Foi recentemente aprovado o Regulamento Geral de Proteção de Dados (RGPD), o Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, que veio revogar a Diretiva 95/46/CE, apresentando um renovado enquadramento legal para a proteção de dados, com algumas novidades a ser tidas em conta pelas empresas que efetuem tratamentos de dados, em geral, e no contexto das redes sociais online, em particular. O RGPD terá uma aplicação obrigatória direta nos Estados-Membros da União Europeia, a partir de 25 de maio de 2018, data da sua entrada em vigor. O intuito do novo Regulamento é homogeneizar e atualizar as regras europeias em matéria de proteção de dados, uma vez que pela sua natureza este é diretamente aplicável em todos os Estados-Membros. Dada a iminência da sua entrada em vigor e a necessidade de conhecer a nova legislação com a devida antecedência, será mais pertinente a referência aos aspetos que ressaltam deste novo instrumento legislativo.
O RGPDP estabelece as regras sobre o tratamento dos dados pessoais das pessoas singulares na União Europeia. Estas noções são explicitadas no seu artigo 4.º, onde se define cada um destes elementos. Inclui-se na categoria de “dados pessoais” toda a “informação
176 ALEXANDRE SOUSA PINHEIRO,op. cit, p. 816.
177PEDRO FERREIRA, A protecção de dados pessoais na sociedade de comunicação: dados de tráfego, dados de
86
relativa a uma pessoa singular identificada ou identificável”, que passa a denominar-se «titular dos dados». Mantém-se, assim, um princípio de reconhecimento, segundo o qual será “identificável” a “pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular”. Ora, como sabemos, nas redes sociais abundam dados pessoais. Em regra, os utilizadores encontram-se identificados através de, pelo menos, um nome e uma fotografia de perfil, ao que acresce todo um possível conjunto de informações que estes depositem na rede sobre si. JEAN-EMMANUEL RAY descreve o modelo económico da rede social Facebook como um
modelo baseado na oferta de um serviço “gratuito” em troca de informações pessoais178. Essas
informações pessoais constituem, precisamente, os dados pessoais. Porém, aquilo que a ordem jurídica pretende proteger não são os dados pessoais em si mesmos, mas o direito da pessoa a determinar a finalidade e a ação exercida sobre os mesmos179.
Daí que se estabeleçam regras e princípios incidentes sobre o tratamento dos dados pessoais, que diz respeito à “operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição”, o que revela um vasto número de formas de operacionar um tratamento de dados a recair no escopo de aplicação do RGPDP. Quem efetua essas operações de tratamento tem a designação de «responsável pelo tratamento», sendo que neste âmbito reafirma-se o princípio da finalidade, dado que só é considerada «responsável pelo tratamento», “a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras”, determine “as finalidades e os meios de tratamento de dados pessoais”.
Ressalta-se que a autoridade que proceda a um tratamento de dados deve cumprir um conjunto de formalidades. Uma dessas obrigações é a de registo das atividades de tratamento, nos termos do artigo 30.º, n.º 1 e 2, do RGPDP. Porém, essa obrigação não tem de ser
178 JEAN-EMMANUEL RAY,“Little Brothers are watching you”, in Semaine sociale Lamy, 6 décembre 2010, n°1470, p.
10.
87
observada por empresas ou organizações com menos de 250 trabalhadores, “a menos que o tratamento efetuado seja suscetível de implicar um risco para os direitos e liberdades do titular dos dados, não seja ocasional ou abranja as categorias especiais de dados a que se refere o artigo 9.º, n.º 1, ou dados pessoais relativos a condenações penais e infrações referido no artigo 10.º”, confome prescreve o n.º 5 do referido normativo.
O atual Regulamento prevê, no seu artigo 9.º, n.º 1, - tal como a Diretiva prevê – a proibição de “tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa”. Contudo, no seu n.º 2 preveem-se exclusões, relevando a prevista na al. b), que dispensa a aplicação do n.º 1, caso “[…] o tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social, na medida em que esse tratamento seja permitido pelo direito da União ou dos Estados-Membros ou ainda por uma convenção coletiva nos termos do direito dos Estados-Membros que preveja garantias adequadas dos direitos fundamentais e dos interesses do titular dos dados[…]”.
O novo Regulamento veio estabelecer uma noção mais estrita de consentimento, pretendendo reforçar as garantias do consentimento, que deve ser dado de forma expressa, não ambígua e livre. No considerando n.º 32, o RPDP estabelece que o consentimento deve corresponder a um “ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito”. No mesmo sentido, o ponto 11, do artigo 4.º, vem definir o consentimento. Note-se que “[n]ão se deverá considerar que o consentimento foi dado de livre vontade se o titular dos dados não dispuser de uma escolha verdadeira ou livre ou não puder recusar nem retirar o consentimento sem ser prejudicado”, conforme dispõe o considerando n.º 42.
Sucede que, em contexto laboral, o consentimento dos trabalhadores não será, mais das vezes, o requisito que permite legitimar um tratamento de dados180, podendo este efetuar-se sem
o respetivo consentimento, caso seja necessário “para a execução de um contrato no qual o
180 Nem consideramos que o deva ser, face ao intrínseco desequilíbrio de poderes entre ambas as partes da relação
88
titular dos dados é parte” ou “para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento no processamento dos dados pessoais”, conforme dispõe o artigo 6.º, n.º 1, als. b) e f), do RGPDP.
A este respeito mantêm-se pertinentes as considerações do Grupo de Trabalho do Artigo 29.º a propósito da Diretiva 95/46/CE, que entende que “por exemplo, a monitorização eletrónica da utilização da Internet, do correio eletrónico ou do telefone pelos trabalhadores, ou a videovigilância dos trabalhadores, constituem mais claramente um tipo de tratamento suscetível de ultrapassar o que é necessário para a execução de um contrato de trabalho, embora também nestes casos tal possa depender da natureza das funções laborais”181.
Assim, o tratamento dos dados pessoais que resultem do controlo destes meios tecnológicos usados pelo trabalhador em contexto de trabalho, aos quais atualmente acrescem as redes sociais online, só se pode justificar mediante a existência de “interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança”, conforme dispõe o artigo 6.º, n.º 1, al. f). O Grupo de Trabalho do Artigo 29.º, entende que o interesse legítimo deve: ser lícito (ou seja, deve respeitar o direito da UE e o direito nacional aplicáveis), ser definido de forma suficientemente clara para permitir a realização do teste da ponderação em relação aos interesses e aos direitos fundamentais da pessoa em causa (ou seja, deve ser suficientemente específico); e representar um interesse real e atual (ou seja, não deve ser especulativo), pelo que a invocação de um interesse legítimo depende de um teste de ponderação subsequente182.
Importa ressaltar o artigo 88.º do RGPD que vem estabelecer, na linha do considerando 155, que “[o]s Estados-Membros podem estabelecer, no seu ordenamento jurídico ou em convenções coletivas, normas mais específicas para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos trabalhadores no contexto laboral, nomeadamente para efeitos de recrutamento, execução do contrato de trabalho, incluindo o cumprimento das obrigações previstas no ordenamento jurídico ou em convenções coletivas, de gestão, planeamento e organização do trabalho, de igualdade e diversidade no local de trabalho, de saúde e segurança no trabalho, de proteção dos bens do empregador ou do cliente e para efeitos do exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados
181Parecer 06/2014 sobre o conceito de interesses legítimos do responsável pelo tratamento dos dados na aceção
do artigo 7.ºda Diretiva 95/46/CE, adotado em 9 de abril de 2014. p. 27
89
com o emprego, bem como para efeitos de cessação da relação de trabalho”(sublinhado nosso). No n.º 2 refere-se “[a]s normas referidas incluem medidas adequadas e específicas para salvaguardar a dignidade, os interesses legítimos e os direitos fundamentais do titular dos dados, com especial relevo para a transparência do tratamento de dados, a transferência de dados pessoais num grupo empresarial ou num grupo de empresas envolvidas numa atividade económica conjunta e os sistemas de controlo no local de trabalho” (sublinhado nosso). Este corpo legislativo, a criar por cada Estado-Membro, deve ser notificado à Comissão até 25 de maio de 2018.
Com bastante interesse para o cidadão, em geral, e para os trabalhadores, em especial, destaca-se a novidade da consagração do “direito ao apagamento dos dados («direito a ser esquecido»)”, introduzida pelo RGPDP no artigo 17.º, que reconhece ao titular dos dados o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais. Esta consagração legislativa tem grandes reflexos ao nível das redes socias online, permitindo contrariar a constatação de que até agora os dados dos utilizadores permaneceriam para sempre no contexto digital. No caso dos trabalhadores, a possibilidade de eliminar determinadas pegadas digitais indesejáveis, que não gostaria que chegassem ao conhecimento da entidade empregadora, é extremamente valiosa. Conforme alerta TERESA COELHO MOREIRA, as informações
que os utilizadores colocam online “podem perdurar no ciberespaço por muito tempo, correndo o risco de ficarem completamente desatualizadas, com a inerente descontextualização dos dados”183. FRANCISCO RUI CÁDIMA constata que se assiste a “uma perda de controlo óbvia sobre os
nossos dados na rede, que estão mais acessíveis e redistribuídos do que nunca, e de acessibilidade, invertendo -se o controle sobre esses dados, dos utilizadores para os agregadores de informação e para quem acede a essa informação […]”184. Assim, um direito ao esquecimento
representa um passo para a retoma do controlo dos dados por parte dos titulares dos mesmos, ao estabelecer expressamente o direito de estes exigirem a remoção das informações fornecidas, que as mesmas não continuem acessíveis ao público, ou que deixem de ser armazenadas ou
183 TERESA COELHO MOREIRA, op. cit. “A privacidade dos trabalhadores e a utilização das redes sociais online…”, p. 57. 184 FRANCISCO RUI CÁDIMA, “O Facebook, as Redes Sociais e o Direito ao Esquecimento”, in Informação e liberdade de
expressão na Internet e a violação de direitos fundamentais: comentários em meios de comunicação online - textos
do Colóquio na Procuradoria-Geral da República, pp. 67-90, [coord.] Procuradoria-Geral Da República, Lisboa:
90
processadas185. Porém, a forma de exercício deste direito não se encontra definida no RGPDP, o
que pode colocar questões práticas no momento de efetivação do mesmo. Questionamo-nos, no contexto das redes sociais, se a mera remoção, por parte do utilizador, de um conteúdo que tenha anteriormente colocado na rede, como um comentário ou uma fotografia, constitui um ato de “revogação” do consentimento, nos termos da al. b), do n.º 1, do artigo 17.º. Nessse caso a entidade responsável pelo tratamento constitui-se na obrigação de apagar esses conteúdos, tornando-os inacessíveis ao público na sua plataforma, tendo ainda a obrigação de comunicar a cada destinatário a quem os dados pessoais tenham sido transmitidos, o apagamento dos mesmos, conforme estipula o artigo 19.º.
No caso de informação postada por terceiros, sem o consentimento do titular dos dados, na esteira de TERESA COELHO MOREIRA186 entendemos que a mesma se encontra abrangida pelo
direito ao esquecimento, face à alargada noção de “tratamento de dados pessoais” que o Regulamento prevê, abrangendo “a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização”. Assim, caso os terceiros utilizadores da rede não retirem a informação voluntariamente, poderá o titular exigir que o fornecedor da rede social apague os dados em causa, com fundamento no artigo 17.º, n.º 1, alínea d), do RGPD. Resta saber de que forma esse pedido pode ser efetivado.
§ 5. A relevância dos comportamentos extralaborais
Conforme constatam ANA LAMBELHO e LUÍSA ANDIAS GONÇALVES, a doutrina e a
jurisprudência portuguesas são unânimes na defesa da tese da irrelevância dos comportamentos extralaborais dos trabalhadores187. De facto, a regra é a de que a vida extralaboral do trabalhador,
o que ele faz fora da empresa, só a ele diz respeito, não se admitindo qualquer interferência do empregador na conformação da vida privada dos seus trabalhadores, que apenas estão sujeitos ao poder conformador da entidade patronal no local e tempos de trabalho. Esta constitui a delimitação física do alcance dos poderes de direção e controlo. Aliás, esta separação entre a vida profissional e a vida pessoal revela-se condição psicológica indispensável para o
185 Cfr. “Explicit Consent and Right to be forgotten”, disponível em
http://www.eudataprotectionregulation.com/consent-and-right-to-be-forgotten, consultado pela última vez em 01 de março de 2017.
186TERESA COELHO MOREIRA, op. cit. “A privacidade dos trabalhadores e a utilização das redes sociais online…”, pp. 66-
67.
187 ANA LAMBELHO, e LUÍSA ANDIAS GONÇALVES, Poder Disciplinar e Justa Causa de Despedimento, Quid Iuris –
91
trabalhador, que merece tempos de repouso a nível físico e mental. Contudo, com a forte intrusão das NTIC na relação de trabalho, esta separação perdeu os seus limites espácio- temporais tradicionais e muitas vezes verifica-se alguma promiscuidade entre ambas as esferas. Desta forma, atualmente já se vem afirmar a necessidade de reconhecer aos trabalhadores um “direito a desconectar”188.
Apesar de tudo, se por princípio, aquilo que o trabalhador faz na sua vida privada não diz respeito ao empregador, a verdade é que algumas condutas que o trabalhador adota na sua vida pessoal, podem contender com algum aspeto da sua relação laboral. A realidade demonstra que a separação total entre vida privada e profissional não é tão facilmente praticável. Na verdade, a pessoa e o trabalhador não se separam. Constatação essa que faz assumir para ambas as partes um compromisso recíproco, nomeadamente a nível dos direitos e deveres que a relação laboral faz nascer na esfera jurídica de cada um. Tal como o empregador deve respeitar os direitos de personalidade do trabalhador-cidadão, também o trabalhador deve respeito aos interesses defensáveis do empregador, como seja a sua honra ou reputação. Ou seja, se o trabalhador pode e deve exigir da entidade empregadora o respeito pela sua pessoa, é certo que cumpre também ao trabalhador a observância de certos deveres, que pela sua própria natureza, se estendem para lá do tempo e local de trabalho.
A regra da irrelevância dos comportamentos extralaborais não poderia, por isso, ser uma regra absoluta que não admitisse exceções. Há assim atuações extralaborais que podem ser juridicamente relevantes, por contenderem de alguma forma com a relação laboral e o seu complexo de direito e obrigações. Porém, apenas relevarão as condutas que tenham uma relação direta com a relação laboral189.
Como facilmente se depreende, pela sua natureza, a matéria da relevância dos comportamentos extralaborais do trabalhador está intimamente relacionada com situações que by default se encontram protegidas pelo direito à reserva da intimidade da vida privada deste. A supressão deste direito fundamental do trabalhador só deve ter lugar em situações em que o
188 O que já veio a suceder em França. A legislação laboral francesa foi objeto de recente alteração legislativa, através
da qual se introduziu um “droit a déconnecter”. Dispõe o artigo L2242-8 do Code du travail: “7° Les modalités du plein exercice par le salarié de son droit à la déconnexion et la mise en place par l'entreprise de dispositifs de régulation de l'utilisation des outils numériques, en vue d'assurer le respect des temps de repos et de congé ainsi que de la vie personnelle et familiale. A défaut d'accord, l'employeur élabore une charte, après avis du comité d'entreprise ou, à défaut, des délégués du personnel. Cette charte définit ces modalités de l'exercice du droit à la déconnexion et prévoit en outre la mise en œuvre, à destination des salariés et du personnel d'encadrement et de
direction, d'actions de formation et de sensibilisation à un usage raisonnable des outils numériques.”
92
comportamento torne praticamente inviável a subsistência da relação laboral, pelos reflexos causados no serviço e no ambiente de trabalho190 e mais, quando estejam em causa interesses
manifestamente vitais e importantes para a empresa.
LEAL AMADO apelida de teoria dos efeitos reflexos o entendimento que nesta matéria
domina, segundo o qual os “excessos extralaborais” só poderão ser valorados no âmbito da relação de trabalho caso se reflitam negativamente na vida de trabalho, sendo por isso suscetíveis de ser sancionados, não em si mesmos, mas pela sua repercussão no seio da empresa191.
DIOGO LEOTE NOBRE aponta o dever de lealdade como sendo o dever que o trabalhador
deve transpor e observar na sua vida extraprofissional e cuja desconsideração pode repercutir-se na vida profissional, adotando uma aceção ampla do conceito de lealdade, decorrente do princípio geral da boa-fé192.
TERESA COELHO MOREIRA entende que uma posição razoável será considerar apenas os
acontecimentos da vida privada do trabalhador que incidam diretamente sobre as qualidades que o empregador teve em atenção aquando da contratação, se estes forem reveladores da intenção de produzir prejuízos materiais na empresa193.
As redes sociais online, enquanto ferramentas de uso pessoal do trabalhador, constituem um meio propício à exteriorização dos comportamentos que os trabalhadores têm na sua vida privada e que por princípio não estão na esfera de controlo do empregador. Em verdade se o empregador pode estabelecer regras de utilização dos meios eletrónicos no seio da empresa, dentro do local de trabalho e no decurso da jornada laboral, tal política já não se estende à utilização pessoal que o trabalhador faz dos seus próprios equipamentos eletrónicos, mormente fora do contexto espácio-temporal laboral, não podendo o empregador imiscuir-se nessa esfera e proibir ou limitar o uso que este faz das redes sociais online no contexto da sua vida pessoal e familiar, no exercício da “liberdade da vida privada”194.
Contudo, como muito bem constata LEAL AMADO, se na verdade “o trabalhador não deixa
de ser pessoa-cidadão no espaço-tempo laboral”, também é certo que “a pessoa cidadão
190 MARIA MALTA FERNANDES, op. cit., p. 160.
191 JOÃO LEAL AMADO, op. cit., p. 325.
192 DIOGO LEOTE NOBRE, op. cit, pp. 929 – 932.
193 TERESA COELHO MOREIRA, Da esfera privada do trabalhador e o controlo do empregador, Studia Iuridica, n.º 78,
Coimbra Editora, Coimbra, 2004, p. 393.
93
também não deixa de ser trabalhador fora do espaço-tempo laboral”195. No atual contexto,
acrescentaríamos que a pessoa cidadão também não deixa de ser trabalhador no espaço virtual. Poderemos considerar as redes sociais online e mais concretamente os seus “espaços públicos” como locais onde o trabalhador pode desenvolver de forma livre a sua personalidade, onde não deve sofrer qualquer pressão conformadora da relação laboral. No entanto, tal não