A decisão de 23 páginas analisa o resultado da consulta prévia que o INESC TEC, responsável pelo desenvolvimento da aplicação STAYAWAY COVID, remeteu à autoridade nacional de proteção de dados a 15 de junho de 2020. A avaliação da forma como são tratados os dados e da cibersegurança são dois pontos importantes para a disponibilização pública da aplicação que deve acontecer ainda este mês.

No longo parecer, a CNPD realça que a avaliação de impacto deve ser revista, tendo em conta os aspectos críticos sinalizados e que não foram ainda objeto de análise e considerando as recomendações feitas. Mas não faz um "chumbo" claro da aplicação, apontando também três recomendações centradas no tratamento de dados.

Um dos destaques é a utilização das APIs da Google e da Apple, que entidades como a Amnistia Internacional já consideraram como um dos elementos positivos da app portuguesa e que tem sido a opção de vários países nas aplicações de rastreamento de contactos adotadas.

95 pontos de análise e recomendações

A análise abrange e forma detalhada o funcionamento da aplicação e faz a apreciação dos vários pontos relevantes, como a avaliação de impacto sobre a proteção de dados, o carácter voluntário do uso da aplicação, a utilização da tecnologia BLE (Bluetooth Low Energy) , o modelo descentralizado do sistema e a sua transparência, o sistema GAEN API fornecido pela Apple e a Google, o tratamento de dados pessoais na aplicação, os direitos dos utilizadores enquanto titulares dos dados e a utilização futura do sistema.

Nos vários pontos a CNPD foi levantando questões que resume nas conclusões do documento, afirmando que "o sistema STAYAWAY COVID, da iniciativa do INESC-TEC e do ISPUP, mantém algumas indefinições quanto ao seu funcionamento, as quais dependem da execução concreta que possam vir a ter", remetendo algumas questões para um momento posterior.

Como funciona a app de rastreamento à COVID-19? Tudo o que precisa de saber em 27 perguntas com respostas
Como funciona a app de rastreamento à COVID-19? Tudo o que precisa de saber em 27 perguntas com respostas
Ver artigo

O parecer, assinado pela presidente da CNPD, realça que o sistema deve preservar o seu carácter voluntário, com opções de fazer livremente escolhas sobre o tratamento dos seus dados, como desligar o Bluetooth e configurar a app para não rastrear contactos de proximidade e desinstalar a aplicação, interrompendo ou apagando os seus dados.

Embora destaque que a tecnologia Bluetooth se afigura "menos intrusiva do que o recurso a uma tecnologia que permitisse de imediato registar a localização do utilizador", refere que esta "não está isenta de riscos". Também o modelo descentralizado do sistema STAYAWAY recebe luz verde por ser considerado mais adequado do ponto de vista da proteção de dados, a que se soma o facto do código fonte ir se tornado público, "um fator importante de transparência".

APIs da Google e da Apple são "um dos aspectos mais críticos da aplicação"

De entre os vários aspectos analisados, a CNPD afirma que "o recurso à interface da Google e da Apple é um dos aspectos mais críticos da aplicação, na medida em que há uma parte crucial da sua execução que não é controlada pelos autores da aplicação ou pelos responsáveis pelo tratamento", afirma.

"Esta situação é ainda mais problemática porque o GAEN declara que o seu sistema está sujeito a modificações e extensões, por decisão unilateral das empresas, sem que se possa antecipar os efeitos que tal pode ter nos direitos dos utilizadores", pode ler-se no documento.

Apps de rastreio de contágio da COVID-19 são as que somam mais downloads desde o lançamento
Apps de rastreio de contágio da COVID-19 são as que somam mais downloads desde o lançamento
Ver artigo

Em relação ao princípio da transparência, a CNPD lembra que os titulares dos dados, ou seja, os utilizadores, devem estar sempre cientes de todos os aspectos do funcionamento da aplicação e das suas implicações para o tratamento dos dados pessoais e da privacidade, indicando que "isto é tanto mais importante quanto muitas interações ocorrem automaticamente, sem que o utilizador se aperceba delas".

"A avaliação de impacto deve ser revista, tendo em conta os aspectos críticos sinalizados pela CNPD e que não foram objecto de análise", refere-se no documento, apontando ainda a omissão quanto à finalidade e às condições de tratamento de dados, detalhando a data do RPI, a data dos primeiros sintomas ou data de teste de COVID para assintomáticos, identificadores únicos universais.

Recomendações da CNPD

Para além das várias notas, a CNPD deixa três recomendações sobre a aplicação STAYAWAY COVID, centrados sobretudo no tratamento de dados pessoais. As recomendações são:

- Seja dado enquadramento legar para o funcionamento do sistema STAYAWAY , "não só porque o acesso à interface GAEN só é concedido às autoridades públicas de saúde, e  apenas a uma aplicação por país, como também a fidedignidade do sistema depende da validação do diagnóstico médico, pelo que se afigura imprescindível a previsão e regulação no plano legal da intervenção daquele profissional de saúde", refere, indicando ainda que devem ser feitas especiais salvaguardas quanto "à forma como o médico se autentica e interage com o sistema para garantir a segurança global do STAYAWAY e para a manutenção da pseudo anonimização dos dados tratados".

- A exigência de normação legal deste tratamento não afaste o carácter voluntário da utilização da aplicação pelo utilizador. A CNPD realça ainda que há uma dupla condição de licitude, que reforça a sua legitimidade.

-  A interoperabilidade entre as aplicações nacionais de rastreamento de contactos de proximidade implica o tratamento de mais dados, mais comunicações e mais destinatários, e por isso as opções devem respeitar os princípios de proteção de dados, em particular de minimização. "Do mesmo modo, há que garantir que, com a interoperabilidade, as salvaguardas em matéria de proteção de dados não sucumbem a um mínimo denominador comum, mas antes procuram atingir um nível elevado de proteção da privacidade dos seus utilizadores".

Nota da Redação: A notícia foi atualizada com mais informação. Última atualização 18h32