Blog

IP address: um dado pessoal dos trabalhadores?

Em consequência do mais recente contexto pandémico e da consequente utilização massificada do teletrabalho (que já abordámos, aqui e aqui) e/ou de outros meios de trabalho à distância, cabe-nos indagar quais os problemas (e as respostas) específicos que se poderão suscitar à luz do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de Abril de 2016 (RGPD) e da respetiva lei de execução (Lei n.º 58/2019 de 8 de agosto).

Hoje, de uma forma unânime, é reconhecida a tutela da personalidade humana em qualquer tipo de meio tecnológico hábil a ferir tais bens de personalidade, nomeadamente os dados pessoais (art. 17.º do CT e art. 4.º/1 do RGPD).Do mesmo modo, reconhece-se que, no pleno triunfo dos meios informáticos e digitais, o ser humano é titular de um direito (fundamental) à autodeterminação informacional (art. 35.º da CRP), destinado a impedir que o seu titular se torne num mero objeto de informação.

No âmbito laboral, e do ponto de vista externo à empresa, o uso do teletrabalho (ou de meios de comunicação à distância para a prestação do trabalho) coloca, desde logo, problemas adicionais em matéria de cibersegurança, podendo tornar os equipamentos de trabalho (computadores) alvos fáceis de “ciberespionagem” industrial e de hacking.

No seio interno da empresa, poderão igualmente suscitar-se problemas de desconfiança em relação aos trabalhadores, quer relativamente à efetiva prestação de trabalho, quer relativamente à violação de segredos da empresa.

Neste contexto, poderá um empregador aceder à “morada” de IP dos seus trabalhadores, como forma de controlo da prestação de trabalho ou, ainda, para outros fins? Se considerarmos que o IP de um computador configura um dado pessoal, podemos justificar o acesso pelo empregador?

Admitimos que é questão de saber se o IP de computadores poderá ou não configurar um dado pessoal (cfr. António Barreto Menezes Cordeiro, Dados pessoais: Conceito, extensão e limites, 2018, pp. 1-26, pela negativa) é controversa.

O TJUE, todavia, já se pronunciou pela positiva, embora antes da entrada em vigor do RGPD e com referência aos IPs dinâmicos (cfr. Ac. do TJUE de 19.08.2016, proc. C‑582/14), admitindo que o seja apenas em determinadas circunstâncias, mais concretamente quando seja possível a identificação indireta, por via de outros dados informativos disponíveis (no caso, informações de conta) que permitam a identificação da pessoa no mundo não virtual.

Para a concretização do conceito de dados pessoais é imprescindível uma interpretação-aplicação (cuidadosa e ponderada) do art. 4.º/1 do RGPD, atendendo ao caso concreto e de acordo com os Considerandos do RGPD e as orientações tecidas no GT29. Será sempre necessário atender aos vários elementos que integram o conceito de dados pessoais: (i) qualquer informação; (ii) relativa a pessoa singular; (iii) identificada ou identificável.

A resposta à questão colocada exige uma interpretação-aplicação cuidadosa e ponderada do art. 4.º/1 do RGPD, atendendo ao caso concreto e de acordo com os Considerandos do RGPD e as orientações tecidas no GT29. Será sempre necessário atender aos vários elementos que integram o conceito de dados pessoais: (i) qualquer informação; (ii) relativa a pessoa singular; (iii) identificada ou identificável.

A esta luz, verifica-se que o IP permite identificar uma pessoa não apenas através do número de identificação do computador. Com efeito, através do IP de um computador é possível aceder indiretamente a outros dados do trabalhador, nomeadamente à localização do computador (e respetivo utilizador) e ainda outros dados pessoais existentes no computador, como fotografias, através de acesso remoto.

Para além da questão da inclusão do endereço IP no conceito de dados pessoais previsto no art. 4.º/1 do RGPD, há que considerar a questão do ponto de vista prático. Admitir-se o acesso ao IP, com todos os riscos de acesso a informação, não importaria um acesso excessivo a dados pessoais dos trabalhadores e da sua esfera privada? Admiti-lo não importaria abrir excessivamente (“escancarar”) a porta para a cibermonitorização do trabalhador e, eventualmente, o acesso (quiçá potencialmente irrestrito?) à vida privada do trabalhador?

Conforme verificámos aqui, tem plena aplicação a regra geral de proibição de utilização de meios de vigilância à distância, com a finalidade de controlar o desempenho profissional do trabalhador (art. 20.º n.º 1 do Código do Trabalho).

Se considerarmos o IP um dado pessoal – posição que sufragamos, ainda que a questão se encontre em aberto – o respetivo tratamento encontrar-se-ia igualmente vedado tendo em conta os princípios da proporcionalidade (Considerando 4 do RGPD) e da minimização dos dados pessoais (artigo 5.º do RGPD).

Luísa S. Pereira | Tiago Sequeira Mousinho | DCM LAWYERS

Comentar