e acesso, boa-fé, lealdade, adequação, pertinência e o direito de oposição.

17.  A escolha dos meios de controlo, por parte do empregador, deve obedecer aos princípios da necessidade, suficiência, razoabilidade, da proporcionalidade e da boa-fé, devendo o empregador comprovar que escolheu as formas de controlo que têm menor impacto sobre os direitos fundamentais dos trabalhadores.

18.  As questões de segurança podem apresentar-se como um falso problema em relação aos fundamentos determinantes do controlo, uma vez que a entidade empregadora deve adoptar mecanismos de segurança que protejam o sistema da empresa.

19.  A vulnerabilidade invocada – que é real quando o sistema de segurança da empresa não está convenientemente preparado para responder aos desafios das redes abertas – não decorre da forma como os trabalhadores utilizam os computadores, mas da insuficiência de medidas ou de políticas de segurança que fragilizam muitas empresas e as expõem a “ataques” externos.

 


 

A CNPD RECOMENDA que as entidades empregadoras observem os seguintes princípios na utilização das novas tecnologias

 

1. Princípios Genéricos

 

1.      Qualquer tratamento de dados pessoais que recorra a meios total ou parcialmente automatizados, ou utilize ficheiros manuais estruturados, e que   tenha como finalidade o controlo de trabalhadores – por mínimo que seja – está submetido às disposições da Lei 67/98, de 26 de Outubro.

2.      A CNPD apreciará, em concreto, todas as vertentes do tratamento, desde as questões relativas à qualidade dos dados (art. 5.º) até às condições de legitimidade (artigo 6.º e 7.º), fazendo o balanceamento entre os interesses em presença, avaliando os meios utilizados, as condições como é assegurado o direito de informação (art. 10.º) e fixará as medidas de salvaguarda da liberdade individual dos trabalhadores.

3.      Tal como resulta dos artigos 2.º, 5.º n.º 1 al. a) e b), 10.º n.º 1 da Lei 67/98 e do artigo 39.º n.º 1 da LCT, a entidade empregadora deve – antes de iniciar qualquer tipo de tratamento – informar o trabalhador sobre as condições de utilização dos meios da empresa para efeitos particulares ou do grau de tolerância admitido, sobre a existência de tratamento, suas finalidades, existência de controlo (formas e metodologias adoptadas), sobre os dados tratados e o tempo de conservação, bem como sobre as consequências da má utilização ou utilização indevida dos meios de comunicação colocados à sua disposição.

4.      Os dados a tratar e os meios utilizados devem ser ajustados à organização da empresa, ao desenvolvimento da actividade produtiva e ser compatíveis com os direitos e obrigações dos trabalhadores consignados na legislação de trabalho, correspondendo a um «interesse empresarial sério» que, utilizando os poderes de direcção e esperando a subordinação do trabalhador, não se revele abusivo e desproporcionado em relação ao grau de protecção da esfera privada do trabalhador.

5.      A entidade empregadora deve privilegiar metodologias genéricas de controlo, evitando a consulta individualizada de dados pessoais. Uma amostragem genérica (vg. quantidade de chamadas feitas por uma extensão, número de e-mails enviados, tempo gasto em consultas na Internet) pode ser suficiente para satisfazer os objectivos do controlo.

6.      O acesso sistemático ao registo das comunicações electrónicas – para além de se poder revelar desproporcionado ao objectivo de controlo e atentar contra a dignidade do trabalhador – pode não se revelar eficaz e necessariamente produtivo, pelo “clima de angústia e tensão” que todos estes métodos podem criar no seio da empresa.

7.      O trabalhador tem o direito de oposição em relação ao tratamento de dados a seu respeito, se verificados os requisitos do artigo 12.º al. a) da Lei 67/98.

 

2. Princípios relativos ao tratamento de dados nas centrais telefónicas

 

1.      A entidade empregadora deve definir, com rigor, o grau de tolerância quanto à utilização dos telefones e as formas de controlo realizadas;

2.      Não se pode pensar, de forma simplista, que os trabalhadores podem ser impedidos – no tempo e local de trabalho – de responder a necessidades estritamente privadas e que correspondem, em certa medida, à forma como se encontra estruturada a nossa sociedade. Há necessidades do dia a dia que não podem deixar de ser encaminhadas sem que se recorra ao telefone durante o tempo e no local de trabalho.

3.      Caso tenha sido estabelecido o controlo de chamadas realizadas, não devem ser tratados dados não necessários à realização da finalidade de controlo; o tratamento deve limitar-se à identificação do utilizador, à sua categoria/função, número de telefone chamado, tipo de chamada – local, regional e internacional – duração da chamada e custo da comunicação.

4.      Tal como o assinante tem o direito de exigir uma facturação detalhada com supressão dos últimos quatro dígitos (cf. art. 7.º n.º 2 da Lei 69/98), deve ser reconhecida ao trabalhador essa garantia, nomeadamente quando a listagem é acessível a outros trabalhadores.

5.      Deve ser estabelecido um prazo limitado de conservação, necessariamente inferior ao prazo legal de pagamento da factura;

6.      Pode ser equacionada, em função do tipo de empresa e de acordo com os princípios da proporcionalidade, a possibilidade de a empresa assegurar a existência de uma linha não conectada à central telefónica ou o acesso a serviço público de telecomunicações;

7.      É proibido o acesso indevido a comunicações, a utilização de qualquer dispositivo de escuta, armazenamento, intercepção e vigilância de comunicações pela entidade empregadora;

8.      A gravação de chamadas telefónicas prevista no artigo 5.º n.º 3 da Lei 69/98 tem em vista assegurar a obtenção da prova e documentar a declaração negocial (cf. art. 341.º e 368.º do Código Civil), a qual pode ser imprescindível para comprovar a validade e eficácia da declaração, quer em relação às diligências prévias à celebração do contrato, quer em relação à perfeição da declaração negocial.

9.      O artigo 5.º n.º 2 da Lei 69/98 pressupõe que os meios de «intercepção», «vigilância» e gravação só podem ser utilizados se houver “consentimento expresso dos utilizadores” ou previsão legal.

 

3. Princípios gerais relativos à utilização e controlo do e-mail e Internet

 

1.      Perante a massificação dos meios de comunicação é ilógico, irrealista e contraproducente que, no contexto da relação de trabalho, se proíba – de forma absoluta – a utilização do correio electrónico e o acesso à Internet para fins que não sejam estritamente profissionais.

2.      A entidade empregadora deverá analisar todos os factores – a salvaguarda da liberdade de expressão e de informação, a formação, o livre desenvolvimento e iniciativa do trabalhador, a sua sensibilização para acesso às redes públicas, os custos para a empresa, as políticas de segurança, de privacidade e o grau de utilização destes meios, o tipo de actividade e grau de autonomia dos seus funcionários, bem como as suas necessidades concretas e pessoais – para definir regras claras e precisas em relação à utilização do correio electrónico e da Internet para fins privados.

3.      Estas regras – que não podem ser desenquadradas da prática institucionalizada e das necessidades particulares dos trabalhadores – devem assentar nos princípios da adequação, da proporcionalidade, da mútua colaboração e da confiança recíproca.

4.      Estas regras devem ser submetidas à consideração dos trabalhadores e dos seus órgãos representativos, sendo claramente publicitadas por forma a que seja assegurada uma informação clara sobre o grau de tolerância, o tipo de controlo efectuado e, mesmo, sobre as consequências do incumprimento daquelas determinações (cf. art. 10.º n.º 1 da Lei 67/98).

5.      É desejável que a entidade empregadora permita que os trabalhadores utilizem, com moderação e razoabilidade, os meios que esta colocou à sua disposição.

6.      A entidade empregadora que permite a utilização do e-mail para fins privados e que não põe limitações à utilização da Internet, que não pretende estabelecer limites à sua utilização e, em consequência, se recusa a efectuar qualquer tipo de controlo dos trabalhadores está dispensada de notificar aqueles “registos de comunicações” (tratamentos) à CNPD.

7.      O administrador de sistema está vinculado à obrigação de segredo profissional, não podendo revelar a terceiros os dados privados dos trabalhadores de que tenha tomado conhecimento em consequência das acções de monitorização dos seus postos de trabalho.

 

3. 1. Princípios específicos em relação ao e-mail

1.      O facto de a entidade empregadora proibir a utilização do e-mail para fins privados não lhe dá o direito de abrir, automaticamente, o e-mail dirigido ao trabalhador.

2.      A entidade empregadora – enquanto responsável pelo tratamento (cf. art. 3.º al. d) da Lei 67/98) – tem legitimidade para tratar os dados, na sua vertente de «registo, organização e armazenamento», com fundamento no disposto no artigo 6.º al. a) da Lei 67/98.

3.      As condições de legitimidade do tratamento – na vertente de «acesso» – devem obedecer à previsão do artigo 6.º al. e) da Lei 67/98, a qual aponta para a necessidade de ser feita uma ponderação entre os “interesses legítimos do responsável” e os “interesses ou os direitos liberdades e garantias do titular dos dados”.

4.      Os poderes de controlo da entidade empregadora – que não podem ser postos em causa – devem ser compatibilizados com os direitos dos trabalhadores, assegurando-se que devem ser evitadas intrusões. A entidade empregadora deve, por isso, escolher metodologias de controlo não intrusivas, que estejam de acordo com os princípios previamente definidos e que sejam do conhecimento dos trabalhadores.

5.      A entidade empregadora não deve fazer um controlo permanente e sistemático do e-mail dos trabalhadores. O controlo deve ser pontual e direccionado para as áreas e actividades que apresentem um maior “risco” para a empresa.

6.      O grau de autonomia do trabalhador e a natureza da actividade desenvolvida, bem como as razões que levaram à atribuição de um e-mail ao trabalhador devem ser tomadas em conta, decisivamente, em relação à forma como vão ser exercidos os poderes de controlo. O segredo profissional específico que impende sobre o empregado (vg. sigilo médico ou segredo das fontes) deve ser preservado.

7.      As razões determinantes da entrada na caixa postal dos empregados, com fundamento em ausência prolongada (férias, doença), devem ser claramente explicitadas e do seu conhecimento prévio.

8.      Deve ser claramente diferenciado o grau de exigência e de rigor em relação ao controlo dos e-mails expedidos e recebidos, sendo facultados ao trabalhador meios expeditos e eficazes para assegurar a eliminação imediata dos e-mails recebidos e cuja entrada na sua caixa de correio ele não pode controlar.

9.      O controlo dos e-mails – a realizar de forma aleatória e não persecutória – deve ter em vista, essencialmente, garantir a segurança do sistema e a sua performance.

10.  Para assegurar estes objectivos a entidade empregadora pode adoptar os procedimentos necessários para – sempre com o conhecimento dos trabalhadores – fazer uma «filtragem» de certos ficheiros que, pela natureza da actividade desenvolvida pelo trabalhador podem indiciar, claramente, não se tratar de e-mails de serviço (vg. ficheiros «.exe», .mp3 ou de imagens).

11.  A necessidade de detecção de vírus não justifica, só por si, a leitura dos e-mails recebidos.

12.  À constatação da utilização desproporcionada deste meio de comunicação – que será comparada com a natureza e tipo de actividade desenvolvida – deve seguir-se um aviso do trabalhador e, se possível, o controlo através de outros meios alternativos e menos intrusivos.

13.  Eventuais controlos fundamentados na prevenção ou detecção da divulgação de segredos comerciais deve ser direccionado, exclusivamente, para as pessoas que têm acesso a esses segredos e apenas quando existam fundadas suspeitas.

14.  Os prazos de conservação dos dados de tráfego devem ser limitados em função de razões relacionadas com a organização da actividade e gestão da correspondência e nunca em razão de quaisquer objectivos de controlo ou organização de perfis comportamentais dos trabalhadores.

15.  O acesso ao e-mail deverá ser o último recurso a utilizar pela entidade empregadora, sendo desejável que esse acesso seja feito na presença do trabalhador visado e, de preferência, na presença de um representante da comissão de trabalhadores. O acesso deve limitar-se à visualização dos endereços dos destinatários, o assunto, a data e hora do envio, podendo o trabalhador – se for o caso – especificar a existência de alguns e-mails de natureza privada e que não pretende que sejam lidos pela entidade empregadora.

16.  Perante tal situação a entidade empregadora deve abster-se de consultar o conteúdo do e-mail, em face da oposição do trabalhador.

 

3. 2. Princípios relativos à Internet

 

1.      A entidade empregadora deve assegurar-se que os trabalhadores estão claramente informados e que estão conscientes dos limites estabelecidos em relação à utilização de Internet para fins privados e que conhecem as formas de controlo que podem ser adoptadas.

2.      Deve ser admitido um certo grau de tolerância em relação ao acesso para fins privados, nomeadamente se este decorrer fora do horário de trabalho.

3.      Qualquer decisão sobre a realização de controlo deve ser criteriosa, evitando-se que os benefícios que a entidade empregadora pretende obter sejam desproporcionados em relação ao grau de lesão que vai ser causada à privacidade e à autonomia dos empregados.

4.      Devem ser consideradas as vantagens – quer para a empresa quer para os trabalhadores – que o acesso à Internet traz para o desenvolvimento da capacidade de investigação, autonomia e iniciativa do trabalhador, aspectos que podem ser capitalizados em benefício da empresa.

5.      A entidade empregadora não deve fazer um controlo permanente e sistemático do acesso à Internet. O controlo dos acessos à Internet – a ser decidido – deve ser feito de forma não individualizada, e global, em relação a todos os acessos na empresa, com referência ao tempo de conexão na empresa.

6.      A realização de estudos estatísticos pode ser suficiente para a entidade empregadora se poder aperceber do grau de utilização da Internet no local de trabalho e em que medida o acesso compromete a dedicação às tarefas profissionais ou a produtividade. Admite-se que seja feito um tratamento dos sítios mais consultados na empresa, sem identificação dos postos de trabalho.

7.      Se estiverem em causa razões de custos ou de produtividade, o controlo do trabalhador deve ser feito, num primeiro momento, através da contabilização do tempo médio de conexão, independentemente dos sítios consultados. Perante a verificação de acessos excessivos e desproporcionados deste meio de comunicação deve seguir-se um aviso do trabalhador em relação ao grau de utilização.

8.      O controlo em relação ao tempo de acesso diário e aos sítios consultados por cada trabalhador só deverá ser realizado em circunstâncias excepcionais, nomeadamente quando, no contexto da sua advertência, o trabalhador duvidar das indicações da empresa e quiser conferir a realização de tais acessos.

9.      Em particular, poderá ser necessário verificar as horas de conexão (início e fim) para comprovar que o acesso para fins privados ocorreu fora do horário de trabalho.

 

4. Procedimentos a adoptar pelas entidades empregadoras

 

1.      O grau de utilização dos meios da empresa para fins privados, a delimitação das condições de tratamento e a especificação das formas de controlo adoptadas devem constar de Regulamento Interno o qual, nos termos legais, deverá ser submetido a parecer da Comissão de Trabalhadores e aprovado pelo IDICT.

2.      A entidade empregadora deve publicitar o conteúdo dos regulamentos internos, designadamente afixando-os na sua sede e nos locais de trabalho, de modo que os trabalhadores possam deles tomar conhecimento.

3.      Os responsáveis pelo tratamento de dados pessoais devem fazer a respectiva notificação junto da CNPD (artigo 27.º da Lei 67/98), a qual será formulada em impresso próprio (disponível em http://www.cnpd.pt).

4.      Com a notificação à CNPD as entidades responsáveis devem juntar o Regulamento Interno e especificar as formas como publicitaram as condições de tratamento de dados junto dos trabalhadores.

 

 

* Documento aprovado pela Comissão Nacional de Protecção de Dados (CNPD), na sessão plenária de 29 de Outubro de 2002.