COVID-19. E a protecção de dados pessoais? 9 recomendações úteis para as empresas
O tratamento de dados pessoais no contexto de combate à propagação do COVID-19 também tem sido objecto de análise por parte de várias autoridades de controlo europeias, não tendo, até à presente data, a Comissão Nacional de Protecção de Dados emitido quaisquer orientações sobre este tema. A Abreu Advogados deixa algumas recomendações às empresas.
A propagação do COVID-19 impõe às empresas vários desafios em matéria de tratamento de dados pessoais, incluindo de trabalhadores, prestadores de serviços, clientes ou visitantes que, por qualquer razão, tenham acesso às instalações das empresas.
Neste âmbito, as empresas têm implementado diversos métodos e formas de recolha de dados pessoais, de modo a cumprir os planos de contingência que têm vindo a ser adoptados no seio das respectivas organizações, cujo principal objectivo é prevenir e conter a propagação do COVID-19, assegurando as necessárias condições de higiene, saúde e segurança.
Posto isto, seguem abaixo algumas recomendações e informações úteis, em matéria de proteção de dados pessoais no contexto do COVID-19:
- As empresas devem privilegiar meios de recolha de dados e/ou informações que não identifiquem ou tornem identificáveis os titulares dos dados pessoais (em particular, através da utilização de formulários ou inquéritos anónimos), sempre que tais meios sejam compatíveis com as finalidades de recolha dos dados, por exemplo em alguns casos de controlo de entradas nas suas instalações.
- Caso tal não seja exequível, as empresas devem assegurar que os dados pessoais tratados são adequados, pertinentes, necessários e limitados, tendo em conta as finalidades para as quais são tratados.
- Na eventualidade das empresas pretenderem recolher dados pessoais que considerem relevantes no âmbito dos respectivos planos de contingência, tais como informações sobre viagens e visitas a determinados países ou locais, contactos com pessoas infectadas com o COVID-19 ou sobre a existência de sintomas associados a esta doença, as mesmas deverão ter em especial atenção os diferentes níveis de protecção que a lei confere aos dados em causa.
- O tratamento de dados pessoais neste contexto, que não sejam dados de saúde ou não se enquadrem noutras categorias especiais de dados pessoais, poderá ser fundamentado com recurso aos interesses legítimos das empresas ou de terceiros, bem como na necessidade do mesmo para a defesa de interesses vitais do titular dos dados ou de terceiro.
- Por outro lado, em caso de recolha e tratamento de dados de saúde, a legislação prevê um conjunto de excepções à proibição inerente ao tratamento deste tipo de dados pessoais.
- Neste contexto, as empresas poderão fundamentar o tratamento de dados pessoais de saúde por motivos de interesse público no domínio da saúde pública ou na necessidade do tratamento para efeitos do cumprimento de obrigações e do exercício de direitos em matéria de legislação laboral, de segurança social e de proteção social, designadamente quando a finalidade seja garantir a segurança e saúde dos trabalhadores das empresas e evitar a propagação da doença COVID-19.
- Em alternativa, as empresas poderão legitimar o tratamento de dados de saúde através da obtenção do consentimento dos titulares dos dados pessoais, salvo quando se trate de dados de saúde de trabalhadores.
- O tratamento dos dados de saúde deverá ser efectuado por pessoa sujeita a dever de sigilo e, em determinados casos, por profissional obrigado a sigilo ou sujeito a dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da informação.
- Os dados pessoais tratados no presente contexto deverão ser eliminados ou anonimizados, logo que se esgotem as finalidades para as quais os dados pessoais foram tratados.