Dados de saúde dos funcionários: como gerenciá-los durante a COVID-19?

Dados de saúde dos funcionários: como gerenciá-los durante a COVID-19? Entre os desafios que nossas sociedades estão enfrentando no contexto da crise sanitária, o que os empregadores enfrentam não é o menor.

Além das condições de trabalho que devem ser adaptadas, há a questão dos dados que podem ou mesmo devem ser coletados e tratados no âmbito da relação de trabalho.

O empregador encontra-se, por um lado, sujeito a a obrigação legal de preservar a saúde dos seus colaboradores, enquanto que por outro lado os dados de saúde são considerados por lei como dados sensíveis, cujas condições de processamento são estritamente regulamentadas.

O recente lembrete da CNIL sobre o quadro a ser respeitado e sobre as medidas concretas que podem ser implementadas no local de trabalho é, portanto, bem-vindo.

Os seguintes elementos são mantidos:

Embora o processamento de dados de saúde seja, em princípio, proibido, ele continua sendo possível sob certas condições, dependendo das finalidades buscadas.

Assim, no contexto da pandemia, o empregador pode validamente:

• Informe os seus colaboradores sobre as medidas de barreira, forneça-lhes todos os equipamentos de proteção necessários e relembre-os da obrigação de os informar ou de informar as autoridades sanitárias competentes em caso de contaminação ou suspeita de contaminação, com o único objetivo de lhes permitir adaptar as condições de trabalho (teletrabalho, por exemplo).

• Facilitar a transmissão de informações, criando, quando necessário, canais dedicados e seguros

• Promover métodos de trabalho remoto e incentivar o uso da medicina do trabalho.

• Como parte da implementação de um Plano de Continuidade de Negócios para proteger a segurança dos funcionários e identificar atividades essenciais que devem ser mantidas, crie um arquivo nominativo para o desenvolvimento e manutenção do plano, limitado aos dados necessários para atingir esse objetivo.

O empregador só pode acessar certas informações restritas para tomar as medidas organizacionais necessárias, enquanto dados mais diretamente relacionados à saúde devem ser processados por um profissional de saúde.

(Por exemplo, para prolongar uma quarentena e justificar o teletrabalho) e no âmbito dos serviços de saúde ocupacional:

O empregador não está autorizado a realizar um diagnóstico do estado de saúde de cada um dos seus empregados nem a gerir ele próprio um sistema de avaliação da sua vulnerabilidade (por exemplo, através de um código de cores).

De acordo com a legislação vigente, a coleta eletrônica de temperaturas ou por meio de câmera térmica com retenção de dados, testes sorológicos e questionários de saúde não podem ser implementados pelo empregador. A situação seria diferente da aferição manual de temperatura sem retenção de dados: tal prática não se enquadra no escopo do GDPR, mas pode levantar outras questões de eficácia.

Por fim, ainda devido à natureza sensível dos dados processados, a maior atenção deve ser dada às medidas de segurança que garantam a confidencialidade dos dados processados.

Em resumo, as principais medidas que o empregador está autorizado a tomar dizem respeito à organização do trabalho, com base em dados limitados aos riscos de exposição dos empregados, enquanto a gestão de dados mais diretamente relacionados à doença é de responsabilidade direta dos profissionais de saúde. Quaisquer outras solicitações aos empregadores para que comuniquem informações às autoridades sanitárias, ou para que tomem medidas específicas, podem ser consultadas no site do Ministério do Trabalho.

• E também

França:

• Em 1º de outubro, a CNIL publicou a versão final de suas diretrizes sobre o uso de cookies e outros rastreadores.

Especifica, em particular, que continuar a navegar num site não pode ser considerado um consentimento válido para a utilização de rastreadores.

Ele também recomenda que os controladores de dados incluam na interface de coleta de consentimento não apenas um botão "aceitar tudo", mas também um botão "recusar tudo".

• Outubro é o Mês da Segurança Cibernética.

Neste contexto, a CNIL e a ANNSSI estão publicando uma série de recomendações.

Os ataques cibernéticos dos últimos meses afetaram particularmente o setor da saúde, o setor industrial e as autoridades locais.

Indivíduos são particularmente alvos de chantagem por webcam, e a CNIL fornece conselhos sobre como se proteger em seu site.

Europa:

• O Conselho da Europa publicou um relatório sobre a resiliência dos princípios de proteção de dados nos 57 países que ratificaram a Convenção 108, à luz das medidas tomadas para conter a pandemia.

• A autoridade supervisora de Hamburgo multou a H&M em € 35 milhões em 1º de outubro por violar a privacidade de seus funcionários.

A empresa coletou informações sobre férias, estado de saúde e religião de seus funcionários.

Várias medidas estão sendo implementadas pela empresa para garantir que o processamento esteja em conformidade com a lei.

• Dois projetos de diretrizes estão disponíveis para consulta pública no site do Conselho Europeu para a Proteção de Dados (CEPD).

Esses documentos dizem respeito, por um lado, aos conceitos de controlador de dados e subcontratante e, por outro, à segmentação de usuários de redes sociais.

• Após a decisão Schrems II do Tribunal de Justiça Europeu, que coloca um freio nas transferências transatlânticas de dados (veja o editorial de setembro sobre o assunto), a Comissão Europeia anunciou novas cláusulas contratuais padrão para o final do ano.

Internacional:

• O desenvolvimento do reconhecimento facial está gerando debates em diferentes partes do mundo.

Em Singapura, o uso do reconhecimento facial para acessar serviços públicos é considerado pela organização "Privacy International" como uma intrusão sem precedentes na privacidade dos cidadãos, enquanto na Rússia é seu uso em espaços públicos e nos saguões de entrada de edifícios privados que está causando preocupação.

• Ética e inteligência artificial são o tema de um artigo no último boletim informativo da Global Privacy Assembly, que reúne CNILs em nível internacional.

Ele aborda especificamente questões relacionadas às ferramentas digitais usadas no setor de saúde, incluindo aplicativos de rastreamento da COVID-19.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.