Na sequência da pandemia decorrente do novo coronavírus SARS-CoV-2 e da doença Covid-19 a importância da transparência das autoridades de saúde relativamente à evolução da epidemia e à sua atuação sobre a mesma tem-se mostrado fundamental para que a população compreenda as medidas adotadas, as escrutine e, sobretudo, para que haja a colaboração cívica que se mostra imprescindível em momentos de crise.
É neste âmbito que se verifica a divulgação e disponibilização diária de informação, efetuada pela Autoridade Nacional de Saúde, com totais nacionais de casos suspeitos, confirmados, recuperados e óbitos, bem como a distribuição regional do número de infetados e de óbitos. É possível ainda no sítio da Direção Geral de Saúde (DGS) obterse informação pormenorizada do número de infetados e de óbitos por concelho[ref]Por razões de confidencialidade e proteção de dados, a DGS não disponibiliza informação desagregada quando o número de infetados no Concelho é inferior a três[/ref].
Os dados disponibilizados publicamente pela DGS são fonte da informação para os órgãos de comunicação social e para entidades públicas e privadas que entendem
dar-lhe visibilidade, de entre as quais se destacam os sítios institucionais dos municípios que, compreensivelmente, para dar tranquilidade às suas populações, têm publicado informação relativa à sua área territorial.
É sobre estas últimas que têm chegado à CNPD queixas de cidadãos que veem os seus dados pessoais, de identificação e contacto[ref]E, pelo menos num caso, é publicada a etnia do doente.[/ref], incluindo de crianças, expostos nas páginas e nas redes sociais da responsabilidade da autarquia local, após a confirmação do diagnóstico de Covid-19. Algumas autarquias locais não expõem os dados pessoais dos infetados, mas disponibilizam informação discriminada por freguesia, sem acautelarem o diminuto número de casos, os quais facilmente reconduzem, especialmente em pequenas localidades, à identificação dos doentes.
Não cabe neste documento averiguar o modo como tal informação chega ao conhecimento dos municípios e freguesias, embora não seja de mais relembrar que tanto os serviços de saúde da área, como as autoridades locais ou regionais de saúde, continuam obrigados a sigilo, seja por força das regras deontológicas a que estão sujeitos, seja pelas obrigações legais a que estão adstritos, de entre as quais se encontram as regras de proteção de dados. Do mesmo modo, o legítimo conhecimento da identidade das pessoas sujeitas a isolamento profilático pelas forças de segurança está sujeito a sigilo.
É neste quadro, e no exercício das suas atribuições e competências[ref]Cf. alíneas b) e d) do n.º 1 do artigo 57.º e alínea b) do n.º 1 do artigo 58.º do Regulamento 2016/679, de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados – RGPD) e artigos 3.º e 6.º da Lei n.º 58/2019, de 8 de agosto[/ref], que a Comissão Nacional de Proteção de Dados vem definir, de forma sucinta, orientações de modo a garantir a conformidade da publicação da informação relativa à evolução da pandemia em respeito pelo regime jurídico de proteção de dados[ref]A presente orientação não incide sobre o tratamento de dados pessoais relativos à saúde para a finalidade
de investigação epidemiológica, que está regulado por lei.[/ref].
- As autarquias locais não podem publicar dados de saúde com identificação das pessoas a quem os mesmos dizem respeito. Na verdade, esta informação está sujeita a um regime jurídico especialmente protegido, por corresponder a uma categoria de dados pessoais que é suscetível de gerar ou promover a estigmatização e a discriminação dos respetivos titulares[ref]Cf. n.º 1 do artigo 9.º do RGPD.[/ref]. E, na realidade, ainda que as autarquias locais aleguem necessitar de conhecer e divulgar dados de
saúde identificados ou individualizados para a prossecução da sua missão genérica de garantir a saúde e a proteção civil das populações locais, esse tratamento dos dados dependeria de uma norma legal que o previsse e que especificamente acautelasse os direitos e interesses dos titulares dos dados[ref]Cf. alínea e) do n.º 1 do artigo 6.º e alínea i) do n.º 2 do artigo 9.º do RGPD. Importa, contudo, assinalar que é duvidoso que a prossecução do interesse público de saúde pública seja diretamente atribuição das autarquias locais, pelo menos na vertente de prevenção e combate de uma concreta epidemia, em face do estatuído nos artigos 2.º e 16.º do Decreto-Lei n.º 23/2019, de 30 de janeiro (com eventual ressalva de decisão da autoridade nacional de saúde pública no sentido de as encarregar de algumas das suas tarefas); nessa sequência, poder-se-ia porventura equacionar a alínea g) do n.º 1 do artigo 9.º do RGPD, mas mais uma vez a sua invocação depende de norma legal expressa e com medidas específicas e adequadas à proteção dos direitos dos titulares dos dados, que não se existe no ordenamento jurídico nacional.[/ref]. Ora, tal previsão legal não existe A outra hipótese em que se poderia fundamentar este tratamento e que corresponde ao consentimento dos titulares dos dados pessoais, dificilmente será neste contexto verificável. Com efeito, considerando a evidente situação de vulnerabilidade das pessoas que se encontram contaminadas pelo vírus, bem como a sua situação de dependência da intervenção das autoridades públicas, não se vê que as condições de emissão de um consentimento livre se verifiquem em concreto[ref]Como impõe o artigo 4.º, alínea 11), do RGPD, em conjugação com a alínea a) do n.º 1 do artigo 9.º do mesmo diploma[/ref].
De todo o modo, uma tal divulgação pública sempre se terá por desproporcionada, pelo impacto negativo que tem na vida das pessoas contaminadas – reitera-se, algumas das quais crianças –, com restrição excessiva dos seus direitos fundamentais, sem que se possa afirmar que a vantagem diretamente decorrente dessa divulgação, a existir, não é alcançável por outras vias menos lesivas e intrusivas da vida privada das pessoas[ref]Cf. alínea c) do n.º 1 do artigo 5.º do RGPD.[/ref].
- Pelas mesmas razões, também não podem ser publicados dados de saúde, mesmo sem identificação dos doentes, quando o seu reduzido número numa determinada circunscrição territorial, em função da respetiva dimensão populacional, permita a identificação das pessoas contaminadas.
Na realidade, são vários as situações relatadas à CNPD em que há divulgação de um ou dois infetados numa determinada freguesia. Quando a dimensão territorial da freguesia e o número de cidadãos que aí residem são reduzidos, é fácil identificar as pessoas que se encontram doentes. Por essa razão, esta informação de saúde cabe ainda no conceito de dados pessoais, por serem facilmente identificáveis as pessoas às quais a mesma diz respeito, e está por isso sujeita ao regime jurídico de proteção de dados pessoais. Considerando que, com a identificação dos doentes, se verifica o mesmo tipo de impacto na vida privada dos doentes, só pode concluir-se pela falta de legitimidade por parte das autarquias locais para a publicação desses dados, assim como pela desproporcionalidade desta publicação.
A CNPD recorda que as autarquias locais, no âmbito da sua autonomia e do legítimo desempenho da sua missão de garantia da saúde e da proteção civil, se devem abster de adotar iniciativas que impliquem a recolha e a divulgação de dados pessoais dos seus concidadãos quando as mesmas não tenham base legal, nem sejam execução de orientações da autoridade nacional de saúde.
Lisboa, 22 de abril de 2020