Alexandre Sousa Pinheiro
Doutor em Direito pela Faculdade de Direito da Universidade de Lisboa com a dissertação “Privacy eProteção de Dados: A Dogmática do Direito à Identidade Informacional”, publicada em 2015. Foi membro da Comissão Nacional de Proteção de Dados (2002-2006). Autor de cerca de 50 títulos, onde se destaca a coordenação do “Comentário ao Regulamento Geral de Proteção de Dados”. Professor Universitário. Advogado. Diretor da ASP-Formação e Consultoria.
Conheça a sua obra em www.almedina.net
A pandemia traz desafios consideráveis ao regime jurídico da proteção de dados quer em termos nacionais quer na União Europeia, que só podem ser vencidos com forte convicção da natureza deste direito e da sua influência na vida de cada um em comunidade
1. As epidemias e os problemas de saúde pública não são desconhecidos do Direito quer através da definição de regimes próprios, quer a partir de aplicação de institutos como a alteração das circunstâncias.
Debelar situações com esta complexidade exige regimes jurídicos temporalmente definidos e de exceção previstos nas Constituições e nas leis. No quadro do Direito interno (essencialmente enunciado na CRP e na Lei n.º 44/86, de 30 de setembro, alterado pela Lei Orgânica n.º 1/2011, de 30 de novembro e pela Lei Orgânica n.º 1/2012, de 11 de maio).
Nos termos da CRP, para a declaração do estado de emergência existe um regime orgânico e formal (artigo 138.º) e um regime material (artigo 19.º). Nas circunstâncias atuais, o estado de emergência foi declarado com base numa situação de “calamidade pública” (artigo 19.º, n.º 2). Sem observações pormenorizadas, cabe mencionar que: (i) a declaração do estado de emergência é um ato de caráter normativo, embora não legislativo; (ii) a iniciativa para a sua apresentação e sua elaboração cabe ao Presidente da República; (iii) a declaração é antecedida de audição do Governo; (iv) compete à Assembleia da República autorizar a declaração do Presidente do Presidente da República, que segue a forma de decreto presidencial; (v) a Assembleia da República não dispõe de competência para introduzir emendas à declaração presidencial, ou aprova através da forma de resolução ou não o faz (artigo 10.º, n.º 3 da Lei n.º 44/86, de 30 de setembro); (vi) a suspensão do exercício de direitos fundamentais, bem como os seus limites, deve constar da declaração de estado de emergência pelo Presidente da República; (vii) caso não apresente o grau de completude necessária, a declaração de estado de emergência pode implicar a prática de atos legislativos, com as competências próprias do período de normalidade constitucional e com as formas de ato definidas na CRP (artigo 19.º, n.º 7 da CRP)[1].
Nesta última situação, entendemos que a competência para legislar sobre direitos, liberdades e garantias parcialmente suspensos quanto ao seu exercício por decretos presidenciais, está adstrita à Assembleia da República e ao Governo, se existir lei de autorização. Por outras palavras, a suspensão de exercício de direitos constante da declaração presidencial, no caso de carecer de intervenção regulatória posterior, deve respeitar a reserva de competência parlamentar nos termos do artigo 165.º, n.º 1, alínea a) da CRP.
O facto de se tratar de direitos referidos como suspensos – os decretos referem sempre parcialmente suspensos -, tal não significa que deixem de vigorar no ordenamento, estão sim limitados ou provisoriamente cancelados quanto aos seus efeitos. Assim, consideramos que a competência da Assembleia da República não é afetada[2].
Em estado de emergência, a Assembleia da República e o Governo manteem a competência legislativa em termos idêntico aos da normalidade constitucional. O limite para o exercício dessa competência está definido pelo conteúdo do decreto presidencial que desempenha, no quadro do estado de emergência, uma função de “norma fundamental infraconstitucional”.
Por outras palavras, Assembleia República e Governo continuam vinculados às regras de competência e de regime material constantes da CRP (continua a aplicar-se, por exemplo, o artigo 112.º). Aprovando o Governo decretos-leis ou regulamentos administrativos que desenvolvam a o decreto presidencial, a Assembleia da República não está impedida de legislar sobre temas da sua competência material revogando, por exemplo, um decreto-lei que concretize parcialmente o decreto prsidencial.
Não encontramos na CRP qualquer impedimento a que a Assembleia da República ou o Governo exerçam a competência legislativa, relativamente a matérias que não tenham estado na origem do estado de emergência ou que sejam tratadas pelo decreto presidencial (por exemplo a transposição de uma Diretiva europeia sobre matéria ambiental). Este entendimento é extensivo às Assembleias Legislativas das Regiões Autónomas.
Também consideramos que não é compatível com a Constituição o desenvolvimento normativo de direitos fundamentais sob a forma de decreto do Governo – veja-se, especialmente, os Decretos números 2-A/2020, 2-B/2020 e 2-C/2020, de 20 de março, 2 de abril e 17 de abril. Esta escolha impede o controlo por parte do Presidente da República através da fiscalização preventiva da constitucionalidade ou do veto (artigo 136.º da CRP). Por outro lado, não permite a apreciação parlamentar de atos legislativos, que no caso deveriam ser decretos-leis (artigo 169.º da CRP)[3].
1.1. Sem amparo no decreto presidencial, o Decreto-Lei n.º 10-D/2020, de 13 de março, enunciou que entre “medidas excecionais e temporárias relativas ao setor das comunicações eletrónicas para dar resposta à situação epidemiológica” (artigo 1.º) estaria a prestação de serviços críticos, com prevalência sobre outros, que envolveriam os “serviços e organismos do Ministério da Saúde e as entidades prestadoras de cuidados de saúde integradas na rede do Serviço Nacional de Saúde.” (artigo 2.º, n.º 3, alínea a).
O facto de este ato normativo não ter cobertura no decreto presidencial não afeta a sua validade, na medida em que concretiza o artigo 2-A, n.º 1 da Lei n.º 5/2004, de 10 de fevereiro, alterado pela Lei 51/2011, de 13 de setembro, segundo o qual “compete ao Estado assegurar, nos termos da lei, a adequada coordenação das redes de comunicações eletrónicas em situações de emergência, crise ou guerra.”
Sobre a matéria específica do direito à proteção de dados pessoais, o n.º 4, alínea h) do Decreto do Presidente da República de 2 de abril prevê que “as autoridades públicas competentes podem determinar que os operadores de telecomunicações enviem aos respetivos clientes mensagens escritas (SMS) com alertas da Direção-Geral da Saúde ou outras relacionadas com o combate à epidemia.”
Idêntica redação encontra-se no decreto presidencial de 17 de abril.
Os decretos do Presidente da República não foram desenvolvidos por legislação parlamentar ou governamental posterior. Da redação das disposições, a dificuldade pode resultar da fórmula “outras relacionadas com o combate à epidemia”. No texto em aberto não caberá, por exemplo, informações sobre contact tracing (que veremos infra).
1.2. Quanto ao acesso a dados para investigação científica, o Decreto n.º 2-B/2020, de 2 de abril (artigo 39.º) – e posteriormente o Decreto n.º 2-C/2020, de 17 de abril (artigo 42.º) – previram o acesso a dados anonimizados do Sistema Nacional de Vigilância Epidemiológica para investigação científica nos seguintes termos: “A Direção-Geral de Saúde disponibiliza à comunidade científica e tecnológica portuguesa o acesso a microdados de saúde pública relativos a doentes infetados pelo novo coronavírus SARS-CoV-2 e a pessoas com suspeita de COVID-19, devidamente anonimizados e sem possibilidade de identificação do respetivo titular, que se encontrem na posse da Direção-Geral da Saúde ou sob a sua responsabilidade.”
O tratamento de dados de saúde para fins de investigação científica, no contexto covid-19, está apresentado nas Guidelines 3/2020, do Comité Europeu de Proteção de Dados [4], embora não existam referências específicas relativas a processos de anonimização[5]. Esta encontra-se referida, nomeadamente, no Considerando (26) do RGPD: “ (…) Os princípios da proteção de dados não deverão aplicar-se às informações anónimas, ou seja, às informações que não digam respeito a uma pessoa singular identificada ou identificável nem a dados pessoais tornados de tal modo anónimos que o seu titular não seja ou já não possa ser identificado. O presente regulamento não diz, por isso, respeito ao tratamento dessas informações anónimas, inclusive para fins estatísticos ou de investigação.”
A principal preocupação que resulta das Guidelines 3/2020 trata de estabelecer fundamentos e limites que justifiquem o tratamento de dados de saúde para fins de investigação científica no contexto da covid-19. Segundo o Comité, e muito sumariamente, : (i) deve ser definida uma condição de legitimidade constante dos artigos 6.º ou 9.º do RGPD (n.º 2 do sumário); (ii) devem ser cumpridos os princípios do artigo 5.º do RGPD, particularmente os da finalidade (n.º 1, alínea b), da minimização de dados (n.º 1, alínea c) e da confidencialidade (n.º 1, alínea f) (números 3 e 4 do sumário); (iii) as leis nacionais que possam vir a ser aprovadas pelos Estados-membros ao abrigo do artigo 89.º, n.º 2 do RGPD[6] devem afetar de forma limitada os direitos dos titulares dos dados pessoais compreendidos entre os artigos 12.º e 22.º do RGPD (n.º 6 do sumário).
Observando os elementos constantes do formulário da Direção Geral de Saúde – para efeitos de disponibilização – relativa a informação sobre pessoas afetadas ou que com estas tenham mantido contacto, verificamos existir uma grande quantidade de dados não sendo conhecido o processo de anonimização, o que se considera essencial para respeitar o princípio da transparência[7]. Por outro lado, as informações constantes do formulário apontam para a identificação de titulares de dados, o que levanta dificuldades no cumprimento das regras de segurança do RGPD (artigo 32.º).
Lembre-se que as Guidelines 3/2020 (n.º 4 do sumário) apontam para a realização de uma avaliação de impacto sobre a proteção de dados nos termos do artigo 35.º do RGPD.
2. Ao contrário do que ocorre nas constituições dos Estados-membros, a legislação europeia, particularmente o RGPD, não prevê regimes de exceção que conduzam a regimes de emergência que, no limite, pudessem conduzir à suspensão do Regulamento ou de algumas das suas disposições. O que se encontra previsto, como veremos, respeita a regras habilitantes de restrições aos direitos previstos no RGPD e em legislação europeia de proteção de dados.
Tomando em consideração os dados relativos à saúde, definidos no artigo 4.º, n.º 15 do RGPD[8], o seu caráter especialmente protegido provém do artigo 9.º, n.º 1[9].
De acordo com o RGPD (artigo 9.º, n.º 2) são legítimos os tratamentos de dados, sem consentimento, sobretudo nas seguintes situações: (i) se o tratamento for necessário para medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde (alínea h); (ii) se o tratamento for necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde (alínea i).
Os artigos 6.º, n.º 1, alínea d) e 9.º, n.º 2, alínea c), apesar de com um objeto distinto, referem o tratamento de dados, sem necessidade de consentimento, sempre que necessário para proteger os interesses vitais dos titulares de dados ou outras pessoas singulares.
Neste contexto, o Considerando (46) afigura-se claro e refere os tratamentos de dados que conciliam o interesse público e os interesses vitais “para fins humanitários, incluindo a monitorização de epidemias e da sua propagação ou em situações de emergência humanitária, em especial situações de catástrofes naturais ou de origem humana.”
Dentro de uma linha semelhante o Considerando (54) enuncia que “o tratamento de categorias especiais de dados pode ser necessário por razões de interesse público nos domínios da saúde pública, sem o consentimento do titular dos dados.”
Existe, assim, uma regra de que os tratamentos de dados de saúde em tempos de exceção devem basear-se na legislação e regulamentação nela fundada, e não no consentimento.
2.1. Os tratamentos de dados pessoais em estado de emergência, que implicam necessariamente restrições a direitos fundamentais (máxime ao direito à proteção de dados pessoais, previsto no artigo 8.º da Carta Europeia de Direitos Fundamentais) devem obedecer, nomeadamente, ao princípio da proporcionalidade e ao respeito conteúdo essencial dos direitos afetados – artigo 52.º, n.º 1 da Carta Europeia de Direitos Fundamentais – acompanhado pelo artigo 9.º, n.º 2, alínea g) do RGPD.
Assim, em situação de pandemia, para além de os tratamentos de dados estarem basicamente fundados na lei, no interesse público e na proteção de interesses vitais, existe a necessidade de cumprir o princípio da proporcionalidade na definição de restrições a direitos integrados na proteção de dados pessoais.
Por outro lado, o RGPD prevê – no artigo 23.º – uma regra específica sobre restrições que devem, na UE ou em cada Estado, revestir forma legal (de acordo com os respetivos ordenamentos jurídicos) e respeitar os princípios já citados. O fundamento das restrições à face deste artigo encontra-se no n.º 1, alínea e), quando se referem “objetivos importantes de saúde pública.”
Reforçando a aplicação do artigo 23.º compete verificar que o Considerando (73) alude às restrições a qualquer direito integrado na órbita da proteção de dados na medida em que aquelas “sejam necessárias e proporcionais numa sociedade democrática”.
Conclui-se, desta forma, que qualquer direito integrado na proteção de dados pessoais – direitos de informação, apagamento, oposição, acesso, retificação, portabilidade e a decisões baseadas na definição de perfis – pode ser afetado de forma proporcional no contexto de uma pandemia.
3. A questão tem sido debatida no que toca ao Direito do Trabalho e ao controlo e monitorização de titulares de dados, normalmente pessoas infetadas ou que com estas entrem em contacto, através de aplicações que permitem em desenvolvimento e que permitem o sistema de contact tracing.
Numa breve alusão a matérias laborais existe a necessidade de aplicar o RGPD em conjugação com a legislação nacional, sendo que o texto da União refere expressamente a possibilidade de os Estados adotarem normas mais específicas neste setor (artigo 88.º).
Pensamos, por exemplo, que não existe fundamento legal para a exigência generalizada de testes de diagnóstico da COVID-19 ou para a recolha de dados de saúde como a temperatura corpórea[10].
Neste sentido acompanhamos a posição da CNPD, segundo a qual apesar de estarmos em face de uma situação de pandemia: “não justifica a realização de atos que, nos termos da lei nacional, só as autoridades de saúde ou o próprio trabalhador, num processo de auto-monitorização, podem praticar. Na realidade, o legislador nacional não transferiu para as entidades empregadoras uma função que é exclusiva das autoridades de saúde, nem estas delegaram tal função nos empregadores. Assim, não pode uma entidade empregadora proceder à recolha e registo da temperatura corporal dos trabalhadores ou de outra informação relativa à saúde ou a eventuais comportamentos de risco dos seus trabalhadores.”[11]
Acrescentamos que se a legislação nacional optar por introduzir uma norma que habilite empregadores a registar ou avaliar sem registo a temperatura corporal dos trabalhadores estamos perante a violação do artigo 59.º, n.º 1, alínea c) e do artigo 9.º do RGPD. No primeiro caso, consideramos relevante entender que a saúde foi aditada na IV revisão constitucional, justificando-se por representar “(…) uma obrigação que impende sobre a entidade empregadora de proporcionar ao trabalhador as condições de trabalho mais conformes com a prevenção da doença, seja de índole profissional ou outra.”[12]
Existindo autoridade competente para proceder à avaliação de dados de saúde de trabalhadores, entendemos ser invasiva a intervenção de entidades empregadoras na recolha de dados sensíveis, com ou sem registo formal, com ou sem fundamento no consentimento.
Como refere, a nosso ver bem, a CNPD: “Porém, mantém-se obviamente a possibilidade de o profissional de saúde no âmbito da medicina do trabalho avaliar o estado de saúde dos trabalhadores e obter as informações que se revelem necessárias para avaliar a aptidão para o trabalho, nos termos gerais definidos na lei da segurança e saúde no trabalho.”[13] [14]Este regime vale independentemente de se estar perante estado de emergência ou de normalidade constitucional.
Este período de pandemia não pode, com respeito pelo princípio da proporcionalidade, ser utilizada como fundamento para elaborar listas de asmáticos, diabéticos ou qualquer portadores de qualquer patologia que afete a imunidade.
Esta seria uma forma de cultivar futuras discriminações incompatíveis com princípios básicos de proteção de dados como a finalidade ou a minimização previstos no artigo 5.º do RGPD.
Diferente será a situação em que um trabalhador esteja infetado dentro da organização. Nesse caso pensamos que a solução adequada passa por conservar o registo, não lhe dando publicidade junto dos demais trabalhadores, mas informando-os de que existiu um caso positivo. Parece ser esse o sentido, no caso português, da Orientação n.º 6/2020, de 26 de fevereiro da Direção-Geral de Saúde.
Para cumprir a citada Orientação, deve ser criado, também, um espaço de isolamento do trabalhador que apresente sintomas da patologia.
Há a notar que estes tratamentos de dados não devem “ter por resultado que os dados sejam tratados para outros fins por terceiros, como os empregadores ou as companhias de seguros e entidades bancárias.” Considerando (54).
Entende-se que pode haver lugar à aplicação do direito ao apagamento (artigo 17.º do RGPD) quando estiverem superadas as razões que levaram aos tratamentos de dados, particularmente em entidades públicas ou privadas.
3.1. Sobre a proteção de dados em regime de teletrabalho[15], previsto no Código do Trabalho no artigo 165.º, a CNPD indica como principais aspetos que: (i) por não se encontrar definida no artigo 20.º do citado Código norma que fundamente o controlo a distância, este não é aplicável a trabalhadores em teletrabalho; e (ii) não é admissível impor ao trabalhador que mantenha a câmara de vídeo permanentemente ligada, para efeitos de controlo.
Como refere a CNPD não estão em causa os poderes de direção e de controlo da execução da prestação laboral, nem a fixação de objetivos ao trabalhador a serem cumpridos de uma forma periódica.
No que toca à impossibilidade de a entidade empregadora impor ao trabalhador que mantenha a câmara ligada na realização de teleconferências, a posição da CNPD é compreensível por poderem ser revelados elementos do espaço privado do trabalhador, bem como a sua, hipotética, interação com outras pessoas – filhos pequenos, por exemplo – ou animais domésticos. Porém, pode haver casos em que exista a necessidade de uma reunião ser “remotamente presencial”, por exemplo em circunstâncias em que se esteja a constituir uma equipa de trabalho entre pessoas que não se conhecem. Em situações semelhantes a imposição do empregador para que a câmara permaneça ligada não viola, a nosso ver, o princípio da proporcionalidade.
4. Relativamente à utilização do contact tracing começaram por ser conhecidas as experiências da China, Coreia do Sul, Taiwan, Singapura, Japão e de Israel sendo geralmente impostas.
Este tipo de controlo é defendido com o fundamento de que perante uma pandemia, o “rastreio manual” em que os profissionais de saúde e as entidades públicas procuram identificar os contactos da pessoa infetada para identificar quais os indivíduos que com ela haviam estado em contactado não tem a efetividade desejada.
Partindo-se do pressuposto de que o elemento tecnológico pode ser não “a solução”, mas configurar mais um elemento a utilizar para combater a pandemia, os Estados têm recorrido à geolocalização e à tecnologia Bluetooth para criar soluções aptas a atingir este objetivo.
O objetivo consiste em recolher o número de telefone de quem teste positivo para a partir daí informar de forma anónima as pessoas que contactaram o indivíduo infetado nos últimos dias – normalmente 14 – convidando-as a realizar o teste por SMS. Se o sistema for realizado através da geolocalização fica aberta a possibilidade de centralização da informação numa entidade pública como é, por exemplo, a DGS. Para evitar esta situação, um sector importante considera adequado o recurso ao Bluetooth Low Energy (BLE) que num raio de 100 metros transmitirá um código, que é enviado para um servidor, informando que se esteve em contacto com uma pessoa infetada. Os códigos emitidos por BLE são periodicamente alterados para evitar a criação de entidade não efémera e logo a identificação dos titulares dos números de telefone. Esta tecnologia permite a não conservação das coordenadas geográficas do utilizador.
Se este sistema de monitorização for efetuado de forma anónima, garantindo que não se conhecem os titulares dos dados, pode falar-se na não aplicação do RGPD por não estarem em causa dados pessoais.
Estão em curso a criação de apps que se pretende garantam a maior amplitude possível de aplicação e que ofereçam garantias de segurança a futuros utilizadores.
Esta área esta em evolução diária devendo sublinhar-se o trabalho conjunto da Apple e da Google – anunciado a 10 de abril – para criar uma app com um considerável potencial de aplicação.
Está, neste momento, vivo o debate sobre a utilização de um sistema de servidor centralizado centralizado designado PEPP-PT (Pan-European Privacy Preserving Proximity Tracing) ou de um sistema de protocolo descentralizado como se trata do DP-3T (Decentralised Privacy-Preserving Proximity Tracing.
A 21 de abril foi apresentada uma carta aberta de cerca de 300 académicos manifestando-se críticos relativamente ao sistema PEPP-PT [16]. No white paper apresentado a 11 de abril[17] alguns destes cientistas apresentaram, entre outras, a seguinte conclusão: Our decentralized designs rely on smarphones to locally compute the risk for na individual tohave contracted the virusbased on exposure to infected people. Data about specific contact events, i.e.interactions between individualsalways remains on user´s phones (…).
A 20 de abril foi, também, apresentada uma carta aberta pelo Nexa Center for Internet & Society del Politecnico di Torino[18] onde se conclui, também, por um sistema descentralizado.
4.1. Sobre a intervenção das instituições da UE, o Comité Europeu para a Proteção de Dados emitiu uma primeira comunicação relativa aos tratamentos de dados no contexto de pandemia.
Dela resulta que, considerando o artigo 15.º, n.º 1 da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002 (relativa à privacidade nas comunicações eletrónicas), admite que os Estados se afastem da regra da anonimização, quando esteja em causa a “segurança pública”, sendo aí possível aprovar medidas internas necessárias, adequadas e proporcionais numa sociedade democrática”[19].
A Recomendação da Comissão Europeia datada de 8 de abril de 2020 – C(2020) 2296 final – aponta para a possibilidade de recorrer a aplicações em dispositivos móveis de forma a que identifiquem a circulação de pessoas infetadas, recolham informação de indivíduos que com estas contactem e seja, assim, detetada a origem de cadeias de transmissão do vírus SARS -Cov2. Desta forma pode verificar-se um processo de controlo das regras de confinamento e de respeito pela distância que deve medear entre indivíduos.
A Recomendação da Comissão não apresenta uma “preferência pela anonimização” e sublinha a necessidade de se eliminarem os dados tratados quando já não sejam úteis para as finalidades de saúde pública para as quais foram criados.
Na linha das declarações de dia 7 de abril de Wojciech Wiewiórowski (Autoridade Europeia de Proteção de Dados), a Recomendação da Comissão Europeia refere também a vantagem de criar uma aplicação única para dispositivos móveis e a necessidade de enfrentar a pandemia no plano da proteção de dados de forma Pan-Europeia.
Wojciech Wiewiórowski foi mais longe ao afirmar a coordenação preferencial do processo pela Organização Mundial de Saúde, o que a ser seguido implicaria dificuldades políticas óbvias.
A Recomendação fixa datas e metas quer aos Estados, quer às instituições da UE.
As Guidelines n.º 4/2020[20], do Comité Europeu de Proteção de Dados pronuncia-se num sentido favorável à utilização das apps embora assegurando o cumprimento da legislação da UE sobre proteção de dados. Para o Comité, o processamento automatizado de dados e as tecnologias digitais podem ser “componentes-chave” na luta contra a COVID-19, devendo, no entanto, assegura-se que as medidas tomadas são necessárias, limitadas no tempo, respeitadoras do princípio da minimização e sujeitas a uma revisão periódica.
No eHealth Network da Comissão Europeia foi aprovado a 15 de abril o Mobile applications to support contact tracing in the EU’s fight against COVID-19 Common EU Toolbox for Member States[21]onde pode ser destacado a necessidade de criar até junho de 2020: a common approach for the use of anonymised and aggregated mobility data will be developed, focusing on data necessary for: (1) modelling to map and predict the diffusion of the disease and the impact on needs in the health systems in Member States and (2) optimising the effectiveness of measures to contain the diffusion of the COVID-19 virus and to address its effects, including confinement (and deconfinement), and to obtain and use those data.
De acordo com o documento, as apps nacionais devem ser de escolha voluntária, aprovadas pelas autoridades de saúde nacionais, aptas a garantir a privacidade e a proteção de dados, com regras seguras de encriptação e destruídas logo que desnecessárias.
5- Em estado de pandemia a restrição de direitos fundamentais apresenta-se inevitável, porém como em qualquer situação deve encontrar-se justificada quanto à sua proporcionalidade e ausência de excesso.
Nas leituras feitas apresentam-se as vantagens do controlo e monitorização de indivíduos no contexto da COVID-19, mas não abundam as explicações sobre a necessidade insuprível da utilização das apps.
Quanto à crença de que com o fim da pandemia existirá um retorno à situação anterior, temos o maior ceticismo em acreditar em retrocessos no tratamento de informação pessoal. O 11 de setembro de 2001 mudou, significativamente, os tratamentos de dados pessoais e os respetivos fundamentos de legitimidade em áreas que não têm expressão no combate ao terrorismo.
Esta
é uma época de ação, de salvar vidas e assegurar o regular funcionamento
social, mas não se pode estar alheio às consequências das medidas restritivas
que se vão adotando devendo sobre elas existir um juízo crítico, exigindo-se o
fim da limitação temporária dos direitos afetados logo que termine a situação
de pandemia.
[1] Considerem-se os decretos presidenciais números n.º 14-A/2020, de 18 de março; n.º 17-A/2020, de 2 de abril e 20-A/2020, de 17 de abril, que preveem no artigo 4.º de todos estes atos os direitos parcialmente suspensos.
A interpretação destas disposições leva a que se conclua pela necessidade de legislação posterior para concretizar o decreto presidencial.
[2] Em sentido contrário, Jorge Reis Novais, “O Estado de Emergência – Quatro notas jurídico-constitucionais sobre o Decreto Presidencial”, Observatório Almedina, publicado a 19 de março de 2020. Disponível em: https://observatorio.almedina.net/index.php/2020/03/19/estado-de-emergencia-quatro-notas-juridico-constitucionais-sobre-o-decreto-presidencial/ (consultado a 20 de março de 2020).
[3] Sobre a fiscalização jurídica de atos declarados ou aprovados em estado de exceção ver Jorge Bacelar Gouveia, “O Estado de Excepção no Direito Constitucional: entre a eficácia e a normatividade das estruturas de defesa extraordinária da Constituição”, Volume II, Coimbra, Almedina, 1998, pp. 1210-1211.
[4] Disponível em: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_en.pdf (consultado a 22 de abril de 2020).
[5] Apesar de não existir menção a processos de anonimização, as Guidelines referem a utilização preferencial de informação anonimizada (46): In scientific research, data minimisation can be achieved through the requirement of specifying the research questions and assessing the type and amount of data necessary to properly answer these research questions. Which data is needed depends on the purpose of the research even when the research has an explorative nature and should always comply with the purpose limitation principle pursuant to Article 5 (1) (b) GDPR. It has to be noted that the data has to be anonymised where it is possible to perform the scientific research with anonymised data.
[6] Ver Considerando (159).
[7] Ver: https://forms.office.com/Pages/ResponsePage.aspx?id=CEbIIh3wxUaAJGPMli5fUewGAy09D0VOgnuCLKIt3ltUM0xFVDJOTUZLREIxTFdQMFpSUkJGMDJDVi4u (consultado a 24 de abril de 2020).
[8] Atente-se no Considerando (35): “Deverão ser considerados dados pessoais relativos à saúde todos os dados relativos ao estado de saúde de um titular de dados que revelem informações sobre a sua saúde física ou mental no passado, no presente ou no futuro. O que precede inclui informações sobre a pessoa singular recolhidas durante a inscrição para a prestação de serviços de saúde, ou durante essa prestação, conforme referido na Diretiva 2011/24/UE do Parlamento Europeu e do Conselho ( 1 ), a essa pessoa singular; qualquer número, símbolo ou sinal particular atribuído a uma pessoa singular para a identificar de forma inequívoca para fins de cuidados de saúde; as informações obtidas a partir de análises ou exames de uma parte do corpo ou de uma substância corporal, incluindo a partir de dados genéticos e amostras biológicas; e quaisquer informações sobre, por exemplo, uma doença, deficiência, um risco de doença, historial clínico, tratamento clínico ou estado fisiológico ou biomédico do titular de dados, independentemente da sua fonte, por exemplo, um médico ou outro profissional de saúde, um hospital, um dispositivo médico ou um teste de diagnóstico in vitro.”
[9] Segundo a Orientação da CNPD, datada de 22 de abril de 2020, sobre divulgação de informação relativa a infetados por Covid-19 e tendo por objeto o papel das autarquias locais no âmbito da proteção civil: “As autarquias locais não podem publicar dados de saúde com identificação das pessoas a quem os mesmos dizem respeito. Na verdade, esta informação está sujeita a um regime jurídico especialmente protegido, por corresponder a uma categoria de dados pessoais que é suscetível de gerar ou promover a estigmatização e a discriminação dos respetivos titulares.” Disponível em: https://www.cnpd.pt/home/orientacoes/Orientacoes_divulgacao_informacao_infetados_Covid-19.pdf (consultado em 23/4/2020)
[10] Foi a posição que sustentámos em artigo publicado no “Jornal de Notícias” intitulado “A Covid-19 e a Proteção de dados pessoais”, publicado na versão impressa de 20 de abril do 2020, p. 31.
[11] Disponível em: https://www.cnpd.pt/home/orientacoes/Orientacoes_recolha_dados_saude_trabalhadores.pdf (consultado em 23/4/2020).
[12] Alexandre Sousa Pinheiro/Mário João de Brito Fernandes, “Comentário à IV Revisão Constitucional”, AAFDL, Lisboa, 1999, p. 182.
[13] Disponível em: https://www.cnpd.pt/home/orientacoes/Orientacoes_recolha_dados_saude_trabalhadores.pdf (consultado em 23/4/2020).
[14] Sobre legislação relevante, ver Tatiana Duarte, “Comentário ao artigo 9.º, n.º 1, alínea h” in Alexandre Sousa Pinheiro, Cristina Pimenta Coelho, Tatiana Duarte, Carlos Jorge Gonçalves e Catarina Pina Gonçalves, “Comentário ao Regulamento Geral de Proteção de Dados”, Almedina, Coimbra, 2018, pp. 287-288.
[15] Disponível em: https://www.cnpd.pt/home/orientacoes/Orientacoes_controlo_a_distancia_em_regime_de_teletrabalho.pdf (consultado em 23/4/2020).
Note-se que à face do artigo 29.º, n.º 1 do Decreto-Lei n.º 10-A/2020, de 13 de março: “ Durante a vigência do presente decreto-lei, o regime de prestação subordinada de teletrabalho pode ser determinado unilateralmente pelo empregador ou requerida pelo trabalhador, sem necessidade de acordo das partes, desde que compatível com as funções exercidas.”
[16] Disponível em: https://github.com/DP-3T/documents/blob/master/Security%20analysis/Privacy%20and%20Security%20Attacks%20on%20Digital%20Proximity%20Tracing%20Systems.pdf (consultado a 24/04/2020)
[17] Disponível em: https://github.com/DP-3T/documents/blob/master/DP3T%20White%20Paper.pdf (consultado a 24/04/2020).
[18] Disponível em: https://nexa.polito.it/lettera-aperta-app-COVID19 (consultado a 24/04/2020).
[19] Disponível em: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf (consultado a 20/04/2020).
[20] Disponível em: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042020-use-location-data-and-contact-tracing_en (consultado a 24/04/2020).
[21] Disponível em: https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf (consultado a 20/04/2020).