O decreto que define a Direção-Geral da Saúde (DGS) como responsável pela gestão e tratamento de dados da aplicação de rastreio de contactos Stayaway covid foi hoje publicado em Diário da República.

O documento estabelece que o tratamento de dados para funcionamento do sistema “é excecional e transitório”, mantendo-se “apenas enquanto a situação epidemiológica provocada pela covid-19 o justificar”.

O decreto diz que o Stayaway covid “deve respeitar a legislação europeia e nacional aplicável à proteção de dados pessoais”, e regula a intervenção do médico que introduz no sistema informações como a data dos primeiros sintomas ou, no caso de o doente ser assintomático, da data da realização do teste laboratorial.

Destas informações inseridas no sistema pelo médico não podem constar quaisquer dados que identifiquem o doente.

É igualmente este médico que obtém e comunica ao utilizador da aplicação Stayaway covid, que seja um caso confirmado de covid-19, o código de legitimação previsto no sistema, que se o utilizador pretender pode inserir na aplicação, de modo a que as pessoas que usem a plataforma saibam que estiveram próximo de uma pessoa infetada.

No mês passado, quando foi anunciado em Conselho de Ministros que a DGS seria a entidade gestora do sistema e responsável pelo tratamento de dados, a ministra da Presidência assegurou que a aplicação garantia a privacidade dos cidadãos e que “apenas é registado um contacto próximo e de duração superior a 15 minutos” com alguém que esteja infetado com o novo coronavírus.

Mariana Vieira da Silva reforçou, na altura, que seria garantido o anonimato dos utilizadores e que cada cidadão é livre de descarregar ou não a aplicação, lembrando que esta “não substitui as regras de saúde pública” que têm sido seguidas no âmbito da pandemia, quer os inquéritos de saúde pública quer o levantamento de contactos no terreno.

Num parecer emitido em junho, a Comissão Nacional de Proteção de Dados (CNPD) considerou que a aplicação de rastreio de contactos para a covid-19 tinha riscos e defendia que devia ser feito um teste piloto para identificar e corrigir falhas de segurança.

No documento, a CNPD considerava que o recurso a uma interface que é da Google ou da Apple era um dos aspetos mais críticos, pois há “uma parte crucial” da execução do sistema que não é controlada pelos autores da aplicação Stayaway covid – Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência (INESC TEC) – ou pelos responsáveis pelo tratamento de dados.

“Esta situação é ainda mais problemática porque o GAEN [sistema de notificação de exposição Google-Apple] declara que o seu sistema está sujeito a modificações e extensões, por decisão unilateral das empresas, sem que se possa antecipar os efeitos que tal pode ter nos direitos dos utilizadores”, referia o parecer.

Apesar de reconhecer que no desenho do sistema houve uma preocupação pelo princípio de minimização dos dados, a CNPD disse ainda que se previa o tratamento de alguns dados “além dos identificadores pseudoaleatórios que sustentam o sistema de notificação”, sendo desconhecida “a sua finalidade, a sua inserção no sistema, a sua transmissão ou o seu prazo de conservação”.

A Comissão sublinhou o facto positivo de a aplicação ser de uso voluntário, mas lembrou que o resultado das ações como desligar o Bluetooth e deixar de ter o rastreio de proximidade ativado não se encontrava sob controlo do utilizador, mas sim do sistema operativo gerido pela Apple ou Google, pois a aplicação é descarregada na Apple Store ou na Google Play.

Depois de conhecido este parecer da CNPD, o administrador do Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência afirmou que o projeto da aplicação de rastreio da covid-19 estava a ser revisto.