flash news

As apps de contact tracing e o novo normal da proteção de dados

Perante o aliviar das restrições impostas em face da atual situação de pandemia, o desenvolvimento das chamadas apps de contact tracing tem sido apontado como mais um passo na direção do “novo normal”.

Uma vez instaladas, as apps de contact tracing deverão notificar os respetivos utilizadores caso estes tenham estado em contacto com uma pessoa infetada com COVID—19 nos últimos 14 dias e providenciar informação relativamente aos cuidados que os mesmos deverão observar.

De facto, mecanismos similares aplicados em países como a China, Coreia do Sul e Singapura demonstraram desempenhar um papel relevante na contenção do surto pandémico causado pelo novo Coronavírus, o que inspirou os países ocidentais a seguir o exemplo. No entanto, o recurso a instrumentos de “vigilância digital” deverá assegurar o correto equilíbrio entre o combate à propagação da pandemia e o respeito pelos direitos à proteção de dados pessoais e à privacidade, não devendo ser descurado o cumprimento da atual legislação em matéria de proteção de dados pessoais, tanto a nível europeu, como nacional.

Neste sentido, nos termos do Regulamento Geral de Proteção de Dados (“RGPD”), para que o tratamento de dados pessoais seja lícito, deverá ser aplicável, pelo menos, um dos seis fundamentos legalmente previstos. Ora, o tratamento de dados pessoais pelas apps de contact tracing basear-se-á numa combinação de dois desses fundamentos legais: consentimento (artigo 6.º, n.º 1, alínea a) do RGPD) e execução de funções de interesse público (artigo 6.º, n.º 1, alínea e) do RGPD). De notar que o tratamento de dados sensíveis, em particular dados de saúde, é proibido, exceto quando seja necessário por motivos de interesse público no domínio da saúde pública (artigo 9.º, n.º 1, alínea i) do RGPD) ou quando consentido pelo titular dos dados (artigo 9.º, n.º 1, alínea a) do RGPD).

A este respeito, deverão ainda forçosamente ser observados, entre outros, os seguintes princípios:

  • Princípio da limitação das finalidades (artigo 5.º, n.º 1, alínea b) do RGPD: as finalidades do tratamento de dados pessoais devem ser específicas e limitadas, de modo a excluir o posterior tratamento para fins não relacionados com a gestão e contenção da atual situação de pandemia;
  • Princípio da minimização (artigo 5.º, n.º 1, alínea c) do RGPD): os dados processados devem ser reduzidos ao mínimo estritamente necessário. As apps de contact tracing não deverão recolher informações não relacionadas ou desnecessárias aos fins visados, designadamente estado civil, mensagens, registos de chamadas, dados de localização, etc.;
  • Princípio da exatidão (artigo 5.º, n.º 1, alínea d) RGPD): os procedimentos e processos, incluindo os algoritmos implementados pelas apps de contact tracing, devem limitar a ocorrência de quaisquer falsos positivos e negativos e assegurar que os dados inexatos sejam apagados ou retificados;
  • Princípio da limitação da conservação (artigo 5.º, n.º 1, alínea e) do RGPD): os dados pessoais devem ser conservados apenas durante a crise pandémica causada pelo COVID-19.

Ora, confrontada com a necessidade de uma atuação conjunta e coordenada de todos os Estados-Membros e das instituições da União Europeia, a Comissão Europeia emitiu a Recomendação (UE) 2020/518, de 8 de abril de 2020), publicada no dia 14 de abril de 2020, relativa a um conjunto de instrumentos comuns relativos à utilização de tecnologias e dados para combater a crise da COVID-19, em particular aplicações móveis e utilização de dados de mobilidade anonimizados.

Consciente de que a transparência se assume como caraterística essencial para efeitos de assegurar a confiança do público e, por essa via, a eficácia das apps de contact tracing (cuja instalação é meramente voluntária), a Comissão Europeia propõe que o desenvolvimento e funcionamento das referidas apps salvaguarde o respeito pelos direitos fundamentais e a prevenção da estigmatização e que se dê preferência a medidas menos intrusivas mas eficazes, nomeadamente à utilização de dados de proximidade por forma a evitar o tratamento de dados sobre a localização ou os movimentos de pessoas, bem como à utilização de dados anonimizados e agregados, sempre que possível.

Recomenda ainda a utilização de tecnologias apropriadas a estabelecer a proximidade dos dispositivos, a segurança de dados, a encriptação, o armazenamento e eventual acesso de autoridades sanitárias, bem como a aplicação de medidas de cibersegurança eficazes com vista a proteger a disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados.

Seguindo a Recomendação da Comissão Europeia, e de modo a assegurar o máximo de privacidade, a generalidade dos países optou pelo recurso à tecnologia Bluetooth, permitindo, assim, a conexão e a troca de informações entre dispositivos através de uma frequência de rádio de curta distância. Ademais, a fim de garantir o total anonimato dos utilizadores, não são solicitados quaisquer dados pessoais, sendo-lhes antes atribuídos códigos identificadores numéricos aleatórios.

Uma questão que tem gerado controvérsia é a de saber se as apps de contact tracing devem funcionar com base num modelo centralizado ou descentralizado, isto é, se os dados recolhidos serão armazenados num depósito central ou se serão apenas analisados a nível local pelo dispositivo móvel. Em qualquer dos casos, o RGPD exige “proteção de dados desde a conceção e por defeito”, o que significa que devem ser asseguradas medidas técnicas e organizacionais adequadas para implementar os princípios de proteção de dados, por exemplo, através da anonimização ou pseudonimização dos mesmos.

Recentemente, os Estados-Membros, com o apoio da Comissão, acordaram numa solução de interoperabilidade para as apps de contact tracing, tendo definido um conjunto de especificações técnicas destinadas a assegurar o intercâmbio seguro de informações entre as apps de contact tracing de cada Estado-Membro, com base numa arquitetura descentralizada. O objetivo principal é o de que as apps de contact tracing funcionem sem descontinuidades quando os utilizadores viajarem para outro país da UE que também aplique a abordagem descentralizada.

Em Portugal, embora subsistam algumas fragilidades por regularizar, a StayAway COVID recebeu uma avaliação maioritariamente positiva por parte da Comissão Nacional de Proteção de Dados, esperando-se que a app seja disponibilizada em breve. De acordo com os responsáveis pelo desenvolvimento da app, o utilizador é alertado quando tenha estado em contacto com alguém infetado com COVID-19, apenas em caso de uma proximidade mínima de dois metros ao indivíduo infetado e por um período aproximado de 15 minutos, sendo que o processamento de dados está limitado à app do telemóvel.

Em face do exposto, é evidente que, embora sem descuidar a observância rigorosa dos princípios e regras em matéria de privacidade e de proteção de dados pessoais, o COVID-19 colocou os países da Europa Ocidental “sob teste”, fazendo-os repensar o equilíbrio entre a privacidade pessoal e a saúde pública em pleno contexto de pandemia.

O conteúdo desta informação não constitui aconselhamento jurídico e não deve ser invocado nesse sentido. Aconselhamento específico deve ser procurado sobre as circunstâncias concretas do caso. Se tiver alguma dúvida sobre uma questão de direito Português, não hesite em contactar-nos.

Área de Prática
partilhar
Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp
Share on email
Autores
PDF
ÁREA DE PRÁTICA
PARTILHAR
Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp
Share on email
AuTORES

Contacto