Orientações sobre os tratamentos de dados pessoais de saúde regulados no Decreto n.º 8/2020, de 8 de novembro

Ago 12, 2021 | Orientações CNPD

Consulte aqui o documento original

No contexto da pandemia decorrente do novo coronavírus SARS-CoV-2 e da doença Covid-19, e na sequência do decretamento de novo estado de emergência[1]Decreto do Presidente da República n.º 51-U/2020, de 6 de novembro , a Comissão Nacional de Proteção de Dados (CNPD) tem recebido múltiplos pedidos de esclarecimentos, em especial de encarregados de proteção de dados e de cidadãos, quanto ao sentido a dar às normas relativas a tratamentos de dados pessoais constantes do Decreto do Conselho de Ministros n.º 8/2020, de 8 de novembro, que regulamenta a aplicação do estado de emergência decretado pelo Presidente da República.

Uma vez que a situação epidemiológica e o quadro normativo sofreram evoluções desde que a CNPD emitiu, no contexto da COVID-19, orientações sobre o tratamento de dados de saúde de trabalhadores[2] Orientações sobre recolha de dados de saúde dos trabalhadores, de 23 de abril de 2020, acessíveis em
https://www.cnpd.pt/home/orientacoes/Orientacoes_recolha_dados_saude_trabalhadores.pdf
e de estudantes[3]Cf. Orientações sobre recolha de dados de saúde dos alunos, de 19 de maio de 2020, acessíveis em https://www.cnpd.pt/home/orientacoes/Orientacoes_medicao_temperatura_estabelecimentos_ensino.pdf, justifica-se agora que a CNPD, no exercício das suas atribuições e competências[4]Cf. alíneas b) e d) do n.º 1 do artigo 57.º e alínea b) do n.º 1 do artigo 58.º do Regulamento (UE) 2016/679, de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados) e artigos … Continue reading, defina orientações sobre o sentido e a execução das disposições relativas ao tratamento de dados pessoais previstas no Decreto n.º 8/2020, de 8 de novembro, e sobre a sua articulação com o Regulamento Geral sobre a Proteção de Dados (doravante, RGPD)[5]Regulamento (UE) 2016/679, de 27 de abril de 2016..

Em causa estão, no essencial, os artigos 4.º e 5.º do referido Decreto, onde se prevê e regula o controlo de temperatura corporal e a realização de testes de diagnóstico de SARS-CoV-2, e ainda o artigo 7.º, relativo ao reforço da capacidade de rastreio. Todos eles, como se demonstrará, preveem e estabelecem regras sobre a realização de operações sobre informação de saúde relativa a pessoas singulares identificadas ou identificáveis, pelo que preveem e disciplinam tratamentos de dados pessoais[6]Nos termos das alíneas 1), 2) e 15) do artigo 4.º do Regulamento (UE) 2016/679, de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados – RGPD). Com a particularidade de as operações de controlo da temperatura corporal e de realização de testes de diagnóstico de SARS-CoV-2 estarem já previstas na alínea d) do artigo 4.º do citado Decreto do Presidente da República.

  1. Controlo de temperatura corporal

O artigo 4.º do Decreto do Conselho de Ministros n.º 8/2020 vem, no n.º 1, admitir a realização de medições de temperatura corporal por meios não invasivos, não apenas no controlo de acesso ao local de trabalho, como também no controlo de acesso a serviços ou instituições públicas, estabelecimentos educativos e espaços comerciais, culturais ou desportivos, meios de transporte, em estruturas residenciais, estabelecimentos de saúde, estabelecimentos prisionais ou centros educativos. Afirmase ainda a extensão da mesma possibilidade de controlo a cidadãos que integrem as categorias previstas no n.º 1 do artigo 5.º do mesmo Decreto (o que, em rigor, alarga em pouco o âmbito de aplicação daquela norma).

Note-se que o Governo havia já previsto a realização de leitura de temperatura corporal no contexto da relação laboral, norma que foi objeto de apreciação crítica pela CNPD, por não cumprir um conjunto de requisitos que conferissem, desde logo, previsibilidade à norma e garantias mínimas de salvaguarda dos direitos e interesses dos titulares dos dados, no caso os trabalhadores[7]Cf. artigo 13.º-C do Decreto-Lei n.º 10-A/2020, de 13 de março, introduzido, pelo Decreto-Lei n.º 20/2020, de 1 de maio, e Resposta da CNPD ao Requerimento 19/XIV/1.ª (EI), disponível em … Continue reading.

Comparativamente, o artigo 4.º do Decreto n.º 8/2020 vem agora regular alguns aspetos do tratamento que estavam omissos na anterior regulação, especificando os pressupostos do poder de impedir o acesso aos locais elencados, bem como a consequência de se ter por justificada a falta de um trabalhador por ter apresentado uma temperatura corporal igual ou superior a 38ºC.

Todavia, além de alargar o âmbito de aplicação deste poder de controlar a temperatura corporal no acesso a outros estabelecimentos ou locais diferentes do local de trabalho, especifica-se agora que o controlo pode ser feito por qualquer trabalhador da entidade responsável pelo local ou estabelecimento, sem que se prevejam salvaguardas adequadas a proteger esses dados de saúde.

1.1. O controlo de temperatura corporal como tratamento de dados pessoais

Importa começar por explicar que a operação de leitura da temperatura corporal traduz um tratamento de dados pessoais sujeito ao regime definido no RGPD.

Na verdade, têm, a este propósito, surgido algumas dúvidas, talvez por influência de algumas autoridades de proteção de dados no espaço europeu[8]Cf., por exemplo, European Data Protection Supervisor (EDPS), Orientations from the EDPS: Body temperature checks by EU institutions in the context of the COVID-19 crisis, 1.09.2020, p. 5, acessível … Continue reading, que consideram que certos tipos de termómetros realizam um tratamento de informação não automatizado e que não envolve a sua estruturação em ficheiro, pelo que, nos termos do n.º 1 do artigo 2.º do RGPD, o tratamento estará excluído do âmbito de aplicação deste diploma europeu. Neste contexto, a simples recolha do dado pessoal de saúde sem sistematização (v.g., sem que se proceda à sua inscrição num registo) não constituiria um tratamento sujeito ao RGPD. É neste sentido que se pode tentar compreender a opção vertida no Decreto agora em análise, que determina que o equipamento utilizado para medir a temperatura não pode conter qualquer memória ou realizar registos das medições efetuadas, e que proíbe o registo da temperatura corporal associado à identidade da pessoa (salvo expressa autorização da mesma).

Sendo certo que o regime de proteção de dados, pensado sobretudo para o processamento informatizado dos dados pessoais, se estende aos tratamentos manuais apenas na medida em que a informação se apresente sistematizada ou estruturada segundo um específico critério de ordenação (cf. considerando 15 do RGPD), a verdade é que a determinação de se o controlo da temperatura corporal de uma pessoa singular se rege ou não pelo RGPD não depende, em rigor, da inscrição deste dado em registo.

A questão coloca-se num momento anterior e respeita à natureza automatizada ou não automatizada dos meios utilizados para o tratamento da informação. O conceito de tratamento por meios automatizados foi analisado pelo Tribunal de Justiça da União Europeia, no acórdão Lindqvist, tendo aí sido fixada uma interpretação ampla do mesmo. No âmbito desse processo, a Comissão Europeia sustentou que nele se enquadra o tratamento de dados pessoais, independentemente dos meios técnicos utilizados, desde que não existam limitações técnicas que restrinjam o tratamento a uma operação exclusivamente manual, e o Governo sueco defendeu que aí se inclui todo o tratamento em formato informático, ou seja, em formato binário[9]Acórdão de 6 de novembro de 2003 (C-101/01), em especial,§§ 21, 23 e 26, acessível em https://eurlex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:62001CJ0101&from=en.

Ora, os termómetros digitais realizam um processamento automatizado (processamento digital final), através de sensores que leem elementos físicos (v.g., um conjunto de parâmetros da pele, a distância do sensor em relação à pele) e, por impulso elétrico e (ou) através de um microprocessador eletrónico[10]Cf. a explicação do processo em http://www.silverwing.com.hk/men/news view 2043 153.html, transforma os dados físicos numespecífico resultado (out-put) de acordo ou em função de uma prévia programação,resultado esse que corresponde a um número inteligível para o ser humano (v.g., 38º C)[11]Para mais desenvolvimentos, v. Hsuan-Yu Chen/ Andrew Chen / Chiachung Chen, Investigation of the Impact of Infrared Sensors on Core Body Temperature Monitoring by Comparing Measurement Sites, … Continue reading. Claramente, um tratamento que não é exclusivamente manual, exigindo um processamento informático da informação pessoal.

Por conseguinte, estando preenchido o pressuposto do âmbito de aplicação material do RGPD nomeado em primeiro lugar n.º 1 do seu artigo 2.º – um tratamento de dados por meios total ou parcialmente automatizados –, não há que indagar sobre o preenchimento das condições que compõem o pressuposto alternativo.

Outra é a questão de saber se a leitura da temperatura corporal no acesso aos locais ou estabelecimentos elencados no artigo 4.º do Decreto n.º 8/2020 implica sempre o tratamento de dados relativos a pessoas singulares identificadas ou identificáveis, requisito indispensável para se ter por aplicável o RGPD (cf. n.º 1 do artigo 2.º e alíneas 1) e 2) do artigo 4.º do RGPD). A resposta dependerá do contexto dessa operação.

No acesso ao local de trabalho, tal como, de resto, no acesso a outros tipos de estabelecimentos onde o titular dos dados seja conhecido ou esteja identificado – como sucede, por exemplo, com o acesso dos alunos aos estabelecimentos de educação e ensino, bem como dos clientes aos ginásios – não podem sobrar dúvidas quanto à identificação direta ou, pelo menos, à identificabilidade das pessoas singulares. Mas mesmo num restaurante, basta que o cliente seja já conhecido ou se tenha identificado para efeito da reserva de uma mesa, para que se esteja perante informação identificável. E isto, independentemente de a temperatura ser efetivamente igual ou superior a 38ºC, uma vez que a verificação de que a temperatura é inferior a esse valor também traduz um tratamento de dados de saúde. Note-se que a suscetibilidade de identificação da informação de saúde aumenta sempre que exista um sistema de videovigilância com gravação das imagens a incidir no acesso ao local ou ao estabelecimento e, em especial no caso dos locais de trabalho e de estabelecimentos de ensino ou espaços desportivos, em que o acesso às instalações dependa ainda de um sistema de controlo com leitura de dados biométricos[12]Neste sentido, v. EDPS, Orientations from the EDPS …, cit., pp. 7-8..

Assim, conclui-se que a medição da temperatura corporal corresponde a um tratamento de dados pessoais de saúde sujeito ao regime do RGPD quando realizado no contexto do controlo de acesso ou permanência no local de trabalho e no acesso ou permanência nos estabelecimentos educativos, estruturas residenciais, estabelecimentos prisionais ou centro educativos, bem como no controlo de acesso a serviços ou instituições públicas, espaços comerciais, culturais ou desportivos e meios de transporte, em que haja suscetibilidade de identificação das pessoas, o que ocorre, pelo menos, sempre que o estabelecimento ou local estiver dotado de um sistema de controlo com leitura de dados biométricos ou de sistema de videovigilância com gravação das imagens.

1.2. A aplicação do RGPD

Importa agora considerar o regime aplicável a este tratamento de dados pessoais de saúde. Recorda-se, a este propósito, que a Constituição da República Portuguesa (doravante,CRP) e a Carta dos Direitos Fundamentais da União Europeia (de ora em diante, Carta) reconhecem, além do direito fundamental à reserva ou ao respeito pela vida privada e familiar, o direito fundamental à proteção dos dados pessoais, (cf. artigos 26.º e 35.º da CRP e artigos 7.º e 8.º da Carta). E que o RGPD é o regime jurídico regra dos tratamentos de dados pessoais vigente no ordenamento jurídico português.

Assim, considerando que o Decreto do Presidente da República, que restringe, parcialmente, o exercício de certos direitos, liberdades e garantias, não suspende nem restringe expressamente os direitos ao respeito pela vida privada e familiar e à proteção dos dados pessoais, não afetando assim o regime jurídico aplicável aos tratamentos de dados pessoais nele especificamente admitidos, o decreto que regulamenta a aplicação do estado de emergência, no que à disciplina dos tratamentos de dados pessoais diz respeito, não pode deixar de ser interpretado e aplicado à luz do RGPD.

Isso mesmo foi sublinhado pelo Comité Europeu de Proteção de Dados, que numa declaração de junho deste ano, recordou que, «mesmo nestes tempos excecionais, a proteção dos dados pessoais tem de ser mantida em todas as medidas de emergência, incluindo nas restrições adotadas no plano nacional em conformidade com o artigo 23.º, contribuindo para o respeito pelo valores estruturantes da democracia, do Estado de Direito e dos direitos fundamentais em que se funda a União; por um lado, qualquer medida adotada pelo Estado-Membro tem de respeitar os princípios gerais de direito, o conteúdo essencial dos direitos fundamentais e liberdades, e não pode ser irreversível, e, por outro lado, os responsáveis pelos tratamentos e os subcontratantes têm de continuar a cumprir as regras de proteção de dados»[13]Cf. Statement on restrictions on data subject rights in connection to the state of emergency in MemberStates, de 2 de junho de 2020, §4, acessível em … Continue reading.

Insista-se que o regime dos tratamentos de dados pessoais do RGPD espelha a ponderação de valores e interesses que, no quadro comum de valores e princípios fundamentais que une os Estados-Membros da União Europeia, realizada pelo Parlamento Europeu e pelo Conselho, onde participou e participa o Governo português.

Nesse regime, onde se fixam direitos dos titulares e obrigações para os responsáveis pelos tratamentos, bem como para os subcontratantes, há um conjunto de normas cujo alcance pode ser limitado pelos Estados-Membros, por medida legislativa, desde que constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar interesses públicos, entre os quais se destaca a saúde pública (cf. alínea e) do n.º 1 do artigo 23.º do RGPD). Todavia, entre as disposições do RGPD suscetíveis de serem limitadas para prosseguir o interesse público da saúde pública (ou outro interesse público) não constam as relativas às condições de licitude dos tratamentos de dados pessoais, mais especificamente os artigos 6.º e 9.º do RGPD.

Precisamente, tendo em conta que em causa está o tratamento de dados pessoais de saúde, não pode aqui deixar de se exigir o respeito pelo estatuído no artigo 9.º do RGPD, que reforça o regime dos dados especialmente protegidos, onde se encontram os dados relativos à saúde.

E aí se estatui que o tratamento de dados de saúde é admissível se o tratamento for necessário por motivos de interesse público no domínio da saúde pública, com base no direito da União ou dos Estados-Membros que preveja medidas adequadas e específicas que salvaguardem os direitos e liberdades do titular dos dados, em particular o sigilo profissional – cf. alínea i) do n.º 2 do artigo 9.º do RGPD.

Enquadrando-se na alínea i) do n.º 2 do artigo 9.º do RGPD o tratamento de dados pessoais previsto e regulado no artigo 4.º do Decreto n.º 8/2008, logo ressalta que nele não estão suficientemente acautelados os direitos e liberdades dos titulares dos dados, em especial no que diz respeito às garantias de sigilo. Com efeito, o n.º 4 do artigo 4.º admite que as medições podem ser realizadas por trabalhador ao serviço da entidade responsável pelo local ou estabelecimento, limitando-se a afirmar que o equipamento utilizado para o efeito não pode conter qualquer memória ou realizar registos das medições efetuadas. Ora, estas condições definidas na parte final desta disposição, constituindo-se, por um lado, como medidas específicas de salvaguarda dos direitos por aplicação do princípio da minimização dos dados, por outro, não asseguram, de todo, a confidencialidade da informação, não vinculando o trabalhador a um dever de sigilo – como se explicou supra, a razão de ser desta exigência prender-se-á com o objetivo, não almejado, de afastar esta operação de tratamento de dados pessoais, do âmbito de aplicação do RGPD. Aliás, se bem se atentar, o RGPD refere o sigilo profissional, remetendo, portanto, para o regime de sigilo a que estão vinculados os profissionais no âmbito das atividades profissionais reguladas, ou seja, no contexto dos tratamentos de dados de saúde no domínio da saúde pública, reportando-se ao dever de sigilo dos profissionais de saúde.

Mas mesmo não pondo em causa, por ora e nesta sede, que outros trabalhadores possam exercer esta tarefa sem ser sob direta responsabilidade de um profissional de saúde – como expressamente o RGPD impõe, designadamente no âmbito da medicina preventiva e do trabalho (cf. a alínea h) do n.º 2 e o n.º 3 do artigo 9.º do RGPD) –, indispensável é que esses trabalhadores estejam vinculados pelo dever de confidencialidade e que o procedimento a adotar após a deteção de que uma pessoa tem temperatura igual ou superior a 38ºC garanta a reserva sobre essa informação.

Nessa medida, para que não se considere haver aqui uma contradição insanável do artigo 4.º do Decreto n.º 8/2008 com o RGPD, este artigo tem de ser interpretado em conformidade com o Direito da União Europeia e, especificamente, em conformidade com as exigências constantes da alínea i) do n.º 2 do artigo 9.º do RGPD, e assim ser interpretado no sentido de que os responsáveis pelos tratamentos de dados pessoais têm de vincular a um específico dever de confidencialidade o trabalhador que vai executar o tratamento (i.e., que vai realizar os controlos da temperatura corporal).

Aliás, mesmo que, quanto aos acessos pelos trabalhadores ao local de trabalho, se pretendesse enquadrar o controlo da temperatura corporal no contexto da alínea h) ou, mesmo da alínea b), do n.º 2 do artigo 9.º do RGPD – o que tendo em conta o enquadramento e fundamento do Decreto, não é defensável –, seja por aplicação do n.º 3, no primeiro caso, seja por exigência que o Direito do Estado-Membro preveja garantias adequadas dos direitos fundamentais e dos interesses do titular dos dados, a interpretação em conformidade com o Direito da União sempre conduziria a reconhecer a imprescindibilidade dessa vinculação ao dever de confidencialidade.

  1. Testes de diagnóstico de SARS-CoV-2

O artigo 5.º do Decreto n.º 8/2020 determina que podem ser sujeitos à realização de testes de diagnóstico de SARS-CoV-2 os trabalhadores, utentes e visitantes de estabelecimentos de prestação de cuidados de saúde, de estruturas residenciais para idosos, unidades de cuidados integrados da Rede Nacional de Cuidados Continuados Integrados e de outras respostas dedicadas a pessoas idosas, bem como a crianças, jovens e pessoas com deficiência; os trabalhadores, estudantes e visitantes de estabelecimentos de educação, ensino e de ensino superior; os trabalhadores, utentes e visitantes, no âmbito dos serviços prisionais e centros educativos, bem como os reclusos nos estabelecimentos prisionais ou jovens internados em centro educativos; as pessoas que pretendam entrar ou sair do território nacional continental ou das Regiões

Autónomas por via área ou marítima; e as pessoas que pretendam aceder a outros locais que a Direção-Geral de Saúde (DGS) venha a identificar. Em causa está uma norma que legitima entidades que, na sua maioria, não integram o Serviço Nacional de Saúde nem têm por objeto estatutário ou social a prestação de cuidados de saúde, a exigir a realização de um teste de diagnóstico às pessoas que pretendam ou tenham o dever de entrar (ou permanecer) nas suas instalações. É
evidente o impacto desta norma no direito fundamental à liberdade, na vertente de livre desenvolvimento da personalidade, bem como nos direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais, pela intensidade da medida, mas também pela extensão que ela pode assumir, em nenhum ponto da mesma se delimitando os tipos de situações em que tal imposição pode ser feita.

Com efeito, não restando dúvidas de que a realização do teste implica o tratamento de dados pessoais de saúde, o artigo 5.º, estranhamente, limita a regulação do tratamento à definição de quem dentro da respetiva organização tem o poder para determinar a realização dos testes e à especificação de que, quando o titular dos dados seja o trabalhador, o resultado do exame que impossibilite o acesso ao local de trabalho torna
justificada a falta.

Por outras palavras, a norma que disciplina, em execução do Decreto presidencial, a possibilidade de diferentes entidades públicas e privadas imporem, como condição de acesso ou permanência em certos estabelecimentos (e no caso dos estabelecimentos prisionais e centros educativos, sem qualquer opção), a realização de testes de diagnóstico não delimita as circunstâncias em que pode haver imposição de realização do teste, nem define quem recolhe a amostra para efeito de diagnóstico e quem analisa os resultados do teste. Qualquer que seja o tipo de teste aqui em vista, mesmo que a norma se limitasse aos testes rápidos de antigénio, é de sublinhar a gravidade de tal omissão, assim como da ausência de previsão de medidas acauteladoras da privacidade das pessoas obrigadas à realização dos testes, num contexto de tendencial estigmatização e discriminação dos portadores do vírus.

Tanto mais que os diferentes testes de diagnóstico deste vírus só podem ser realizados por profissionais de saúde, de acordo com a Norma da DGS n.º 019/2020, de 26 de outubro de 2020 e atualizada em 6 de novembro de 2020, relativa à Estratégia Nacional de Testes para SARS-CoV-2, onde se definem as condições para a utilização dos diferentes tipos de testes[14]Acessível em https://www.dgs.pt/normas-orientacoes-e-informacoes/normas-e-circularesnormativas/norma-n-0192020-de-26102020-pdf.aspx. Aí se prevê especificamente a hipótese de utilização de testes rápidos de antigénio em pessoas assintomáticas com contacto de alto risco com caso confirmado COVID-19, em situação de surto, mas sempre sob coordenação das Equipas de Saúde Pública indicadas para a intervenção rápida[15]Cf. páginas 4-5.. E a Circular Informativa Conjunta da DGS, Infarmed, I.P., e INSA, I.P., n.º 004/CD/100.20.200, de 14 de outubro de 2020, relativa a Testes de Pesquisa de Antigénio, elenca em anexo todos os testes deste tipo admissíveis e disponíveis no mercado, com especificação que são de uso profissional[16]Acessível em https://covid19.min-saude.pt/wpcontent/uploads/2020/10/CI conjunta04 Infarmed DGS INSA Testes-14 10 2020final.pdf.

Reitera-se estar em causa uma norma que legitima entidades que, na sua maioria, não têm por objeto estatutário ou social a prestação de cuidados de saúde, a exigir a realização de um teste de diagnóstico às pessoas que pretendam ou tenham de entrar (ou permanecer) nas suas instalações. A restrição assim operada nos direitos, liberdades e garantias destas pessoas, nas suas diferentes dimensões, independentemente dos direitos que aqui se pretenda invocar, assume uma tal extensão e intensidade que justificaria, sob pena de um juízo de desproporcionalidade, uma regulamentação cuidadosa e exaustiva. Não foi esse o caminho trilhado no Decreto do Conselho de Ministros, pelo que, sob pena de se concluir pela afetação do conteúdo essencial dos direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais, é imprescindível uma interpretação conforme à Constituição e ao Direito da União, que assegure a proporcionalidade da medida e a garantia mínima dos direitos e interesses dos titulares dos dados. Deste modo, sendo certo que em causa está o tratamento de dados pessoais de saúde, e paralelamente ao que se afirmou no ponto relativo ao controlo de temperatura corporal, mas aqui ainda com mais intensidade, impõe-se fazer uma interpretação do artigo 5.º do Decreto n.º 8/2020 conforme à alínea i) do n.º 2 do artigo 9.º do RGPD, no sentido de que a previsão normativa de uma tal exigência pressupõe, pelo menos, a intervenção de profissionais de saúde e o respeito pelo sigilo profissional, bem como a adoção de procedimentos subsequentes que assegurem a discrição e a dignidade do tratamento da pessoa objeto dos testes. 3. Reforço da capacidade de rastreio por quem não seja profissional de saúde No artigo 7.º do Decreto n.º 8/2020, prevê-se que a realização de inquéritos~ epidemiológicos, o rastreio de contactos de doentes com COVID-19 e o seguimento de pessoas em vigilância ativa pode ser realizada por quem não seja profissional de saúde. No mesmo artigo explicitam-se as categorias de trabalhadores que podem ser« mobilizados para o desempenho destas tarefas, os quais podem ser trabalhadores no exercício de funções públicas, bem como trabalhadores de entidades privadas, do setor social ou cooperativo.

A medida aqui prevista pressupõe, portanto, a recolha, o registo e a consulta de um conjunto alargado de informação relativa à saúde e vida privada de pessoas identificadas, por quem não é profissional de saúde nem se encontra sujeito a uma obrigação de sigilo profissional na área da saúde. A sensibilidade dos dados pessoais assim tratados e o impacto deste tratamento, em especial num contexto que é suscetível de gerar efeitos discriminatórios e estigmatizantes, não podem deixar de ser assinalados, sendo incompreensível a omissão de previsão de medidas adequadas a salvaguardar a privacidade dos titulares dos dados. Até pelo tratamento desigual dos cidadãos, em termos de garantia da confidencialidade da sua informação, em função do tipo de trabalhador que assuma a tarefa de recolher os seus dados e de os seguir em vigilância ativa: se um profissional de saúde, vinculado a um dever de sigilo profissional, se um trabalhador mobilizado para este efeito não sujeito a um dever de sigilo.

Pelas razões supra expostas, e de modo paralelo, também o artigo 7.º do Decreto n.º 8/2008 tem de ser interpretado em conformidade com o Direito da União, em particular, em conformidade com a alínea i) do n.º 1 do artigo 9.º do RGPD, no sentido de os trabalhadores mobilizados para o tratamento destes dados de saúde estarem formal e expressamente vinculados, no ato que determinar a sua mobilização ou em declaração autónoma, a um específico dever de confidencialidade relativamente a todos os dados pessoais que venham a conhecer, no exercício destas funções.

  1. Conclusão

Uma vez que os artigos 4.º, 5.º e 7.º do Decreto n.º 8/2020 não preveem medidas adequadas e específicas para a defesa dos direitos e interesses das pessoas sujeitas a controlo de temperatura corporal ou à obrigação de realizar testes de diagnóstico, nem das pessoas sujeitas a tratamentos de dados de saúde por quem não seja profissional de saúde, como impõe a alínea i) do n.º 1 do artigo 9.º do RGPD, e sob pena de um juízo de desproporcionalidade e de contradição com as normas estruturantes (e não derrogáveis pelo Direito nacional) do regime europeu de proteção de dados, aqueles artigos devem ser interpretados e aplicados em conformidade com o Direito da União Europeia, no sentido de que os responsáveis pelos tratamentos de dados pessoais devem:

A. Controlo de temperatura corporal

i. Vincular, por contrato ou declaração autónoma, o trabalhador que realiza o controlo de temperatura a um específico dever de confidencialidade;
ii. Definir e executar os procedimentos subsequentes à deteção de um caso de temperatura igual ou superior a 38ºC, que garantam e assegurem a discrição e a dignidade do tratamento da pessoa objeto do controlo;

B. Realização de testes de diagnóstico de SARS-CoV-2 i. Garantir que seja um profissional de saúde, sujeito à obrigação de sigilo profissional, a realizar os testes de diagnóstico;

ii. Definir e executar os procedimentos subsequentes à deteção de um caso de resultado positivo, que garantam e assegurem a discrição e a dignidade do tratamento da pessoa objeto de testes;

C. Reforço da capacidade de rastreio por quem não seja profissional de saúde Vincular expressamente, no ato jurídico que determine a mobilização ou em declaração jurídica autónoma, o trabalhador mobilizado a um específico dever de confidencialidade relativamente a todos os dados pessoais que venha a conhecer, no exercício destas funções.

Lisboa, 13 de novembro de 2020

Referências

Referências
1 Decreto do Presidente da República n.º 51-U/2020, de 6 de novembro
2 Orientações sobre recolha de dados de saúde dos trabalhadores, de 23 de abril de 2020, acessíveis em
https://www.cnpd.pt/home/orientacoes/Orientacoes_recolha_dados_saude_trabalhadores.pdf
3 Cf. Orientações sobre recolha de dados de saúde dos alunos, de 19 de maio de 2020, acessíveis em https://www.cnpd.pt/home/orientacoes/Orientacoes_medicao_temperatura_estabelecimentos_ensino.pdf
4 Cf. alíneas b) e d) do n.º 1 do artigo 57.º e alínea b) do n.º 1 do artigo 58.º do Regulamento (UE) 2016/679, de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados) e artigos 3.º e 6.º da Lei n.º 58/2019, de 8 de agosto
5 Regulamento (UE) 2016/679, de 27 de abril de 2016.
6 Nos termos das alíneas 1), 2) e 15) do artigo 4.º do Regulamento (UE) 2016/679, de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados – RGPD)
7 Cf. artigo 13.º-C do Decreto-Lei n.º 10-A/2020, de 13 de março, introduzido, pelo Decreto-Lei n.º 20/2020, de 1 de maio, e Resposta da CNPD ao Requerimento 19/XIV/1.ª (EI), disponível em https://www.cnpd.pt/home/covid19/rp19-xiv-1ei-a.pdf
8 Cf., por exemplo, European Data Protection Supervisor (EDPS), Orientations from the EDPS: Body temperature checks by EU institutions in the context of the COVID-19 crisis, 1.09.2020, p. 5, acessível em
https://edps.europa.eu/data-protection/our-work/publications/guidelines/orientations-edps-bodytemperature-checks-eu_en, onde se sustenta que o tratamento de dados só é realizado por meios automatizados se houver recurso a tecnologias de computação (“computer technologies”)
9 Acórdão de 6 de novembro de 2003 (C-101/01), em especial,§§ 21, 23 e 26, acessível em https://eurlex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:62001CJ0101&from=en
10 Cf. a explicação do processo em http://www.silverwing.com.hk/men/news view 2043 153.html
11 Para mais desenvolvimentos, v. Hsuan-Yu Chen/ Andrew Chen / Chiachung Chen, Investigation of the Impact of Infrared Sensors on Core Body Temperature Monitoring by Comparing Measurement Sites, in
https://www.mdpi.com/1424-8220/20/10/2885/htm
12 Neste sentido, v. EDPS, Orientations from the EDPS …, cit., pp. 7-8.
13 Cf. Statement on restrictions on data subject rights in connection to the state of emergency in Member
States, de 2 de junho de 2020, §4, acessível em https://edpb.europa.eu/our-work-tools/ourdocuments/other/statement-restrictions-data-subject-rights-connection-state_en
14 Acessível em https://www.dgs.pt/normas-orientacoes-e-informacoes/normas-e-circularesnormativas/norma-n-0192020-de-26102020-pdf.aspx
15 Cf. páginas 4-5.
16 Acessível em https://covid19.min-saude.pt/wpcontent/uploads/2020/10/CI conjunta04 Infarmed DGS INSA Testes-14 10 2020final.pdf