“Quero implementar um plano de contingência na minha empresa. Para isso, tenho que recolher dados de todas as pessoas que circulam nas minhas instalações, designadamente, colaboradores, visitantes e fornecedores. Posso?“
Até que ponto um empregador pode questionar um trabalhador ou um visitante sobre se viajou nos últimos 15 dias (mesmo em contexto pessoal) e para onde? E se o empregador tem a certeza que o colaborador não viajou, pois apresentou-se ao trabalho todos os dias? Pode ainda assim questionar se o colaborador esteve em contacto com alguém que viajou para uma zona infetada ou que apresenta potenciais sintomas de infeção?
O artigo 6º do RGPD prevê como fundamento de licitude o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito (designadamente garantir a saúde e a segurança no local de trabalho e prevenir a contaminação).
Já o artigo 9º refere que o tratamento de dados de saúde é lícito se, por exemplo, for necessário para efeitos do cumprimento de obrigações em matéria de legislação laboral; de medicina preventiva ou do trabalho e para a avaliação da capacidade de trabalho do empregado ou ainda se for necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde.
Por outro lado, o artigo 29º da lei nº 58/2019, de 8 de agosto, prevê que o tratamento de dados de saúde para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado ou se for necessário por motivos de interesse público no domínio da saúde pública deve ser efetuado por um profissional obrigado a sigilo ou por outra pessoa sujeita a dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da informação.
Mais, o acesso a estes dados deve ser feito exclusivamente de forma eletrónica, salvo impossibilidade técnica ou expressa indicação em contrário do titular dos dados, sendo vedada a sua divulgação ou transmissão posterior.
Para além disso, e ainda que exista fundamento legal para iniciar a recolha deste tipo de dados, as empresas devem garantir que os mesmo são; i) objeto de um tratamento leal e transparente; ii) recolhidos para finalidades determinadas, explícitas e legítimas, iii) adequados, pertinentes e limitados ao que é necessário; iv) exatos e atualizados sempre que necessário; v) conservados apenas durante o período necessário; e vi) tratados de uma forma que garanta sua segurança.
Ou seja,
A resposta será, à partida, positiva. No entanto, o tratamento de tais dados apenas pode ser realizado através da adoção de procedimentos que garantam o cumprimento do RGPD e demais legislação aplicável em matéria de privacidade.
Ao mitigar o risco de contaminação, as organizações devem também avaliar o risco em matéria de privacidade destas medidas de contingência, nunca esquecendo que, em qualquer momento, podem ser chamadas a demonstrar que as operações de tratamento de dados foram realizadas em conformidade com os princípios relativos ao tratamento de dados pessoais consagrados no artigo 5º do RGPD.
Catarina João Azevedo
CIPP/E | CIPM | CIPT | Co-Founder @ Privacy Matters | Data Protection Officer
Com reconhecida experiência em consultoria nos setores da saúde, retalho, financeiro, logística, hotelaria e desporto, a Catarina cofundou a Privacy Matters, Lda., que tem como missão estar ao lado das organizações para cocriar e manter programas de privacidade que garantam o cumprimento da lei, potenciem a eficiência e inovação e reforcem a credibilidade e reputação junto dos seus stakeholders.
A Catarina é Mestre em Direito e Gestão e Pós-Graduada em Direito Administrativo, estando inscrita na Ordem dos Advogados desde 2015. Atualmente encontra-se ainda a frequentar a Pós-Graduação em Gestão de Sistemas de Informação Empresariais.
É ainda membro da International Associaction of Privacy Professionals (IAPP), Certified Information Privacy Professional/Europe, Certified Information Privacy Manager e Certified International Privacy Technologist.