Opinião | José Oliveira Dias – COVID-19 por freguesia – um “data breach”?

O primeiro decreto Presidencial, diminuiu, temporariamente, alguns direitos, mesmo em sede de Regulamento Geral de Protecção de Dados (RGPD),  e na Lei nacional que o completou, a Lei 58/2019, e, para suspender os processos de deliberação que corriam na Comissão Nacional de Protecção de Dados (CNPD), enquanto durasse o “estado de emergência”.

Outra consequência, prende-se objectivamente com a legitimidade para uma autoridade processar (tratar) dados pessoais, a qual assenta em vários critérios legais (RGPD).

Ora se até aqui os critérios eram basicamente, o da legalidade, base contratual, e o consentimento, para a generalidade da actividade das autarquias locais, agora, com o “estado de emergência”, são convocados outros dois critérios, a saber, o interesse vital do titular dos dados pessoais ou de terceiros, e o exercício de autoridade pública, embora este muito localizado, e sempre escorado numa fundamentação sólida.

Com a renovação da declaração de estado de emergência, através do segundo decreto Presidencial, o RGPD, recebeu novo impacto legislativo, desta feita para, legitimar à autoridade de saúde nacional, as ordens que der ás operadoras de telecomunicações para o envio de mensagens relacionadas com a pandemia em curso. E porquê ? porque esses dados pessoais, na posse das operadoras de telecomunicações, foram recolhidos para fim diverso que não este, o que implicaria que as operadoras tivessem de pedir o consentimento a cada cidadão,  daí a necessidade, por via legislativa, de abrir aqui uma excepção. Em matéria de RGPD nada mais alterou.

O processamento de dados pessoais, resultante das intervenções de despiste ou tratamento de cidadãos, é, avassalador, e as autoridades que intervêm no processo (Protecção Civil – autarquias, corporações de bombeiros, autoridades policiais, estabelecimentos de saúde, IPSS,) têm de estar particularmente vigilantes para evitar “data breach” (quebra de dados), pois a isso estão obrigadas, e os cidadãos visados, a isso têm direito, para além das coimas pesadíssimas, para os infratores.

O RGPD proíbe a revelação dos dados pessoais, dos cidadãos, que os possam identificar, ou que permitam serem identificáveis. Ou seja, sem o conforto de uma das fontes de legitimidade acima enunciadas, não podem ser divulgados dados pessoais de nenhum cidadão.

O site da Federação Portuguesa de Futebol, divulgou o nome, o clube onde praticava desporto, e a causa da morte, de um jovem que faleceu, tudo isto são dados pessoais, sendo a causa de morte um dado pessoal sensível, logo passível de uma maior exigência em termos de protecção. Isto é um entre vários exemplos negativos.

Tudo isto vem a propósito de algo que corre nas redes sociais e que tem a ver com um comunicado que a Câmara Municipal de Mafra terá feito, informando ter recebido ordens da autoridade de saúde, para não disponibilizar os dados do covid-19, por Freguesia. Isso suscitou alguma celeuma ente vários meios.

Entretanto, foi revogada essa instrução da autoridade de saúde, permitindo, agora, a Câmara Municipal voltar a dar informações por freguesia.

É certo um número NÃO IDENTIFICA em concreto a pessoa infectada, isso é verdade se for na Freguesia de Benfica, em Lisboa, que é a maior da Europa. Mas se for na Freguesia da Carvoeira, Mafra, com os seus 2.150 habitantes, todos se conhecem uns aos outros, e por isso é facilmente IDENTIFICÁVEL o, ou os possíveis infectados.

Mesmo noutras Freguesias como a de Mafra, sede do Município, com os seus 18.000 habitantes, é fácil, sabendo-se que ali existem infectados, tentar saber, junto dos bombeiros, ou no centro de saúde, ou até mesmo nas autoridades policiais, e chegar á identidade dos infectados, é muito fácil.

Assim a divulgação por freguesia não identifica directamente, mas torna IDENTIFICÁVEL, sendo, por isso, uma violação grosseira ao RGPD. De resto sabe-se que a CNPD informou a DGS que só seria aceitável que se publicitassem números por município, desde que acima de 4 casos. Percebe-se que a CNPD desconhece que temos municípios com menos de 2.000 habitantes.

Seja como for, o Presidente de Câmara, está vinculado a observar o RGPD.

O papel da autoridade sanitária é decisivo, mas se der ordens ilegítimas ou ilegais, o Presidente de Câmara, pode sempre invocar o direito de resistência, pois divulgar números de infectados por Freguesia, é uma orientação ilegal, à luz do RGPD.

No primeiro Decreto Presidencial, uma das restrições era o Direito de Resistência, assim sem mais. Ficámos, então, numa suspensão da democracia, pois tal como estava, o decreto Presidencial, aquele direito estava suspenso para todas as ordens: as legitimas e as ilegítimas.

Felizmente, no 2º Decreto Presidencial, foi corrigida a restrição, acrescentando-se que o direito de resistência não se aplicaria às ordens legitimas das autoridades. Pode, pois, o sr. Presidente da Câmara socorrer-se desse Direito Constitucional, para se opor às ordens ilegítimas e ilegais que receba, venham de onde vierem.

 

José Oliveira Dias
Encarregado de Proteção de dados registado na Comissão Nacional de Proteção de Dados (CNPD).

   

Leia também