Nunca se testou tanto em Portugal como agora. Esta é uma das frases mais ouvidas nos últimos tempos. Entre 12 e 16 de dezembro de 2021, Portugal testou perto de um milhão de pessoas. Refiro-me, obviamente, à testagem contra a covid-19. A média diária, até ao presente, ronda mais de 100 mil testes. O Natal está à porta, o Ano Novo quer entrar, mas o teste, esse, é fundamental. Seja PCR ou Antigénio, todos (ou quase todos) queremos ser e estar testados, com resultado negativo e de boa saúde para um Santo Natal junto dos nossos familiares, acautelando um ano 2022 cheio de saúde e sem complicações.
Os números trazidos pela Direção-Geral de Saúde escondem as largas centenas de profissionais da saúde que lidam diariamente com a realização de testes à covid em todas as suas variantes. O ato de testar não se esgota apenas na inserção da zaragatoa nas narinas da pessoa testada e deve respeitar, não só as medidas protocolares e procedimentos médicos, mas também as regras e os princípios aplicáveis ao tratamento dos dados pessoais referentes à proteção e segurança da informação, em conformidade com o Regulamento Geral sobre a Proteção de Dados e outra legislação de proteção de dados aplicável.
Os dados recolhidos nos formulários entregues e assinados pelo utente no momento que antecede o teste, a informação dos resultados aos utentes, a inserção online e registo para consulta do utente na app da Saúde 24, bem como o arquivamento destas informações em papel, implicam um cuidado redobrado por quem manuseia essa informação em respeito pelos direitos fundamentais dos titulares dos dados.
É ponto assente que a testagem traz várias implicações colaterais, sendo uma delas o respeito pela confidencialidade dos dados, necessária no momento do seu tratamento, mitigando-se, eliminando-se ou até transferindo-se o risco de perda dessa mesma confidencialidade e acesso por quem não está legitimado. O ato implica o tratamento de dados pessoais (o nome, e-mail, morada, n.º de telefone ou o n.º do cartão do cidadão) e o tratamento de categorias especiais de dados (o resultado negativo ou positivo do utente ou o n.º do cartão do utente de saúde). Como o próprio nome indica, estes dados são considerados categorias especiais de dados, uma vez que reclamam uma maior proteção e importância quanto à sua natureza e génese, em comparação com os restantes dados pessoais, como é o caso do nome ou o n.º de telemóvel.
Quaisquer entidades que realizem testes nos estabelecimentos destinados ao efeito devem, assim, assegurar que os resultados apenas são conhecidos pelo utente que realizou o teste (sem prejuízo do conhecimento do profissional de saúde).
Posto isto, aconselhamos que sejam adotados os seguintes comportamentos:
• Divulgação no gabinete de testagem do resultado ao utente, fora do alcance e conhecimento de terceiros (podendo inclusive ser entregue em envelope selado, caso ocorra fora do gabinete);
• Não divulgação pública em frente a terceiros do resultado do teste (quer positivo, quer negativo);
• Evitar deixar documentação com informação pessoal e sensível espalhada em mesas ou outras superfícies que permitam a terceiros não autorizados a sua visualização;
• Arquivo da respetiva documentação, de preferência, em suporte digital;
• Arquivo físico dessa mesma documentação, quando necessária, em armários fechados à chave com acesso por quem legitimado ao efeito;
• Aplicação de medidas adequadas à destruição segura e irreversível da documentação física (quando não mais necessária);
• Assinatura de compromissos de confidencialidade no respeito pela proteção de dados e segurança da informação (sem prejuízo da sua previsão expressa nos contratos de trabalho ou prestação de serviços entre o técnico e a entidade patronal/contratante);
• Atribuição de funções específicas para recolha e tratamento das informações e procedimento do seu tratamento em específico;
• Formação e sensibilização ao pessoal técnico sobre as medidas necessárias à garantia da confidencialidade e boas práticas de segurança a adotar no manuseamento da informação pessoal e sensível.
Estes comportamentos e boas práticas situam-se sob o chapéu da segurança da informação prevista nos termos do disposto no art.º 32.º do RGPD. A sua violação consubstancia, tal como preceitua o art.º 83.º n.º 4 al. a) do RGPD, condição para aplicação de uma coima que poderá ir até € 10 000 000 (dez milhões de euros) ou, no caso de empresa, até 2% do seu volume de negócios anual a nível mundial, correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.
Nunca é demais implementar e reforçar determinados procedimentos que, pela sua simplicidade, poderão obstar à aplicação de coimas avultadas e dar origem a realidades mais complexas e prejudiciais para quem testa.
Se necessário, devem alterar-se métodos e alinhá-los com as regras da proteção de dados e da segurança da informação. Um teste gratuito ao utente, pode sair muito mais caro do que aquilo que se imagina e tornar-se uma verdadeira dor de cabeça (sem comprimidos para o seu tratamento).
David Silvério
Legal Consultant na DPO Consulting
