A pergunta parece ter passado despercebida, mas tem razão de ser. Prende-se, portanto, com os domínios listados no âmbito de aplicação material. Se um trabalhador pretender efetivar uma denúncia interna sobre falsos recibos verdes, poderá fazê-lo? Se um empregador criar um canal de denúncias onde trata informação e dados pessoais de trabalhadores que reportem matérias laborais, poderá a CNPD, mais tarde, apontar que não existe condição de licitude para o tratamento?
Vejamos o texto da Diretiva Whistleblowing (art. 2.º, n.º1):
“A presente diretiva estabelece normas mínimas comuns para a proteção das pessoas que denunciam as seguintes violações do direito da União: a) Violações abrangidas pelo âmbito de aplicação dos atos da União indicados no anexo, que dizem respeito aos seguintes domínios: i) contratação pública, ii) serviços, produtos e mercados financeiros e prevenção do branqueamento de capitais e do financiamento do terrorismo, iii) segurança e conformidade dos produtos, iv) segurança dos transportes, v) proteção do ambiente, vi) proteção contra radiações e segurança nuclear, vii) segurança dos géneros alimentícios e dos alimentos para animais, saúde e bem-estar animal, viii) saúde pública, ix) defesa do consumidor, x) proteção da privacidade e dos dados pessoais e segurança da rede e dos sistemas de informação; b) Violações lesivas dos interesses financeiros da União, a que se refere o artigo 325.o do TFUE e especificadas nas medidas da União aplicáveis; c) Violações relacionadas com o mercado interno, a que se refere o artigo 26.o , n.o 2, do TFUE, inclusive violações das regras da União de concorrência e de auxílios estatais, bem como violações relacionadas com o mercado interno relativamente a atos que violem normas de fiscalidade societária ou a práticas cujo objetivo seja a obtenção de vantagens fiscais que contrariem o objetivo ou a finalidade do direito fiscal societário”.
Já a lei de transposição (Lei 93/2021, de 20 de dezembro) aponta:
“1 – Para efeitos da presente lei, considera-se infração: a) O ato ou omissão contrário a regras constantes dos atos da União Europeia referidos no anexo da Diretiva (UE) 2019/1937 do Parlamento Europeu e do Conselho, a normas nacionais que executem, transponham ou deem cumprimento a tais atos ou a quaisquer outras normas constantes de atos legislativos de execução ou transposição dos mesmos, incluindo as que prevejam crimes ou contraordenações, referentes aos domínios de: i) Contratação pública; ii) Serviços, produtos e mercados financeiros e prevenção do branqueamento de capitais e do financiamento do terrorismo; iii) Segurança e conformidade dos produtos; iv) Segurança dos transportes; v) Proteção do ambiente; vi) Proteção contra radiações e segurança nuclear; vii) Segurança dos alimentos para consumo humano e animal, saúde animal e bem-estar animal; viii) Saúde pública; ix) Defesa do consumidor; x) Proteção da privacidade e dos dados pessoais e segurança da rede e dos sistemas de informação; b) O ato ou omissão contrário e lesivo dos interesses financeiros da União Europeia a que se refere o artigo 325.º do Tratado sobre o Funcionamento da União Europeia (TFUE), conforme especificado nas medidas da União Europeia aplicáveis; c) O ato ou omissão contrário às regras do mercado interno a que se refere o n.º 2 do artigo 26.º do TFUE, incluindo as regras de concorrência e auxílios estatais, bem como as regras de fiscalidade societária; d) A criminalidade violenta, especialmente violenta e altamente organizada, bem como os crimes previstos no n.º 1 do artigo 1.º da Lei 5/2002, de 11 de janeiro, que estabelece medidas de combate à criminalidade organizada e económico-financeira; e e) O ato ou omissão que contrarie o fim das regras ou normas abrangidas pelas alíneas a) a c) (…)”.
Terá existido, aqui, algum equívoco? Existirá uma verdadeira omissão quanto à violação de obrigações laborais? Vejamos com maior atenção o Considerando (21) da já referida Diretiva:
“A presente diretiva deverá aplicar-se sem prejuízo da proteção concedida aos trabalhadores quando denunciem violações do direito do trabalho da União. Em particular, no domínio da saúde e segurança no trabalho, por força do artigo 11.o da Diretiva 89/391/CEE do Conselho os Estados-Membros estão já obrigados a garantir que os trabalhadores ou os seus representantes não sejam prejudicados por pedirem ou proporem ao empregador que adote medidas adequadas para minimizar riscos para os trabalhadores ou eliminar fontes de perigo. Os trabalhadores e os seus representantes têm, ao abrigo da referida diretiva, o direito de colocar questões à autoridade competente, se considerarem que as medidas tomadas e os meios utilizados pelo empregador não são adequados para garantir a segurança e a saúde”.
Para já, além do valor normativo a atribuir aos Considerandos de uma Diretiva, compete questionar o que se entende por Direito do trabalho da UE e se este poderá absorver os preciosos contributos – em já diversas – decisões do TEDH. Mas poder-se-á questionar se os candidatos a emprego (ante) estão abrangidos, dado que a Diretiva prevê a proteção de ex-trabalhadores (post). Nisto, a última parte do Considerando (39) sintetiza que: “(…) Deverá também ser concedida proteção às pessoas cuja relação profissional tenha terminado e aos candidatos a emprego ou pessoas que desejem prestar serviços a uma organização, que tenham obtido as informações sobre as violações durante o processo de recrutamento ou noutras fases, de negociação pré-contratual, e que possam vir a ser alvo de retaliação, por exemplo sob a forma de referências negativas para fins de emprego, ou de inscrição em listas negras ou boicote comercial”.
Parece-nos que estão matérias estão cobertas pela lei que muito brevemente entrará em vigor.
Tem sido ainda questionado se o whistleblowing poderá ser voltado para a proteção de hackers, nomeadamente pelo facto de algumas profissões envolverem um alto padrão de diligência informática. Aqui, a nosso ver, pensamos estar em causa o âmbito de aplicação pessoal (art. 4.º da Diretiva e art. 5.º da lei de transposição): saber quem é a pessoa “denunciantes que, trabalhando no setor público ou privado, tenham obtido informações sobre violações em contexto profissional (…)”, de onde se destacam os “a) Trabalhadores, na aceção do artigo 45.o, n.o 1, do TFUE, incluindo funcionários públicos”.
Cremos que não. Por diversos motivos: (i) o hacking ou pirataria informática não é, em si, uma profissão reconhecida pela EU, não estando regularizada enquanto atividade profissional e tão pouco configura uma atividade lícita; (ii) em segundo lugar, a Diretiva não olvida outros valores que a EU visa prosseguir, tais como a proteção de direitos de personalidade, em especial na valência da autodeterminação informacional.
Estaremos atentos a futuros desenvolvimentos.
Tiago Sequeira Mousinho @ DCM | Littler