O trabalho à distância, as novas tecnologias e a segurança da informação

Vivemos hoje na Era Digital. Todos os principais setores da economia estão a ser colonizados pela tecnologia.

O funcionamento das empresas encontra-se progressivamente mais assente em sistemas informáticos e a utilização da tecnologia tem vindo a modificar o modo como o trabalhador presta a sua atividade.

A influência da tecnologia é, pois, evidente nas alterações nas rotinas de trabalho, nas mudanças nos espaços de trabalho, nas novas profissões.

De facto, cada vez mais, quer os locais de trabalho como o tipo de trabalho estão distintos, discutindo-se, hoje em dia, se o trabalho remoto vai passar a fazer parte do dia-a-dia de todos os trabalhadores.

Sendo esta revolução tecnológica uma grande oportunidade transversal para todos os setores da sociedade, designadamente para o setor laboral, ela comporta também riscos que devem ser avaliados juridicamente e, em certos casos, regulados.

Considera-se teletrabalho a prestação laboral realizada com subordinação jurídica, fora de qualquer localização ou instalação da empresa e através do recurso a tecnologias de informação e de comunicação e cujo regime jurídico vem previsto nos artigos 165.º a 171.º doCódigo do Trabalho.

Todo o trabalho remoto ou à distância, em particular o teletrabalho, comporta riscos para a segurança da informação empresarial relacionados com a utilização de dispositivos tecnológicos e conectados à internet.

Atualmente, um trabalhador, através do seu smartphone ou tablet pode andar com a empresa no “bolso”, incluindo informação confidencial da empresa, segredos comerciais, todo o tipo de documentação digital, como dados pessoais de clientes, colegas, fornecedores, entre outros, que, deste modo, abandonam os dispositivos e redes empresariais.

Por conseguinte, no trabalho à distância, estando em causa a utilização de novas tecnologias e a transformação digital, uma das principais preocupações prende-se com a segurança da informação empresarial e dos dados pessoais tratados pela empresa.

A propósito, cumpre dar nota da decisão do Tribunal de Recurso (Court of Appeal) de Inglaterra e do País de Gales (Divisão Civil), proferida em 22 de outubro de 2018, que responsabilizou a rede de supermercados WM Morrison Supermarkets Plc pela divulgação ilícita por parte de um funcionário da empresa de dados pessoais de outros trabalhadores.

O funcionário, auditor interno da Morrison, divulgou dados pessoais de colegas seus na internet, a partir de sua casa, usando o seu próprio computador.

Os dados de cerca de 100.000 trabalhadores da Morrison consistiram nos nomes, endereços, género, datas de nascimento, números de telefone, números de segurança social, números de contas bancárias e salários auferidos. O funcionário em questão foi condenado a oito anos de prisão.

Apesar de ter ficado demonstrado que a Morrison não teve responsabilidade direta na prática do ato ilícito, o Tribunal considerou que a empresa era indiretamente responsável pela violação de dados porquanto existia uma “conexão suficiente” entre a posição que o funcionário prevaricador ocupava na empresa e a sua conduta ilícita. Ou seja e dito de outro modo, os atos ilícitos praticados pelo funcionário, ao divulgar os dados dos seus colegas a terceiros, ocorreram no âmbito das atividades que lhe foram confiadas pela Morrison, tornando-a responsável pelos danos provocados pela conduta ilícita do seu funcionário.

Assim, o Court of Appeal decidiu que o empregador era responsável pelos danos sofridos pelos seus funcionários, cujos dados pessoais tenham sido ilicitamente divulgados na internet, por ato de outro funcionário, em violação da lei de proteção de dados e em violação da obrigação de confidencialidade que sobre ele impendia.

Atenta a miríade de casos relatados nos media nos últimos anos de violações de dados em grande escala causadas por falhas do sistema de segurança, por negligência ou por ato doloso de trabalhadores no âmbito da sua atividade laboral, adivinha-se um elevado número de reclamações contra as empresas enquanto responsáveis pelo tratamento de dados.

*Pedro Pinto Bento é advogado na Aguiar-Branco & Associados