GPDP | Autoridade abdica de aviso no tratamento de alguns dados

O Gabinete de Protecção de Dados Pessoais baixou defesas, isentando entidades de o notificarem quando recolherem ou tratarem informações pessoais em algumas circunstâncias, desde entradas em lojas a picar o ponto

 

Por norma, quando uma entidade começa a recolher e a tratar dados pessoais, tem oito dias para avisar por escrito o Gabinete de Protecção de Dados Pessoais (GPDP). Mas o GPDP decidiu simplificar as regras, ao retirar a necessidade dessa notificação em várias situações. Algumas delas abrangem o tratamento de dados biométricos. Em comunicado, a entidade justificou a decisão com “a extensão dos trabalhos da prevenção e do controlo da referida epidemia e baseando-se nos princípios convenientes, económicos e eficazes”. A interconexão de dados é excluída de todos os cenários, e são estipulados prazos para a sua conservação.

Dados biométricos como impressões digitais, palma da mão ou geometria facial podem ser tratados nos casos de trabalhadores ou prestadores de serviços com autorização para aceder a áreas internas de acesso restrito ou quem usar equipamentos também eles de acesso restrito, para identificação por motivos de segurança. Informações que o despacho prevê apenas que “em princípio” precisa de autorização das pessoas afectadas.

Para os registos das entradas e saídas de pessoal, as categorias de dados prendem-se na sua maioria com o contexto profissional de cada um, nome, número de documento de identificação interno e fotografia.

Embora sem abranger geometria facial, a situação vai ser semelhante com o tratamento de dados para picar o ponto. As principais diferenças passam pela necessidade mais clara de consentimento na recolha e que, à excepção de “casos de interesse público, saúde ou segurança”, as empresas devem dar uma alternativa para a marcação de assiduidade.

Vaivém retroactivo

Outro cenário que passa a estar isento de notificação é a recolha e tratamento de dados das pessoas que entram e saem de estabelecimentos, se o objectivo for pôr em prática medidas para prevenção e controlo de doenças transmissíveis. Nestes casos, os estabelecimentos podem tratar informações como a data, hora e local de entrada e saída das pessoas, o seu percurso e meio de transporte utilizados. Isto, a par de dados de identificação, como nome, sexo, idade, contacto e número de documento de identidade. Mas a recolha não para aí. Também pode incluir o estado geral de saúde das pessoas, sintomas anteriores e registo de consultas médicas relacionadas.

Neste caso, a decisão do GPDP tem efeitos retroactivos, abrangendo acções que aconteceram desde 1 de Janeiro deste ano.

Segundo a autorização dada pelo GPDP, a notificação deixa ainda de ser precisa quando – para proteger “interesses vitais” da pessoa a quem pertencem os dados ou outra, e o titular estiver física ou legalmente incapaz de consentir – se recolhem dados sensíveis. Ou seja, referentes a “convicções filosóficas ou políticas, filiação em associação política ou sindical, fé religiosa, vida privada e origem racial ou étnica, bem como o tratamento de dados relativos à saúde e à vida sexual, incluindo os dados genéticos”. No entanto, não é claro de que forma estas informações se relacionam com as categorias de dados pessoais abrangidas pela medida.

Subscrever
Notifique-me de
guest
0 Comentários
Inline Feedbacks
Ver todos os comentários