A AEPD aplicou uma coima de 200 euros pela utilização obrigatória de telemóveis pessoais no local de trabalho

A Agência Espanhola de Proteção de Dados (AEPD) multou a Ares Capital, S.A. num total de 200 000 euros por ter exigido aos seus empregados a instalação de aplicações empresariais nos seus telemóveis, incluindo os de propriedade privada, e por ter tratado dados pessoais de forma excessiva, sem uma base legal válida e com deficiências na informação fornecida.

1. Os factos: utilização obrigatória de telemóveis pessoais e vigilância excessiva

A decisão, proferida no processo EXP202411411[1], decorre de uma queixa apresentada por um dos motoristas da Ares Capital (doravante, a "entidade" ou a "empresa"), que relatou que a empresa o obrigava a utilizar o seu telemóvel pessoal para trabalhar e a descarregar quatro aplicações necessárias à prestação do serviço.

O trabalhador alegou que estas aplicações monitorizavam continuamente a sua atividade e que não tinha sido devidamente informado sobre a natureza, o âmbito e o funcionamento do tratamento de dados, situação que afectava todo o pessoal.

Durante a investigação, a AEPD constatou que algumas das aplicações requeridas incluíam permissões particularmente intrusivas, permitindo o acesso, entre outras coisas, a

• Geolocalização contínua ou precisa.
• Fotos e vídeos.
• Gravações de áudio.
• Informações de identificação pessoal.
• Dados de saúde ou fitness.

A AEPD sublinha que o que importa não é se a empresa utiliza efetivamente todos estes dados, mas que as permissões técnicas das aplicações o permitem e não podem ser ajustadas pelo trabalhador.

Embora a empresa tenha alegado que a utilização de telemóveis pessoais era voluntária, a AEPD observou que a opção de um telemóvel fornecido pela empresa não estava garantida à partida, uma vez que dependia da disponibilidade e do orçamento, o que praticamente obrigava os trabalhadores a utilizarem os seus próprios aparelhos. Além disso, as aplicações podem permanecer activas fora do horário de trabalho, o que coloca riscos diretos ao direito à desconexão digital e à separação entre a esfera profissional e a esfera pessoal.

2. As sanções impostas pela AEPD

Na sequência destas constatações, a AEPD aplicou três sanções que evidenciam os principais riscos decorrentes da utilização de telemóveis pessoais no trabalho e da sua regulamentação - ou ausência dela - através de políticas BYOD:

• Não cumprimento do princípio da minimização dos dados (100 000 euros): A Agência considera que as aplicações exigidas recolhiam mais dados do que os necessários para os condutores efectuarem o seu trabalho.

Concretamente, podiam aceder a informações como dados de localização contínua, imagens, gravações áudio, contactos ou mesmo dados de saúde, o que é excessivo, tanto mais que se trata de dispositivos pessoais.

A AEPD salienta que, sempre que possível, devem ser utilizadas alternativas menos intrusivas, como a geolocalização dos veículos, e tem ainda em conta o elevado número de trabalhadores afectados (mais de 5700) para qualificar a infração como muito grave.

• Falta de uma base jurídica válida (80 000 euros): Embora a empresa tenha contado com o consentimento dos trabalhadores, a AEPD considera-o insuficiente, uma vez que, na prática, não existia desde o início uma verdadeira alternativa (a disponibilização de telemóveis da empresa dependia da disponibilidade).

No contexto laboral, o consentimento só é válido se o trabalhador o puder recusar sem consequências, o que não era o caso. Além disso, a Agência indica que não podem ser utilizadas outras bases jurídicas se os dados recolhidos ultrapassarem o necessário.

• Não cumprimento do dever de informação (80 000 euros): A AEPD constata que os trabalhadores não receberam informações claras e completas sobre os dados recolhidos ou sobre a forma de deixarem de ser monitorizados no final do dia de trabalho.

A este respeito, fornecer a informação adequada implica explicar, por exemplo, se basta terminar a sessão, se as aplicações continuam a ser executadas em segundo plano ou se é necessário desligar o dispositivo, em vez de se limitar a incluir cláusulas gerais no contrato.

Para além da sanção, a AEPD concedeu à empresa um prazo de dois meses para corrigir a situação, exigindo-lhe que limite a recolha de dados ao estritamente necessário, estabeleça uma base jurídica válida para a utilização de telemóveis pessoais e assegure que os trabalhadores sejam devidamente informados, incluindo sobre o desligamento fora do horário de trabalho.

3. Implicações laborais e risco de incumprimento

Para além da sanção em matéria de proteção de dados, o acórdão tem um impacto direto no local de trabalho, uma vez que salienta que estas práticas podem envolver

• Uma intromissão ilegal na vida privada do trabalhador ao aceder a dados não relacionados com o trabalho.
• Uma violação do direito à desconexão digital se as aplicações permanecerem activas fora do horário de trabalho.
• Questões relativas à validade do consentimento, específicas da relação de trabalho e do seu desequilíbrio estrutural.
• Riscos adicionais de inspecções laborais, conflitos colectivos ou contestações individuais.

Neste sentido, o acórdão alinha-se com a doutrina do direito do trabalho que questiona a imposição de dispositivos próprios dos trabalhadores quando existem alternativas menos intrusivas.

4. Orientações práticas para as empresas

Ao adoptarem uma abordagem preventiva em ambas as áreas, as empresas, à luz dos critérios da AEPD, devem considerar, entre outras recomendações, as seguintes

1. Privilegie a utilização de dispositivos corporativos, geridos através de soluções MDM e com ambientes separados, evitando a obrigatoriedade de o trabalhador utilizar o seu telemóvel pessoal.
2. Se optar por modelos BYOD, configure-os como uma opção genuína e voluntária, devidamente regulada por uma política interna específica, com um registo de consentimento e sem acesso às informações pessoais do dispositivo.
3. Realize uma avaliação prévia do impacto da proteção de dados para identificar e eliminar o acesso desnecessário a dados (como fotografias, contactos, dados de saúde ou geolocalização contínua), garantindo que a medida é proporcional.
4. Defina corretamente a base legal para o tratamento, evitando a dependência do consentimento e, quando necessário solicitá-lo, garantindo que é verdadeiramente livre, informado e sem consequências para o trabalhador.
5. Reforce o dever de informação, explicando claramente quais os dados que estão a ser tratados, como funcionam as aplicações e como é garantida a desconexão fora do horário de trabalho.
6. Promova acções de formação e sensibilização, tanto para a direção como para o pessoal, sobre a utilização responsável dos dispositivos e a proteção dos dados, acompanhadas de canais internos para a resolução de dúvidas ou gestão de incidentes.

5. Conclusão

Este acórdão estabelece um ponto de referência claro para as empresas, deixando claro que a utilização de ferramentas tecnológicas não pode transferir os riscos de conformidade para os trabalhadores. Em particular, a utilização de telemóveis pessoais no trabalho requer mais cautela: o consentimento do trabalhador não é suficiente e é essencial supervisionar as permissões das aplicações para evitar um processamento excessivo.

Para as empresas que operam com modelos BYOD[2], esta decisão significa que devem rever as suas práticas, analisando minuciosamente as ferramentas utilizadas e garantindo que o tratamento de dados é estritamente limitado ao necessário, fornecendo informações claras e completas aos trabalhadores.

Neste cenário, é essencial procurar aconselhamento especializado para identificar riscos, adaptar políticas internas e tomar medidas proactivas através de uma abordagem combinada da proteção de dados e da conformidade laboral.