A retirada gradual das medidas de contenção e limitação da actividade económica e social está a levar à implementação de medidas destinadas a prevenir novas infecções da COVID – 19. Em Espanha, tal como tem acontecido em Portugal, a Agência Espanhola de Protecção de Dados deixa o alerta e recomendações para a temática da recolha de temperatura nos estabelecimentos.
Entre estas medidas, segundo aponta, está a ser incluída a recolha de temperaturas das pessoas nos mais diversos ambientes, a fim de determinar a possibilidade do seu acesso a centros de trabalho, lojas, centros educativos ou outros tipos de estabelecimentos ou equipamentos.
Nesta situação, a Agência Espanhola de Protecção de Dados considera necessário sublinhar a sua preocupação com este tipo de acção, que está a ser realizada sem os critérios prévios e necessários das autoridades sanitárias.
PUBTratamento de dados pessoais sensíveis
Note-se, em primeiro lugar, que este tipo de operação “implica o tratamento de dados pessoais que, como tal, devem respeitar as disposições da legislação pertinente”. Esta legislação contém secções específicas que contemplam situações como a actual, permitindo simultaneamente que os princípios e garantias de protecção do direito fundamental à protecção de dados continuem a ser aplicados.
Este processamento da recolha de dados “implica uma interferência particularmente intensa nos direitos das pessoas afectadas”, diz a AEPD. Por um lado, “porque afecta os dados relativos à saúde das pessoas, não só porque o valor da temperatura corporal é um dado de saúde em si, mas também porque, com base nele, se assume que uma pessoa sofre ou não de uma doença específica, como é o caso nestes casos de infecção pelo coronavírus coronário”.
Por outro lado, “os controlos de temperatura são frequentemente efectuados em espaços públicos, de modo que uma eventual recusa de acesso a um centro educativo, de trabalho ou comercial seria reveladora a terceiros que não têm qualquer justificação para saber que a pessoa afectada tem uma temperatura superior à considerada irrelevante e, sobretudo, que pode ter sido infectada pelo vírus”, salienta.
Em última análise, e dependendo do contexto em que esta medida for aplicada, “as consequências de uma eventual recusa de acesso podem ter um impacto significativo sobre a pessoa afectada”.
Critérios de aplicação
A aplicação destas medidas e o correspondente tratamento de dados “exigiria a determinação prévia pela autoridade sanitária competente, que neste momento é o Ministério da Saúde, da sua necessidade e adequação para contribuir eficazmente para a prevenção da propagação da doença nas zonas em que são aplicadas, regulamentando os limites e garantias específicas para o tratamento dos dados pessoais das pessoas afectadas”.
A este respeito, “deve ter-se em conta, nomeadamente, que, de acordo com as informações fornecidas pelas autoridades sanitárias, existe uma percentagem de pessoas infectadas assintomáticas que não apresentam febre, que a febre nem sempre é um dos sintomas presentes nos doentes sintomáticos, especialmente nas fases iniciais do desenvolvimento da doença, e que, por outro lado, pode haver pessoas que apresentem temperaturas elevadas devido a causas não relacionadas com o coronavírus”.
pubÉ por isso que estas medidas “só devem ser aplicadas com base em critérios definidos pelas autoridades sanitárias, tanto no que respeita à sua utilidade como à sua proporcionalidade, ou seja, em que medida essa utilidade é suficiente para justificar a sujeição dos direitos individuais que as medidas implicam e em que medida essas medidas poderiam ou não ser substituídas, com igual eficácia, por outras medidas menos intrusivas”.
Além disso, estes critérios “devem também incluir pormenores sobre os aspectos centrais da aplicação destas medidas”. Por exemplo, diz a entidade, “a temperatura acima da qual uma pessoa seria considerada infectada com IDVC deve ser estabelecida com base nas provas científicas disponíveis. Não deve ser uma decisão tomada por cada entidade que implemente estas práticas, uma vez que tal implicaria uma aplicação heterogénea que, de qualquer modo, diminuiria a sua eficácia e poderia conduzir a uma discriminação injustificada”.
Princípio da legalidade
Tal como acontece com todo o tratamento de dados, “a recolha de dados de temperatura deve reger-se pelos princípios estabelecidos no Regulamento Geral de Protecção de Dados (RGPD), incluindo o princípio da legalidade”. Esse tratamento deve basear-se numa razão legítima prevista na legislação relativa à protecção de dados para categorias especiais de dados (n.o 1 do artigo 6.oe n.o 2 do artigo 9.o do RGP).
No caso da verificação da temperatura corporal como medida para evitar a expansão da COVID – 19, “esta base jurídica não pode ser, em geral, o consentimento das pessoas em causa”. As pessoas em causa “não podem recusar-se a submeter-se à tomada de temperatura sem ao mesmo tempo perderem a possibilidade de entrar no trabalho, nos estabelecimentos de ensino ou comerciais ou nos meios de transporte a que estejam interessadas em ter acesso”. Por conseguinte, “tal consentimento não seria livre, um dos requisitos necessários para invocar esta base legitimadora”.
No ambiente de trabalho, e desde que as outras questões abordadas na presente comunicação tenham sido tidas em consideração, “a possível base jurídica poderá ser encontrada na obrigação das entidades patronais de garantir a segurança e a saúde dos trabalhadores ao seu serviço nos aspectos relacionados com o trabalho. Esta obrigação funcionaria simultaneamente como uma excepção que permitiria o tratamento de dados de saúde e como uma base jurídica que legitimasse o tratamento”.
No entanto, e além disso, “o RGPD exige também, nestes casos, que a regra que permite este tratamento estabeleça também garantias adequadas”. Essas garantias “devem ser especificadas pelo responsável pelo tratamento dos dados”.
pubEsta base jurídica “poderia ser tida em conta com um âmbito alargado”, tendo em conta que, mesmo que um centro ou instalações se destinem a fins específicos que impliquem a concentração neles de um elevado número de clientes ou utilizadores externos à empresa gestora, haverá sempre trabalhadores presentes nos quais o empregador mantém as suas obrigações.
Esta abordagem exige, contudo, “uma ponderação adequada entre o impacto destas medidas nos direitos dos clientes ou utilizadores e o impacto no nível de protecção dos trabalhadores”. Esta ponderação deve ser baseada em diferentes factores. Antes de mais nada, os critérios estabelecidos pelas autoridades sanitárias. Mas também as relacionadas com o maior ou menor risco que pode ocorrer em cada caso específico ou com a possibilidade de aplicar medidas de protecção alternativas para o pessoal. Por exemplo, o risco será menor num estabelecimento onde os trabalhadores estão fisicamente separados da clientela do que noutro onde esta barreira física não existe ou é mais precária, refere a mesma entidade.
Noutras áreas em que esta base jurídica não é relevante, “poderia ser evocada a existência de interesses gerais de saúde pública a proteger”. No entanto, esta possibilidade exigiria também, como estabelecido no artigo 9.2.i GPRS, um apoio regulamentar através de leis que estabeleçam este interesse e forneçam garantias adequadas e específicas para proteger os direitos e liberdades das partes interessadas.
A utilização do interesse legítimo dos responsáveis pelo tratamento de dados como base legitimadora seria, de qualquer modo, excluída, por duas razões. Por um lado, porque nenhuma disposição do n.º 2 do artigo 9.º do GPMR permite que a proibição de tratamento de dados sensíveis seja levantada por motivos de interesse legítimo (a menos que, em certos domínios, tal esteja previsto na legislação da União ou dos Estados-Membros). Por outro lado, porque o impacto deste tipo de tratamento sobre os direitos, liberdades e interesses das pessoas em causa significaria que este interesse legítimo não prevaleceria em geral.
Limitação da finalidade e exactidão dos dados
Os regulamentos de protecção de dados contêm outras disposições que são também particularmente aplicáveis às medições de temperatura como medida para evitar a expansão da COVID – 19.
Entre os princípios de protecção de dados contidos na RGPD, deve ser mencionada a limitação da finalidade. “Este princípio implica que os dados (de temperatura) só podem ser obtidos com o objectivo específico de detectar possíveis pessoas infectadas e impedir o seu acesso e contacto dentro de um determinado local com outras pessoas”. Mas tais dados não devem ser utilizados para qualquer outro fim. Isto “aplica-se em especial nos casos em que o registo da temperatura é efectuado utilizando dispositivos (por exemplo, câmaras térmicas) que oferecem a possibilidade de registar e armazenar os dados ou de processar informações adicionais, em especial informações biométricas”, salienta o organismo.
Do mesmo modo, o princípio da precisão, aplicado neste contexto, implica que “o equipamento de medição utilizado deve ser adequado para registar de forma fiável as gamas de temperatura consideradas relevantes”. Esta adequação deve ser estabelecida “utilizando apenas equipamento aprovado para o efeito e com critérios que tenham em conta estes níveis de sensibilidade e precisão”. O pessoal que os emprega “deve cumprir os requisitos legalmente estabelecidos e receber formação na sua utilização”. A este respeito, “deve ser dada ênfase ao impacto nas partes interessadas se a identificação de um possível indicador de infecção se vier a revelar errada em resultado de equipamento inadequado ou de um desempenho medíocre”.
Direitos e garantias
Em qualquer caso, as pessoas em causa continuam a manter os seus direitos ao abrigo do RGPD e as outras garantias previstas no regulamento continuam a ser aplicáveis, embora adaptadas às condições e circunstâncias específicas deste tipo de tratamento.
Nesse sentido, devem ser consideradas, entre outras, medidas relativas à informação aos trabalhadores, clientes ou utilizadores sobre estas operações de processamento (em particular, se vai haver um registo e conservação da informação), ou outras que permitam às pessoas com uma temperatura superior à normal reagir à decisão de lhes negar o acesso a uma determinada sala (por exemplo, justificando que a temperatura elevada se deva a outras razões). Para o efeito, o pessoal deve ser qualificado para avaliar estas razões adicionais ou deve ser estabelecido um procedimento que permita encaminhar a queixa para uma pessoa que possa tratá-la e, se for caso disso, permitir o seu acesso.
É igualmente importante estabelecer prazos e critérios para a conservação dos dados nos casos em que estes são registados. Em princípio, e tendo em conta os objectivos do tratamento, esse registo e retenção não devem ser efectuados, a menos que possam ser suficientemente justificados, tendo em conta a necessidade de tratar de qualquer acção judicial decorrente da decisão de recusa de acesso, informa a entidade.
Por último, “é de salientar que a presente comunicação se refere, em geral, a qualquer processo de tomada de temperatura nos cenários mais prováveis neste período de confinamento atenuante e de limitações à mobilidade e à actividade social e económica”.
No entanto, “dependendo do tipo de tecnologia utilizada, poderá ser necessário ter em consideração outros elementos que, embora relacionados com os mencionados, tenham um impacto especial numa ou noutra destas diferentes tecnologias”.
É o caso das câmaras térmicas, “na medida em que podem oferecer possibilidades adicionais à tomada de temperatura e que, por conseguinte, devem ser utilizadas tendo em especial atenção os princípios de limitação da finalidade e minimização dos dados estabelecidos no artigo 5.1 da RGPD”.
pub
