Política de Utilização Aceitável de Sistemas Informáticos em Portugal

A Política de Utilização Aceitável de Sistemas Informáticos é o documento empresarial celebrado em Portugal ao abrigo de Código do Trabalho (Lei n.º 7/2009) artigo 22.º.

O regime português distingue duas dimensões interligadas. Por um lado, o empregador tem o poder de direção sobre a organização do trabalho, podendo definir regras de utilização dos meios disponibilizados nos termos do artigo 22.º nº 1 do Código do Trabalho. Por outro lado, o trabalhador goza do direito à reserva da vida privada nos termos do artigo 16.º do mesmo Código e do artigo 26.º da Constituição da República Portuguesa de 1976, que protege o conteúdo das mensagens de natureza pessoal mesmo quando enviadas pelos meios institucionais. O equilíbrio entre estes planos é matéria sensível com jurisprudência consolidada do Tribunal Constitucional e do Supremo Tribunal de Justiça.

O Tribunal Constitucional, em jurisprudência reiterada (designadamente nos acórdãos sobre acesso ao correio eletrónico do trabalhador), tem sustentado que o empregador pode regulamentar a utilização do correio profissional e impor restrições proporcionais à utilização de redes sociais e plataformas de comunicação durante o tempo de trabalho. Contudo, o acesso ao conteúdo de mensagens de natureza pessoal está vedado salvo em situações excecionais com autorização judicial, e a monitorização contínua sem fundamento configura violação do direito à reserva da vida privada.

A Lei nº 83/2021 de 6 de Dezembro, que reformou o regime do teletrabalho previsto nos artigos 165.º a 171.º do Código do Trabalho, introduziu o direito à desconexão fora do horário de trabalho e o dever do empregador de respeitar a vida privada e familiar do teletrabalhador. A Política de Utilização Aceitável deve incorporar regras específicas para o teletrabalho, incluindo a separação entre meios profissionais e pessoais, a proteção dos dispositivos remotos e a garantia da desconexão.

A articulação com o RGPD é determinante. O artigo 5.º do RGPD impõe princípios de licitude, lealdade, transparência, limitação da finalidade e minimização que se aplicam ao tratamento de dados pessoais decorrente da utilização dos sistemas — registos de acessos, logs de navegação, metadados de email, gravações de chamadas. A Comissão Nacional de Proteção de Dados (CNPD) tem aplicado coimas administrativas em casos de monitorização desproporcional ao abrigo do artigo 83.º do RGPD, com limites até 20 milhões de euros ou 4% do volume de negócios anual mundial.

A Política de Utilização Aceitável de Sistemas Informáticos em Portugal cumpre, em conjugação com o Regulamento Interno da Empresa adotado nos termos do artigo 99.º do Código do Trabalho, três funções jurídicas autónomas: vincula contratualmente o trabalhador a regras de conduta exigíveis em sede disciplinar nos termos dos artigos 351.º a 358.º do Código do Trabalho; estabelece o quadro de transparência prévio que legitima a monitorização proporcional dos sistemas em conformidade com o artigo 22.º nº 1 e com o RGPD; e protege a empresa contra responsabilidade por atos ilícitos praticados pelo trabalhador no uso dos sistemas, designadamente atos de cibercrime nos termos da Lei do Cibercrime nº 109/2009, violação de propriedade intelectual nos termos do Código do Direito de Autor e dos Direitos Conexos aprovado pelo Decreto-Lei nº 63/85, ou disseminação de conteúdo difamatório nos termos do Código Penal aprovado pelo Decreto-Lei nº 400/82.

A Política de Utilização Aceitável de Sistemas Informáticos em Portugal é necessária em todas as entidades empregadoras com sede em território nacional que disponibilizem aos trabalhadores meios informáticos para o desempenho das funções, independentemente da forma societária e da dimensão. A obrigação prática resulta da articulação entre o artigo 22.º do Código do Trabalho aprovado pela Lei nº 7/2009 e os deveres de transparência do artigo 13.º do RGPD perante o trabalhador titular dos dados pessoais tratados.

A política é exigida no momento da admissão de cada novo trabalhador, devendo integrar o conjunto de documentos de acolhimento ao lado do contrato de trabalho, do Regulamento Interno da Empresa adotado nos termos do artigo 99.º do Código do Trabalho, da Política de Proteção de Dados, e da Política de Segurança da Informação. A entrega contra recibo assinado fixa o termo inicial do conhecimento das regras pelo trabalhador e legitima a aplicação de medidas disciplinares em caso de violação.

A política torna-se urgente em qualquer projeto de transformação digital da empresa — implementação de plataformas de colaboração como Microsoft 365 ou Google Workspace, adoção de soluções de armazenamento na cloud (OneDrive, SharePoint, Google Drive), introdução de modalidades de Bring Your Own Device (BYOD), implementação de teletrabalho ao abrigo da Lei nº 83/2021. Cada nova ferramenta cria novas superfícies de risco que exigem regulamentação específica.

A política é necessária na implementação de teletrabalho. A Lei nº 83/2021 de 6 de Dezembro, que reformou o regime previsto nos artigos 165.º a 171.º do Código do Trabalho, exige acordo individual escrito entre empregador e trabalhador, e impõe deveres específicos do empregador quanto à compensação de despesas adicionais (artigo 168.º), à proteção da vida privada e familiar (artigo 169.º), e à garantia do direito à desconexão fora do horário de trabalho. A Política de Utilização Aceitável deve integrar regras específicas para o teletrabalho.

A política torna-se essencial em sectores com tratamento intensivo de dados sensíveis — saúde sob supervisão da Entidade Reguladora da Saúde (ERS), banca supervisionada pelo Banco de Portugal, mercados de valores mobiliários supervisionados pela CMVM, seguros supervisionados pela ASF, telecomunicações supervisionadas pela ANACOM. Nestes sectores aplicam-se regras setoriais reforçadas sobre confidencialidade, segregação de redes e auditoria.

Na contratação de prestadores de serviços externos com acesso aos sistemas — consultores, programadores, administradores de TI externalizados, fornecedores de manutenção — a política deve ser parte integrante das condições contratuais, com extensão das obrigações em paralelo com o contrato de subcontratação ao abrigo do artigo 28.º do RGPD.

A política é particularmente importante na fase de cessação de funções de qualquer trabalhador. Os procedimentos de offboarding incluem revogação imediata de credenciais, devolução de equipamentos, transferência de informação corporativa do trabalhador cessante para o sucessor ou para o gestor, eliminação de dados pessoais do trabalhador retidos em equipamentos corporativos, e arquivo de logs por prazo definido. A jurisprudência laboral tem sublinhado que o acesso ao correio profissional do trabalhador cessante deve ocorrer com presença do próprio sempre que possível.

A política deve ser revista periodicamente. A revisão é exigida na sequência de alterações legislativas (designadamente do Código do Trabalho, do RGPD ou da Lei nº 83/2021), de decisões relevantes do Tribunal Constitucional, do Supremo Tribunal de Justiça ou da CNPD, e de incidentes internos que demonstrem fragilidades. A revisão anual é prática consolidada para empresas de média e grande dimensão.

A política é também fundamental em fase de procedimento disciplinar. Para que o empregador possa fundamentar nota de culpa em violação de regras de utilização dos sistemas — uso indevido para fins privados em horário de trabalho, acesso a sites proibidos, violação de regras de segurança, partilha de informação confidencial — é indispensável demonstrar que a política existia, foi divulgada ao trabalhador e prevê expressamente a conduta sancionada. A jurisprudência laboral tem rejeitado despedimentos baseados em violações de regras não previamente comunicadas.

Uma Política de Utilização Aceitável de Sistemas Informáticos em Portugal juridicamente eficaz integra um conjunto estruturado de elementos formais e substanciais alinhados com o artigo 22.º do Código do Trabalho aprovado pela Lei nº 7/2009, com o Regulamento (UE) 2016/679 (RGPD) e com a jurisprudência do Tribunal Constitucional sobre direito à reserva da vida privada do trabalhador. A redação cuidada destes elementos é determinante para a executoriedade disciplinar das suas previsões e para a defesa em sede de queixa à Comissão Nacional de Proteção de Dados (CNPD).

Identificação da empresa e âmbito subjetivo. A política deve identificar a empresa pela denominação social registada na Conservatória do Registo Comercial, NIPC, sede e CAE da atividade principal. Deve definir os destinatários: trabalhadores subordinados ao abrigo do Código do Trabalho, estagiários ao abrigo do Decreto-Lei nº 66/2011, prestadores de serviços externos com acesso a sistemas ao abrigo de contratos de prestação de serviços do artigo 1154.º do Código Civil, agentes comerciais ao abrigo do Decreto-Lei nº 178/86, administradores e gerentes nos termos dos artigos 391.º e 252.º do Código das Sociedades Comerciais.

Âmbito objetivo. A política deve enumerar os sistemas e meios abrangidos: equipamentos informáticos atribuídos (computador fixo, portátil, tablet, telemóvel corporativo), dispositivos pessoais autorizados em regime BYOD, redes (Internet corporativa, WiFi institucional, VPN para acesso remoto), correio eletrónico institucional com domínio próprio, sistemas de mensagens instantâneas corporativas (Microsoft Teams, Slack, Google Chat), plataformas de armazenamento (OneDrive, SharePoint, Google Drive, Dropbox Business), sistemas de informação específicos (ERP, CRM, plataformas operacionais), sistemas telefónicos corporativos.

Utilização autorizada e proibida. A política deve distinguir claramente as utilizações autorizadas (atividades estritamente profissionais; utilização pessoal moderada e razoável fora dos contextos críticos quando expressamente admitida) das utilizações proibidas. Entre as proibições típicas figuram: acesso a conteúdos ilegais (pornografia infantil punida pelo artigo 176.º do Código Penal aprovado pelo Decreto-Lei nº 400/82, conteúdos de incitamento ao ódio); utilização para finalidades fraudulentas, criminais ou contrárias aos bons costumes; instalação de software não autorizado pela função de TI; descarregamento de conteúdos protegidos por direito de autor sem licença ao abrigo do Código do Direito de Autor e dos Direitos Conexos aprovado pelo Decreto-Lei nº 63/85; utilização para concorrência desleal nos termos da Lei nº 19/2012; utilização de sistemas P2P; partilha não autorizada de informação confidencial protegida pelos artigos 313.º a 320.º do Código da Propriedade Industrial aprovado pelo Decreto-Lei nº 110/2018.

Correio eletrónico institucional. A política deve regular a utilização do correio eletrónico em conformidade com o artigo 22.º nº 1 do Código do Trabalho. Deve esclarecer que o correio com domínio institucional é destinado prioritariamente a fins profissionais; que a marcação clara como mensagem pessoal por parte do trabalhador (referência expressa no assunto) opera proteção adicional do conteúdo; que o empregador pode aceder aos metadados (remetente, destinatário, data, assunto, anexos) para verificação do cumprimento das regras e para preservação da segurança da rede; e que o acesso ao conteúdo está restrito a situações excecionais (ausência prolongada do trabalhador para continuidade de negócio, suspeita fundada de ilícito grave) com procedimento garantístico (presença do trabalhador ou de representante sindical sempre que possível, registo do acesso, fundamentação por escrito).

Utilização da Internet. A política deve estabelecer regras de utilização da Internet incluindo a possibilidade de filtragem por categorias de sites pela função de TI, a monitorização agregada e anonimizada de tráfego para fins de segurança e capacity planning, e a possibilidade de monitorização individualizada apenas em casos de suspeita fundada com escalonamento aprovado pela direção e pelo encarregado da proteção de dados (DPO).

Redes sociais e comunicação externa. A política deve regular a utilização de redes sociais (Facebook, LinkedIn, Instagram, X/Twitter, TikTok) durante o horário de trabalho e em qualquer momento quando associadas a identificação como colaborador da empresa. Inclui regras sobre publicação de informação institucional (autorização prévia obrigatória), comentários sobre a empresa, clientes, concorrentes e parceiros (dever de lealdade do artigo 128.º do Código do Trabalho), divulgação de informação privilegiada nos termos do Regulamento (UE) 596/2014 sobre abuso de mercado para sociedades cotadas.

Dispositivos pessoais e BYOD. A política deve definir o regime de utilização de dispositivos pessoais para atividades profissionais (Bring Your Own Device): autorização prévia, instalação obrigatória de Mobile Device Management (MDM), separação entre perfil profissional e pessoal, encriptação obrigatória, capacidade remota de wipe do perfil profissional em caso de cessação de funções ou perda do dispositivo, e proibição de armazenamento local de informação Confidencial ou Restrita.

Teletrabalho e direito à desconexão. A política deve incorporar regras específicas para teletrabalho ao abrigo da Lei nº 83/2021 de 6 de Dezembro: utilização de VPN obrigatória para acesso remoto, configuração mínima de segurança do equipamento utilizado, separação entre meios profissionais e pessoais, e expressa proteção do direito à desconexão fora do horário de trabalho com proibição de pressionar o trabalhador a responder a comunicações fora do horário, salvo em situações verdadeiramente urgentes com fundamento próprio. A forms-legal.com disponibiliza este modelo de Política de Utilização Aceitável de Sistemas Informáticos em Portugal como ponto de partida operacional. A redação final deve ser revista por advogado especializado em direito laboral e proteção de dados. Documentos relacionados disponíveis no nosso catálogo: Política de Segurança da Informação, Política de Proteção de Dados de Trabalhadores e Política de Teletrabalho.

Monitorização e direitos do trabalhador. A política deve declarar expressamente quais os meios de monitorização aplicados (logs de acesso, registo de navegação Internet, metadados de email, registo de utilização de aplicações), os fins (segurança da informação, deteção de incidentes, cumprimento de obrigações legais), os prazos de conservação (recomenda-se 12 meses para logs gerais, 6 meses para registos de navegação, 7 anos para registos com relevância contabilística ou tributária), e os direitos do trabalhador ao abrigo dos artigos 15.º a 22.º do RGPD (acesso, retificação, apagamento, limitação, portabilidade, oposição, decisões automatizadas).

Sanções disciplinares. A política deve articular-se com o regime disciplinar dos artigos 328.º a 336.º e 351.º a 358.º do Código do Trabalho, identificando violações como factos suscetíveis de procedimento disciplinar e listando exemplos por nível (advertência registada, repreensão registada, sanção pecuniária até 30 dias de retribuição, suspensão até 30 dias, despedimento por justa causa para violações graves como acesso a conteúdos ilegais, partilha de informação confidencial, utilização para concorrência desleal).

O preenchimento da Política de Utilização Aceitável de Sistemas Informáticos em Portugal segue uma sequência prática alinhada com o artigo 22.º do Código do Trabalho, com o Regulamento (UE) 2016/679 (RGPD) e com a Lei nº 83/2021 sobre teletrabalho. A correta articulação entre Política, Regulamento Interno da Empresa e Política de Segurança da Informação é determinante para a executoriedade disciplinar e para a transparência perante o trabalhador.

Passo 1 — Identificar a empresa e o âmbito subjetivo. Recolha a denominação social registada na Conservatória do Registo Comercial em www.empresaonline.pt, NIPC de 9 dígitos, sede com código postal NNNN-NNN, CAE da atividade principal e número total de trabalhadores. Defina o âmbito subjetivo: trabalhadores subordinados ao abrigo do Código do Trabalho aprovado pela Lei nº 7/2009, estagiários ao abrigo do Decreto-Lei nº 66/2011, prestadores de serviços externos com acesso a sistemas, agentes comerciais, administradores e gerentes nos termos dos artigos 391.º e 252.º do Código das Sociedades Comerciais.

Passo 2 — Mapear sistemas e meios. Liste exaustivamente os sistemas e meios disponibilizados: equipamentos informáticos (computador fixo, portátil, tablet, telemóvel corporativo), redes (Internet corporativa, WiFi institucional, VPN), correio eletrónico institucional com domínio próprio, plataformas de colaboração (Microsoft 365, Google Workspace, Slack, Microsoft Teams), sistemas de armazenamento na cloud (OneDrive, SharePoint, Google Drive), sistemas de informação corporativos (ERP, CRM, plataformas operacionais específicas), sistemas telefónicos. Esta listagem alimenta o Registo das Atividades de Tratamento ao abrigo do artigo 30.º do RGPD para os tratamentos de dados pessoais associados.

Passo 3 — Definir utilizações autorizadas e proibidas. Estabeleça a regra geral (utilização para fins profissionais; utilização pessoal moderada e razoável quando admitida) e as proibições específicas: acesso a conteúdos ilegais (pornografia infantil punida pelo artigo 176.º do Código Penal aprovado pelo Decreto-Lei nº 400/82, conteúdos de incitamento ao ódio); utilização para finalidades criminais; instalação de software não autorizado pela função de TI (combate à shadow IT); descarregamento de conteúdos protegidos por direito de autor sem licença; utilização para concorrência desleal; partilha não autorizada de informação confidencial protegida pelos artigos 313.º a 320.º do Código da Propriedade Industrial.

Passo 4 — Regular o correio eletrónico. Inclua referência expressa ao artigo 22.º do Código do Trabalho, esclarecimento de que o correio institucional é destinado prioritariamente a fins profissionais, regra sobre marcação como pessoal por parte do trabalhador (com referência expressa no assunto, como recomendado pelo Tribunal Constitucional), distinção entre acesso aos metadados (admitido para verificação do cumprimento das regras e segurança da rede) e acesso ao conteúdo (restrito a situações excecionais com procedimento garantístico).

Passo 5 — Estabelecer regras de utilização da Internet. Defina possibilidade de filtragem por categorias de sites (proibidos por padrão: pornografia, jogo online, P2P, sites maliciosos identificados por feeds de threat intelligence); regra de monitorização agregada e anonimizada para fins de segurança e capacity planning; possibilidade excecional de monitorização individualizada apenas com suspeita fundada e aprovação escalada à direção e ao encarregado da proteção de dados (DPO).

Passo 6 — Regular redes sociais e comunicação externa. Defina regras sobre utilização durante o horário de trabalho (admissão moderada ou proibição em funções críticas), regras sobre publicação associada à identificação como colaborador da empresa (autorização prévia para divulgação institucional, dever de lealdade do artigo 128.º do Código do Trabalho), regras sobre comentários relativos à empresa, clientes, concorrentes e parceiros, regras especiais para sociedades cotadas sobre informação privilegiada nos termos do Regulamento (UE) 596/2014.

Passo 7 — Definir regime BYOD. Para empresas que admitam Bring Your Own Device, estabeleça autorização prévia escrita por categoria de função, instalação obrigatória de Mobile Device Management (MDM), separação entre perfil profissional e pessoal, encriptação obrigatória do dispositivo, capacidade remota de wipe do perfil profissional, proibição de armazenamento local de informação Confidencial ou Restrita, e responsabilização do trabalhador pela segurança física do dispositivo.

Passo 8 — Regras para teletrabalho. Inclua secção específica para teletrabalho ao abrigo dos artigos 165.º a 171.º do Código do Trabalho (com a redação da Lei nº 83/2021 de 6 de Dezembro): obrigatoriedade de VPN para acesso remoto, configuração mínima de segurança do equipamento (antivírus atualizado, firewall ativada, sistema operativo com patches), separação entre meios profissionais e pessoais, expressa proteção do direito à desconexão fora do horário de trabalho com proibição de pressionar o trabalhador a responder a comunicações fora do horário.

Passo 9 — Declarar monitorização e direitos do trabalhador. Indique expressamente quais os meios de monitorização aplicados (logs de acesso, registo de navegação Internet, metadados de email), os fins, os prazos de conservação (12 meses para logs gerais, 6 meses para registos de navegação, 7 anos para registos com relevância contabilística), os destinatários internos (função de TI, segurança, DPO), e os direitos do trabalhador ao abrigo dos artigos 15.º a 22.º do RGPD com identificação do canal de exercício e do prazo de resposta de 1 mês prorrogável por 2 meses adicionais.

Passo 10 — Articular sanções e divulgação. Liste violações por nível de gravidade com referência aos artigos 328.º a 336.º e 351.º a 358.º do Código do Trabalho. Submeta a política à aprovação da gestão e à consulta da Comissão de Trabalhadores quando exista nos termos do artigo 423.º do Código do Trabalho. Divulgue por entrega contra recibo a cada trabalhador, publicação na intranet e referência no contrato de trabalho ou em adenda. Estabeleça revisão anual obrigatória.

Os requisitos legais da Política de Utilização Aceitável de Sistemas Informáticos em Portugal resultam da articulação entre o Código do Trabalho aprovado pela Lei nº 7/2009 (em particular os artigos 16.º, 17.º, 22.º, 99.º, 165.º a 171.º), o Regulamento (UE) 2016/679 (RGPD) diretamente aplicável, a Lei nº 58/2019 de 8 de Agosto, a Lei nº 83/2021 de 6 de Dezembro sobre teletrabalho, e a jurisprudência consolidada do Tribunal Constitucional, do Supremo Tribunal de Justiça e dos Tribunais da Relação.

Poder de direção do empregador. O artigo 11.º do Código do Trabalho consagra a subordinação jurídica do trabalhador, e o artigo 97.º atribui ao empregador o poder de direção sobre a organização do trabalho. O artigo 22.º nº 1 admite expressamente a definição pelo empregador de regras de utilização dos meios de comunicação na empresa, designadamente do correio eletrónico, com a condição da prévia informação ao trabalhador. A política operacionaliza este poder e fornece o quadro de transparência exigido.

Reserva da vida privada. O artigo 16.º do Código do Trabalho garante ao trabalhador o direito à reserva da intimidade da vida privada, em paralelo com o artigo 26.º da Constituição da República Portuguesa de 1976. O Tribunal Constitucional, em jurisprudência reiterada, tem sustentado que o conteúdo das mensagens de natureza pessoal — mesmo quando enviadas pelos meios institucionais — está protegido salvo em situações excecionais. A política deve respeitar este equilíbrio fundamental.

Correio eletrónico. O artigo 22.º nº 2 do Código do Trabalho protege o conteúdo das mensagens de natureza pessoal. A jurisprudência do Tribunal Constitucional admite que o empregador pode definir regras gerais de utilização do correio eletrónico, mas não pode aceder ao conteúdo de mensagens pessoais sem fundamento próprio e procedimento garantístico. A Política deve esclarecer a distinção entre acesso a metadados (admitido) e acesso ao conteúdo (restrito a situações excecionais).

Monitorização. O Código do Trabalho proíbe a vigilância à distância no local de trabalho destinada a controlar o desempenho profissional do trabalhador, salvo quando tenha por finalidade a proteção e a segurança de pessoas e bens (artigo 20.º). A monitorização dos sistemas informáticos é admitida na medida em que se enquadre nestas finalidades e respeite os princípios de proporcionalidade e minimização do RGPD.

Proteção de dados pessoais. O tratamento de dados pessoais decorrente da utilização e monitorização dos sistemas — registos de acessos, logs de navegação, metadados de email, gravações de chamadas — está sujeito ao RGPD. As bases de licitude aplicáveis são, em regra, a execução do contrato de trabalho (artigo 6.º nº 1 alínea b) e o interesse legítimo do empregador (alínea f) com balanced test documentado, em conjugação com a transparência do artigo 13.º. O consentimento do trabalhador como base de licitude é desaconselhado dado o desequilíbrio de poderes nos termos do artigo 6.º da Lei nº 58/2019.

Teletrabalho. A Lei nº 83/2021 de 6 de Dezembro, que reformou os artigos 165.º a 171.º do Código do Trabalho, consagra deveres específicos do empregador. O artigo 168.º exige compensação das despesas adicionais do trabalhador em teletrabalho (energia, conectividade, equipamentos). O artigo 169.º protege a vida privada e familiar e impõe a separação entre tempo de trabalho e tempo pessoal. O artigo 169.º-B consagra o dever do empregador de respeitar o direito à desconexão do trabalhador fora do horário de trabalho. A Política deve refletir estes deveres.

Regulamento Interno da Empresa. O artigo 99.º do Código do Trabalho admite a existência de regulamento interno da empresa, com prévia consulta da Comissão de Trabalhadores quando exista nos termos do artigo 423.º. A Política de Utilização Aceitável pode integrar o Regulamento Interno ou existir como documento autónomo, mas em qualquer caso a divulgação ao trabalhador através de meios adequados é condição de oponibilidade.

Regime disciplinar. Os artigos 328.º a 336.º do Código do Trabalho regulam as sanções disciplinares aplicáveis (advertência, repreensão registada, sanção pecuniária, perda de dias de férias, suspensão, despedimento por justa causa nos termos do artigo 351.º). Os artigos 352.º a 358.º regulam o procedimento disciplinar com nota de culpa, prazo de defesa de 10 dias úteis, audição de testemunhas e decisão fundamentada. A política identifica as infrações às regras de utilização como factos suscetíveis de procedimento.

Responsabilidade civil e penal. A utilização indevida dos sistemas pode gerar responsabilidade civil do trabalhador perante o empregador nos termos dos artigos 483.º e seguintes do Código Civil aprovado pelo Decreto-Lei nº 47 344/66, e responsabilidade penal nos termos do Código Penal (peculato no artigo 375.º, abuso de confiança no artigo 205.º, burla informática no artigo 221.º) ou da Lei do Cibercrime nº 109/2009 (acesso ilegítimo no artigo 6.º, intercetação ilegítima no artigo 7.º, sabotagem informática no artigo 5.º, falsidade informática no artigo 3.º).

Direitos de propriedade intelectual. A utilização de software sem licença adequada viola o Código do Direito de Autor e dos Direitos Conexos aprovado pelo Decreto-Lei nº 63/85 e pode gerar responsabilidade civil e contraordenacional. A Política deve estabelecer regra clara de uso exclusivo de software licenciado autorizado pela função de TI.

Obrigações setoriais. Para entidades em sectores regulados aplicam-se obrigações específicas: Banco de Portugal sobre risco operacional para banca, CMVM sobre informação privilegiada para sociedades cotadas, ANACOM sobre comunicações eletrónicas, Entidade Reguladora da Saúde (ERS) sobre confidencialidade médica.

Os erros mais frequentes na Política de Utilização Aceitável de Sistemas Informáticos em Portugal comprometem a executoriedade disciplinar das suas previsões e podem expor a empresa a queixas à Comissão Nacional de Proteção de Dados (CNPD), a litígios laborais e a responsabilidade civil.

Política genérica sem adaptação à realidade da empresa. Documentos copiados de modelos sem identificação concreta dos sistemas utilizados, das funções com regras específicas e do contexto operacional são facilmente impugnados em sede de procedimento disciplinar e geram dúvidas sobre o âmbito das obrigações. A solução é elaborar a política a partir do mapeamento real dos sistemas e das atividades, com revisão pelo responsável de TI, pelo encarregado da proteção de dados (DPO) e pelo departamento de Recursos Humanos.

Falta de divulgação efetiva ao trabalhador. Políticas aprovadas pela direção mas não entregues ao trabalhador, não publicadas na intranet ou não referidas no contrato de trabalho não são oponíveis em sede disciplinar. A jurisprudência laboral tem rejeitado despedimentos baseados em violações de regras não previamente comunicadas. A solução é entrega contra recibo assinado a cada trabalhador, publicação visível na intranet, referência expressa no contrato de trabalho ou em adenda, e formação inicial obrigatória.

Monitorização desproporcional do correio eletrónico. O acesso ao conteúdo de mensagens de natureza pessoal sem fundamento próprio e sem procedimento garantístico viola o artigo 16.º do Código do Trabalho, o artigo 22.º nº 2 do mesmo Código, o artigo 26.º da Constituição da República Portuguesa de 1976 e o RGPD. Pode gerar coima da CNPD até 20 milhões de euros, indemnização ao trabalhador por danos não patrimoniais, e fundamentar resolução com justa causa pelo trabalhador nos termos do artigo 394.º do Código do Trabalho. A solução é distinção clara entre acesso a metadados (admitido) e acesso a conteúdo (restrito a situações excecionais com aprovação escalada e procedimento garantístico).

Falta de regras sobre teletrabalho. A omissão de regras específicas sobre teletrabalho ignora as alterações introduzidas pela Lei nº 83/2021 de 6 de Dezembro aos artigos 165.º a 171.º do Código do Trabalho, designadamente o direito à desconexão e o dever de proteger a vida privada e familiar do teletrabalhador. A solução é dedicar secção específica ao teletrabalho com obrigatoriedade de VPN, configuração mínima de segurança, separação entre meios profissionais e pessoais, e expressa proteção do direito à desconexão.

Utilização do consentimento como base de licitude. O empregador que invoque consentimento do trabalhador como base de licitude para monitorização de sistemas ignora o desequilíbrio estrutural da relação laboral. O artigo 6.º da Lei nº 58/2019 de 8 de Agosto e as orientações da CNPD são restritivas. A solução é recorrer a execução do contrato de trabalho e ao interesse legítimo do empregador com balanced test documentado, com transparência prévia ao trabalhador nos termos do artigo 13.º do RGPD.

Proibição absoluta sem proporcionalidade. Políticas que proíbam absolutamente qualquer utilização pessoal dos sistemas, mesmo em contextos não críticos, são desproporcionais e podem ser desconsideradas em sede de procedimento disciplinar. A jurisprudência laboral tem aceitado utilização pessoal moderada e razoável fora dos contextos críticos. A solução é regular com proporcionalidade — admitir utilização moderada para fins pessoais e identificar utilizações específicas proibidas (acesso a conteúdos ilegais, P2P, instalação de software não autorizado).

Falta de articulação com regime disciplinar. Políticas que enumerem regras de conduta sem ligação clara aos artigos 328.º a 336.º e 351.º a 358.º do Código do Trabalho perdem operacionalidade prática. Em sede de procedimento disciplinar, é necessário demonstrar que a regra existia, foi divulgada e prevê a conduta sancionada. A solução é incluir secção específica sobre sanções com listagem de exemplos por nível de gravidade, com proporcionalidade entre infração e sanção.

Omissão de regras sobre BYOD e dispositivos pessoais. A não regulamentação do uso de dispositivos pessoais para fins profissionais (Bring Your Own Device) gera ambiguidade sobre o controlo dos dados corporativos armazenados em dispositivos pessoais e sobre as obrigações em caso de cessação de funções. A solução é definir regime claro: autorização prévia, instalação obrigatória de Mobile Device Management (MDM), encriptação, separação entre perfil profissional e pessoal, capacidade remota de wipe do perfil profissional, proibição de armazenamento local de informação Confidencial ou Restrita.