Privacidade no uso da internet, email e telefone no seu posto de trabalho

4 anos ago by in Legislação
estudos

A CNPD aprovou a Deliberação nº 1638/2013 sobre os princípios aplicáveis aos tratamentos de dados pessoais decorrentes do controlo da utilização para fins privados das tecnologias de comunicação no contexto laboral, nomeadamente sobre o tratamento de dados em centrais telefónicas, o controlo de e-mail e do acesso à internet. A Comissão Nacional de Protecção de Dados (“CNPD”), a autoridade reguladora nacional responsável pela temática dos dados pessoais aprovou, na sua sessão plenária de 16 de Julho de 2013, a Deliberação n.º 1638/2013, cujo texto foi apenas divulgado no passado dia 14 de Novembro. Esta importante decisão veio rever a Deliberação da CNPD de 29 de Outubro de 2002 sobre a mesma matéria, ou seja, o tratamento de dados pessoais pelo empregador resultante da utilização pelos trabalhadores para fins privados das tecnologias de informação do empregador. Está em causa a utilização, pelos trabalhadores, dos telefones, das contas de correio electrónico e do acesso à Internet, do empregador, para fins não profissionais. A questão essencial neste contexto é encontrar um equilíbrio adequado entre o poder de direcção da entidade empregadora e o direito à privacidade dos trabalhadores. No que diz respeito aos aspectos principais, nomeadamente aos princípios legais aplicáveis e aos procedimentos a seguir, não há diferenças significativas entre as decisões de 2002 e de 2103. O que é novidade na decisão de 2013 é a concretização de muitas regras que deverão ser respeitadas pelos empregadores. Também constitui uma novidade o facto de a CNPD ter criado, pela primeira vez, medidas técnicas e organizacionais concretas que deverão ser seguidas pelos responsáveis pelo tratamento. Assinalaremos ao longo desta nota as novas orientações determinadas pela CNPD. A Deliberação n.º 1638/2013 não é vinculativa para os responsáveis pelo tratamento. Sem prejuízo, na medida em que exista um tratamento de dados pessoais sujeito a autorização prévia da CNPD, a CNPD seguirá as suas próprias orientações para decidir se aprova ou não um tratamento específico, razão pela qual o impacto para as empresas desta nova deliberação da CNPD é assinalável. A CNPD não aborda nesta decisão os tratamentos de dados pessoais resultantes de sistemas de geolocalização, que serão objecto de uma deliberação específica.

O DIREITO À PRIVACIDADE DOS TRABALHADORES NO CONTEXTO DA RELAÇÃO LABORAL

O poder de direcção da entidade empregadora tem como limite os direitos e garantias do trabalhador. Deve, desta forma, ser encontrada uma justa composição entre o direito à privacidade dos trabalhadores e a liberdade de gestão e organização conferida pela lei aos empregadores. A CNPD dá ênfase ao artigo 22º do Código do Trabalho (CT), cujo n.º 1 veda ao empregador o acesso ao conteúdo das mensagens de natureza pessoal e à informação de carácter não profissional, no caso de utilização dos meios de comunicação do empregador.

Apesar do nº 2 deste artigo atribuir à entidade empregadora o poder de controlo, através do estabelecimento de regras de utilização dos meios de trabalho, esta faculdade não inclui as comunicações que o trabalhador efectue através das contas (de correio electrónico, redes sociais ou qualquer outro tipo) que aderiu a título pessoal, ainda que acedidas através do computador da empresa.

Relativamente à possibilidade ou admissibilidade da proibição da utilização dos meios de trabalho para fins pessoais, esclarece a CNPD que é irrealista e impossível fazê-lo de uma forma absoluta. Acrescenta ainda que os meios de controlo utilizados devem obedecer aos princípios da necessidade, proporcionalidade e boa-fé, devendo o empregador demonstrar que escolheu as formas de controlo com menor impacto possível sobre os direitos fundamentais dos trabalhadores.

TRATAMENTO DE DADOS: REGIME GERAL

O controlo da utilização para fins privados das tecnologias de informação e comunicação no contexto laboral resulta num verdadeiro tratamento de dados. Esta recolha de dados deve visar finalidades determinadas, explícitas e legítimas, que, no contexto laboral, podem consistir na gestão dos meios da empresa e da produtividade dos trabalhadores. Sendo que estes dados não podem ser posteriormente tratados de forma incompatível com as finalidades inicialmente definidas. O tratamento de dados não deve ser abusivo e desproporcionado, devendo estes dados ser adequados e limitados àqueles estritamente necessários a prosseguir a finalidade da sua recolha, que deve ter por base um “interesse empresarial sério”.

Desta forma, é esclarecido que os empregadores devem privilegiar, sempre que possível, metodologias genéricas de controlo, evitando a consulta individualizada de dados pessoais. Sublinha, ainda, a CNPD que a entidade empregadora tem a possibilidade de aceder aos dados de tráfego associados às comunicações dos trabalhadores, pois detém os seus registos. Estes dados são abrangidos pelo sigilo das comunicações, não devendo, por isso, ocorrer controlos individualizados. Não devem, desta forma, ser realizadas extracções de listagens de comunicações, de forma a proteger os dados de tráfego que são reveladores da vida privada do trabalhador.

A CNPD entende ser suficiente para as finalidades de controlo o tratamento de apenas alguns dados, como a hora e duração da comunicação. Uma novidade relevante é a especificação do prazo de conservação dos dados obtidos no contexto deste tipo de tratamentos. Entende a CNPD que este prazo será no máximo de 6 meses, sem prejuízo da sua possível manutenção no decurso de processo disciplinar ou judicial.

A CNPD entende que os objectivos das entidades empregadores podem ser alcançados sem necessidade de recurso a interconexões, consideradas desproporcionais. Desta forma, o tratamento de dados não deve ser sujeito a interconexões com outros tratamentos de dados da responsabilidade da entidade empregadora (como por exemplo as bases de dados de recursos humanos) ou de terceiros.

No que diz respeito a comunicações de dados a terceiros, não se verificam quaisquer comunicações de dados pessoais no âmbito destes tratamentos de dados.

Direito de acesso, rectificação e eliminação

O empregador deve informar os trabalhadores, mediante pedido individual, sobre as condições para o exercício do direito de acesso aos seus dados pessoais, bem como do direito à sua rectificação, apagamento ou bloqueio, facultando todas as informações necessárias para tal.

Procedimentos a adoptar pelas entidades empregadoras

O estabelecimento de regras de utilização dos meios de comunicação, bem como a delimitação das condições de tratamento de dados e as formas de controlo devem constar do Regulamento Interno da empresa, cuja elaboração obriga à audição da estrutura representativa dos trabalhadores. Para que este regulamento se torne eficaz é necessário a sua publicitação e o envio para a Autoridade para as Condições do Trabalho (ACT).

Uma novidade é a necessidade de o empregador avaliar previamente o impacto das medidas de controlo que pretende implementar (a CNPD fala em Privacy Impact Assessment). Para além da aprovação e publicitação de um Regulamento Interno, o empregador precisa de obter autorização prévia da CNPD para proceder ao tratamento de dados pessoas.

Medidas de segurança

Na definição de medidas de segurança concretas está provavelmente a maior novidade da Deliberação n.º 1638/2013. Entre outras medidas, os responsáveis pelo tratamento estão obrigados a implementar uma política de análise de logs, com a realização de relatórios periódicos de análise. Os logs têm de ser assinados digitalmente e apenas poderão ser conservados durante um ano.

OS TRATAMENTOS DE DADOS EM ESPECIAL

Controlo de dados de comunicações telefónicas e de dados de tráfego

A CNDP sublinha que a entidade empregadora deve definir no Regulamento Interno de forma rigorosa o grau de tolerância quanto à utilização dos telefones e as formas de controlo realizadas.

De um modo geral, é proibido o acesso ao conteúdo das comunicações telefónicas, a utilização de qualquer dispositivo de escuta, armazenamento, intercepção e vigilância pelo empregador.

A gravação de chamadas telefónicas só pode ocorrer nas situações e nos termos definidos na lei e concretizados na Deliberação n.º 629/2010 da CNPD, de 13 de Setembro, nomeadamente: para finalidade de prova da relação contratual, chamadas de emergência e monitorização da qualidade do atendimento. Este tratamento não poderá nunca ser utilizado para fins de gestão de meios e controlo da produtividade do trabalhador. De acordo com CNPD, deve ainda ser estabelecido um prazo limitado de conservação destes dados, que não deve exceder o período legal de pagamento da factura. É possível, dependendo de cada empresa em concreto, assegurar a existência de uma linha não conectada à central telefónica, para utilização nas comunicações pessoais.

Controlo de correio electrónico e de dados de tráfego

Resulta da Deliberação aqui em análise que o empregador não tem o direito de abrir, automaticamente, o correio electrónico dirigido ao empregador, independentemente das regras da empresa no que se refere à utilização do correio electrónico para fins privados.

Novidade é a determinação que o empregador deve exigir aos trabalhadores a criação de pasta próprias onde devem arquivar os correios electrónicos de conteúdo pessoal. Também representa novidade a definição dos procedimentos que deverão ser respeitados pelo empregador quando acede ao conteúdo das contas de correio electrónico dos trabalhadores. De acordo com a CNPD o acesso ao correio electrónico deverá sempre ser feito na presença do trabalhador visado e, de preferência, de um representante da comissão de trabalhadores ou de outra estrutura representativa. Este acesso deve ser limitado à visualização dos endereços dos destinatários, o assunto, a data e hora de envio. A entidade empregadora deve abster-se de consultar o conteúdo das mensagens, posto que o mero registo de envio cumpre o objectivo do tratamento.

Regras novas existem também para casos de ausência prolongada ou cessação do contrato de trabalho.

No caso da ausência do trabalhador, deve ser adoptado um mecanismo de resposta automática (out of office), com indicação do endereço alternativo. As razões para aceder à caixa postal do trabalhador ausente devem ser claramente explicitadas e comunicadas ao mesmo no Regulamento Interno, bem como deve ser realizado na presença de um representante da comissão de trabalhadores ou de outra pessoa indicada pelo trabalhador visado. Já no caso de trabalhador que saia da empresa, deve-lhe ser concedido um prazo para retirar o conteúdo de cariz pessoal arquivado no correio electrónico, devendo posteriormente eliminar a respectiva conta. O empregador deve assegurar que o mesmo endereço electrónico não será posteriormente atribuído a outro trabalhador.

Uma novidade é a necessidade de o empregador avaliar previamente o impacto das medidas de controlo que pretende implementar (a CNPD fala em Privacy Impact Assessment). A CNPD sublinha que a entidade empregadora deve definir no Regulamento Interno de forma rigorosa o grau de tolerância quanto à utilização dos telefones e as formas de controlo realizadas.

Controlo da navegação na Internet

De acordo com a CNPD, o empregador deve garantir que, através do Regulamento Interno, os trabalhadores estão devidamente informados relativamente aos limites de utilização da Internet para fins privados. Acrescenta, ainda, que se deve admitir um certo grau de tolerância em relação ao acesso à Internet, nomeadamente se tal ocorrer fora do horário de trabalho. A CNPD recomenda a utilização de filtros que impossibilitem a visita de certos websites não autorizados pelo empregador, ou delimitação de períodos em que é autorizada a utilização da Internet em detrimento de métodos de controlo dos websites visualizados pelos trabalhadores.

É admitido um tratamento estatístico dos sítios mais consultados, sem identificação dos respectivos postos de trabalho, assim como é possível a contabilização do tempo médio de conexão, independentemente dos sítios consultados.

Com a verificação de acessos excessivos ou desproporcionais deve o empregador avisar o trabalhador em relação ao grau de utilização. A CNPD sublinha, ainda, que o controlo em relação ao tempo de acesso diário e aos sítios consultados por cada trabalhador só deverá ser realizado em circunstâncias excepcionais, designadamente por iniciativa do trabalhador (quando puser em causa as indicações do empregador e quiser conferir a realização de tais acessos).

Acesso remoto ao computador do trabalhador

Este ponto representa uma novidade em relação à decisão de 2002.

É proibido a utilização pelo empregador, de sistemas que permitam visualizar, seguir ou monitorizar as acções efectuadas no computador, assim como procurar ou extrair a informação armazenada.

De igual modo, são proibidos sistemas que permitam a pesquisa e localização de documentos de forma automática e remota, por exemplo através da utilização de palavras-chave. Os possíveis procedimentos de realização de cópias de segurança da informação contida nos computadores individuais ou de centralização em arquivo geral de documentação profissional dispersa, devem garantir que não é acedida e copiada informação de natureza privada (sendo necessária uma separação inequívoca de pastas pessoais e profissionais).

Fonte: PLMJ in TRATAMENTO DE DADOS DOS TRABALHADORES PELAS EMPRESAS

para processo disciplinar uso telefone, trabalho mail,

Leave a Comment