Texto originalmente publicado no Jornal de Negócios. Versão reduzida publicada no Jornal de Negócios impresso de 20 de abril 2020
1. As epidemias e os problemas de saúde pública não são desconhecidos do Direito quer através da definição de regimes próprios, quer a partir de aplicação de institutos como a alteração das circunstâncias.
Relativamente ao tema da proteção de dados pessoais, fenómenos como a pandemia da covid-19 tem enquadramento direto no Regulamento Geral de Proteção de Dados (RGPD), e nesta fase, tem sido objeto de intervenções públicas diariamente. Todos os dias existem novas medidas e posições próprias das autoridades de controlo nacionais, das instituições da União Europeia e do Conselho da Europa (deixamos por analisar textos de outras origens).
De acordo com o RGPD (artigo 9.º, n.º 2) são legítimos os tratamentos de dados, sem consentimento, sobretudo nas seguintes situações: (i) se o tratamento for necessário para medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde (alínea h); (ii) se o tratamento for necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde (alínea i).
Os artigos 6.º, n.º 1, alínea d) e 9.º, n.º 1, alínea c), apesar de com um objeto distinto, referem o tratamento de dados, sem necessidade de consentimento, sempre que necessário para proteger os interesses vitais dos titulares de dados ou outras pessoas singulares.
Neste contexto, o Considerando (46) afigura-se claro e refere os tratamentos de dados que conciliam o interesse público e os interesses vitais “para fins humanitários, incluindo a monitorização de epidemias e da sua propagação ou em situações de emergência humanitária, em especial situações de catástrofes naturais ou de origem humana.”
Dentro de uma linha semelhante o Considerando (54) enuncia que “o tratamento de categorias especiais de dados pode ser necessário por razões de interesse público nos domínios da saúde pública, sem o consentimento do titular dos dados.”
Existe, assim, uma regra de que os tratamentos de dados de saúde em tempos de exceção devem basear-se na legislação e regulamentação nela fundada, e não no consentimento.
2. Os tratamentos de dados pessoais em estado de emergência, que implicam necessariamente restrições a direitos fundamentais (máxime ao direito à proteção de dados pessoais, previsto no artigo 8.º da Carta Europeia de Direitos Fundamentais) devem obedecer, nomeadamente, ao princípio da proporcionalidade e ao respeito conteúdo essencial dos direitos afetados - artigo 52.º, n.º 1 da Carta Europeia de Direitos Fundamentais – acompanhado pelo artigo 9.º, n.º 2, alínea g) do RGPD.
Assim, em situação de pandemia, para além de os tratamentos de dados estarem basicamente fundados na lei, no interesse público e na proteção de interesses vitais, existe a necessidade de cumprir o princípio da proporcionalidade na definição de restrições a direitos integrados na proteção de dados pessoais.
Por outro lado, o RGPD prevê - no artigo 23.º – uma regra específica sobre restrições que devem, na UE ou em cada Estado, revestir forma legal (de acordo com os respetivos ordenamentos jurídicos) e respeitar os princípios já citados. O fundamento das restrições à face deste artigo encontra-se no n.º 1, alínea e), quando se referem “objetivos importantes de saúde pública.”
Reforçando a aplicação do artigo 23.º compete verificar que o Considerando (73) alude às restrições a qualquer direito integrado na órbita da proteção de dados na medida em que aquelas “sejam necessárias e proporcionais numa sociedade democrática.
Conclui-se, desta forma, que qualquer direito integrado na proteção de dados pessoais – direitos de informação, apagamento, oposição, acesso, retificação, portabilidade e a decisões baseadas na definição de perfis – pode ser afetado de forma proporcional no contexto de uma pandemia.
3. A questão tem sido debatida no que toca ao Direito do Trabalho e ao controlo e monitorização de titulares de dados, normalmente pessoas infetadas ou que com estas entrem em contacto, através de aplicações que permitem a geolocalização quando aplicadas a smartphones.
Numa breve alusão a matérias laborais existe a necessidade de aplicar o RGPD em conjugação com a legislação nacional, sendo que o texto da União refere expressamente a possibilidade de os Estados adotarem normas mais específicas neste setor (artigo 88.º).
Pensamos, por exemplo, que não existe fundamento legal para a exigência generalizada de testes de diagnóstico da COVID-19 ou para a recolha de dados de saúde como a temperatura corpórea.
Haverá, contudo, situações em que pela natureza da prestação laboral se justifique a realização de testes ou a recolha de elementos indiciários da doença. Pense-se em profissionais de saúde.
Este período de pandemia não pode, com respeito pelo princípio da proporcionalidade, ser utilizada como fundamento para elaborar listas de asmáticos, diabéticos ou qualquer portadores de qualquer patologia que afete a imunidade.
Esta seria uma forma de cultivar futuras discriminações incompatíveis com princípios básicos de proteção de dados como a finalidade ou a minimização previstos no artigo 5.º do RGPD.
Diferente será a situação em que um trabalhador esteja infetado dentro da organização. Nesse caso pensamos que a solução adequada passa por conservar o registo, não lhe dando publicidade junto dos demais trabalhadores, mas informando-os de que existiu um caso positivo. Parece ser esse o sentido, no caso português, da Orientação n.º 006/2020, de 26 de fevereiro da Direção-Geral de Saúde.
Para cumprir a citada Orientação, deve ser criado, também, um espaço de isolamento do trabalhador que apresente sintomas da patologia.
Há a notar que estes tratamentos de dados não devem “ter por resultado que os dados sejam tratados para outros fins por terceiros, como os empregadores ou as companhias de seguros e entidades bancárias.” Considerando (54).
Entende-se que pode haver lugar à aplicação do direito ao apagamento (artigo 17.º do RGPD) quando estiverem superadas as razões que levaram aos tratamentos de dados, particularmente em entidades públicas ou privadas.
4. Relativamente à utilização da geolocalização por smartphones são conhecidas as experiências, por exemplo, da China, Coreia do Sul, Singapura e Israel. Na UE, a primeira experiência verificou-se na Polónia e tem sido alargada a outros Estados, impondo por vezes alteração da legislação interna como sucedeu na Alemanha através da alteração da Infektionsschutzgesetz, IfSG (Lei sobre doenças infecto-contagiosas).
O estudo da utilização comunicações eletrónicas para fins de geolocalização encontra-se já distribuído a um subgrupo do Comité Europeu de Proteção de Dados, conforme decorreu da reunião de 7 de março de 2020. O Comité, já produziu, contudo, uma comunicação datada de 19 de março de 2020, na qual refere que a utilização da geolocalização, através de smartphones em ambiente de pandemia deve proceder à localização de titulares de dados por processos anonimizados, com dados agregados.
Esta comunicação do Comité, considerando o artigo 15.º, n.º 1 da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002 (relativa à privacidade nas comunicações eletrónicas), admite que os Estados se afastem da regra da anonimização, quando esteja em causa a “segurança pública”, sendo aí possível aprovar medidas internas necessárias, adequadas e proporcionais numa sociedade democrática.
A Recomendação da Comissão Europeia datada de 8 de abril de 2020 - C(2020) 2296 final - aponta para a possibilidade de recorrer a aplicações em dispositivos móveis de forma a que identifiquem a circulação de pessoas infetadas, recolham informação de indivíduos que com estas contactem e seja, assim, detetada a origem de cadeias de transmissão do vírus SARS -Cov2. Desta forma pode verificar-se um processo de controlo das regras de confinamento e de respeito pela distância que deve medear entre indivíduos.
A Recomendação da Comissão não apresenta uma “preferência pela anonimização” e sublinha a necessidade de se eliminarem os dados tratados quando já não sejam úteis para as finalidades de saúde pública para as quais foram criados.
Na linha das declarações de dia 7 de abril de Wojciech Wiewiórowski (Autoridade Europeia de Proteção de Dados), a Recomendação da Comissão Europeia refere também a vantagem de criar uma aplicação única para dispositivos móveis e a necessidade de enfrentar a pandemia no plano da proteção de dados de forma Pan-Europeia.
Wojciech Wiewiórowski foi mais longe ao afirmar a coordenação preferencial do processo pela Organização Mundial de Saúde, o que a ser seguido implicaria dificuldades políticas óbvias.
A Recomendação fixa datas e metas quer aos Estados, quer às instituições da UE.
5- Em estado de pandemia a restrição de direitos fundamentais apresenta-se inevitável, porém como em qualquer situação deve encontrar-se justificada quanto à sua proporcionalidade e ausência de excesso.
Nas leituras feitas apresentam-se as vantagens do controlo e monitorização de indivíduos no contexto da COVID-19, mas não abundam as explicações sobre a necessidade destes tratamentos de dados.
Quanto à crença de que com o fim da pandemia existirá um retorno à situação anterior, temos o maior ceticismo em acreditar em retrocessos no tratamento de informação pessoal. O 11 de setembro de 2001 mudou, significativamente, os tratamentos de dados pessoais e os respetivos fundamentos de legitimidade em áreas que não têm expressão no combate ao terrorismo.
Esta é uma época de ação, de salvar vidas e assegurar o regular funcionamento social, mas não se pode estar alheio às consequências das medidas restritivas que se vão adotando devendo sobre elas existir um juízo crítico, exigindo-se o fim da limitação temporária dos direitos afetados logo que termine a situação de pandemia.