Quebra de confidencialidade na gestão de casos de assédio no local de trabalho: uma análise na perspetiva da proteção de dados

Publicações5 de fevereiro de 2026
A identificação de denunciantes e de pessoas acusadas sem medidas adequadas viola o RGPD e pode levar a responsabilidades em matéria de proteção de dados e de direito do trabalho.

1. Pontos essenciais da resolução da AEPD

A Resolução analisa o reforço do dever de confidencialidade que deve reger o tratamento de dados pessoais nos canais internos de denúncia e, em particular, nos processos de assédio no local de trabalho.


No caso em apreço, a empresa comunicou resoluções internas que identificavam expressamente os denunciantes e os acusados, o que permitiu o acesso generalizado e desnecessário a informações especialmente sensíveis. No total, o incidente afectou 15 pessoas (5 denunciantes e 10 acusados).


A AEPD deu provimento à queixa e concluiu que a empresa violou o princípio da integridade e da confidencialidade ao não adotar medidas eficazes para limitar o acesso e preservar o anonimato, violando assim o artigo 5.1.f) do RGPD. A Agência ressalta que, nesse tipo de procedimento, o nível de diligência exigido do responsável pelo tratamento de dados é especialmente elevado.


Entre os aspectos mais relevantes, a Resolução destaca:

  • A obrigação de preservar o anonimato nas comunicações internas, evitando a identificação desnecessária das partes interessadas.
  • Não há justificativa baseada em protocolos internos ou conhecimento prévio, pois a confidencialidade é uma obrigação objetiva do controlador de dados.
  • Exigência de diligência reforçada nos procedimentos de assédio e na utilização do canal interno de denúncias, dada a sensibilidade dos dados tratados.

2. Quadro regulamentar aplicável

Os sistemas de informação internos encontram a sua base jurídica no artigo 24º da LOPDGDD e na Lei 2/2023, relativa à proteção dos denunciantes. O tratamento de dados é protegido pelo interesse público (art. 6.1.e RGPD), sem dispensar o cumprimento dos princípios de minimização, proporcionalidade, confidencialidade e limitação do tratamento.


O Guia da AEPD sobre a proteção de dados nas relações de trabalho estabelece critérios claros para estes sistemas, nomeadamente no que diz respeito a:

  • Limitação do acesso aos dados, restrito ao pessoal de controlo interno, pessoal de compliance ou pessoal designado.
  • Acesso excecional por parte dos Recursos Humanos, apenas quando essencial para o tratamento de um processo disciplinar específico.
  • Períodos de retenção rigorosos, com a eliminação dos dados num período máximo de três meses, exceto para retenção anónima ou para demonstrar o funcionamento do sistema.

3. Relevância jurídica e laboral da resolução

3.1. Violação do dever de proteção da saúde e da segurança

A revelação de identidades num processo de assédio pode criar um ambiente de trabalho hostil e causar danos psicológicos, o que constitui uma violação dos artigos 14º e 15º da LPRL. No caso analisado, um denunciante sofreu um episódio de ansiedade e entrou em licença no mesmo dia em que a informação foi revelada.


3.2. Violação do dever reforçado de confidencialidade

A AEPD considera que se trata de uma violação grave do nível de diligência exigido, agravada pela circulação da informação em grupos de WhatsApp do local de trabalho e pela intervenção indevida de terceiros. A existência de protocolos internos é insuficiente se não for acompanhada de mecanismos efectivos que garantam o seu cumprimento.


3.3. Risco de violação de direitos fundamentais

As condutas analisadas podem afetar a privacidade, a dignidade, a integridade moral e o direito à indemnização dos trabalhadores, com possíveis sanções laborais muito graves ao abrigo da Lei de Segurança Social, com coimas até 225.018 €.


4. Medidas corretivas e consequências

A AEPD pode ordenar a adoção de medidas técnicas e organizativas para tornar o tratamento conforme com o RGPD, com um prazo máximo de três meses a contar da data em que a decisão se torna executória. O incumprimento destas ordens pode dar origem a novo processo disciplinar, independentemente do pagamento da sanção inicial.

5. Conclusões

O acórdão reforça uma mensagem clara: a gestão dos canais internos de denúncia de irregularidades e dos procedimentos de assédio no local de trabalho exige a máxima diligência e confidencialidade. A identidade dos denunciantes e dos arguidos deve ser estritamente protegida, mesmo quando é praticamente possível deduzi-la.


Numa dupla perspetiva - proteção de dados e direito do trabalho -, o caso demonstra que a mera existência de protocolos não é suficiente. É essencial implementar medidas eficazes que limitem o acesso, controlem as comunicações internas e minimizem os riscos de divulgação indevida de informações sensíveis.


A resolução da AEPD consolida, assim, uma norma exigente que obriga as empresas a reverem e reforçarem os seus sistemas de informação internos, integrando a privacidade, a prevenção do assédio e a gestão do risco psicossocial como elementos centrais do seu cumprimento regulamentar.


Nota informativa elaborada pelo Departamento de Proteção de Dados e Direito do Trabalho da ECIJA Madrid.

Una persona camina sola sobre un puente moderno en blanco y negro.
Descarregar em pdf

Sócios relacionados

ATUALIDADE #ECIJA