As medidas extraordinárias que vêm sendo implementadas na contenção e mitigação dos efeitos da COVID-19 envolvem, na sua grande maioria, tratamento de dados pessoais, incluindo, naturalmente, dados pessoais sensíveis, relacionados com a saúde e com direitos constitucionalmente consagrados que, fruto das mesmas, poderão ser agora comprimidos.
No caso europeu, a legislação em vigor, designadamente o Regulamento Geral de Protecção de Dados Pessoais (RGPD) e a Directiva 2002/58/CE (Directiva ePrivacy), constituem, ao mesmo tempo, instrumentos de apoio e legitimação na aplicação e implementação destas medidas extraordinárias, mas também de protecção e segurança do Direito à Privacidade e à Protecção dos Dados Pessoais, salvaguardando-os dentro deste seu cariz ético e de serviço público.
Tendo estes pressupostos presentes, não podemos esquecer que as obrigações dos Responsáveis de Tratamentos de Dados Pessoais e os seus Subcontratantes se mantém e que, mais do que nunca, devem garantir a licitude, legalidade e transparência dos tratamentos de dados pessoais, bem como os princípios Constitucionais e gerais de Direito.
O atual Estado de Emergência implica restrições a direitos e liberdades dos cidadãos, ainda que num contexto de necessidade e proporcionalidade.
A par das questões relacionadas com o processamento de dados pessoais no contexto do setor da saúde e do trabalho, para os quais várias Autoridades de Controlo da União Europeia têm vindo a produzir recomendações e linhas orientadoras, um dos grandes desafios que o atual Estado de Emergência coloca, no que respeita à referida compressão de direitos – em particular, ao Direito à Privacidade – diz respeito à possibilidade das Autoridades Europeias e dos Governos poderem aceder a dados pessoais obtidos através de dispositivos de telecomunicações pessoais com o propósito de monitorizar a circulação das pessoas no esforço de contenção e mitigação do COVID-19.
Esta possibilidade implica, nomeadamente, hipótese de acesso e tratamento de dados de Geolocalização, bem como o acesso e monitorização de comunicações de voz, texto (sms, correio eletrónico) e, até imagem (pense-se na utilização exponencial das plataformas e aplicações de videoconferência que o atual estado de emergência veio potenciar) e de navegação online.
As orientações para já divulgadas no contexto europeu apontam para que, sendo tal possibilidade legitimada e exigível, as autoridades governamentais devem, em primeira abordagem, processar dados de geolocalização anonimamente (ou seja, sem possibilidade de identificação dos cidadãos), tratamento este que pode permitir criar informação sobre a concentração de pessoas em determinado local, necessária a conter possíveis situações de contágio.
Para outro tipo de tratamento de dados pessoais mais individualizado, a Diretiva ePrivacy (e, bem assim, o RGPD) permite que os Membros Estados possam introduzir medidas legislativas para salvaguardar a segurança pública, desde que sejam implementadas salvaguardas adequadas, sempre orientadas pelo princípio da proporcionalidade, mas sendo objecto de uma maior ou mais especifica regulamentação e de maior escrutínio, de forma garantir o respeito pelos direitos à privacidade e à proteção de dados pessoais.
Por outro lado, o potenciamento da utilização de dispositivos móveis e navegação online nesta fase, tornam essencial chamar a atenção para a segurança digital, já que se assiste a um aumento exponencial nos ataques de phishing e cibercrime.
Deixamos, assim, algumas recomendações divulgadas pela ENISA – European Union Agency for Cibersecurity, para que pessoas e empresas se possam proteger de situações de phishing e cibercrime:
- Suspeite de qualquer e-mail em que lhe seja solicitado para verificar ou renovar suas credenciais, mesmo que pareça vir de um remetente fiável. Tente verificar a autenticidade da solicitação por outros meios e não clique em links suspeitos nem abra anexos suspeitos.
- Suspeite de e-mails de pessoas que não conhece, especialmente se elas pedirem para ligar-se a links ou abrir arquivos;
- Os e-mails que anunciam ou alertam situações de urgência ou consequências graves devem ser considerados suspeitos de phishing - nesses casos, sempre verifique através de um canal externo antes de cumprir.
- E-mails enviados (aparentemente) por pessoas que conhece, mas em que lhe são solicitados certos dados pessoais, também devem ser considerados suspeitos, pelo que deve confirmar se os mesmos lhe foram de facto remetidos por quem conhece.