IMG-LOGO
Notícias

Artigo – A Proteção de Dados e a Covid19: a experiência portuguesa na proteção do direito fundamental à proteção de dados pessoais dos trabalhadores e das crianças

25 de setembro de 2020

A Proteção de Dados e a Covid19: a experiência portuguesa na proteção do direito fundamental à proteção de dados pessoais dos trabalhadores e das crianças

 

Data Protection e Covid19: l'esperienza portoghese nella tutela del diritto fondamentale alla protezione dei dati personali di lavoratori e di minori

Cândida Carvalho[1]

Abstract: A pandemia Covid-19 trouxe muitos desafios a nível mundial. Foram feitos muitos esforços por parte das Organizações, Governos e Instituições de Saúde para a prevenção do contágio a larga escala do novo coronavírus. Concomitantemente, foram tomadas medidas extraordinárias, como a decretação do Estado de Emergência e sucessivas renovações do mesmo. Passamos por um período de confinamento e isolamento social que fez com que todos tivessem de se adaptar a uma nova realidade sem prazo definido para terminar. Este artigo debruça-se na realidade portuguesa, nas medidas que foram tomadas para mitigar os danos sociais e económicos e prevenir o contágio, nas consequências das mesmas e, em especial, a análise de situações de violações de direitos fundamentais, designadamente o direito à proteção de dados pessoais, em particular, dos trabalhadores e das crianças em regime de ensino à distância, reportadas à autoridade de controlo portuguesa. A maioria das alterações no contexto da prestação do trabalho e do ensino à distância são legítimas, no entanto, a prevenção do contágio não legitima a adoção de toda e qualquer medida por parte das entidades empregadoras e dos estabelecimentos de ensino, principalmente, quando colocam em causa liberdade, direitos e garantias dos cidadãos. Foi conduzida uma pesquisa da doutrina jurídica, artigos, decisões, orientações e pareceres nas bases de dados da Comissão Nacional de Proteção de Dados, Conselho da Europa e Direção-Geral de Saúde, entre janeiro de 2020 até Setembro de 2020, tendo em vista a identificação de orientações publicados sobre a proteção de dados em contexto da pandemia, em especial, no que concerne aos trabalhadores e crianças em regime de ensino à distância.

Palavras-chaves: proteção de dados; covid19; direito laboral; direitos das crianças; vulnerabilidade;

 

Sumário: Introdução; A proteção de dados em contexto laboral em tempos de pandemia; Recolha de dados de saúde dos trabalhadores; Controlo à distância em regime de teletrabalho; A proteção de dados das crianças através da utilização de tecnologias se suporte ao ensino à distância; Recolha dos dados de saúde dos alunos; Conclusões.

 

Abstract: La pandemia Covid-19 ha portato molte sfide in tutto il mondo. Molti sforzi sono stati compiuti da organizzazioni sanitarie, governi e istituzioni per prevenire il contagio su larga scala dal nuovo coronavirus. Contestualmente sono state adottate misure straordinarie, come l'emanazione dello Stato di emergenza e successivi rinnovi dello stesso. Abbiamo attraversato un periodo di reclusione e isolamento sociale che ha costretto tutti ad adattarsi a una nuova realtà senza una scadenza prefissata. Questo articolo si concentra sulla realtà portoghese, le misure che sono state prese per mitigare i danni sociali ed economici e prevenire il contagio, le conseguenze di questi e, in particolare, l'analisi di situazioni di violazione dei diritti fondamentali, vale a dire il diritto alla protezione dati personali, in particolare, lavoratori e bambini che studiano a distanza, segnalati all'autorità di controllo portoghese. La maggior parte dei cambiamenti nel contesto dell'offerta di lavoro e dell'apprendimento a distanza sono legittimi, tuttavia, la prevenzione del contagio non legittima l'adozione di tutte le misure da parte dei datori di lavoro e degli istituti scolastici, specialmente quando causa libertà, diritti e garanzie dei cittadini. Tra gennaio 2020 e settembre 2020 è stata condotta una ricerca di dottrina giuridica, articoli, decisioni, linee guida e pareri nelle banche dati della Commissione nazionale per la protezione dei dati, del Consiglio d'Europa e della Direzione generale della Salute, al fine di individuazione delle linee guida pubblicate sulla protezione dei dati nel contesto della pandemia, soprattutto per quanto riguarda i lavoratori e i bambini che frequentano l'istruzione a distanza.

Parole chiave: protezione dati; Covid19; diritto del lavoro; diritti dei bambini; vulnerabilità;

Riepilogo: Introduzione; Protezione dei dati sul posto di lavoro in tempi di pandemia; Raccolta dei dati sanitari dei lavoratori; Telecomando per telelavoro; La protezione dei dati dei bambini attraverso l'uso delle tecnologie è supportata dall'apprendimento a distanza; Raccolta di dati sulla salute degli studenti; Conclusioni.

 

  1. Introdução

Atendendo à emergência de saúde pública de âmbito internacional, declarada pela Organização Mundial de Saúde, no dia 30 de janeiro de 2020, bem como à classificação do vírus como uma pandemia, no dia 11 de março de 2020, verificamos que até ao momento Portugal registou cerca de 60258 casos, dos quais 42953 encontram-se recuperados, registando um total de 1840 mortes. A Região de Lisboa é a que apresenta maior número de casos, cerca de 29921, seguido da Região do Norte, com cerca de 20859 casos, todavia, esta região apresenta um maior número de mortes, quando comparado com a Região de Lisboa, sendo a Região Autónoma da Madeira a que apresenta o menor número de casos sem registo de mortes[2].

Importa analisar o alcance de algumas das medidas de contingência para a epidemia SARS-CoV-2 e de prevenção de contágio de COVID-19, e o regime legal adequado a esta realidade excecional, em especial no que respeita a matéria de proteção de dados em contexto laboral e em regime de ensino à distância. A situação excecional que se vive no momento atual e a proliferação de casos registados de contágio de COVID -19 exige a aplicação de medidas extraordinárias e de caráter urgente, todavia, mesmo perante uma situação catastrófica como a que estamos a viver não podemos permitir que direitos fundamentais como o direito à proteção de dados pessoais não seja respeitado.

Nenhuma medida preventiva justifica a limitação dos direitos fundamentais de um ser humano quando não tem por base um fundamento legal ou o cumprimento de todos os pressupostos de licitude. O artigo que apresentamos prende-se com questões colocadas diretamente à autoridade de controlo portuguesa, por estar em causa, a violação do direito à proteção de dados pessoais, na maioria dos casos, por haver um abuso de posição da entidade empregadora, no que respeita ao controlo de temperatura dos trabalhadores e do trabalho à distância e pelos estabelecimentos de ensino, no que concerne às plataformas utilizadas em regime de ensino à distância e no controlo de temperatura dos alunos imposto à entrada das escolas com o retomar do ensino presencial.

  1. A proteção de dados em contexto laboral em tempos de pandemia

Nesta secção compete-nos analisar a forma de salvaguardar o direito à proteção dos dados pessoais dos trabalhadores que possam estar a ser violados devido ao contexto pandémico que estamos a viver. Propomos a análise da possibilidade de recolha de dados de saúde dos trabalhadores, designadamente, o controlo de temperatura dos mesmos e também do controlo à distância de um trabalhador em regime de teletrabalho, por serem as duas questões que mais levantaram preocupações por parte dos trabalhadores e das entidades empregadoras.

  • Recolha de dados de saúde dos trabalhadores

Devido à pandemia provocada pelo novo coronavírus SARS-CoV-2 e da doença Covid-19, as empresas foram obrigadas a adotar determinadas medidas que garantissem a segurança de todos os trabalhadores e prevenisses o possível contágio entre a equipa. Algumas das medidas prende-se com a recolha e o registo de dados relativos à saúde e de vida privada dos trabalhadores, o que inclui a medição de temperatura corporal dos trabalhadores, com o intuito de encontrar algum indício de infeção pelos vírus indicados.

Atendendo a esta realidade e observando n.º1 e 2, do artigo 4.º do Regulamento Geral sobre a Proteção de Dados (RGPD)[3], verificamos que estamos perante uma situação de tratamento de dados pessoais, por estar em causa informações relativas a uma pessoa singular identificada ou identificável, designadamente, o trabalhador que é o titular dos dados pessoais que é facilmente identificado através da referência a elementos identificadores como o nome, dados de localização, identidade física, fisiológica, genética, entre outros; e, por todos estes elementos passarem por uma operação ou conjunto de operações, por meios automatizados ou não automatizados, como por exemplo, a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, a difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

Não podemos ignorar que a medição de temperatura corporal integra-se nos dados pessoais relativos à saúde, por serem dados relacionados com a saúde física do trabalhador e por revelarem informações sobre o seu estado de saúde, conforme atesta o n.º15, do artigo 4.º do RGPD. Os dados relativos à saúde são considerados dados sensíveis, que merecem proteção específica pela sua natureza especialmente sensível da ótica dos direitos e liberdades fundamentais, uma vez que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais e, inclusive, provocar situações de discriminação.

Atendendo ao artigo 9.º do RGPD, o tratamento de dados pessoas relativos à saúde é proibido, no entanto, a alínea b) e h) do n.º2, do referido artigo afasta a regra da proibição de tratamento de dados pessoais caso seja necessito para efeito do cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, na medida em que esse tratamento seja permitido pelo direito da União ou dos Estados-Membros ou caso o tratamento seja necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do trabalhador, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde tenha por base o direito da União ou dos Estados-Membros.

Significa que o empregador não tem legitimidade para recolher e registar a temperatura dos seus funcionários ou outro dado de saúde dos mesmos, uma vez que, no contexto da nossa lei nacional, só é permitida a recolha de informação de saúde no contexto da medicina no trabalho. Obviamente que, a situação pandémica vivida a nível mundial e a decretação do Estado de Emergência justificou e justifica algumas das alterações profundas no âmbito da relação empregador-trabalhador, trabalhador-trabalhador e na prestação do trabalho a título geral, porém, a preocupação em prevenir o contágio dentro da empresa pelo novo corona vírus não permite a aplicação arbitrária de qualquer medida.

É aceitável que as empresas coloquem em ação as orientações da Direção Geral de Saúde, designadamente, a distribuição no espaço e no tempo dos trabalhadores, a intensificação dos cuidados de higiene, através da lavagem frequente das mãos ou da utilização da solução antisséptica de base alcoólica, a utilização de máscaras cirúrgicas, entre outras[4]. Pois, de acordo com o artigo 5.º do Regime Jurídico da Promoção da Segurança e Saúde no Trabalho, o trabalhador tem direito à prestação de trabalho em condições que respeitem a sua segurança e a sua saúde, asseguradas pelo empregador, sendo que, ao abrigo do artigo 15.º do referido Regime, o empregador deve assegurar ao trabalhador condições de segurança e de saúde em todos os aspetos do seu trabalho, para tal, deve, entre outros, evitar, prevenir, identificar e combater todos os riscos em todas as atividades da empresa.

No entanto, não é tolerável que o empregador tome iniciativas arbitrárias que não encontrem justificação na lei nacional. Isto é, numa primeira análise não é permitido a nenhuma empresa a medição da temperatura de um funcionário ou a recolha de outra informação de saúde, pois, não existe nenhuma lei que o permita, trata-se de uma tarefa exclusiva das autoridades de saúde ou do próprio trabalhador, num processo de automonitorização e porque nenhuma autoridade de saúde transferiu tal poder aos empregadores.

A única forma de avaliar o estado de saúde dos trabalhadores é através dos profissionais de saúde no âmbito da medicina do trabalho, conforme a Lei n.º 102/2009, de 10 de Setembro, alterada pela Lei n.º 79/2019, de 2 de Setembro, que a atestam a aptidão ou inaptidão do trabalhador para o trabalho em questão. Neste sentido, a Comissão Nacional de Proteção de Dados (CNPD) alerta que a eventual recolha, através de preenchimento de questionários pelo trabalhador, de informação relativa à saúde ou à vida privada do mesmo relacionada com a sua saúde só está legitimada se for realizada direta e exclusivamente pelo profissional de medicina no trabalho, tendo em vista a adoção dos procedimentos adequados a salvaguardar a saúde dos próprios e de terceiros. Acrescentando que, as entidades empregadores devem limitar a sua atuação de acordo com  as orientações da autoridade nacional de saúde para a prevenção de contágio pelo novo corona vírus no contexto laboral, em particular as dirigidas às entidades empregadoras em certos setores de atividade, abstendo-se de adotar iniciativas que impliquem a recolha de dados pessoais de saúde dos seus trabalhadores quando as mesmas não tenham base legal, nem tenham sido ordenadas pelas autoridades administrativas competentes[5].

Tendo em conta a posição da CNPD em matéria de recolha de temperatura corporal, foram levantadas algumas questões, que se prendiam com o facto de ser ignorada a exceção do próprio trabalhador poder dar o seu consentimento expresso para recolha e tratamento desse dado de saúde em específico, uma vez que é considerado um dos sinais mais fidedignos de uma possível infeção e consequente necessidade de isolamento profilático; designadamente, se não estavam a ser criadas cadeias de contágio, pondo em causa a saúde dos cidadãos, se o direito à reserva da intimidade da vida privada, da forma como é salvaguardado pelas regras de proteção de dados pessoais, deve prevalecer sempre sobre todos os demais direitos pessoais, nomeadamente, os direitos fundamentais à vida e à proteção da saúde, entre outras[6].

A questão em apreço tem a sua particular complexidade. Em primeiro lugar, podemos ressalvar que o direito à proteção dos dados pessoais, é considerado um direito fundamental, previsto no nº1, do artigo 35.º da Constituição da República Portuguesa (CRP) e no n.º1, do artigo 8.º da Carta dos Direitos Fundamentais da União Europeia, o que traduz no controlo que as pessoas têm sobre a informação a elas, como forma de salvaguardar a privacidade e a liberdade individual. É neste sentido que surge o consentimento como fundamento para o tratamento lícito de dados pessoais, nos termos no n.º11, do artigo 4.º do RGPD o consentimento traduz-se numa manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento. Observando o considerando 32 constatamos que o consentimento do titular dos dados deverá ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito, como por exemplo mediante uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral. O consentimento pode ser dado validando uma opção ao visitar um sítio web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré-validadas ou a omissão não deverão, por conseguinte, constituir um consentimento. O consentimento deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deverá ser dado um consentimento para todos esses fins. Se o consentimento tiver de ser dado no seguimento de um pedido apresentado por via eletrónica, esse pedido tem de ser claro e conciso e não pode perturbar desnecessariamente a utilização do serviço para o qual é fornecido[7].

No seguimento da definição de consentimento facilmente constatamos que numa relação laboral, entre empregador e trabalhador, pode, em alguns casos, não existir uma ligação de paridade, o que faz com que o trabalhar, por questões de receio ou represálias, dê o seu consentimento que na letra da lei não é válido, por não ser livre, sendo que o tratamento de dados pessoais com base no consentimento inválido não é lícito, conforme atesta o considerando 43 do RGPD, pois, a fim de assegurar que o consentimento é dado de livre vontade, este não deverá constituir fundamento jurídico válido para o tratamento de dados pessoais em casos específicos em que exista um desequilíbrio manifesto entre o titular dos dados e o responsável pelo seu tratamento[8], ou seja, entre o trabalhador e o empregador.

A CNPD veio esclarecer a sua posição e responder às questões levantadas afirmando que fora do quadro da medicina do trabalho, legalmente definido, não existia, à data da emissão das orientações, outra circunstância que suportasse o tratamento de dados pessoais relativos à saúde dos trabalhadores pela respetiva entidade empregadora; com efeito, a hipótese do consentimento não pode ser equacionada pela evidente ausência de garantias de liberdade do consentimento. Mais acrescenta que, o interesse público no domínio da saúde pública só pode ser invocado no contexto que estamos a viver através de um diploma legal que preveja medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses do titular dos dados, em particular o sigilo profissionais, de acordo com as alíneas i) e g), do n.º2, do artigo 9.º do RGPD[9].

De facto, não podemos permitir que cada um defina o que entende por interesse público ou saúde pública ou que trace estratégias que colocam em causa dos direitos fundamentais de terceiros, sem qualquer base legal ou na ausência de orientações da autoridade nacional de saúde. Acompanhamos a posição da CNPD quando afirma que, “num Estado de Direito Democrático, cabe às entidades administrativas a atribuição específica de prosseguir os interesses públicos e, no exercício dessa função, com poderes de orientação dos comportamentos dos cidadãos e das empresas em termos de coordenar a resposta e encontrar o meio mais adequado para alcançar os interesses atribuídos, em especial quanto a avaliação de tais medidas pressupõe conhecimentos científicos e técnicos de que aquelas entidades dispõem, ao contrário da generalidade dos cidadãos, sejam eles empregadores ou não. Por outras palavras, cabe à Direção-Geral de Saúde, enquanto autoridade nacional de saúde, orientar os cidadãos e as empresas quanto ao caminho a seguir na resolução da presente situação pandémica. E a Direção-Geral de Saúde tem insistido, nas diferentes orientações emitidas nos últimos meses, e com esforço de atualização, no processo de automonitorização dos trabalhadores”[10].

Atualmente, todas as orientações da Direção-Geral de Saúde, assim como as do Colégio da Especialidade de Medicina do Trabalho recomendam a automonitorização, em contexto pandémico, para tal, o trabalhador deve medir a sua temperatura corporal antes de sair de casa e no caso de ser superior a 37,8.º C, comunicar à empresa, evitando a deslocação para o local de trabalho, o trabalhador deverá igualmente reavaliar a medicação da temperatura à entrada do local de trabalho, caso apresente febre, deverá o trabalhador ser encaminhado para o seu domicílio ou para uma sala de isolamento preconizada no Plano de Contingência, caso preencha os critérios de diagnóstico[11].

 

  • Controlo à distância em regime de teletrabalho

No contexto da pandemia e atendendo as medidas de confinamento e isolamento social, o recurso ao teletrabalho generalizou-se por todo o país. O teletrabalho vem definido no artigo 165.º do Código do Trabalho[12], trata-se da prestação laboral realizada com subordinação jurídica, habitualmente fora da empresa e através do recurso a tecnologia de informação e de comunicação. Esta foi uma das medidas excecionais e temporárias tomadas, tendo em conta a situação epidemiológica que estávamos vivendo, assim, de acordo com o Decreto-Lei n.º 10-A/2020, de 13 de março, foram criadas formas alternativas de trabalho, nos termos do artigo 29.º do referido Decreto, o regime de prestação subordinada de teletrabalho poderia ser determinado unilateralmente pelo empregador ou requerida pelo trabalhador, sem necessidade de acordo das partes, desde que compatível com as funções exercidas[13].

Esta medida fez com que chegasse até à CNPD diversas questões sobre o controlo, quer dos tempos de trabalho, quer de atividade laboral prestada em regime de teletrabalho a partir do domicílio do trabalhador, neste sentido, atendendo às alíneas b) e d), do n.º1, do artigo 57.º e da alínea b), do n.º1, do artigo 58.º do RGPD e aos artigos 3.º e 6.º da Lei n.º 58/2019, de 8 de agosto, a CNPD, como autoridade de controlo promoveu a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento dos dados pessoais do trabalhador e promoveu a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as suas obrigações nos termos do RGPD, através de orientações de modo a garantir a conformidade dos tratamentos de dados pessoais dos trabalhadores com o regime jurídico de proteção de dados e minimizar o impacto sobre a privacidade em regime de teletrabalho[14].

Analisando as orientações da CNPD em matéria do controlo à distância em regime de teletrabalho observamos o seguinte: caso os instrumentos de trabalho respeitantes a tecnologias de informação e de comunicação utilizados pelo trabalhador em teletrabalho pertencerem ao empregador, os trabalhadores devem observar as regras de utilização e funcionamento dos instrumentos de trabalho que lhe forem disponibilizados e só o devem utilizar para a prestação de trabalho, caso não exista um acordo em contrário; nos casos em que não foi possível as entidades empregadores se terem dotado de recursos tecnológicos para disponibilizar à maioria dos seus funcionários e estes veem-se obrigados a utilizar os seus recursos privados, é necessário ter alguma cautela na imposição de algumas medidas, pois, independentemente da propriedade dos instrumentos de trabalho, o empregador mantem os poderes de direção e de controlo da execução da prestação laboral, mesmo em contexto de teletrabalho. Embora não exista nenhuma disposição legal que regule o controlo à distância, à exceção da possibilidade de o empregador efetuar o controlo através do acesso à residência do trabalhador, entre as 9h e as 19h, a regra geral de proibição de utilização de meios de vigilância à distância, com a finalidade de controlar o desempenho profissional do trabalhador, presente no n.º1, do artigo 20.º do Código do Trabalho, é aplicável ao regime de teletrabalho, adicionado o princípio da proporcionalidade e da minimização dos dados pessoais, presente na alínea c), do n.º1, do artigo 5.º do RGPD[15].

Neste sentido, não é permitido qualquer solução tecnológica para controlo à distância do desempenho do trabalhador, designadamente, softwares que, para além do rastreamento do tempo de trabalho e de inatividade, registam as páginas de Internet visitadas, fazem captura de imagem do ambiente de trabalho, controlam o documento em que se está a trabalhar e registam o respetivo tempo gasto em cada tarefa; visto que, ferramentas desta envergadura recolhem dados pessoais dos trabalhadores em excesso, promovem o controlo do trabalho num grau superior àquele que pode ser legitimamente realizado no contexto da sua prestação nas instalações da entidade empregadora, o que viola o princípio da minimização dos dados pessoais. Tal como também não é admissível impor ao trabalhador que mantenha a câmara de vídeo permanentemente ligada. Todavia, o empregador pode controlar a atividade do trabalhador através, por exemplo, da fixação de objetivos, da criação de obrigações de reporte com periodicidade, marcando, inclusive, reuniões em teleconferência, porém, não é admissível a gravação de teleconferências entre empregador e os trabalhadores[16].

Para finalizar, em relação ao registo de tempos de trabalho, a CNPD avança que podem ser utilizadas soluções tecnológicas específicas no regime de teletrabalho, desde que as ferramentas estejam desenhadas de acordo com os princípios da privacidade desde a conceção e por defeito, não recolhendo mais informações do que as necessárias para a prossecução da finalidade que é registar os tempos de trabalho, conforme o artigo 25.º do RGPD. Todavia, se o empregador não tem à disposição tais ferramentais, pode fixar a obrigação de envio de email, SMS ou qualquer outro modo similar que lhe permita, para além de controlar a disponibilidade do trabalhador e os tempos de trabalho, demonstrar que foram cumpridos os tempos máximos de trabalho permitido por lei[17].

  1. A proteção de dados das crianças através da utilização de tecnologias se suporte ao ensino à distância

Na sequência da pandemia provocada pelo novo coronavírus SARS-CoV-2 e pela doença Covid-19 e com a obrigação de confinamento e de isolamento social, as escolas foram encerradas, os alunos encontravam-se confinados em casa e muitos estabelecimentos de ensino tiveram que repensar as formas de comunicação e interação entre os alunos e professores de forma a proporcionar aos alunos uma continuidade de ensino e aprendizagem.

Deste modo, recorreu-se ao ensino à distância como a medida mais viável para não prejudicar o processo de aprendizagem, o que implica o recurso a plataformas eletrónicas de suporte ao ensino não presencial, que podem servir como meio de divulgação ou partilha de conteúdos pedagógicos, promover a interação ente os utilizadores ou adaptar conteúdos pedagógicos aos conhecimentos e capacidades de cada aluno. A utilização destas plataformas implica a recolha e o tratamento de um conjunto de dados pessoais dos utilizadores, que são pessoas singular que estão identificadas ou são facilmente identificáveis, o que faz com que estejam sujeitos aos princípios e regras de proteção de dados pessoais[18], de acordo com o RGPD.

Numa primeira análise podemos apontar diversos benefícios do ensino à distância mas rapidamente constatamos diversos riscos em termos da proteção de dados pessoais, como o tratamento de dados pessoais relacionados com a intimidade da vida privada dos alunos e dos professores. Durante as aulas ou atividades são recolhidos dados como a imagem dos alunos e professores, do ambiente onde se encontram, as declarações proferidas por som ou escritas, o número de acessos à plataforma, horas de acesso à plataforma, o nível de participação na atividade que demonstra o interesse nas atividades propostas ou a capacidade intelectual em responder e solucionar as questões ou problemas que é apresentado. Todos estes dados permitem a criação de perfis individualizados dos utilizados com características sobre a personalidade, capacidade intelectual, competências profissionais, entre outros.

Todos os riscos apresentados são agravados quando o titular dos dados pessoais é uma criança ou jovem, que devido à sua idade, desconhecimento e inocência, encontra-se numa posição vulnerável, por ser incapaz de compreender as consequências negativas de um tratamento de dados na sua vida. Não é por acaso que o regulamento de proteção de dados pessoais, obriga os responsáveis pelo tratamento dos dados pessoais a proteger os direitos e interesses das crianças. Nos termos da alínea f), do n.º1, do artigo 6.º do RGPD, o tratamento dos dados pessoais só é lícito se e na medida em que se verifique que o tratamento seja necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiro, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

Segundo o considerando 38 do RGPD, as crianças merecem proteção especial quanto aos dados pessoais, uma vez que podem estar menos cientes dos riscos, consequências e garantias em questão e dos seus direitos relacionados com o tratamento dos dados pessoais. Essa proteção específica deverá aplicar-se, designadamente, à utilização de dados pessoais de crianças para efeitos de comercialização ou d criação de perfis de personalidade ou de utilizador, bem como à recolha de dados pessoais em relação às crianças aquando da utilização de serviços disponibilizados diretamente às crianças.

No que respeita às condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação, atesta o artigo 8.º do RGPD que no que toca à oferta direta de serviços da sociedade da informação às criança, o tratamento dos dados pessoais da criança só é lícito se elas tiverem pelo menos dezasseis anos, caso tenha uma idade inferior, o consentimento deve ser dados ou autorizado pelos titulares das responsabilidades parentais da criança, para que seja considerado um tratamento lícito.

As crianças tem direito a receber do responsável pelo tratamento dos dados pessoais todas as informações a respeito do tratamento, de forma concisa, transparente, inteligível e de fácil acesso, conforme o n.º1, do artigo 12.º do RGPD, o responsável deve utilizar uma linguagem clara e simples por se estar a dirigir a crianças. As informações são prestadas por escrito ou por outros meios, incluindo, por meios eletrónicos.

Ainda em matéria da proteção de dados das crianças, compete-nos chamar à colação a alínea b), do n.º1, do artigo 57.º do RGPD que atesta que a autoridade de controlo deve promover a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento, sendo que, as atividades especificamente dirigidas às crianças devem ser alvo de uma atenção especial. Neste sentido, parece-nos oportuno apresentar os principais riscos para a privacidade das crianças elencados pela CNPD e as recomendações da mesma autoridade de controlo.

De acordo com as orientações para utilização de tecnologias de suporte ao ensino à distância, a CNPD apresenta uma lista dos principais riscos para a privacidade pela utilização de tecnologias de suporte ao ensino à distância, que passamos a elencar[19]: o risco de utilização indevida dos dados transferidos através das plataformas por parte dos responsáveis dos tratamentos, ou por subcontratantes que forneçam serviços dessas plataformas; a falta de transparência relativamente à forma de armazenamento, tratamento e eventuais subcontratações realizadas por fornecedores de soluções de e-learning assentes em cloud computing pode resultar numa perda do controlo dos dados pelos respetivos titulares; o risco de definição de perfis ou avaliações, com base na informação observada da atividade dos utilizadores (professores ou alunos), que por sua vez pode gerar o tratamento discriminatório das pessoas a quem dizem respeito os perfis; em especial, o risco decorrente de decisões automatizadas assentes em sistemas de inteligência artificial que analisem o comportamento e desempenho dos alunos (learning analytics); a utilização de plataformas de comunicação que não garantam a segurança das comunicações ou cuja incorreta configuração resulte na divulgação ou acesso não autorizada pode colocar em risco a confidencialidade dos dados; em especial, a partilha de computadores potencia riscos à confidencialidade; a ausência de uma atribuição clara das responsabilidades no contexto destas tecnologias promove situações em que, nem as instituições de ensino, nem os fornecedores das plataformas, adotam as medidas adequadas de segurança; o risco de vigilância à distância com a finalidade de controlar o desempenho profissional dos professores; e, a ausência de um ponto de acesso para o exercício dos direitos pelos titulares dos dados junto das plataformas utilizadas e, com isso, risco de desproteção dos mesmos.

Foram diversas as recomendações apresentadas pela autoridade de controlo, no âmbito das suas competências, o objetivo prende-se com a salvaguarda dos direitos fundamentais das pessoas que utilizam as tecnologias de suporte ao ensino à distância, quer sejam os alunos menores ou os professores, para tal é catalogado um conjunto de soluções tecnológicas e medidas adequadas a proteger os dados pessoais e minimizar o impacto sobre os direitos dos titulares dos dados, que passamos a elencar[20]: as plataformas escolhidas devem ter finalidades bem definidas e compatíveis com o ensino à distância; as plataformas a utilizar deverão recolher e tratar os dados estritamente necessários para as finalidades especificadas, conforme o princípio da minimização dos dador, de acordo com a alínea c), do n.º1, do artigo 5.º do RGPD; a adoção de cada plataforma de suporte ao ensino à distância deve ser precedida de uma avaliação de impacto na proteção de dados, de forma a identificar corretamente os riscos para a privacidade e permitir que sejam adotadas medidas mitigadoras desses riscos, pois, nos termos do n.º1, do artigo 35.º do RGPD, quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidade, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais. Esta avaliação de impacto sobre a proteção de dados é obrigatória em caso de avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar; e, de operações de tratamento em grande escala de categorias especiais de dados, segundo as alíneas a) e b), do n.º3, do artigo 35.º do RGPD. A avaliação pode ser feita pelas entidades que disponibilizam e gerem as plataformas, uma vez que, neste contexto do ensino à distância, a generalidade dos responsáveis pelos tratamentos não dispõe de recursos técnicos para o efeito. É necessário ter em conta que as evoluções tecnológicas e sociais podem representar novos riscos e devem ser consideradas durante o tratamento de dados, podendo exigir avaliações de impacto subsequentes.

As plataformas devem definir de forma clara as funções e responsabilidades dos vários intervenientes no tratamento de dados pessoais, em particular a distribuição de cargos e responsabilidades entre quem fornece e gere a plataforma e quem decide sobre a sua utilização; as plataformas eleitas devem estar desenvolvidas de forma que os princípios de privacidade desde a conceção sejam aplicados, conforme o n.º1, do artigo 25.º do RGPD, pelo que as configurações de privacidade devem estar predefinidas e a sua desativação ser da iniciativa do utilizador; os professores devem ser devidamente informados relativamente à utilização das plataformas. Em particular, devem conseguir identificar as corretas configurações para garantir que não decorrem riscos para a privacidade dos utilizadores, com especial enfoque nos alunos; os estabelecimentos de ensino devem procurar sensibilizar a comunidade escolar para um conjunto de boas práticas e precauções a seguir na utilização destas tecnologias; deve estar predefinida a informação que é conservada; do mesmo modo, devem ser prefixados os prazos da sua conservação, de acordo com a alínea e), do n.º1, do artigo 5.º do RGPD; os fornecedores das plataformas de suporte ao ensino à distância devem cumprir a obrigação de comunicação aos estabelecimentos de ensino das violações de dados pessoais que ocorram, nos termos do artigo 33.º e 34.º do RGPD; sempre que possível, deve optar-se por tecnologias que impliquem a menor exposição possível do titular e do seu ambiente familiar, como por exemplo, fóruns de discussão por oposição à videoconferência; os estabelecimentos de ensino devem avaliar se dispõem de meios técnicos para implementar as plataformas de ensino à distância, para evitar optarem por tecnologias que sobrecarreguem os seus sistemas tecnológicos, tornando-os, por isso, inseguros; a utilização de quaisquer algoritmos de análise de desempenho deve sempre ser criteriosa e feita de forma justa e transparente para com os titulares e apenas se estiver preenchida alguma das condições de licitude desse tratamento[21] [22].

Em síntese, os estabelecimentos de ensino devem recorrer a plataformas adequadas para garantir os sistemas usados no ensino à distância para que não apresentem riscos para a privacidade dos alunos e dos professores. É recomendado que a comunidade escolar siga as boas-práticas respeitantes à proteção de dados, abstendo-se de tratar dados pessoais que não sejam essenciais para a finalidade pedagógica e adotando comportamentos responsáveis quando disponham de acesso a dados pessoais de alunos e professores[23].

  1. Recolha dos dados de saúde dos alunos

Após o período de confinamento, de isolamento social e de férias escolares, foi divulgada a intenção de retomar as aulas presenciais. Esta intenção fez com que alguns estabelecimentos de ensino adotassem medidas de prevenção de contágio do novo coronavírus SARS-CoV-2 e pela doença Covid-19, como a leitura da temperatura corporal dos alunos. Tal como referido no ponto 2.1., a leitura da temperatura corporal constitui um tratamento de dados pessoais, por estar em causa uma pessoa singular, no caso o aluno, identificado ou identificável. O resultado deste tratamento terá um feito imediato na esfera privada do aluno, impedindo-o ou não de entrar na escola, de assistir ou participar nas aulas presenciais.

Perante a posição da maioria dos estabelecimentos de ensino a CNPD veio sensibilizá-los para a obrigação de verificarem e demonstrarem que os tratamentos que realizem cumprem os princípios e as regras legais de proteção dos dados pessoais[24], nos termos do n.º2, do artigo 5.º do RGPD. Os estabelecimentos devem ter a capacidade de verificar e demonstrar que a sujeição dos alunos à recolha da temperatura corporal à entrada da escola tem por base um fundamento de licitude, previsto no n.º1, do artigo 6.º e no n.º2, do artigo 9.º do RGPD e que respeita os princípios de proteção de dados pessoais, consagrados no n.º1, do artigo 5.º do mesmo Regulamento. Não podemos ignorar que, à semelhança do caso descrito no ponto 2.1., estamos perante o tratamento de sados relativos à saúde dos alunos, cujo tratamento está expressamente proibido no n.º1, do artigo 9.º do RGPD e que não basta o interesse legítimo do responsável em prevenir o contágio da Covid-19 para que o tratamento seja considerado lícito, pois, a licitude do tratamento depende da verificação de uma das condições do n.º 2 e 3, do artigo 9.º do RGPD.

Se observarmos o artigo 3.º-A, do Decreto-Lei n.º 20-H/2020, de 14 de Maio, sobre a organização das atividades letivas presenciais, verificamos que na sequencia da retoma das atividades letivas presenciais, as escolhas reorganizam os espaços, turmas e horários escolares, de forma a garantir o cumprimento das orientações da Direção-Geral da Saúde, designadamente em matéria de higienização e distanciamento físico[25]. Ou seja, não é dada qualquer indicação sobre a medição de temperatura dos alunos nem é dado expressamente esse poder ao estabelecimento de ensino. Atendendo à Orientação n.º 24/2020, de  8 de Maio sobre o regresso ao regime presencial dos 11.º e 12.º anos de escolaridade e dos 2.º e 3.º anos dos cursos de dupla certificação do ensino secundário verificamos que nem as orientações e recomendações da Direção-Geral da Saúde, apontam a medição de temperatura dos alunos como uma medida adequada e necessária à salvaguarda da saúde pública, alertando apenas para o uso obrigatório de máscara por todos os alunos, para a higienização das mãos à entrada e saúde, com solução antisséptica de base alcoólica[26].

Os estabelecimentos escolares deve ter obrigatoriamente um plano de contingência e atuar de acordo com o mesmo. Os alunos e o pessoal docente e não docente devem-se automonitorizar e caso apresentem algum dos sintomas ou sinais sugestivos da COVID-19, não devem se apresentar na escola para a segurança de todos. Embora os estabelecimentos de ensino tenham autonomia regulamentar, não têm o poder de restringir direitos, liberdades e garantias quer dos alunos quer do pessoal docente e não docente, só o poderia fazer se existisse uma lei que expressamente o permitisse, coisa que não existe.

Em relação ao consentimento dos alunos como fundamentos de licitude para o tratamento de dados de saúde é importante referir que, tal como explicado no ponto 2.1., o consentimento deve ser livre e informado, não deve ser uma manifestação de vontade baseada no receio de eventuais repercussões mas sim uma manifestação de vontade livre, específica, informada e explícita, pela qual o titular dos dados aceita que os seus dados pessoais sejam objeto de tratamento. Isto significa que o consentimento dado pelos alunos ou pelos respetivos encarregados de edução só é considerada válida caso não exista a ameaça ou a comunicação de que a recusa de sujeição ao procedimento de leitura da temperatura corporal implica a consequência negativa para o aluno de ser impedido de entrar numa sala de aula e de, consequentemente, obter os ensinamentos necessários à sua preparação para a avaliação[27].

Portanto, em jeito de conclusão, neste momento, os estabelecimentos de ensino não têm legitimidade para proceder ao registo de temperatura dos alunos, visto que, tal procedimento não foi recomendado aos estabelecimentos de ensino pela autoridade nacional de saúde, que tem a competência para determinar ou recomendar as medidas adequadas e necessárias à garantia da saúde pública.

  1. Conclusões

Tendo em conta o atual situação pandémica, provocada pelo novo coronavírus, é necessário proteger ainda mais os direitos fundamentais de todos os indivíduos. Não é tolerável que, com base na necessidade de prevenção do contágio, tomem-se medidas que violam os direitos fundamentais, como o direito à proteção de dados dos trabalhadores, em regime de teletrabalho ou dos alunos em regime de ensino à distância, ou que, de uma forma abusiva, seja registada ou realizada um controlo de temperatura corporal daqueles, sem qualquer fundamental legal, por parte das entidades empregadoras ou dos estabelecimentos de ensino. É importante tomar decisões que minimizem os danos relacionados com o tratamento de dados pessoais, mais do que isso, é imperativo garantir que o tratamento dos dados pessoais é lícito, que tem por base todos os pressupostos de licitude, que o consentimento é verdadeiramente livre e informado, para que tenha relevância jurídica, que a manifestação de vontade dos titulares de dados pessoais não é baseada no receio de repercussões negativas, que as recolhas de dados pessoais cumprem todos os princípios elencado no Regulamento Geral da Proteção de Dados, que os direitos dos titulares dos dados pessoais estejam a ser respeitados na íntegra e que todo o tratamento de dados pessoais tem um fundamento legal.

[1] Doutoranda em Bioética, Instituto de Bioética, Universidade Católica Portuguesa do Porto. Doutoranda em Direito com especialidade em Direito Civil, Faculdade de Direito da Universidade de Lisboa. Investigadora na IBEROJUR, na área de Bioética e Direito Biomédico e no Instituto de Bioética, Universidade Católica Portuguesa do Porto. Mestre em Direito, na especialidade de Ciências Jurídico-Processuais, na Universidade Autónoma de Lisboa. Mestranda em Bioética, na Universidad del Museo Social Argentino, Buenos Aires. Pós-graduada em Direito da Medicina, pelo Centro de Direito Biomédico, Faculdade de Direito da Universidade de Coimbra. Pós-Graduada em Direito das Energias Renováveis, pelo Departamento de Altos Estudos em Direito da Energia, Faculdade de Direito da Universidade de Coimbra. Advogada-estagiária. Licenciada em Direito.

[2] Relatório de Situação. Disponível em https://covid19.min-saude.pt/

[3] Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. Disponível em https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679#d1e2012-1-1

[4]Orientação 006/2020. Disponível em https://covid19.min-saude.pt/wp-content/uploads/2020/03/Orientac%CC%A7a%CC%83o-006.pdf

[5]Orientações sobre recolha de dados de saúde dos trabalhadores. Disponível em https://www.cnpd.pt/home/orientacoes/Orientacoes_recolha_dados_saude_trabalhadores.pdf

[6]Requerimento n.º 19/XIV. Disponível em http://app.parlamento.pt/webutils/docs/doc.pdf?path=6148523063446f764c324679595842774f6a63334e7a637664326c75636d56785833426c636d6431626e52686379395953565976636e45784f533134615859744d5756704c6e426b5a673d3d&fich=rq19-xiv-1ei.pdf&Inline=true

[7] Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. Disponível em https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679#d1e2012-1-1

[8] Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. Disponível em https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679#d1e2012-1-1

[9]Requerimento n.º 19/XIV. Disponível em http://app.parlamento.pt/webutils/docs/doc.pdf?path=6148523063446f764c324679595842774f6a63334e7a637664326c75636d56785833426c636d6431626e52686379395953565976636e45784f533134615859744d5756704c6e426b5a673d3d&fich=rq19-xiv-1ei.pdf&Inline=true

[10]Resposta da CNPD ao requerimento 19/XIV (1.ª) EI. Disponível em https://www.cnpd.pt/home/covid19/rp19-xiv-1ei-a.pdf

[11] Orientações para práticas de Medicina no Trabalho, em contexto de exceção, no combate à pandemia COVID-19. Ordem dos Médicos. Colégio da Especialidade de Medicina do Trabalho. Disponível em https://ordemdosmedicos.pt/wp-content/uploads/2020/03/Orienta%C3%A7%C3%A3o-MT-2020.03.25v2.pdf

[12]Lei n.º 7/2009, de 12 de Fevereiro. Disponível em http://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?nid=1047&tabela=leis&so_miolo=S

[13]Decreto-Lei n.º 10-A/2020, de 13 de março. Disponível em https://dre.pt/application/conteudo/130243053

[14]Orientações sobre o controlo à distância em regime de teletrabalho. Disponível em https://www.cnpd.pt/home/orientacoes/Orientacoes_controlo_a_distancia_em_regime_de_teletrabalho.pdf

[15]Orientações sobre o controlo à distância em regime de teletrabalho. Disponível em https://www.cnpd.pt/home/orientacoes/Orientacoes_controlo_a_distancia_em_regime_de_teletrabalho.pdf

[16]Orientações sobre o controlo à distância em regime de teletrabalho. Disponível em https://www.cnpd.pt/home/orientacoes/Orientacoes_controlo_a_distancia_em_regime_de_teletrabalho.pdf

[17]Orientações sobre o controlo à distância em regime de teletrabalho. Disponível em https://www.cnpd.pt/home/orientacoes/Orientacoes_controlo_a_distancia_em_regime_de_teletrabalho.pdf

[18] Orientações para utilização de tecnologias se suporte ao ensino à distância. Disponível em https://www.cnpd.pt/home/orientacoes/Orientacoes_tecnologias_de_suporte_ao_ensino_a_distancia.pdf

[19] Orientações para utilização de tecnologias de suporte ao ensino à distância. Disponível em https://www.cnpd.pt/home/orientacoes/Orientacoes_tecnologias_de_suporte_ao_ensino_a_distancia.pdf

[20] Orientações para utilização de tecnologias de suporte ao ensino à distância. Disponível em https://www.cnpd.pt/home/orientacoes/Orientacoes_tecnologias_de_suporte_ao_ensino_a_distancia.pdf

[21] «Importa aqui reforçar que nenhum estabelecimento de ensino pode impor a utilização desta específica tecnologia de inteligência artificial aos seus alunos, dependendo essa utilização de uma vontade informada, livre, específica e explícita do aluno ou, quando menor, de quem o representa. Deve ser dada clara informação aos titulares acerca do funcionamento dos algoritmos de análise, nomeadamente quando estiverem em causa decisões automatizadas. E deve ser sempre garantido o direito do titular dos dados de obter intervenção humana nesse processo». Orientações para utilização de tecnologias de suporte ao ensino à distância. Disponível em https://www.cnpd.pt/home/orientacoes/Orientacoes_tecnologias_de_suporte_ao_ensino_a_distancia.pdf

[22] Orientações para utilização de tecnologias de suporte ao ensino à distância. Disponível em https://www.cnpd.pt/home/orientacoes/Orientacoes_tecnologias_de_suporte_ao_ensino_a_distancia.pdf

[23] Orientações para utilização de tecnologias de suporte ao ensino à distância. Disponível em https://www.cnpd.pt/home/orientacoes/Orientacoes_tecnologias_de_suporte_ao_ensino_a_distancia.pdf

[24] Orientações sobre recolha dos dados de saúde dos alunos. Disponível em https://www.cnpd.pt/home/orientacoes/Orientacoes_medicao_temperatura_estabelecimentos_ensino.pdf

[25] Decreto-Lei n.º 20-H/2020, de 14 de maio. Disponível em https://dre.pt/application/conteudo/133723695

[26] Orientação 024/2020. Disponível em https://www.dgs.pt/directrizes-da-dgs/orientacoes-e-circulares-informativas/orientacao-n-0242020-de-08052020-pdf.aspx

[27] Orientações sobre recolha dos dados de saúde dos alunos. Disponível em https://www.cnpd.pt/home/orientacoes/Orientacoes_medicao_temperatura_estabelecimentos_ensino.pdf