A actual pandemia de Covid-19 afectou a vida de todos nós e, sobretudo, das empresas. Também ao nível da protecção de dados se torna necessário aferir os novos desafios e confirmar se os procedimentos adoptados cumprem com o Regulamento Geral de Protecção de Dados (RGPD) e com a Lei de Protecção de Dados (LPD).

Efectivamente, a evolução da doença e o accionamento dos planos de contingência tornou necessária a criação de novos fluxos de tratamento de dados pessoais, nomeadamente ao nível das empresas. Tornou-se necessário conhecer e registar os trabalhadores que viajaram para locais afectados, que se encontram infectados, em quarentena, com sintomas de doença ou em isolamento profiláctico. Esta necessidade será crescente para todas as empresas e actividades consideradas essenciais que continuarão a trabalhar durante as fases avançadas de mitigação da doença, sendo indispensáveis à gestão dos recursos humanos disponíveis, incluindo no que respeita à composição de equipas e continuidade de áreas de negócio específicas.

Chegados a este ponto, é importante ter consciência que i) no âmbito da relação laboral existe um direito de reserva da intimidade da vida privada, onde se inclui o estado de saúde e ii) o processamento de dados de saúde é, em regra, proibido. No entanto, para cumprimento das instruções das autoridades de saúde e para protecção dos demais trabalhadores, tornou-se necessário processar dados pessoais adicionais relativos aos trabalhadores, mormente dados relativos ao estado de saúde.

Ora, o RGPD prevê que se possam processar dados pessoais em situações limite como aquela que vivemos, mas as limitações legais do corpo legislativo de protecção de dados continuam a aplicar-se inteiramente. A declaração de Estado de Emergência (Decreto do Presidente da República n.º 14-A/2020, de 18 de Março) não suspendeu os direitos fundamentais relativos à intimidade e reserva da vida privada, pelo que qualquer tratamento de dados pessoais implica o cumprimento das regras existentes. Já no que respeita à renovação do Estado de Emergência (Decreto do Presidente da República n.º 17-A/2020, de 2 de Abril), verificou-se uma limitação ao direito à protecção de dados pessoais, nos termos que veremos abaixo e que não afecta as regras de tratamento de dados pessoais no que aos trabalhadores concerne.

        I.       Dados pessoais em geral

É possível o processamento de dados quando “o tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular”, nos termos da alínea d) do número 1 do artigo 6º do RGPD. A propósito deste preceito, o Considerando 46 refere expressamente que “alguns tipos de tratamento podem servir tanto importantes interesses públicos como interesses vitais do titular dos dados, por exemplo, se o tratamento for necessário para fins humanitários, incluindo a monitorização de epidemias e da sua propagação ou em situações de emergência humanitária, em especial em situações de catástrofes naturais e de origem humana” (sublinhado nosso). Nesta categoria de dados estarão dados que não se considerem sensíveis (nos quais se inserem os dados de saúde) como, por exemplo, a deslocação de um trabalhador para países afectados pela doença COVID-19.

      II.       Dados sensíveis

No que respeita ao processamento de dados considerados sensíveis (“categorias especiais de dados pessoais”), onde se incluem os dados relativos ao estado de saúde do titular dos dados, o mesmo está previsto quando:

a)       “for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, no caso de o titular dos dados estar física ou legalmente incapacitado de dar o seu consentimento” e, como vimos, o RGPD considera que o controlo de epidemias se encontra aqui incluído (sublinhado nosso); ou

b)       “for necessário por motivos de interesse público no domínio da saúde pública, tais como a protecção contra ameaças transfronteiriças graves para a saúde ou para assegurar um elevado nível de qualidade e de segurança dos cuidados de saúde e dos medicamentos ou dispositivos médicos, com base no direito da União ou dos Estados-Membros que preveja medidas adequadas e específicas que salvaguardem os direitos e liberdades do titular dos dados, em particular o sigilo profissional” (sublinhado nosso). De qualquer forma, deve entender-se que “tais actividades de tratamento de dados sobre a saúde autorizadas por motivos de interesse público não deverão ter por resultado que os dados sejam tratados para outros fins por terceiros, como os empregadores ou as companhias de seguros e entidades bancárias” (sublinhado nosso), conforme previsto no Considerando 54 do RGPD.

Diversas autoridades competentes em matéria de protecção de dados publicaram normas sobre este processamento de dados pessoais e o próprio European Data Protection Board (EDPB) veio, em 16 de Março de 2020, emitir a Statement of the EDPB Chair on processing of personal data in the context of the COVID-19 outbreak e, posteriormente, em 20 de Março de 2020, veio publicar instruções cuja leitura recomendamos, no Statement on the processing of personal data in the context of the COVID-19 outbreak. No dia 3 de Abril, o EDPB veio também confirmar que iria emitir instruções específicas relativamente ao tratamento de dados no âmbito da contenção da pandemia de COVID-19, nomeadamente nas matérias relacionadas com a utilização de dados de localização e anonimização, tratamento de dados de saúde para fins científicos e de pesquisa e processamento de dados por tecnologias usadas para permitir o teletrabalho.

As instruções do EDPB publicadas até agora são muito claras: vivemos tempos de excepção, mas a protecção de dados pessoais tem de continuar a ser assegurada e as medidas implementadas não podem ser irreversíveis. As restrições a liberdades, direitos e garantias têm de ser proporcionais e limitadas ao período de calamidade. A título de exemplo, o empregador pode divulgar que existe um trabalhador infectado com COVID-19, a título preventivo, mas só divulgará a identidade do mesmo se absolutamente necessário para protecção dos demais.

Neste sentido, resulta evidente que todas as normas de protecção de dados se continuam a aplicar e é essencial que continuemos a respeitar integralmente os princípios básicos de protecção de dados em tempos de pandemia:

1. O tratamento de dados deve ser lícito (ou seja, justificado com um dos fundamentos acima descritos) e transparente (isto é, o titular dos dados é informado do tratamento de dados e das suas finalidades, em cumprimento do artigo 13º do RGPD);
2. O tratamento de dados ocorre de acordo com uma finalidade específica (ou seja, a razão para este processamento tem de ver com motivos de saúde pública e controlo da doença COVID-19 e os dados não serão utilizados para qualquer outra finalidade);
3. O tratamento de dados será minimizado aos dados absolutamente necessários (por exemplo, será importante saber se um trabalhador esteve em contacto com uma pessoa infectada – mas não será relevante registar os dados pessoais dessa pessoa terceira);
4. O tratamento de dados deverá ser exacto e os dados actualizados sempre que possível;
5. O tratamento de dados terá sempre a sua conservação limitada ao período de tempo necessário para atingir as finalidades específicas (por exemplo, após o controlo da doença, os dados deverão ser apagados ou anonimizados, se forem úteis para fins estatísticos ou para melhorar o plano de contingência da organização);
6. O tratamento de dados tem de assegurar a integridade e confidencialidade da informação (por exemplo, e uma vez que o teletrabalho é obrigatório, poderá ser importante relembrar os trabalhadores das suas obrigações de confidencialidade e das políticas implementadas em termos de protecção da informação).

A CNPD não emitiu quaisquer instruções, mas no âmbito da Deliberação 170/2020, reconhece o impacto da doença, tendo deliberado a interrupção (e não suspensão) dos prazos de resposta aos projectos de deliberação que se encontrassem a correr. Publicou, também, um esclarecimento relativo à utilização de sistemas de videovigilância e alarmística por empresas de segurança privada.

Por via da legislação que permitiu a prorrogação do actual Estado de Emergência foram implementados dois preceitos relativos à protecção de dados pessoais que importa ter em consideração:

a)       No âmbito da alínea h) do artigo 4º do Decreto do Presidente da República n.º 17-A/2020, de 2 de Abril está prevista a suspensão parcial do direito à protecção de dados pessoais, na medida em que “as autoridades públicas competentes podem determinar que os operadores de telecomunicações enviem aos respectivos clientes mensagens escritas (SMS) com alertas da Direcção-Geral da Saúde ou outras relacionadas com o combate à epidemia”, dispensando-se, assim, o consentimento do titular dos dados para o tratamento de dados pessoais com esta finalidade específica;

b)      Já no âmbito do artigo 39º do Decreto 2-B/2020, de 2 de Abril, que veio regulamentar a prorrogação do Estado de Emergência está previsto que a “Direcção-Geral da Saúde disponibiliza à comunidade científica e tecnológica portuguesa o acesso a microdados de saúde pública relativos a doentes infectados pelo novo coronavírus SARS-CoV-2 e a pessoas com suspeita de COVID-19, devidamente anonimizados e sem possibilidade de identificação do respectivo titular, que se encontrem na posse da Direcção-Geral da Saúde ou sob a sua responsabilidade”.

Tempos difíceis exigem uma adaptação das normas mas, como se prova, a necessidade de utilização de dados pessoais para mitigar ou curar a doença não justifica o atropelo dos direitos fundamentais que norteiam a moldura legal de protecção de dados. A estratégica suspensão parcial ao direito à protecção de dados é um testemunho à importância da protecção dos dados que nos identificam como indivíduos e ao equilíbrio que o seu tratamento exige e isso é verdade agora, como sempre foi.