COVID-19: O Contexto de Pandemia e o Tratamento de Dados Pessoais

A propagação do COVID-19 impõe às empresas novos e vários desafios em matéria de tratamento de dados pessoais, incluindo de trabalhadores, prestadores de serviços, clientes ou visitantes que, por qualquer razão, tenham acesso às instalações das empresas.

Por seu turno, a CNPD – Comissão Nacional de Proteção de Dados (doravante, CNPD) no passado dia 16 de março emitiu a Deliberação/2020/170, com vista a comunicar a suspensão dos prazos de resposta aos projetos de deliberação.

A suspensão dos referidos prazos deve-se à declaração, por parte do Governo português, de estado de alerta, bem como das orientações das autoridades de saúde pública para diminuir o risco de contaminação pelo COVID-19.

No Decreto-Lei n.º 10-A/2020, de 13 de março, diploma que visa acautelar procedimentos perante a pandemia decretada pela Organização Mundial de Saúde, estabelece que esta é fundamento para a alegação do justo impedimento à prática de atos processuais e procedimentais que devam ser praticados presencialmente, por entidades administrativas, como é o caso da CNPD. Deste modo, a CNPD diminuiu o âmbito da sua atuação, à semelhança de outras entidades públicas.

Todavia, esta suspensão de prazos não afeta a necessidade de, por parte das empresas e de pessoas singulares que tratem dados pessoais, continuar a cumprir com as normas do Regulamento Geral de Proteção de Dados (RGPD) e da Lei n.º 58/2019, de 8 de agosto.

Torna-se, pois, imperioso um reforço dos meios de proteção dos titulares dos dados face à situação que o país e o mundo atravessam, atenta, nomeadamente, a necessidade de se proceder ao tratamento de dados sensíveis (nomeadamente, dados de saúde) e de lidar com o recurso ao teletrabalho, implementando e/ou reforçando as medidas que se demonstrem necessárias à já referida proteção.

Prazos, contudo, que não se encontram suspensos:

  • Prazo de comunicação à CNPD, no máximo e sempre que possível, de 72 horas após tomada de conhecimento da violação de dados pessoais;
    • Caso este prazo seja ultrapassado, a referida comunicação deverá ser acompanhada da justificação que motivou tal atraso. Esta obrigação de comunicação, e como já foi referido, não foi suspensa, pelo que as entidades deverão ter máxima atenção às consequências da sua não comunicação ou identificação, em tempo útil.
  • Resposta aos exercícios de direitos, efetuados pelos titulares dos dados pessoais, também não foi deliberada qualquer suspensão do prazo regulado para resposta, pelo que continua a ser indispensável a criação de uma via única que dê resposta a estas situações no prazo legalmente estabelecido.

 

Chamamos ainda a atenção para o press release do Comité Europeu para a Proteção de Dados que, basicamente, refere que o tratamento de dados neste período de emergência social (mesmo os dados relativos a saúde) se justifica com base no interesse público ou na defesa de interesses vitais, e não no consentimento do seu titular.

Posto isto, seguem abaixo alguns conselhos e informações úteis, no que toca ao tratamento dos dados pessoais no contexto do COVID-19:

  • Deve privilegiar-se a recolha de dados e/ou informações que não identifiquem ou tornem identificáveis os titulares dos dados pessoais, sempre que tais meios sejam compatíveis com as finalidades de recolha dos dados, por exemplo em alguns casos de controlo de entradas nas suas instalações;

 

  • Caso tal não seja possível ou não garanta a segurança necessária neste clima pandémico, deve ser assegurado que os dados pessoais tratados são adequados, pertinentes, necessários e limitados, tendo em conta as finalidades para as quais são tratados;

 

  • Na eventualidade da recolha de dados pessoais considerados relevantes no âmbito dos respetivos planos de contingência, tais como informações sobre viagens e visitas a determinados países ou locais, contactos com pessoas infetadas com o COVID-19 ou sobre a existência de sintomas associados a esta doença, deverá ter-se em especial atenção os diferentes níveis de proteção que a lei confere aos dados em causa;

 

  • O tratamento de dados pessoais neste contexto, que não sejam dados de saúde ou não se enquadrem noutras categorias especiais de dados pessoais, poderá ser fundamentado com recurso aos interesses legítimos das empresas ou de terceiros, bem como na necessidade do mesmo para a defesa de interesses vitais do titular dos dados ou de terceiro;

 

  • Em caso de recolha e tratamento de dados de saúde, a legislação prevê um conjunto de exceções à proibição inerente ao tratamento deste tipo de dados pessoais, neste sentido o tratamento de dados pessoais de saúde deverá ter por fundamento motivos de interesse público no domínio da saúde pública ou na necessidade do tratamento para efeitos do cumprimento de obrigações e do exercício de direitos em matéria de legislação laboral, de segurança social e de proteção social, designadamente quando a finalidade seja garantir a segurança e saúde dos trabalhadores das empresas e evitar a propagação da doença COVID-19;

 

  • O tratamento dos dados de saúde deverá ser efetuado por pessoa sujeita a dever de sigilo e, em determinados casos, por profissional obrigado a sigilo ou sujeito a dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da informação;

 

  • Os dados pessoais tratados no presente contexto deverão ser eliminados ou anonimizados, logo que se esgotem as finalidades para as quais os dados pessoais foram tratados.

 

Os vários Departamentos da CCM Advogados encontram-se em constante actualização, atuando em conjunto, de molde a proporcionar a todos os seus clientes a informação necessária, correcta e actualizada perante a conjetura atual.