A pandemia provocada pelo vírus Covid-19 colocou Governos, instituições e empresas entre o dilema saúde pública-privacidade pessoal.

Com efeito, as medidas extraordinárias adoptadas no contexto de crise pandémica afectaram a liberdade individual em três áreas fundamentais:

• Limites de movimento pessoal, incluindo distanciamento físico, restrições a reuniões públicas, quarentena, isolamento e bloqueio;
• Relatórios de saúde, incluindo testes COVID-19, testes de temperatura, relatórios de autoridades públicas e corporativas;
• Rastreios de saúde, incluindo rastreios manuais e automáticos e mecanismos de rastreio de contactos (rastreio por telemóvel), tanto por Governos quanto por empresas privadas.

Muitas das medidas de proteção que os Governos estão a adoptar nestas áreas têm sido bem compreendidas e aceites pelas populações afetadas. No entanto, levantam-se preocupações sociais sobre a intromissão dos Governos na privacidade de cada indivíduo e nas suas implicações para o futuro. Os Governos e os líderes das empresas privadas têm lutado para equilibrar as medidas de proteção com as garantias de privacidade, muitas vezes sem uma orientação clara dos reguladores. Além dos riscos existentes no manuseamento e processamento de dados pessoais, os riscos cibernéticos sistémicos são também um foco de grande preocupação. Com locais de trabalho encerrados e funcionários a trabalhar a partir de casa, os departamentos de Informática de instituições públicas e privadas tiveram que configurar operações de trabalho remoto rapidamente. Muitos trabalhadores estão agora a utilizar dispositivos inseguros e comunicações pela Internet com níveis de proteção mais reduzidos do que os existentes nas redes empresariais ou institucionais. O consenso entre os reguladores europeus e o supervisor europeu de proteção de dados é que a crise pandémica atual não derroga o RGPD, pois as suas regras são flexíveis o suficiente para acomodar as medidas de emergência, mantendo em vigor salvaguardas adequadas. De acordo com o RGPD, por exemplo, os governos nacionais têm permissão para agir no interesse público, mas devem limitar os dados que usam e a forma como os usam, sujeitando-os a um critério de proporcionalidade.  Alguns princípios avançados no RGPD são importantes a este respeito. O regulamento requer “minimização de dados” e “limitação de propósito”. Estas duas diretrizes especificam que os poucos dados pessoais necessários devem ser usados ​​apenas para uma finalidade específica e restrita – neste caso, para limitar a propagação do vírus e proteger a saúde da população. A transparência também é necessária, o que significa que os indivíduos afetados devem ser informados sobre o uso dos seus dados em linguagem simples e clara. Um outro princípio é a proteção: os dados devem ser suficientemente protegidos, tanto tecnicamente contra riscos cibernéticos, quanto organizacionalmente contra a partilha de informação não autorizada. Por exemplo, os controlos de entrada nos locais de trabalho podem apresentar problemas de proteção de dados. Na opinião de muitos reguladores, os trabalhadores que regressam ao trabalho podem ser obrigados a divulgar informações sobre viagens relacionadas com questões de saúde pública. Se eles estiveram numa área de alto risco, a ação apropriada (como quarentena temporária) pode ser obrigatória. Os reguladores expressaram uma certa preocupação com a obrigação da medição da temperatura corporal e outras intervenções a nível de saúde pessoal. As autoridades suecas e belgas de proteção de dados, por exemplo, não consideram a medição da temperatura corporal uma contra-ordenação do RGPD, a menos que os resultados sejam registados. Mas outros reguladores proibiram especificamente a medição regular da temperatura. A nível nacional, acompanhamos a posição da CNPD, segundo a qual, apesar de estarmos em situação de pandemia, não se justifica a realização de actos, que nos termos da lei nacional, só as autoridades de saúde ou o próprio trabalhador, num processo de auto-monitorização, podem praticar. De acordo com o RGPD e outros regulamentos europeus, a entidade empregadora em regra não tem autorização para recolher dados de saúde de funcionários e visitantes, exceto quando são legalmente obrigados a fazê-lo, seja para proteger os interesses dos trabalhadores ou do público, ou para cumprir a legislação vigente. Quando as exceções se aplicam, o processamento de dados deve ser estritamente limitado, de acordo com os princípios de minimização de dados, limitação da finalidade, transparência e proteção de dados. As entidades empregadoras só estão autorizadas a recolher o mínimo de dados necessários para uma finalidade específica. Devem informar as pessoas em causa sobre o processamento de dados e garantir que os dados estão devidamente protegidos. O processamento deve ser documentado e também interrompido assim que não for mais necessário. Ademais, em regra, as entidades empregadoras não têm permissão para fornecer aos funcionários os nomes dos colegas que adoeceram, limitando-se a notificar uma lista restrita daqueles com quem eles tiveram contato próximo. O RGPD também limita o direito de solicitar números de telefone privados dos funcionários, exceto por motivos específicos, como para informar os indivíduos sobre regras de trabalho e outras informações relacionadas com a pandemia. Além disso, de acordo com os princípios do RGPD, o uso de dados de indivíduos vulneráveis ​​em grupos de alto risco deve ser limitado a finalidades específicas (como entregas em domicílio de bens essenciais). O RGPD estabelece ainda certas proteções de privacidade e dados que limitam as possíveis medidas de rastreamento de saúde, que os países podem usar na crise da COVID-19. As autoridades europeias de proteção de dados permitiram, no entanto, a implantação de sistemas nacionais de rastreamento, desde que estejam alinhados com os princípios do RGPD. Os sistemas devem ser voluntários e consensuais ou totalmente anónimos, como quando uma operadora de telecomunicações fornece às autoridades dados anónimos para medir o movimento da população. Sistemas de monitorização pessoal mais precisos, como os utilizados na Coreia do Sul ou na China para conter a propagação da pandemia, não são permitidos pelo RGPD. Durante a pandemia, os departamentos de Informática das empresas enfrentaram desafios completamente novos, pois toda, ou grande parte da força de trabalho foi enviada para casa, a fim de trabalhar remotamente. As empresas devem agora manter a segurança dos seus sistemas, software e dados fora da rede corporativa centralizada e bem controlada, ao mesmo tempo que cumprem os requisitos do RGPD sobre proteções cibernéticas técnicas e organizacionais adequadas. Os funcionários estão a utilizar links individuais para se conectar às redes, enquanto os departamentos de Informática lutam com o aumento rápido e não planeado da infra-estrutura. Recursos novos e não testados, associados a controlos pouco exigentes, estão a ser usados ​​para garantir a realização de conferências, negócios e diversos trabalhos. As empresas estão a fornecer aos funcionários computadores, telemóveis e outros equipamentos necessários para proteger as conexões de rede virtual privada (VPN) para que possam trabalhar remotamente. As entidades empregadoras também devem fornecer aos funcionários uma série de outros recursos técnicos para proteger as suas redes. Os trabalhadores precisam de ser informados sobre os recursos técnicos especiais que permitem operações remotas seguras e ser treinados conforme a necessidade. A importância da segurança no trabalho remoto precisa de ser enfatizada e a VPN tornada obrigatória. As entidades empregadoras também devem fornecer orientações sobre uma série de tópicos relacionados, restringindo o uso de dispositivos privados, recomendando determinado software, bem como formulando instruções para proteção de hardware e cópias impressas de documentos.