Professora Doutora Graça Canto Moniz
A legislação de proteção de dados pessoais foi pensada (também) para períodos de quarentena. De facto, o Regulamento Geral de Proteção de Dados Pessoais (“RGPD”) não só prevê essas circunstâncias, referindo-se ao tratamento de dados pessoais para o combate a epidemias (considerando 46) e para ameaças transfronteiras à saúde (artigo 9.º, n.º 2, i) como, nos últimos dias, as autoridades de controlo de vários países, incluindo a portuguesa, fizeram questão de deixar isso bem claro.
De facto, assistiu-se a uma reação em bloco por parte dessas autoridades sem precedentes. Esta reação é, simultaneamente, um alerta para os riscos adicionais que o direito à proteção de dados pessoais atravessa e uma clarificação sobre o papel ativo que esse direito deve ter na procura de soluções para a crise que atravessamos. É que os dados pessoais usados para combater a Covid-19 são, na sua maioria, dados relativos à saúde cuja utilização, pela sua natureza, coloca riscos acrescidos para o titular. Por outro lado, para monitorizar a população infetada, Estados e empresas estão a desenvolver aplicações que permitem um controlo acrescido dos nossos movimentos: (i) seja com recurso a dados das nossas comunicações, tratados pelas operadoras, uma solução de duvidoso rigor e utilidade (ii) seja com recurso a dados recolhidos através de telemóveis e outros gadgets por via da instalação de aplicações nesses dispositivos ou da “comunicação” entre bluetooths.
Além da exigência de proporcionalidade de qualquer solução, que pressupõe sempre a verificação de alternativas menos intrusivas, o RGPD impõe um conjunto de obrigações, como, por exemplo, a cuidada gestão dos riscos desde a conceção da aplicação, a prestação de informação aos titulares dos dados, de forma clara e de fácil acesso, a reutilização criteriosa dos dados, a resposta a pedidos e perguntas dos titulares, a realização de avaliações de impacto e a adoção de medidas de segurança reforçadas, em especial restringindo o acesso aos dados, pseudonimizando-os e encriptando-os.
É claro que estas obrigações, em particular a reutilização limitada dos dados e a adoção de medidas de segurança robustas, podem não ser respeitadas. Em todo o caso, desde a entrada em vigor do RGPD que, a nível europeu, se batem frequentemente os recordes em matéria de sanções. Atendendo às reações das autoridades de controlo, é possível que esta tendência se acentue no mundo pós-Covid-19.