![](https://privacymatters.pt/wp-content/uploads/2020/06/coronavirus-e-privacidade.jpg)
“Quero implementar um plano de contingência na minha empresa. Para isso, tenho que recolher dados de todas as pessoas que circulam nas minhas instalações, designadamente, colaboradores, visitantes e fornecedores. Posso?“
Até que ponto um empregador pode questionar um trabalhador ou um visitante sobre se viajou nos últimos 15 dias (mesmo em contexto pessoal) e para onde? E se o empregador tem a certeza que o colaborador não viajou, pois apresentou-se ao trabalho todos os dias? Pode ainda assim questionar se o colaborador esteve em contacto com alguém que viajou para uma zona infetada ou que apresenta potenciais sintomas de infeção?
O artigo 6º do RGPD prevê como fundamento de licitude o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito (designadamente garantir a saúde e a segurança no local de trabalho e prevenir a contaminação).
Já o artigo 9º refere que o tratamento de dados de saúde é lícito se, por exemplo, for necessário para efeitos do cumprimento de obrigações em matéria de legislação laboral; de medicina preventiva ou do trabalho e para a avaliação da capacidade de trabalho do empregado ou ainda se for necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde.
Por outro lado, o artigo 29º da lei nº 58/2019, de 8 de agosto, prevê que o tratamento de dados de saúde para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado ou se for necessário por motivos de interesse público no domínio da saúde pública deve ser efetuado por um profissional obrigado a sigilo ou por outra pessoa sujeita a dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da informação.
Mais, o acesso a estes dados deve ser feito exclusivamente de forma eletrónica, salvo impossibilidade técnica ou expressa indicação em contrário do titular dos dados, sendo vedada a sua divulgação ou transmissão posterior.
Para além disso, e ainda que exista fundamento legal para iniciar a recolha deste tipo de dados, as empresas devem garantir que os mesmo são; i) objeto de um tratamento leal e transparente; ii) recolhidos para finalidades determinadas, explícitas e legítimas, iii) adequados, pertinentes e limitados ao que é necessário; iv) exatos e atualizados sempre que necessário; v) conservados apenas durante o período necessário; e vi) tratados de uma forma que garanta sua segurança.
Ou seja,
A resposta será, à partida, positiva. No entanto, o tratamento de tais dados apenas pode ser realizado através da adoção de procedimentos que garantam o cumprimento do RGPD e demais legislação aplicável em matéria de privacidade.
Ao mitigar o risco de contaminação, as organizações devem também avaliar o risco em matéria de privacidade destas medidas de contingência, nunca esquecendo que, em qualquer momento, podem ser chamadas a demonstrar que as operações de tratamento de dados foram realizadas em conformidade com os princípios relativos ao tratamento de dados pessoais consagrados no artigo 5º do RGPD.
![](https://privacymatters.pt/wp-content/uploads/2020/06/catarina_joao-300x300.jpeg)
Catarina João Azevedo
CIPP/E | CIPM | CIPT | Co-Founder @ Privacy Matters | Data Protection Officer
Com reconhecida experiência em consultoria nos setores da saúde, retalho, financeiro, logística, hotelaria e desporto, a Catarina cofundou a Privacy Matters, Lda., que tem como missão estar ao lado das organizações para cocriar e manter programas de privacidade que garantam o cumprimento da lei, potenciem a eficiência e inovação e reforcem a credibilidade e reputação junto dos seus stakeholders.
A Catarina é Mestre em Direito e Gestão e Pós-Graduada em Direito Administrativo, estando inscrita na Ordem dos Advogados desde 2015. Atualmente encontra-se ainda a frequentar a Pós-Graduação em Gestão de Sistemas de Informação Empresariais.
É ainda membro da International Associaction of Privacy Professionals (IAPP), Certified Information Privacy Professional/Europe, Certified Information Privacy Manager e Certified International Privacy Technologist.