Bruxelas, 17 de junho – Durante a sua 32.ª sessão plenária, o CEPD adotou uma declaração sobre a interoperabilidade de aplicações de rastreio de contactos, bem como uma declaração sobre a abertura das fronteiras e os direitos à proteção de dados. O Comité também adotou duas cartas dirigidas ao deputado ao Parlamento Europeu Moritz Körner sobre cifragem e o artigo 25.º do RGPD e uma carta dirigida ao CEAOB sobre os acordos com o PCAOB.
O CEPD adotou uma declaração sobre a interoperabilidade de aplicações de rastreio de contactos, tendo por base as suas Diretrizes 04/2020 sobre a utilização de dados de localização e meios de rastreio de contactos no contexto do surto de COVID-19. A declaração proporciona uma análise mais aprofundada de aspetos fundamentais, incluindo transparência, base jurídica, controlo, direitos do titular dos dados, conservação e minimização de dados, segurança da informação e exatidão dos dados no contexto da criação de uma rede interoperável de aplicações, que têm de ser considerados além dos salientados nas Diretrizes 04/2020 do CEPD.
O CEPD sublinha que a partilha de dados sobre pessoas que foram diagnosticadas ou testaram positivo com essas aplicações interoperáveis apenas deve ser acionada por uma ação voluntária do utilizador. Proporcionar informação e controlo aos titulares dos dados aumentará a sua confiança nas soluções e a sua potencial adoção. O objetivo da interoperabilidade não deve ser usado como argumento para alargar a recolha de dados pessoais além do que é necessário.
Além disso, as aplicações de rastreio de contactos têm de fazer parte de uma estratégia abrangente de saúde pública para combater a pandemia, tais como testes e o rastreio manual dos contactos subsequente com vista a melhorar a eficácia das medidas realizadas.
Assegurar a interoperabilidade não é apenas tecnicamente desafiante e por vezes impossível sem contrapartidas desproporcionais, mas também conduz a um potencial maior risco de proteção de dados. Por conseguinte, os responsáveis pelo tratamento têm de assegurar que as medidas são eficazes e proporcionais e devem avaliar se uma alternativa menos intrusiva pode alcançar o mesmo objetivo.
O CEPD adotou uma declaração sobre o tratamento de dados pessoais no contexto da reabertura das fronteiras Schengen após o surto de COVID-19. As medidas que permitem uma reabertura segura das fronteiras atualmente previstas ou implementadas pelos Estados-Membros incluem testes à COVID-19, a exigência de certificados emitidos por profissionais de saúde e a utilização de uma aplicação voluntária de localização de contactos. A maioria das medidas envolvem algum tratamento de dados pessoais.
O CEPD recorda que a legislação em matéria de proteção de dados continua a ser aplicável e permite uma resposta eficaz à pandemia, protegendo, ao mesmo tempo, os direitos e as liberdades fundamentais. O CEPD salienta que o tratamento de dados pessoais tem necessariamente de ser proporcional e o nível e proteção deverá ser consistente em todo o EEE. Na declaração, o CEPD exorta os Estados-Membros a adotarem uma abordagem europeia comum ao decidirem que tratamento de dados pessoais é necessário neste contexto.
A declaração também aborda os princípios do RGPD aos quais os Estados-Membros têm de prestar especial atenção quando tratam dados pessoais no contexto da reabertura das fronteiras. Os mesmos incluem a licitude, a lealdade e a transparência, a limitação das finalidades, a minimização dos dados, a limitação da conservação, a segurança dos dados e a proteção de dados desde a conceção e por defeito. Além disso, a decisão de permitir a entrada num país não deve basear-se apenas nas tecnologias de decisões individuais automatizadas. Em qualquer dos casos, essas decisões deverão ser acompanhadas das garantias adequadas, que deverão incluir a informação específica ao titular dos dados e o direito de obter a intervenção humana, de manifestar o seu ponto de vista, de obter uma explicação sobre a decisão alcançada após essa avaliação e de contestar a decisão. As medidas de decisões individuais automatizadas não devem ser aplicáveis a crianças.
Por último, o CEPD salienta a importância de uma consulta prévia das autoridades de supervisão nacionais competentes quando os Estados-Membros pretendam tratar dados pessoais neste contexto.
O CEPD adotou uma resposta a uma carta do deputado ao Parlamento Europeu, Moritz Körner, sobre a importância das proibições da cifragem em países terceiros para avaliar o nível de proteção de dados quando são transferidos dados pessoais para países onde vigora essa proibição. Segundo o CEPD, qualquer proibição da cifragem ou disposições que fragilizem a cifragem comprometerão gravemente a conformidade com as obrigações de proteção previstas no RGPD aplicáveis aos responsáveis pelo tratamento e aos subcontratantes, seja num país terceiro ou no EEE. As medidas de segurança são um dos elementos que a Comissão Europeia deve ter em conta quando avalia a adequação do nível de proteção num país terceiro.
Uma segunda carta dirigida ao deputado ao Parlamento Europeu Moritz Körner aborda o tópico das coberturas para as câmaras de computadores portáteis. Moritz Körner, deputado ao Parlamento Europeu, salientou que esta tecnologia podia ajudar a cumprir o RGPD e sugeriu que os novos computadores portáteis fossem equipados com a mesma. Na sua resposta, o Comité esclarece que, embora devam ser encorajados a ter em conta o direito à proteção de dados quando desenvolvem e concebem esses produtos, os fabricantes de computadores portáteis não são responsáveis pelo tratamento realizado com esses produtos e o RGPD não estabelece obrigações legais para os fabricantes, salvo se também atuarem como responsáveis pelo tratamento ou subcontratantes. Os responsáveis pelo tratamento devem avaliar os riscos de cada tratamento e escolher as garantias apropriadas para cumprir o RGPD, nomeadamente a privacidade desde a conceção e por defeito consagrada no artigo 25.º do RGPD.
Por último, o CEPD adotou uma carta dirigida ao Comité dos Organismos Europeus de Supervisão de Auditoria (CEAOB) O CEPD recebeu uma proposta do CEAOB, que reúne os organismos nacionais de supervisão de auditoria a nível da UE, para cooperar e receber feedback sobre negociações de projetos de acordos administrativos para a transferência de dados para o Public Company Accounting Oversight Board (PCAOB) dos Estados Unidos. O CEPD congratula-se com esta proposta e indica que está disponível para uma troca de pontos de vista com o CEAOB para esclarecer quaisquer potenciais questões sobre os requisitos de proteção de dados relacionados com esses acordos à luz das Diretrizes 2/2020 do CEPD sobre o artigo 46.º, n.º 2, alínea a) e 46.º, n.º 3, alínea b), do RGPD para transferências de dados pessoais entre autoridades públicas do EEE e não pertencentes ao EEE. A troca de pontos de vista poderá também envolver o PCAOB, se o CEAOB e os seus membros que considerarem que isso é benéfico para o seu trabalho sobre esses acordos.
Nota aos editores:
Todos os documentos adotados em sessão plenária pelo Comité Europeu para a Proteção de Dados estão sujeitos aos controlos jurídicos, linguísticos e de formatação necessários e serão publicados no sítio Web do CEPD uma vez concluídos esses controlos.
EDPB_Press Release_2020_11