Comunicado do Comité Europeu para a Proteção de Dados sobre o tratamento de dados pessoais no contexto da COVID-19
SÉRVULO PUBLICATIONS 26 Mar 2020
No passado dia 20 de março, o Comité Europeu para a Proteção de Dados («CEPD») publicou um comunicado sobre o tratamento de dados pessoais durante o surto pandémico COVID-19.
Num contexto em que os Estados-Membros da União Europeia e diversas organizações públicas e privadas estão a adotar medidas para conter e mitigar a COVID-19, o CEPD vem esclarecer que as normas sobre a proteção de dados não são um obstáculo à tomada de medidas neste combate, pelo contrário, o RGPD prevê o tratamento de dados num contexto de pandemia.
O CEPD, a esse propósito, vem dar algumas orientações sobre o tratamento de dados pessoais, em particular, às autoridades públicas e às empresas, responsáveis pelo tratamento. Damos notas de algumas delas:
- Licitude dos tratamentos:
De entre os fundamentos jurídicos[1] para o tratamento de dados pessoais previstos no Regulamento Geral sobre a Proteção de Dados («RGPD»), o CEPD destaca que, no contexto da COVID-19, o tratamento poderá basear-se em razões de saúde pública (interesse público), definindo-se o concreto fundamento (i) pelo direito da União ou (ii) pelo direito do Estado-Membro ao qual o responsável pelo tratamento está sujeito[2].
No que diz respeito ao tratamento de categorias especiais de dados (como os dados de saúde), o RGPD prevê derrogações à proibição do tratamento nos seguintes casos: (i) «se o tratamento for necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde ou para assegurar um elevado nível de qualidade e de segurança dos cuidados de saúde e dos medicamentos ou dispositivos médicos, com base no direito da União ou dos Estados-Membros que preveja medidas adequadas e específicas que salvaguardem os direitos e liberdades do titular dos dados, em particular o sigilo profissional»[3]; e (ii) «se o tratamento for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, no caso de o titular dos dados estar física ou legalmente incapacitado de dar o seu consentimento»[4]. Assim, o CEPD entende que o tratamento de categorias especiais de dados pelas autoridades competentes (por exemplo, autoridades de saúde pública) é permitido ao abrigo dos artigos 6.º e 9.º do RGPD, em particular, quando se enquadram no exercício dos poderes da respetiva autoridade pública.
- Princípios relativos ao tratamento de dados pessoais:
O RGPD estabelece que os dados pessoais devem ser objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados e recolhidos para finalidades determinadas, explícitas e legítimas, entre outros princípios fundamentais[5].
No contexto da pandemia COVID-19, o CEPD alerta para a importância de adotar medidas de segurança e políticas de confidencialidade adequadas, garantindo que os dados não são divulgados indevidamente a terceiros. Os responsáveis pelo tratamento deverão assegurar que a decisão sobre o tratamento de dados pessoais está adequadamente documentada.
- Dados de localização:
O CEPD considera que os Estados-Membros devem assegurar o cumprimento da Diretiva relativa à Privacidade e às Comunicações Eletrónicas[6] (com a lei que a executa no ordenamento jurídico do Estado-Membro). De acordo com a referida Diretiva, os dados de localização só podem ser tratados se forem anonimizados ou se os titulares tiverem consentido nesse tratamento.
Excecionalmente, o artigo 15.º da Diretiva permite que os Estados-Membros adotem medidas legislativas para restringir o âmbito dos direitos e obrigações nela previstos, sempre que essas restrições constituam uma medida necessária, adequada e proporcionada para salvaguardar, entre outros bens, a segurança pública. Para além disso, o CEPD assinala que essas medidas devem respeitar a Carta dos Direitos Fundamentais da União Europeia e da Convenção Europeia para a Proteção dos Direitos Humanos e Liberdades Fundamentais e sujeitas a controlo judicial. Em situações de estado de emergência, o tratamento deve ser estritamente limitado à duração desse estado.
- Os Estados-Membros podem tratar dados pessoais obtidos através da utilização de telefones móveis com o objetivo de conter ou mitigar a disseminação da COVID-19?
Tendo em conta que alguns Estados-Membros consideram que a utilização dos dados de localização poderá ser uma forma de monitorizar, conter ou mitigar a propagação da COVID-19 (falamos, por exemplo, na possibilidade de localizar pessoas ou enviar avisos sobre saúde pública por telefone), o CEPD recomenda que, sempre que possível, se recorra à anonimização dos dados pessoais.
Em todo o caso, os dados devem ser tratados de acordo com o princípio da proporcionalidade. As soluções menos intrusivas são preferenciais, tendo em consideração o objetivo específico a ser alcançado.
- Relações laborais:
No contexto laboral, o tratamento de dados pessoais pode ser necessário para o cumprimento de uma obrigação legal a que o empregador está sujeito, por exemplo, quando esteja relacionada com a saúde e a segurança no local de trabalho ou por razões de interesse público, como o controlo de doenças e outras ameaças à saúde pública.
Assim:
- O empregador pode exigir que os seus trabalhadores ou visitantes forneçam informações específicas sobre a sua saúde no contexto da COVID-19?
O CEPD entende que o empregador pode exigir informações de saúde na medida em que a lei nacional o permitir.
- É permitido a um empregador exigir a realização de exames médicos aos seus trabalhadores?
O CEPD também entende que o empregador pode exigir a realização de exames médicos aos seus trabalhadores na medida em que a lei nacional o permitir, designadamente, tendo por base as regras aplicáveis em matéria de segurança, saúde e higiene no trabalho.
- O empregador pode divulgar, interna e externamente, que um trabalhador está infetado com o COVID-19?
De acordo com CEPD, os empregadores devem informar os trabalhadores sobre os casos de COVID-19 que a afetem e tomar as medidas de proteção adequadas, limitando-se a revelar as informações mínimas necessárias. O empregador só pode revelar o nome do(s) trabalhador(es) que tenham contraído o vírus (por exemplo, com finalidades preventivas) se a lei nacional o permitir e, em qualquer caso, essas pessoas devem ser previamente informadas e a sua dignidade e integridade devem ser protegidas.
- Que informações tratadas no contexto da COVID-19 podem ser obtidas pelos empregadores?
O CEPD considera que os empregadores podem obter informações de índole pessoal para cumprimento das suas obrigações e organizar o trabalho, em conformidade com as leis nacionais aplicáveis.
Rita Serrano | rso@servulo.com
[1] Cf. artigo 6.º, n.º 1, do RGPD.
[2] Cfr. Artigo 6.º, n.º 3, alíneas a) e b) do RGPD.
[3] Cf. artigo 9.º, n.º 2, alínea i), do RGPD.
[4] Cf. artigo 9.º, n.º 2, alínea c), do RGPD. A propósito, o considerando 46 do RGPD prevê que «alguns tipos de tratamento podem servir tanto importantes interesses públicos como interesses vitais do titular dos dados, por exemplo, se o tratamento for necessário para fins humanitários, incluindo a monitorização de epidemias e da sua propagação ou em situações de emergência humanitária, em especial em situações de catástrofes naturais e de origem humana».
[5] Cf. artigo 5.º, n.º 1, do RGPD.
[6] Diretiva 2002/58/CE do Parlamento Europeu e Conselho de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas.