As relações laborais e os seguros são as áreas mais prejudicadas pela falta de lei que execute em Portugal o Regulamento Geral de Proteção de Dados (RGPD), segundo a presidente da Comissão Nacional de Proteção de Dados (CNPD). A Comissão Nacional de Proteção de Dados diz também que é desnecessário clínicas e consultórios médicos pedirem aos pacientes consentimento para tratar dados de saúde e que esses pedidos resultam de uma interpretação errada do Regulamento Geral de Proteção de Dados (RGPD).

Em toda a União Europeia, apenas Portugal e a Grécia não têm ainda lei nacional que execute o regulamento, que está em aplicação há um ano em todos os Estados membros, desde 25 de maio de 2018.

“A lei faz-nos falta. Era urgente que fosse aprovada a lei, um ano depois de o regulamento ser aplicado é muito tempo para estarmos sem lei nacional”, afirmou em entrevista à Lusa Filipa Calvão, presidente da CNPD, lembrando que, exceto Portugal e Grécia, todos os outros Estados já aprovaram leis nacionais de execução do regulamento comunitário.

O primeiro ano de aplicação do RGPD, que se cumpre no dia 25 deste mês, foi “um bocadinho difícil” para a CNPD, segundo a sua presidente, porque a falta de legislação especifica “está a ter consequências práticas” em vários tratamento de dados pessoais.

“Tem consequências no contexto das relações laborais, quanto aos dados biométricos para controlo de assiduidade, sobre os quais a lei laboral não é suficiente nesta matéria”, afirma aquela responsável, destacando ainda consequências desta falta de legislação na atividade seguradora que envolve dados de saúde.

A CNPD lembra que “não há base legal suficiente” no regulamento que legitime o tratamento dos dados de saúde pelas seguradoras sem o consentimento dos segurados, o que poderia colocar em risco seguros como os de saúde, e defende ser necessário o legislador nacional enquadrar essas atividades na legislação que está a ser preparada pelo parlamento e que aguarda aprovação.

Mas, ao contrário do que o setor segurador temia, e anunciou publicamente há um ano, esta falta de legitimidade de tratamento dos dados pelas seguradoras não bloqueou esta atividade no primeiro ano de execução do regulamento: “Em rigor, esses tratamentos não estão a ser feitos de modo legítimo”, advertiu Filipa Calvão.

A CNPD defende que o pedido de consentimento que as seguradoras têm feito junto dos clientes “não é pertinente, nem juridicamente relevante”, e diz que é preciso um enquadramento que legitime esse tratamento de dados.

“É uma falta de enquadramento que é essencial e que o parlamento se está a esquecer”, afirmou, referindo-se ao facto de a última proposta de lei do grupo de trabalho não resolver este problema.

No primeiro ano de aplicação do RGPD, a Comissão aplicou coimas a quatro entidades, no valor de 424 mil euros, e abriu 864 processos de averiguação que podem resultar em contraordenação ou na aplicação de medidas corretivas ou recomendações.

O RGPD começou a ser aplicado em Portugal, e restantes Estados-membros, em 25 de maio do ano passado, introduzindo sanções pelo seu incumprimento que podem ir, nos casos mais graves, até 20 milhões de euros ou 4% do volume de negócios anual a nível mundial, consoante o montante mais elevado.

Nos casos menos graves de violação dos dados pessoais, as coimas podem ir até 10 milhões de euros ou 2% do volume de negócios anual a nível mundial.

Segundo o regulamento, os cidadãos têm de dar consentimento explícito para os seus dados pessoais serem usados — e para que fim — e podem pedir para que sejam apagados a qualquer momento.

A aplicação do RGPD carece de legislação nacional que está a ser elaborada, e discutida, por um grupo de trabalho no parlamento, mas ainda não foi sujeita a votação final.

Consentimento para tratar dados de saúde é desnecessário

Por outro lado, “há uma má compreensão por parte das clínicas e consultórios médicos de que é preciso recolher o consentimento para tratar os dados de saúde. Isso não é verdade”, afirmou Filipa Calvão.

O RGPD já legitima o tratamento de dados de saúde, sem necessitar do consentimento do titular dos dados, e apenas impõe a necessidade de consentimento para o tratamento desses dados para efeitos de ‘marketing’.

“Para tratamentos de dados para efeitos de cuidados de saúde, o regulamento é suficiente e não é preciso pedir consentimento. É uma errada interpretação do regulamento”, esclarece a responsável.

Num parecer de meados de maio, a CNPD denuncia a existência de unidades de saúde que recusam fazer tratamentos aos doentes que assinaram uma autorização para tratamento dos seus dados de saúde, mas que são “casos pontuais” segundo Filipa Calvão.

“A exigência de consentimento do titular dos dados para o tratamento de dados pessoais necessários à prestação de cuidados de saúde assenta num erro quanto ao fundamento da ilicitude [ilegalidade] do tratamento dos dados e, portanto, contradiz o disposto no RGPD”, lê-se no parecer, disponível na página de internet da CNPD.

A comissão explica que, sendo os dados necessários para a prestação do serviço, não existe liberdade para consentir ou não acerca do seu tratamento e, portanto, nunca estaria cumprido esse atributo do consentimento, que tem de ser livre.