European Data Protection Board
(19 de Março 2020)
– Principais Conclusões –
Legalidade do tratamento
As normas do RGPD aplicam-se no contexto do COVID-19. O RGPD permite às autoridades de saúde e aos empregadores tratar os dados pessoais no contexto de uma epidemia, de acordo com a legislação nacional existente. Tratam-se de situações excecionais que, por razões de interesse público na área da saúde pública, o tratamento de dados não depende do consentimento dos indivíduos.
■ É legitimo o tratamento de dados pessoais, incluindo categorias especiais de dados pelas autoridades públicas competentes (por exemplo, autoridades de saúde pública), em particular quando o mesmo é efetuado no âmbito dos poderes de uma autoridade pública.
■ No contexto de uma relação laboral, o tratamento de dados pode ser necessário para cumprimento de uma obrigação legal, por motivos relacionados com a saúde e segurança no local de trabalho, por interesse público, como o controle de doenças e outras ameaças à saúde. O RGPD prevê aliás derrogações à proibição de tratamento de certas categorias especiais de dados pessoais, como dados de saúde, quando o tratamento seja necessário por razões de interesse público importante no domínio da saúde pública, ou para proteger os interesses vitais do titular dos dados.
■ No que diz respeito ao tratamento de dados de comunicações eletrónicas, como dados de localização
cujo tratamento é por regra proibido, sendo, no entanto, admitidos regimes de exceção (salvaguardar situações de segurança pública), devendo o tratamento ser estritamente limitado à duração da situação de emergência em questão.
PRINCÍPIOS FUNDAMENTAIS RELATIVOS AO
TRATAMENTO DE DADOS PESSOAIS
Os princípios subjacentes ao tratamento de dados pessoais têm de ser respeitados mesmo em situação de Covid-19:
■ Os dados pessoais objeto de tratamento têm de ser necessários para uma finalidade determinada, explicita e legitima;
■ Os titulares dos dados devem receber informações transparentes sobre as atividades de tratamento (ex: finalidade, prazo de conservação etc.), numa linguagem clara e simples;
■ Deve ser garantida a adoção de medidas de segurança e políticas de confidencialidade adequadas, de
forma a impedir a divulgação não autorizada de dados a terceiros.
As tomadas de decisão sobre as medidas adotadas no presente estado de emergência devem ser devidamente documentadas.
USO DE DADOS DE LOCALIZAÇÃO (MÓVEL)
Numa situação excecional, as legislações nacionais poderão prever o uso de dados de localização móvel como uma forma de monitorizar ou mitigar a disseminação do COVID-19, como por exemplo, geolocalizar indivíduos e proceder ao envio de mensagens de alertas por telefone, a indivíduos que estejam localizados em determinadas áreas geográficas específicas.
O EPDP recomenda que as autoridades públicas devem primeiramente envidar todos os esforços para tratar os dados de localização de forma anónima (agregada), permitindo por exemplo apenas gerar relatórios sobre a concentração de dispositivos móveis num determinado local (“cartografia”).
A possibilidade de um tratamento de dados intrusivo para a privacidade dos indivíduos, como é o caso do tratamento de dados de localização sem ser de forma agregada, mesmo que para a salvaguarda da segurança pública deverá ter em conta o princípio da proporcionalidade, pelo que as soluções menos invasivas devem sempre ser a opção dos Governos.
RELAÇÃO LABORAL
O empregador, no exercício da sua atividade, deve assegurar o cumprimento dos seguintes princípios:
■ O empregador só pode exigir aos visitantes ou aos seus trabalhadores informações específicas sobre saúde no contexto do COVID-19, na medida em que a legislação nacional o permitir. Haverá que ter sempre em conta o princípio da proporcionalidade e da minimização de dados;
■ O empregador apenas está autorizado a realizar exames médicos aos seus trabalhadores, se existir disposição legal que assim o obrigue;
■ O empregador deve informar a equipe sobre os casos COVID-19 que surjam na Organização e tomar medidas de proteção necessárias para o efeito e não deve comunicar mais informações do que o necessário.
■ Nos casos em que seja necessário identificar o(s) trabalhador(s) que contraiu o vírus (por exemplo, emum contexto preventivo) e caso a legislação nacional assim o permita, os trabalhadores em questão devem ser informados com antecedência e a sua dignidade e integridade devem ser protegidas.
Para mais informação consulte:
https://dre.pt/legislacao-covid-19
Em caso de dúvidas, contacte-nos
ana.i.martins@timestamp.pt
www.timestampgroup.com