Veja também:


Uma semana depois de a Comissão Nacional de Proteção de Dados (CNPD) ter feito um alerta sobre os direitos dos trabalhadores no contexto do combate à Covid-19, o Governo alterou a lei para permitir às empresas medir a temperatura aos trabalhadores.

Uma “infelicidade” e um “disparate jurídico”, acusa a presidente da CNPD, Filipa Calvão, que recebeu dezenas de queixas de trabalhadores e sindicatos.

Para Filipa Calvão, a Covid-19 é uma doença que pode gerar reações discriminatórias que é preciso combater, mas que os municípios potenciaram ao divulgar dados pessoais de cidadãos infetados.

Em entrevista à Renascença, a presidente da CNPD aconselha os cidadãos a não darem qualquer informação pessoal de saúde sem questionarem a sua necessidade e utilização.


A Comissão Nacional de Proteção de Dados fez uma série de recomendações em relação os direitos dos trabalhadores e das empresas, entre as quais dizia que as empresas não podiam medir a temperatura dos trabalhadores, exceto com determinadas condições.

O Governo, entretanto, alterou a lei supostamente para permitir essa medição. O que lhe parece a solução encontrada pelo Governo?

O problema essencial desta norma, já não discutindo a questão da adequação e da necessidade desta medida – continuamos na CNPD com reservas em relação à necessidade desta medida – é o facto de estar completamente desprovida de garantias para os trabalhadores.

Aquilo que a Constituição obriga quando se faz restrições a direitos, liberdades e garantias é que se equilibrem e se garanta um mínimo de proteção das pessoas cujos dados estão a ser tratados e o regulamento geral de proteção de dados apenas permite essa restrição quando estejamos a falar de dados sensíveis como são os dados de saúde essa restrição se a lei prever garantias de proteção de direitos.

Esta norma é toda ela uma infelicidade e desprovida de qualquer proteção dos trabalhadores. Primeiro, parece incorrer aqui numa confusão ao distinguir a leitura da temperatura dos trabalhadores do registo.

A simples leitura já é um tratamento de dados pessoais. A afirmação de que se mantém um direito à proteção individual dos dados é uma afirmação que não faz qualquer sentido, seja lá o que for a proteção individual, porque já há uma restrição desse direito; o Estado é que tem de garantir aqui a proteção dos direitos e não é garantir isto para uma proteção individual.

Mais: a norma a seguir, ao admitir que se faça o registo com o consentimento do trabalhador comete outro disparate jurídico porque está a remeter para consentimento dos trabalhadores uma decisão limitativa dos seus direitos, mas sem garantir que haja liberdade de consentimento, sem criar condições que garantam que o trabalhador não é prejudicado nalguma medida se não consentir nesse registo.

Portanto, aí o consentimento não pode ter validade jurídica e não podia o legislador estar a dar-lhe essa relevância jurídica que não pode ter de acordo com o regulamento geral de proteção de dados e de acordo com as nossas regras gerais de direito.

Finalmente, temos um problema – que é, porventura, o problema essencial – que é o de não estar definido o que é que acontece ao trabalhador. Prevê-se o poder de a entidade empregadora impedir a entrada do trabalhador no seu estabelecimento e depois? O trabalhador faz o quê? Vai para casa de transporte público?

Estamos a falar, ainda por cima, de pressupostos muito vagos. Temperaturas superiores às normais do corpo, sem que se especifique quais sejam. Mais valia ter remetido para a orientação da Direção-Geral de Saúde, onde se tem como referência o que é para a medicina essa temperatura superior ao normal.

Depois, não se diz o que acontece ao trabalhador: se mantém ou não o direito ao vencimento. Presume-se que se aplica a regra geral de Direito do Trabalho, que diz que quando a falta não é por motivo imputável ao trabalhador, mantém o direito ao vencimento. Seguramente não vai direto para baixa, porque não há aqui uma declaração médica a atestar que não está apto a cumprir as suas tarefas.

Portanto, o trabalhador fica aqui num limbo sem saber o que faz: volta para casa? E volta em transporte público? E se há suspeita de contaminação? E no dia seguinte? O impedimento é só para aquele dia? Apresenta-se novamente no local de trabalho para poder voltar para casa novamente? Nada se regula em termos de garantia dos trabalhadores.

Esta preocupação, que compreendo e que a CNPD também compreende, de garantir, de dar confiança no regresso a uma tentativa de normalidade na vida em sociedade peca por não se ter regulado aquilo que tinha de se regular.

Podemos ter tentando encontrar soluções destas – e não achamos necessariamente que esta será a solução ideal –, mas podíamos tentar encontrar soluções desta natureza.

O que não se pode é atirar esta previsão assim para a frente sem dizer o que acontece ao trabalhador. O que se faz é criar ainda mais incerteza e, num Estado de Direito, a lei tem de dar previsibilidade aos cidadãos. Isto não é previsibilidade, isto é resolver um problema das empresas e não resolver um problema dos trabalhadores.

Posso depreender das suas palavras que a CNPD não foi ouvida para esta solução?

Não, não foi. Claramente não foi. Tínhamos orientações e poderiam ter olhado para elas.

A CNPD tem tido queixas de trabalhadores em relação a esta situação?

Sim, temos tido. E também de organizações sindicais

Muitas? Frequentes?

São já algumas, na ordem das dezenas. E vamos analisá-las. É certo que este regime legal só vem aparentemente dar cobertura agora, desde que entrou em vigor, mas vamos ver. De qualquer forma, a competência para verificar o cumprimento das condições de trabalho em matéria de saúde não é da CNPD diretamente, é da Autoridade para as Condições de Trabalho. De qualquer forma, vamos estar atentos.

E pode haver aqui alguma conjugação de esforços e de interesses entre a CNPD e a ACT ou são compartimentos estanques?

Cada um tem nas suas atribuições, mas quando uma entidade, no âmbito dos seus poderes de investigação, deteta matérias que são da competência da outra remete geralmente os elementos que tem para que a outra se pronuncie.

Outra questão que levou a queixas que a CNPD tornou públicas foi a divulgação por parte das autarquias de dados de cidadãos infetados com Covid-19. Que ponto de situação pode fazer? Quantas queixas? Que situações mais graves foram detetadas?

Temos algumas queixas em relação a algumas autarquias locais. Nalguns casos, a situação é particularmente grave, porque foram de facto identificadas as pessoas que foram infetadas com indicação das suas moradas, o que é em si mesmo um problema, num contexto social em que a doença se está a tornar estigmatizante, porque é infetocontagiosa e, portanto, se tende a reagir contra as pessoas infetadas como se fossem as causadoras do mal.

O que aconteceu foi que algumas entidades do poder local, nesta ânsia de ajudar a resolver o problema, entenderam divulgar informação com demasiado detalhe quando em rigor essa função de transparência não lhes caberia neste contexto.

E com dados pessoais – umas vezes dados identificados, outras vezes dados que, não estando identificados, as áreas territoriais a que dizem respeito, as freguesias, são tão pequenas que basta que se diga que há ali alguém com idade ‘x’ e permite identificar a pessoa em concreto.

Ou pior, como nós vimos, referindo a origem étnica da pessoa infetada que é outro cosia que tende a gerar forte discriminação. A indicação de que são pessoas que pediram asilo. Todo um conjunto de informação que vai passando e que tem de haver alguma cautela porque gera sentimentos e reações discriminatórias.

Como é que vão decorrer esses processos em que houve queixa?

Vamos fazer investigação, recolha de prova, nos casos em que se consegue recolher prova, e depois tomar uma decisão. A CNPD deliberará, detetando que há um ilícito terá de adotar uma das medidas que o regulamento geral de proteção de dados prevê.

Que é a multa?

Há vários tipos de sanções. Pode-se considerar que não há prova suficiente que indicie, mas considerando-se que há de facto um ilícito há soluções que vão desde a multa à repreensão, fora os poderes genéricos de recomendação que temos neste contexto.

Acha que o facto de terem recebido queixas por causa das autarquias e das empresas é um sinal de que as pessoas estão mais atentas a estes direitos de proteção dos seus dados?

Tem-se notado nos últimos anos um crescendo de exposição de situações, por vezes sem ser no sentido de queixa, mas no sentido de dúvida. Essa consciencialização de que há um direito a uma reserva sobre a nossa informação e que ela não deve ser tratada de qualquer forma e por qualquer entidade tem-se vindo a notar.

E este contexto de Covid é um contexto em que, pela natureza das coisas, pela pressão em encontrar soluções para problemas, tem gerado de facto muitas situações de novos tratamentos de dados, alguns dos quais claramente em contradição com o regime de proteção de dados

Ainda em relação às autarquias, tem noção se, depois da vossa recomendação, as autarquias mudaram a sua atitude e a forma como divulgavam os dados?

Nalguns casos, quando fomos procurar prova, nem conseguimos encontrar prova porque já tinha sido retirada a informação. Houve, de facto, alertas que foram sendo passados e, quando chegamos ao momento de rapidamente procurar elementos para comprovar o que estava a ser objeto de queixa, num ou noutro caso já não conseguimos encontrar, o que mostra que as pessoas têm consciência que fizeram as coisas mal e não podem depois vir dizer que não estavam a dizer nada de mal.

A questão do sigilo dos dados também se for colocando muito em relação ao boletim da Direção-Geral da Saúde. E, por várias vezes, foi justificado só divulgarem os concelhos com três ou mais infetados devido ao segredo estatístico. Esta interpretação está correta?

Não digo que seja o segredo estatístico. É uma questão prévia, que é a divulgação da informação de saúde dos cidadãos.

Faz todo o sentido que os relatórios da DGS não venham com excesso de informação que corra o risco de identificação das pessoas que estão infetadas, precisamente porque estamos a falar de doenças infetocontagiosas que geram discriminação e sentimento de insegurança para quem está infetado.

E que muitas vezes são crianças, já aconteceu aparecerem dados relativos a crianças que permitiam a sua identificação, o que aumenta a estigmatização.

A DGS, nesse ponto de vista, tem tomado posições muito equilibradas de tutela dos diferentes interesses em presença.

E, voltando à questão dos direitos dos trabalhadores, ainda na semana passada emitiu uma orientação que procura promover a automonitorização das pessoas e não a medição forçada da temperatura corporal perante um qualquer representante da entidade empregadora ou perante o próprio empregador.

Outra questão que tem sido muito falada recentemente é a possibilidade de haver aplicações que possam identificar ou avisar quem tenha estado em contacto com uma pessoa infetada. Como tem acompanhado essa discussão e o que pode ou não ser feito?

Nós, CNPD, temos, no contexto do Comité Europeu de Proteção de Dados, acompanhado a questão e demos uma orientação sobre essa matéria apontando o que nos parece ser o caminho menos intrusivo na privacidade das pessoas.

Ou seja, dentro das várias aplicações possíveis para rastrear e conseguir identificar contactos com pessoas infetadas, admitir-se que isso possa ser considerado adequado e necessário – coisa que, em rigor, não chegámos a pronunciarmo-nos. Isso terá de ser feito em relação a cada caso concreto e não genericamente.

A admitir-se essa adequação e necessidade – que, repito, não está atestada – o que procurámos foi traçar o caminho menos invasivo. Em relação às soluções de que se fala em Portugal, a CNPD não conhece nenhuma, não foi levado ao seu conhecimento nenhuma aplicação para sua análise.

Temos informação de que estava a ser estudado um modelo, mas com várias hipóteses ainda em aberto. Aguardamos que esse projeto termine e possamos exercer os nossos poderes de fiscalização sucessiva. Verificar desde logo se foi feito um estudo de impactos obre proteção de dados e se foram tomadas as medidas adequadas.

Que medidas são essas?

Não podemos dizer nunca que estamos a falar de dados anónimos. Há sempre uma possibilidade de reidentificação, não se pode falar verdadeiramente em anominação. São dados pseudo-anonimizados, em que é possível a identificação, ainda que seja difícil.

A solução que se procurou encontrar implica que não sejam usados dados de geolocalização, portanto, que não seja possível rastrear o comportamento das pessoas.

O que se procurou foi apontar para um caminho em que não haja centralização dessa informação. Ou seja, a informação sobre com quem é que vou cruzando ao longo do dia, através de códigos que vão sendo produzidos aleatoriamente, fique guardada no terminal de cada utilizador, no ‘smartphone’ de cada individuo...

E não num servidor?

Enfim, a informação passa por um servidor, mas que não fique localizada ali. E, nessa medida, quando há finalmente a informação de que alguém foi declarado infetado se recebe esse alerta e se possa então tentar interromper a cadeia de transmissão.

Passa, portanto, por soluções claras de procura de garantias de dificuldade de identificar as pessoas, pelo critério só de proximidade e não de verdadeira localização e rastreamento e passa ainda por um claríssimo direito de informação, com o próprio código deste tratamento de dados aberto para que se possa acompanhar e perceber o que é que a aplicação está a fazer.

E é essencial que seja um tratamento de dados voluntário. Só adere quem quer, quem não quer não adere.

Temos um problema concreto em relação ao que se está a desenvolver em Portugal, porque não sabemos sequer quem é o responsável em relação ao tratamento de dados porque ouvimos dizer nas noticias que o Governo encomendou, ouvimos o primeiro-ministro dizer que não quer ter nada a ver com o assunto porque não quer – e bem – que a informação esteja centralizada no Estado.

Ainda não percebemos quem é o responsável, mas seguramente a seu tempo vamos descobrir quando, finalmente, a solução estiver desenhada e estiver a iniciar o seu funcionamento.

Uma das soluções que chegou a ser falada era de uma geolocalização dos infetados para perceber se as pessoas estavam ou não a respeitar o confinamento obrigatório. Isso seria possível em Portugal?

Não me parece. Só com suspensão de direitos que não foram suspensos no nosso estado de emergência que era o direito à reserva da vida privada e direito à proteção de dados pessoais e isso não foi suspenso em nenhum dos decretos do Presidente da República.

Presumo que, tendo em conta tudo o que aqui disse, o trabalho da CNPS tem sido acrescido neste momento. Tem tido os meios necessários?

Está com mais trabalho seguramente. Temos os meios possíveis, ainda por cima a funcionar em teletrabalho, o que diminui bastante a possibilidade de fazer inspeções nos próprios locais. Estamos com alguma contenção de meios, mas estamos a fazer o trabalho possível.

Pelo menos, o trabalho de orientação e de chamada de atenção tem sido feito e procuramos intervir sempre que há queixas. Por vezes, até a simples pergunta à entidade que está a fazer um tratamento invasivo faz com que essa entidade se retraia e corrija voluntariamente aquilo que estaria a ser mal feito.

Tendo em conta tudo o que tem identificado neste tempo, quais são as recomendações que gostaria de dar a cada cidadão sobre o tratamento dos seus dados neste momento?

Acho que as pessoas vivem um tempo difícil em que, em nome do interesse público e da saúde pública, se pede que se abdique dos seus direitos e há, de facto, graus razoáveis em que podemos consentir numa compressão dos nossos direitos, podemos admitir partilhar informação que só a nós diz respeito, mas isso tem de estar definido num quadro legal garantístico.

Portanto, o conselho que deixo aos cidadãos é que, cada vez que lhes peçam consentimento, peçam para preencher folhas de informação sobre onde esteve, com quem esteve, etc, pensem, primeiro, se acham que estão a ser obrigados a fazê-lo, vejam qual é o fundamento. Não temos de dar esses dados automaticamente.

Que os cidadãos pensem e que vão, pelo menos, interrogando quem está a recolher os dados porque é que os quer e com que fundamento e que vão pondo também quem está a fazer essa exigência de informação pessoal sobre saúde a pensar se estão a fazer bem ou mal.