A organização pode recolher dados pessoais, no âmbito da implementação de plano de contingência COVID-19?

Qualquer organização pode recolher dados pessoais no âmbito da implementação de um plano de contingência, devendo sempre assegurar o cumprimento de um conjunto de requisitos. Desde logo, deve garantir-se que os dados a recolher são adequados e não excessivos, devendo apenas ser tratados os dados efetivamente necessários considerando as finalidades em causa.

Os requisitos legais aplicáveis variam em função do tipo de dados a recolher, podendo ainda, em alguns casos, o tipo de titular dos dados (colaboradores, familiares de colaboradores, clientes ou prestadores de serviços) ter um impacto nas regras a observar.

 

Podem ser recolhidos dados relativos a viagens efetuadas?

Caso a organização pretenda recolher informação sobre viagens efetuadas ou a efetuar, locais visitados ou pessoas contactadas (dados que podem ser qualificados como dados de vida privada), a organização deve garantir que, por um lado, tais dados são efetivamente necessários para a implementação do plano de contingência e, por outro lado, se verifica uma das condições de licitude para o tratamento de tais dados. 

 

Podem ser recolhidos dados de saúde relativos ao controlo de temperatura corporal?

A Comissão Nacional de Proteção de Dados (“CNPD”) entende - nas suas Orientações emitidas a propósito do tratamento de dados pessoais de saúde regulados no Decreto n.º 8/2020, de 8 de novembro, atualmente previsto no regime anexo à Resolução do Conselho de Ministros n.º 74-A/2021, de 9 de junho (conforme alterado pela Resolução do Conselho de Ministros n.º 76-A/2021, de 17 de junho) -, que o controlo de temperatura corporal é um tratamento de dados pessoais de saúde sujeito ao RGPD, sempre que haja suscetibilidade de identificação das pessoas. Tal sucede, por exemplo, no acesso ao local de trabalho, aos estabelecimentos de educação e ensino ou aos ginásios; ou ainda sempre que o estabelecimento ou local estiver dotado de sistemas de controlo com leitura de dados biométricos ou de videovigilância com gravação das imagens (o que aumenta a possibilidade de identificação das pessoas).

Apesar de analisar outros fundamentos possíveis, a CNPD entende que o fundamento legal mais adequado para legitimar o tratamento será a sua necessidade por motivos de interesse público no domínio da saúde pública, com base no direito da União ou dos Estados-Membros que preveja medidas adequadas e específicas que salvaguardem os direitos e liberdades do titular dos dados, em particular o sigilo profissional (artigo 9.º, n.º 2, alínea i) do RGPD).

A CNPD considera que as medidas previstas no Decreto n.º 8/2020, de 8 de novembro, quanto ao controlo da temperatura corporal não salvaguardavam suficientemente os direitos e liberdades dos titulares dos dados, ao não preverem uma norma que vinculasse os trabalhadores responsáveis pelo controlo da temperatura a um dever de confidencialidade. Atualmente, este dever de confidencialidade pelos trabalhadores encontra-se já previsto no artigo 5.º, n.º 5 do regime anexo Resolução do Conselho de Ministros n.º 74-A/2021, de 9 de junho (conforme alterado pela Resolução do Conselho de Ministros n.º 76-A/2021, de 17 de junho).

Por fim, a CNPD entende que para se poder aplicar o artigo 4.º do Decreto n.º 8/2020, de 8 de novembro (atualmente o artigo 5.º do regime anexo à Resolução do Conselho de Ministros n.º 74-A/2021, de 9 de junho, conforme alterado pela Resolução do Conselho de Ministros n.º 76-A/2021, de 17 de junho), em conformidade com o RGPD, os responsáveis pelo tratamento de dados pessoais devem também definir e executar os procedimentos subsequentes à deteção de um caso de temperatura igual ou superior a 38ºC que garantam a discrição e a dignidade do tratamento da pessoa objeto do controlo.

 

Podem ser recolhidos dados de saúde relativos à realização de testes de diagnóstico de SARS-COV-2?

A realização de testes é um tratamento de dados pessoais de saúde sujeito ao RGPD. No entender da CNPD, a norma constante do Decreto n.º 8/2020, de 8 de novembro (atualmente o artigo 6.º do regime anexo à Resolução do Conselho de Ministros n.º 74-A/2021, de 9 de junho, conforme alterado pela Resolução do Conselho de Ministros n.º 76-A/2021, de 17 de junho) não delimita as circunstâncias em que pode haver imposição da realização de testes de diagnóstico pelas entidades públicas e privadas, nem define quem recolhe a amostra para efeito de diagnóstico e quem analisa os resultados do teste, pelo que não estão previstas medidas que acautelem a privacidade das pessoas obrigadas à realização dos testes (num contexto de tendencial estigmatização e discriminação dos portadores do vírus).

Este entendimento da CNPD, não se altera face ao tipo de testes realizados, aplicando-se também a testes rápidos de antigénio. As condições para a utilização dos diferentes tipos de testes de diagnóstico estão definidas na Norma da Direção Geral de Saúde (“DGS”) n.º 019/2020, de 26 de outubro de 2020 (atualizada em 17 de junho de 2021), relativa à Estratégia Nacional de Testes para SARS-CoV-2.

Assim, a CNPD considera que para se poder aplicar a norma constante do artigo 5.º do Decreto n.º 8/2020, de 8 de novembro (atualmente o artigo 6.º do regime anexo à Resolução do Conselho de Ministros n.º 74-A/2021, de 9 de junho, conforme alterado pela Resolução do Conselho de Ministros n.º 76.º-A/2021, de 17 de junho), em conformidade com o RGPD, os responsáveis pelo tratamento de dados pessoais devem: (i) garantir que seja um profissional de saúde, sujeito à obrigação de sigilo profissional, a realizar os testes de diagnóstico; e (ii) definir e executar os procedimentos subsequentes à deteção de um caso de resultado positivo, que garantam a discrição e a dignidade do tratamento da pessoa objeto de testes.

 

Que outros cuidados devem ser adotados?

A organização deve, em qualquer das situações, prestar informação relativamente aos termos em que os dados irão ser tratados no âmbito do plano de contingência, identificando-se, desde logo, as finalidades para as quais os dados serão utilizados. No caso de recolha dados de familiares de colaboradores, e já que a organização não tem uma relação direta com tais pessoas, poderá ser mais desafiante assegurar a prestação de informação.

Atendendo à sensibilidade dos dados, devem ser adotadas medidas de segurança, técnicas e organizativas adequadas para assegurar a confidencialidade dos dados.

Considerando a limitação do tratamento (i.e., a recolha dos dados prende-se com a adotação de um plano de contingência COVID-19), deve ser assegurado que, findo este período, os dados serão eliminados pela organização, não sendo utilizados para qualquer outra finalidade.

 

A organização pode controlar a execução da prestação laboral do trabalhador em regime de teletrabalho?

A CNPD emitiu orientações, estabelecendo que o empregador mantém os poderes de direção e de controlo da execução da prestação laboral. Sem prejuízo, aplica-se a regra geral de proibição de utilização de meios de vigilância à distância, com a finalidade de controlar o desempenho profissional do trabalhador.

Assim, não são admitidas soluções tecnológicas para controlo à distância do desempenho do trabalhador, como softwares que rastreiem o tempo de trabalho e de inatividade, registem as páginas de Internet visitadas, a localização do terminal em tempo real e as utilizações dos dispositivos periféricos. Do mesmo modo, não é admissível impor ao trabalhador que mantenha a câmara de vídeo permanentemente ligada, nem, em princípio, será de admitir a possibilidade de gravação de teleconferências entre o empregador (ou dirigentes) e os trabalhadores.

Contudo, a CNPD admite que os registos de tempo de trabalho possam ser efetuados por recurso a soluções tecnológicas específicas neste regime de teletrabalho, que devem limitar-se a reproduzir o registo efetuado quando o trabalho é prestado nas instalações da entidade empregadora. Não dispondo de tais ferramentas, excecionalmente é legítimo ao empregador fixar a obrigação de envio de e-mail, SMS ou qualquer outro modo similar.

 

As autoridades de proteção de dados já se pronunciaram sobre este tema?

Algumas autoridades de proteção de dados já emitiram orientações sobre o tema:

Recentemente, a CNPD veio emitir um conjunto de orientações:

Em relação à Aplicação STAYAWAY COVID, e na sequência da Deliberação 2020/277 da CNPD, foi aprovado o Decreto-Lei n.º 52/2020 de 11 de agosto, que estabelece, como entidade responsável pelo tratamento de dados pessoais recolhidos, a DGS, regulando ainda a intervenção do médico no sistema STAYAWAY COVID.

 

 

__________________________

Esta informação é regularmente atualizada.

A informação disponibilizada e as opiniões expressas são de caráter geral, não substituindo o recurso a aconselhamento jurídico adequado para a resolução de casos concretos.