Como é que vão decorrer esses processos em que houve queixa?

Vamos fazer investigação, recolha de prova, nos casos em que se consegue recolher prova, e depois tomar uma decisão. A CNPD deliberará, detetando que há um ilícito terá de adotar uma das medidas que o regulamento geral de proteção de dados prevê.

Que é a multa?

Há vários tipos de sanções. Pode-se considerar que não há prova suficiente que indicie, mas considerando-se que há de facto um ilícito há soluções que vão desde a multa à repreensão, fora os poderes genéricos de recomendação que temos neste contexto.

Acha que o facto de terem recebido queixas por causa das autarquias e das empresas é um sinal de que as pessoas estão mais atentas a estes direitos de proteção dos seus dados?

Tem-se notado nos últimos anos um crescendo de exposição de situações, por vezes sem ser no sentido de queixa, mas no sentido de dúvida. Essa consciencialização de que há um direito a uma reserva sobre a nossa informação e que ela não deve ser tratada de qualquer forma e por qualquer entidade tem-se vindo a notar.

E este contexto de Covid é um contexto em que, pela natureza das coisas, pela pressão em encontrar soluções para problemas, tem gerado de facto muitas situações de novos tratamentos de dados, alguns dos quais claramente em contradição com o regime de proteção de dados

Ainda em relação às autarquias, tem noção se, depois da vossa recomendação, as autarquias mudaram a sua atitude e a forma como divulgavam os dados?

Nalguns casos, quando fomos procurar prova, nem conseguimos encontrar prova porque já tinha sido retirada a informação. Houve, de facto, alertas que foram sendo passados e, quando chegamos ao momento de rapidamente procurar elementos para comprovar o que estava a ser objeto de queixa, num ou noutro caso já não conseguimos encontrar, o que mostra que as pessoas têm consciência que fizeram as coisas mal e não podem depois vir dizer que não estavam a dizer nada de mal.

A questão do sigilo dos dados também se for colocando muito em relação ao boletim da Direção-Geral da Saúde. E, por várias vezes, foi justificado só divulgarem os concelhos com três ou mais infetados devido ao segredo estatístico. Esta interpretação está correta?

Não digo que seja o segredo estatístico. É uma questão prévia, que é a divulgação da informação de saúde dos cidadãos.

Faz todo o sentido que os relatórios da DGS não venham com excesso de informação que corra o risco de identificação das pessoas que estão infetadas, precisamente porque estamos a falar de doenças infetocontagiosas que geram discriminação e sentimento de insegurança para quem está infetado.

E que muitas vezes são crianças, já aconteceu aparecerem dados relativos a crianças que permitiam a sua identificação, o que aumenta a estigmatização.

A DGS, nesse ponto de vista, tem tomado posições muito equilibradas de tutela dos diferentes interesses em presença.

E, voltando à questão dos direitos dos trabalhadores, ainda na semana passada emitiu uma orientação que procura promover a automonitorização das pessoas e não a medição forçada da temperatura corporal perante um qualquer representante da entidade empregadora ou perante o próprio empregador.

Outra questão que tem sido muito falada recentemente é a possibilidade de haver aplicações que possam identificar ou avisar quem tenha estado em contacto com uma pessoa infetada. Como tem acompanhado essa discussão e o que pode ou não ser feito?

Nós, CNPD, temos, no contexto do Comité Europeu de Proteção de Dados, acompanhado a questão e demos uma orientação sobre essa matéria apontando o que nos parece ser o caminho menos intrusivo na privacidade das pessoas.

Ou seja, dentro das várias aplicações possíveis para rastrear e conseguir identificar contactos com pessoas infetadas, admitir-se que isso possa ser considerado adequado e necessário – coisa que, em rigor, não chegámos a pronunciarmo-nos. Isso terá de ser feito em relação a cada caso concreto e não genericamente.

A admitir-se essa adequação e necessidade – que, repito, não está atestada – o que procurámos foi traçar o caminho menos invasivo. Em relação às soluções de que se fala em Portugal, a CNPD não conhece nenhuma, não foi levado ao seu conhecimento nenhuma aplicação para sua análise.

Temos informação de que estava a ser estudado um modelo, mas com várias hipóteses ainda em aberto. Aguardamos que esse projeto termine e possamos exercer os nossos poderes de fiscalização sucessiva. Verificar desde logo se foi feito um estudo de impactos obre proteção de dados e se foram tomadas as medidas adequadas.

Que medidas são essas?

Não podemos dizer nunca que estamos a falar de dados anónimos. Há sempre uma possibilidade de reidentificação, não se pode falar verdadeiramente em anominação. São dados pseudo-anonimizados, em que é possível a identificação, ainda que seja difícil.

A solução que se procurou encontrar implica que não sejam usados dados de geolocalização, portanto, que não seja possível rastrear o comportamento das pessoas.

O que se procurou foi apontar para um caminho em que não haja centralização dessa informação. Ou seja, a informação sobre com quem é que vou cruzando ao longo do dia, através de códigos que vão sendo produzidos aleatoriamente, fique guardada no terminal de cada utilizador, no ‘smartphone’ de cada individuo...

E não num servidor?

Enfim, a informação passa por um servidor, mas que não fique localizada ali. E, nessa medida, quando há finalmente a informação de que alguém foi declarado infetado se recebe esse alerta e se possa então tentar interromper a cadeia de transmissão.

Passa, portanto, por soluções claras de procura de garantias de dificuldade de identificar as pessoas, pelo critério só de proximidade e não de verdadeira localização e rastreamento e passa ainda por um claríssimo direito de informação, com o próprio código deste tratamento de dados aberto para que se possa acompanhar e perceber o que é que a aplicação está a fazer.

E é essencial que seja um tratamento de dados voluntário. Só adere quem quer, quem não quer não adere.

Temos um problema concreto em relação ao que se está a desenvolver em Portugal, porque não sabemos sequer quem é o responsável em relação ao tratamento de dados porque ouvimos dizer nas noticias que o Governo encomendou, ouvimos o primeiro-ministro dizer que não quer ter nada a ver com o assunto porque não quer – e bem – que a informação esteja centralizada no Estado.

Ainda não percebemos quem é o responsável, mas seguramente a seu tempo vamos descobrir quando, finalmente, a solução estiver desenhada e estiver a iniciar o seu funcionamento.

Uma das soluções que chegou a ser falada era de uma geolocalização dos infetados para perceber se as pessoas estavam ou não a respeitar o confinamento obrigatório. Isso seria possível em Portugal?

Não me parece. Só com suspensão de direitos que não foram suspensos no nosso estado de emergência que era o direito à reserva da vida privada e direito à proteção de dados pessoais e isso não foi suspenso em nenhum dos decretos do Presidente da República.

Presumo que, tendo em conta tudo o que aqui disse, o trabalho da CNPS tem sido acrescido neste momento. Tem tido os meios necessários?

Está com mais trabalho seguramente. Temos os meios possíveis, ainda por cima a funcionar em teletrabalho, o que diminui bastante a possibilidade de fazer inspeções nos próprios locais. Estamos com alguma contenção de meios, mas estamos a fazer o trabalho possível.

Pelo menos, o trabalho de orientação e de chamada de atenção tem sido feito e procuramos intervir sempre que há queixas. Por vezes, até a simples pergunta à entidade que está a fazer um tratamento invasivo faz com que essa entidade se retraia e corrija voluntariamente aquilo que estaria a ser mal feito.

Tendo em conta tudo o que tem identificado neste tempo, quais são as recomendações que gostaria de dar a cada cidadão sobre o tratamento dos seus dados neste momento?

Acho que as pessoas vivem um tempo difícil em que, em nome do interesse público e da saúde pública, se pede que se abdique dos seus direitos e há, de facto, graus razoáveis em que podemos consentir numa compressão dos nossos direitos, podemos admitir partilhar informação que só a nós diz respeito, mas isso tem de estar definido num quadro legal garantístico.

Portanto, o conselho que deixo aos cidadãos é que, cada vez que lhes peçam consentimento, peçam para preencher folhas de informação sobre onde esteve, com quem esteve, etc, pensem, primeiro, se acham que estão a ser obrigados a fazê-lo, vejam qual é o fundamento. Não temos de dar esses dados automaticamente.

Que os cidadãos pensem e que vão, pelo menos, interrogando quem está a recolher os dados porque é que os quer e com que fundamento e que vão pondo também quem está a fazer essa exigência de informação pessoal sobre saúde a pensar se estão a fazer bem ou mal.