O Decreto-Lei n.º 52/2020, de 11 de agosto, regula a utilização da aplicação STAYAWAY COVID (doravante, STAYAWAY).
O STAYAWAY visa o rastreio do Sars-Cov-2 através da utilização voluntária de uma aplicação nos dipositivos móveis com sistema operativo iOS ou Android, através do recurso ao Bluetooth, visando interromper as cadeias de transmissão fortemente ativas em resultado do progressivo descongestionamento da população. A aplicação irá alertar os seus utilizadores se estes tiverem tido contacto com outros utilizadores da aplicação infectados com COVID-19.
A aplicação resulta da iniciativa conjunta do Instituto de Engenharia de Sistemas e Computadores, Ciência e Tecnologia – INESC TEC e do Instituto de Saúde Pública da Universidade do Porto (ISPUP).
Esta aplicação permite informar os seus utilizadores que, pelo menos durante mais de 15 minutos, o seu dispositivo móvel se encontrou a uma distância inferior a 2 metros, do dispositivo móvel de outro utilizador da aplicação a quem foi diagnostico COVID-19.
Na eventualidade de um utilizador da aplicação STAYAWAY ser diagnosticado com COVID-19, o médico que assiste o doente (profissional de saúde autorizado) acederá ao Sistema de Legitimação de Diagnóstico (SLD) da aplicação, mediante autenticação, e gera um código constituído por 12 algarismos. No SLD é ainda permitido registar a data em que sugiram os primeiros sintomas, e no caso dos infectados assintomáticos, a data em que foi realizado o teste à COVID-19 e a data em que os dados deverão ser destruídos.
O impacto que a aplicação STAYAWAY terá na protecção de dados foi solicitado à Comissão Nacional de Protecção de Dados (CNPD), em cumprimento do disposto no artigo 36.º, n.º 1 RGPD, tendo a CNPD emitido o seu parecer através da Deliberação/2020/277, de onde é possível extrair as seguintes considerações relativas à protecção de dados da aplicação STAYAWAY:
I. Deverá ser concedida ao utilizador a possibilidade de desligar o Bluetooth, configurar a aplicação para não existir rastreamento de contactos e deslocações por parte de terceiros, bem como desinstalar a aplicação, havendo lugar ao apagamento definitivos dos seus dados pessoais;
II. A utilização da tecnologia Bluetooth tem inerente riscos associados uma vez que não é possível utilizar a aplicação sem que que o Bluetooth esteja ligado;
III. O recurso aos sistemas de rastreamento criados pela Google e pela Apple é fortemente criticado dado que parte da informação não é controlada pelos utilizadores da aplicação e pelos profissionais de saúde autorizados;
IV. Existem, atualmente, várias perguntas por responder, nomeadamente quem são os “profissionais de saúde” capazes de desencadear o sistema de alerta da aplicação. Só os médicos têm essa capacidade ou os outros profissionais da área da saúde podem assegurar esta função? A aplicação será utilizada pelos profissionais de saúde do sector público e do sector privado? Questões que urge responder dado que irão determinar o alcance da publicação;
V. Outro ponto de destaque da CNPD consiste no facto de aplicação remeter “genericamente” para a Direcção-Geral de Saúde (DGS) o funcionamento da STAYAWAY, incluindo as operações de tratamentos de dados de saúde, quando esta tarefa deverá ser atribuída aos profissionais com competências e conhecimentos legais na área da saúde;
VI. É necessário introduzir um mecanismo na aplicação que oculte o endereço de ligação à internet (endereço IP) dos utilizadores;
VII. Apesar de aplicação não necessitar de um registo dos utilizadores para funcionar é necessário, para descarregar a aplicação, que o utilizador se encontre registado na Apple App Store ou na Google Play Store.
Na generalidade o parecer da CNPD sobre a aplicação STAYAWAY é favorável, embora no seu entendimento deverão ser implementadas novas medidas de privacidade de forma a que os dados pessoais dos utilizadores da aplicação estejam protegidos.