A organização pode recolher dados pessoais, no âmbito da implementação de plano de contingência COVID-19?

Qualquer organização pode recolher dados pessoais no âmbito da implementação de um plano de contingência, devendo sempre assegurar o cumprimento de um conjunto de requisitos. Desde logo, deve garantir-se que os dados a recolher são adequados e não excessivos, devendo apenas ser tratados os dados efetivamente necessários considerando as finalidades em causa.

Os requisitos legais aplicáveis variam em função do tipo de dados a recolher, podendo ainda, em alguns casos, o tipo de titular dos dados (colaboradores, familiares de colaboradores, clientes ou prestadores de serviços) ter um impacto nas regras a observar.

 

Podem ser recolhidos dados relativos a viagens efetuadas e dados de saúde?

Caso a organização pretenda recolher informação sobre viagens efetuadas ou a efetuar, locais visitados ou pessoas contactadas (dados que podem ser qualificados como dados de vida privada), a organização deve garantir que, por um lado, tais dados são efetivamente necessários para a implementação do plano de contingência e, por outro lado, se verifica uma das condições de licitude para o tratamento de tais dados. 

Caso a organização pretenda recolher dados de saúde (dados qualificados como categorias especiais de dados), os requisitos legais são mais exigentes, já que a regra é a de que tal recolha é proibida.

O RGPD prevê um conjunto de situações excecionais que permitem o tratamento de dados de saúde - de entre as quais se destaca (i) o consentimento, (ii) a necessidade de tratamento de dados para efeitos de cumprimento de obrigações e exercício de direitos em matéria laboral; (iii) necessidade do para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do trabalhador e (iv) a necessidade do tratamento por motivos de interesse público no domínio da saúde pública.

A Comissão Nacional de Proteção de Dados (CNPD) emitiu, a 23 de abril de 2020, orientações relativamente à recolha de dados de saúde dos trabalhadores entendendo que a prevenção de contaminação pode, de facto, justificar a intensificação de cuidados de higiene dos trabalhadores (v.g., quanto à lavagem de mãos), bem como a adoção de medidas organizativas quanto à distribuição no espaço dos trabalhadores ou à sua proteção física, e algumas medidas de vigilância, conforme o estabelecido nas orientações da Direção Geral de Saúde.

A CNPD entende que não se justifica a realização de atos que, nos termos da lei nacional, só as autoridades de saúde ou o próprio trabalhador, num processo de auto-monitorização, podem praticar.

Assim, a CNPD entende que não pode uma entidade empregadora proceder à recolha e registo da temperatura corporal dos trabalhadores ou de outra informação relativa à saúde ou a eventuais comportamentos de risco dos seus trabalhadores, mantendo-sea possibilidade de o profissional de saúde no âmbito da medicina do trabalho avaliar o estado de saúde dos trabalhadores assim como obter as informações que se revelem necessárias para avaliar a aptidão para o trabalho, nos termos gerais definidos na lei da segurança e saúde no trabalho.

Entretanto, foi publicado o Decreto-Lei 20/2020 que prevê a possibilidade de recolha de temperatura dos trabalhadores para efeitos de acesso e permanência no local de trabalho, sendo, nos termos do referido Decreto-Lei, expressamente proibido o registo da temperatura corporal associado à identidade da pessoa, salvo com expressa autorização da mesma.

Na medida em que a CNPD ainda não se pronunciou ou alterou as orientações emitidas na sequência da aprovação do Decreto-Lei 20/2020, as organizações deverão acompanhar futuros desenvolvimentos, por forma a avaliar e identificar as medidas adequadas

 

Que outros cuidados devem ser adotados?

A organização deve, em qualquer das situações, prestar informação relativamente aos termos em que os dados irão ser tratados no âmbito do plano de contingência, identificando-se, desde logo, as finalidades para as quais os dados serão utilizados. No caso de recolha dados de familiares de colaboradores, e já que a organização não tem uma relação direta com tais pessoas, poderá ser mais desafiante assegurar a prestação de informação.

Atendendo à sensibilidade dos dados, devem ser adotadas medidas de segurança, técnicas e organizativas adequadas para assegurar a confidencialidade dos dados.

Considerando a limitação do tratamento (i.e. a recolha dos dados prende-se com a adotação de um plano de contingência COVID-19), deve ser assegurado que, findo este período, os dados serão eliminados pela organização, não sendo utilizados para qualquer outra finalidade.

 

A organização pode controlar a execução da prestação laboral do trabalhador em regime de teletrabalho?

A CNPD emitiu orientações, estabelecendo que o empregador mantém os poderes de direção e de controlo da execução da prestação laboral. Sem prejuízo, aplica-se a regra geral de proibição de utilização de meios de vigilância à distância, com a finalidade de controlar o desempenho profissional do trabalhador.

Assim, não são admitidas soluções tecnológicas para controlo à distância do desempenho do trabalhador, como softwares que rastreiem o tempo de trabalho e de inatividade, registem as páginas de Internet visitadas, a localização do terminal em tempo real e as utilizações dos dispositivos periféricos. Do mesmo modo, não é admissível impor ao trabalhador que mantenha a câmara de vídeo permanentemente ligada, nem, em princípio, será de admitir a possibilidade de gravação de teleconferências entre o empregador (ou dirigentes) e os trabalhadores.

Contudo, a CNPD admite que os registos de tempo de trabalho possam ser efetuados por recurso a soluções tecnológicas específicas neste regime de teletrabalho, que devem limitar-se a reproduzir o registo efetuado quando o trabalho é prestado nas instalações da entidade empregadora. Não dispondo de tais ferramentas, excecionalmente é legítimo ao empregador fixar a obrigação de envio de e-mail, SMS ou qualquer outro modo similar.

 

As autoridades de proteção de dados já se pronunciaram sobre este tema?

Algumas autoridades de proteção de dados já emitiram orientações sobre o tema:

Recentemente, a CNPD veio emitir um conjunto de orientações:

Em relação à Aplicação STAYAWAY COVID, e na sequência da Deliberação 2020/277 da CNPD, foi aprovado o Decreto-Lei 52/2020 de 11 de agosto, que estabelece, como entidade responsável pelo tratamento de dados pessoais recolhidos, a Direção Geral de Saúde, regulando ainda a intervenção do médico no sistema STAYAWAY COVID.

 

 

 

__________________________

Esta informação é regularmente atualizada.

A informação disponibilizada e as opiniões expressas são de caráter geral, não substituindo o recurso a aconselhamento jurídico adequado para a resolução de casos concretos.