A APLICAÇÃO “STAYWAY COVID”
Com a evolução da pandemia mundial, em resultado do vírus SARS-Cov-2, aumentaram as soluções tecnológicas, em particular, associadas à localização das pessoas como forma de identificar e reduzir a disseminação do contágio. Esta é uma situação que suscitou um grande leque de preocupações do ponto de vista da proteção de dados e da privacidade, por colocar em causa direitos fundamentais, nomeadamente direito à não discriminação, o direito de circular anonimamente, o direito de reunir e afins.
Em Portugal, a Comissão Nacional de Proteção de Dados (CNPD) emitiu uma deliberação quanto à avaliação de impacto sobre a proteção de dados em relação ao sistema “STAYWAY COVID”, para rastreio da propagação da COVID-19, através da utilização voluntária de uma aplicação para dispositivos móveis pessoais, pois implicará operações de tratamento em larga escala relativas a dados pessoais de saúde, i.e. sensíveis. (Deliberação 277/2020 de 29 de junho de 2020).
Este sistema é uma iniciativa do Instituto de Engenharia de Sistemas e Computadores, Ciência e Tecnologia (INESC TEC) e do Instituto de Saúde Pública da Universidade do Porto (ISPUP). O seu objetivo é funcionar como medida complementar, contribuindo para a rápida interrupção das cadeias de infeção, colocando à disposição do Estado a possibilidade de alertar um utilizador se este tiver estado em contacto de proximidade com outros utilizadores da aplicação, a quem foi diagnosticada a COVID-19.
STAYWAY COVID é um sistema digital de rastreio de proximidade (o chamado “contact trancing”) que será disponibilizado para dispositivos móveis pessoais com sistema operativo iOS ou Android, utilizando como sensor de proximidade a tecnologia Bluetooth. Consiste no processo de identificar, avaliar e gerir pessoas que foram expostas a uma doença de modo a prevenir a sua transmissão. Dito de outro modo, é uma aplicação de notificação da exposição individual a fatores de risco de contágio, em que o principal objetivo é informar o utilizador que o seu dispositivo móvel esteve a uma distância inferior a 2 metros, durante mais de 15 minutos do dispositivo de outra pessoa utilizadora da aplicação a quem posteriormente foi diagnosticada COVID-19, existindo o risco de transmissão, dada a proximidade física e a duração do contacto. São tidos em consideração os contactos de proximidade dos últimos 14 dias.
Relativamente ao sistema que é adotado nesta aplicação, trata-se de um sistema semi-descentralizado, constituído pelos dispositivos móveis pessoais e por dois servidores centrais: o Serviço de Legitimação de Diagnóstico e o Serviço de Publicação de Diagnóstico (este último armazena e disponibiliza os dados pseudoanimizados dos utilizadores diagnosticados com COVID-19).
De relembrar que o RGPD define pseudoanimização com o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.
Vivemos num Estado de Direito Democrático e, por isso, a adoção de medidas que representam um risco de rastreamento da localização e movimentação dos cidadãos não devem ter um carácter obrigatório, violando, dessa forma, o princípio da proporcionalidade.
Posto isto, a CNPD defende o carácter voluntário da aplicação. Por um lado, a eficácia deste rastreio digital de proximidade está ainda por comprovar e, por outro lado, este tipo de recursos pode exacerbar desigualdades, considerando que nem todos têm acesso a este tipo de aplicações nem dispositivos móveis (pensemos nos idosos, grupo de risco). Assim, ao utilizador terá de lhe ser disponibilizada a possibilidade de escolha e controlo sobre os seus dados. Por exemplo, caso tenha um diagnóstico positivo para a COVID-19, a pessoa terá a possibilidade de não comunicar essa informação à aplicação, seja porque não informa o seu médico que é utilizador desta aplicação, ou não introduz o código de legitimação no sistema (código que é entregue ao doente diagnosticado com COVID-19, por meio externo ao sistema, por um profissional de saúde autorizado).
Além disso, existe sempre a possibilidade do utilizador desativar em determinados períodos o Bluetooth do seu telemóvel. Podendo ainda, desinstalar a aplicação a todo e qualquer momento, tendo como consequência a interrupção ou a eliminação definitiva dos seus dados pessoais.
É pertinente compreender que o facto do seu desenvolvimento se basear na tecnologia Bluetooth representa uma opção menos intrusiva do que outras tecnologias assentes na geolocalização directa dos seus utilizadores.
A aplicação alerta o utilizador do risco de eventual contágio, através da proximidade física com pessoa infetada durante mais de 15 minutos, no entanto, para isso, não é necessário conhecer a sua localização ou a de terceiros, muito menos a identidade do outro utilizador. Cumprindo-se, assim, o princípio da minimização dos dados. Sem prejuízo de sabermos que tal não significa que os riscos de localizar o utilizador estejam totalmente excluídos.
Será possível apresentar ao utilizador três estados diferentes: a) sem risco, b) alerta de potencial contacto de risco, c) diagnosticado com COVID-19. Sendo que o alerta da existência de um contacto de risco não significa que a pessoa tenha sido infetada. Ser-lhe-á disponibilizada informação sobre como deverá proceder consoante a situação em que se encontrar.
As conclusões da CNPD foram no sentido de compreender que existiu uma preocupação pelo respeito dos princípios gerais orientadores desta matéria, como o princípio da minimização dos dados, o da exatidão e o da limitação da conservação dos dados (os quais têm um período de armazenamento curto), em estrita obediência ao cumprimento da finalidade do tratamento.
No entanto, são identificadas algumas insuficiências, nomeadamente o facto do alerta de risco de exposição apresentado ao utilizador, quando detetado um contacto de proximidade com uma pessoa infetada, perdurar na aplicação até esta ser desinstalada. Se o utilizador, na sequência dessa notificação, realizar o teste à COVID-19 e o mesmo der um resultado negativo, a informação que consta da aplicação não corresponderá à verdade. Sugere-se, então, que este procedimento seja revisto por forma a que a informação se encontre atualizada a todo o momento.
Existem ainda algumas indefinições quanto ao funcionamento da aplicação, decorrentes do desconhecimento do responsável pelo tratamento e das suas determinações em relação a questões concretas (como a intervenção do profissional de saúde neste sistema e a evolução do cenário de interoperabilidade com outras aplicações para fim idêntico no espaço da UE e outros).
Uma coisa é certa: o acesso aos sistemas deste tipo de aplicações só deve ser concedido para uso das autoridades públicas de saúde e apenas a uma única aplicação por país (aplicação oficial), de acordo com o que é afirmado pela parceria Apple/Google. Para o seu funcionamento ser possível terá de existir envolvimento ativo de autoridade pública de saúde e, por isso, é imprescindível que o responsável pelo tratamento de dados seja uma entidade pública nacional com atribuições na área da saúde e competências específicas ajustadas à finalidade da aplicação. Este responsável terá de se encontrar em condições para poder tomar certas decisões, com base no interesse público no sentido da proteção da saúde pública, mas sempre norteado pelo princípio da proporcionalidade e com salvaguardas adequadas estatuídas na legislação aplicável.
Exige-se a normação legal deste tratamento, em conjunto com o seu carácter de uso voluntário pelo utilizador - circunstância indispensável, como decorre das recomendações da OMS, da Comissão Europeia e do Comité Europeu de Proteção de Dados. O consentimento do titular é a condição de licitude/legitimação do tratamento dos dados pessoais de proximidade e de saúde.
Apesar das considerações e recomendações da CNPD, algumas delas bastantes pertinentes, é um tema que é considerado controverso no mundo jurídico. É por nós considerado muito interessante e de grande importância para todos, enquanto cidadãos. Colocam-se diversas questões quanto a esta matéria, algumas delas sem uma resposta concreta associada.
Será que devemos restringir, de alguma forma, os nossos direitos, liberdades e garantias, em prol de um bem comum (a saúde pública)? Poderá a implementação desta aplicação abrir um precedente em Portugal? São questões que nos colocam a pensar e que ficam (ainda) por responder.
Até já!
SSR ... See more