O decreto que define a Direção-Geral da Saúde (DGS) como responsável pela gestão e tratamento de dados da aplicação de rastreio de contactos Stayaway covid foi publicado em Diário da República esta terça-feira.
O documento estabelece que o tratamento de dados para funcionamento do sistema “é excecional e transitório”, mantendo-se “apenas enquanto a situação epidemiológica provocada pela covid-19 o justificar”.
O decreto diz que o StayAway Covid “deve respeitar a legislação europeia e nacional aplicável à proteção de dados pessoais”, e regula a intervenção do médico que introduz no sistema informações como a data dos primeiros sintomas ou, no caso de o doente ser assintomático, da data da realização do teste laboratorial.
Destas informações inseridas no sistema pelo médico não podem constar quaisquer dados que identifiquem o doente.
É igualmente este médico que obtém e comunica ao utilizador da aplicação Stayaway covid, que seja um caso confirmado de covid-19, o código de legitimação previsto no sistema, que se o utilizador pretender pode inserir na aplicação, de modo a que as pessoas que usem a plataforma saibam que estiveram próximo de uma pessoa infetada.
No mês passado, quando foi anunciado em Conselho de Ministros que a DGS seria a entidade gestora do sistema e responsável pelo tratamento de dados, a ministra da Presidência assegurou que a aplicação garantia a privacidade dos cidadãos e que “apenas é registado um contacto próximo e de duração superior a 15 minutos” com alguém que esteja infetado com o novo coronavírus.
Mariana Vieira da Silva reforçou, na altura, que seria garantido o anonimato dos utilizadores e que cada cidadão é livre de descarregar ou não a aplicação, lembrando que esta “não substitui as regras de saúde pública” que têm sido seguidas no âmbito da pandemia, quer os inquéritos de saúde pública quer o levantamento de contactos no terreno.
Num parecer emitido em junho, a Comissão Nacional de Proteção de Dados (CNPD) considerou que a aplicação de rastreio de contactos para a covid-19 tinha riscos e defendia que devia ser feito um teste piloto para identificar e corrigir falhas de segurança.
No documento, a CNPD considerava que o recurso a uma interface que é da Google ou da Apple era um dos aspetos mais críticos, pois há “uma parte crucial” da execução do sistema que não é controlada pelos autores da aplicação Stayaway covid – Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência (INESC TEC) – ou pelos responsáveis pelo tratamento de dados.
“Esta situação é ainda mais problemática porque o GAEN [sistema de notificação de exposição Google-Apple] declara que o seu sistema está sujeito a modificações e extensões, por decisão unilateral das empresas, sem que se possa antecipar os efeitos que tal pode ter nos direitos dos utilizadores”, referia o parecer.
Apesar de reconhecer que no desenho do sistema houve uma preocupação pelo princípio de minimização dos dados, a CNPD disse ainda que se previa o tratamento de alguns dados “além dos identificadores pseudoaleatórios que sustentam o sistema de notificação”, sendo desconhecida “a sua finalidade, a sua inserção no sistema, a sua transmissão ou o seu prazo de conservação”.
Leia também | Peritos em cibersegurança pedem cuidado com aplicação de rastreio
A Comissão sublinhou o facto positivo de a aplicação ser de uso voluntário, mas lembrou que o resultado das ações como desligar o Bluetooth e deixar de ter o rastreio de proximidade ativado não se encontrava sob controlo do utilizador, mas sim do sistema operativo gerido pela Apple ou Google, pois a aplicação é descarregada na Apple Store ou na Google Play.
Depois de conhecido este parecer da CNPD, o administrador do Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência afirmou que o projeto da aplicação de rastreio da covid-19 estava a ser revisto.
“Havia dúvidas da Comissão Nacional de Proteção de Dados (CNPD) sobre coisas onde fomos omissos ou não fomos claros. Desde ontem que estamos a rever o IPD [Integrated Project Delivery] para explicar isso melhor e enviaremos logo que esteja pronto, mas não estamos a alterar a aplicação”, afirmou, na altura, Rui Oliveira, administrador do INESC TEC.
Rui Oliveira considerou o parecer emitido pela CNPD “muito razoável e ajustado” e disse ainda que as “fragilidades” apontadas ao projeto levado a apreciação eram “conhecidas” pelo instituto.
Por seu lado, a Associação dos Profissionais de Proteção e segurança de Dados vieram saudar o parecer cauteloso da CNPD, considerando que a solução é “um ‘Big Brother’ e que “é de questionar a sua necessidade, proporcionalidade e adequação”.
“Não estamos certos de que esta solução tecnológica seja eficaz”, afirmou a presidente da associação, considerando que as aplicações de rastreio de contactos têm “fraca adesão nos países da União Europeia que as adotaram”, uma condição essencial para darem resultados.
App para rastreio de contágios em Portugal cumprirá leis europeias e usará apenas Bluetooth