O RGPD e a Pandemia da Covid-19

Questões Chave

A presente pandemia da Covid-19 tem dado muito que falar e escrever. Em primeiro lugar pelos seus efeitos mais diretos como sejam o número de pessoas infetadas, o número de doentes e o seu efeito sobre as disponibilidades do SNS, a forma como as medidas preventivas impactam as nossas vidas diretamente e, claro está, o impacto que tudo isto tem e terá na saúde e na nossa economia. São, sem dúvida, boas razões para tanto se falar e escrever.

No entanto, como é característico em eventos de tamanha dimensão e potencial de disrupção, os seus efeitos multiplicam-se pelas mais variadas áreas. Uma dessas áreas é sem dúvida a área dos dados pessoais que é norteada pelo Regulamento Geral da Proteção de Dados (RGPD). Vejamos então alguns exemplos de áreas que caem sobre a alçada do RGPD, e que se tornaram incontornáveis em função do impacto da pandemia:

1. Teletrabalho
2. Ensino à distância
3. Medições de temperatura corporal no âmbito do acesso ao local de trabalho
4. A famosa app de rastreamento “Stay Away Covid”

O objetivo aqui não é contribuir com mais uma opinião sobre a app “Stay Away Covid” mas apenas abordar  resumidamente os primeiros três exemplos uma vez que existirão porventura muitos gestores ou responsáveis escolares que tiveram que se confrontar com estes desafios e que poderão não estar completamente cientes das suas implicações no que diz respeito ao cumprimento do RGPD. Cumprimento esse que, recordo, é obrigação de todas as empresas e organizações situadas no território da União Europeia.

1. Teletrabalho

De que forma está relacionado com o RGPD?

1. Todo o tratamento de dados pessoais cai sobre a alçada do RGPD. A partir do momento que fazemos uma videoconferência existe tratamento de dados, muitos dos quais são pessoais. Quando o fazemos a partir de casa estamos a abrir uma porta para a nossa vida privada. O RGPD impõe especiais cuidados para os responsáveis de tratamento quando assim é.
2.  A Segurança dos dados é uma das principais preocupações do RGPD. O trabalho à distância traz mais vulnerabilidades, especialmente quando se acede remotamente aos sistemas e bases de dados das empresas.

Assim sendo, ao implementarem soluções de teletrabalho, as empresas devem fazê-lo de modo a não só respeitar os direitos dos trabalhadores como também de forma segura e cuidadosa em relação ao tratamento de eventuais dados pessoais pertencentes aos próprios bem como a clientes, prospetos, fornecedores ou parceiros.

Fazer isto bem carece de conhecimento e planeamento. O instrumento principal a utilizar será certamente a criação de uma política de teletrabalho. A mesma deve ser informada pelos inputs da área de T.I., Recursos Humanos, e a existir, do Encarregado de Proteção de Dados ou DPO.

A propósito deste tema a Crowe realizou um webinar que pode ajudar a dar os primeiros passos e que é possível rever aqui: Webinar - O Teletrabalho e o RGPD.

2. Ensino à distância

De que forma está relacionado com o RGPD?

1. Exatamente pelas mesmas razões que o teletrabalho, acima mencionadas, só que neste caso, quando se trata de escolas, com uma responsabilidade agravada por muitos dos titulares em questão serem crianças e jovens menores de idade.
2.  Os estabelecimentos de ensino têm sido confrontados com uma vasta panóplia de plataformas que visam possibilitar, potenciar e enriquecer o ensino à distância. Escolher entre elas já poderá ser suficientemente difícil dada a diversidade de soluções e características das mesmas. No entanto, apesar desta dificuldade, um dos fatores que não pode ser descurado é a sua validação no que diz respeito aos cuidados a ter no âmbito da proteção dos dados pessoais. Que garantias oferece a plataforma em termos do RGPD? Onde são armazenados os dados que são recolhidos? A que tratamentos são eles sujeitos? Quem tem acesso a eles? Onde são armazenados? Existem criações de perfis? É possível dar seguimento ao exercício de direitos dos titulares tal qual foram consagrados no RGPD? Qual a base de licitude para o tratamento? Existe uma AIPD (Avaliação de Impacto sobre Proteção de Dados) consultável? Existe criação de perfis com recurso a algoritmos avançados? Etc.

Tal como as empresas que recorrem ao teletrabalho também os estabelecimentos de ensino devem desenvolver políticas e procedimentos de modo a assegurar a conformidade com o RGPD. Códigos de conduta para os alunos e professores, processos de escolha de plataformas robustos e devidamente fundamentados, obtenção de consentimento por parte dos utilizadores quando tal se revelar necessário entre outras medidas.

3. Medição da temperatura corporal

De que forma está relacionado com o RGPD?

Neste caso é evidente a pertinência da aplicabilidade do RGPD. A temperatura corporal constitui, sem dúvida, um dado pessoal e ademais pertence a categoria especial de dados (dados de saúde) cujo tratamento é proibido (Artigo 9 do RGPD).

A CNPD emitiu em Abril de 2020 Orientações sobre recolha de dados de saúde dos trabalhadores e aí esclarece que “não pode uma entidade empregadora proceder à recolha e registo da temperatura corporal dos trabalhadores”. Esta posição causou alguma polémica tendo sido objeto de um requerimento por parte de um deputado da Assembleia da República e um posterior esclarecimento por parte da CNPD que reafirmou a sua posição inicial. É importante perceber que no contexto laboral nem o consentimento serve como base de licitude ao tratamento, dado o manifesto desequilíbrio que existe entre empregado e empregador.

Assim como podem as empresas proceder em relação a este tema?

A CNPD indica duas possíveis alternativas:

1. Auto-monitorização por parte dos trabalhadores. Devem ser os próprios trabalhadores a fazerem esse controlo de temperatura e a tomarem a iniciativa de não comparecer no local de trabalho.
2. A temperatura pode ser controlada se tal for feito por um profissional de saúde no âmbito da medicina no trabalho. Cito: “De acordo com os critérios científicos que presidem às suas decisões clínicas e com as orientações da autoridade nacional de saúde, cabe-lhe (ao profissional de saúde) determinar a frequência e tipo de avaliação que considere conveniente para este efeito e, sempre que identifique trabalhadores com sintomas ou em outra situação que o justifique, adotar os procedimentos adequados a salvaguardar a saúde dos próprios e de terceiros.”

Ou seja, existem presentemente em Portugal muitas entidades empregadoras a atuarem em desconformidade para com o RGPD nesta matéria e estão por isso expostas às respetivas sanções previstas no Regulamento.

Desta forma, e apesar dos tempos que vivemos, onde muitas vezes somos empurrados para processos de tomada de decisões urgentes e não planeados, convém que no início desse processo os responsáveis e decisores avaliem qual o impacto no tratamento de dados pessoais que essas decisões podem ter. As organizações, por intermédio dos seus corpos gerentes, diretores e gestores apoiados no seu DPO ou em outras entidades de consultoria, devem ter em conta os princípios da privacidade por desenho ou por defeito (By Design and By Default) previstos no regulamento quando iniciam um processo de decisão onde podem existir tratamento de dados pessoais de modo a que, por essa via, salvaguardem a conformidade para com os dados pessoais envolvidos e, ao mesmo tempo que protegem os mesmos, protegem também as suas organizações.

Aviso Legal:

As opiniões expressas neste documento podem não se aplicar à sua entidade, negócio, ativo ou circunstância. Deve procurar aconselhamento profissional e adotado um julgamento independente em relação ao conteúdo do artigo e aos temas relacionados. Além disso, as opiniões expressas neste documento não são um indicador necessário de nossa abordagem para qualquer atribuição ou situação específica de avaliação. 

Texto produzido por José Madeira Rodrigues, GPDR Consultant na Crowe Portugal.