A CNPD (Comissão Nacional de Protecção de dados) emitiu, a 29 de Junho, a decisão sobre a avaliação de impacto sobre a protecção de dados (AIPD) que lhe foi submetida para consulta prévia, pelo INESC TEC, duas semanas antes, relativa ao sistema STAYAWAY COVID, para rastreio da propagação da doença, através da utilização voluntária de uma aplicação para dispositivos móveis pessoais.
O sistema foi desenvolvido pelo INESC e pela Universidade do Porto, no âmbito do programa INCode 2030. A consulta prévia foi submetida à CNPD a 15 de Junho, tendo sido remetida uma versão actualizada a 22 de Junho. A Comissão refere que está condicionada à arquitectura do sistema e ao seu funcionamento essencial, “ficando em aberto algumas questões específicas cuja apreciação está sujeita à forma como o sistema Stayaway Covid venha a ser operacionalizado”. Todavia, a CNPD adiantou algumas considerações sobre os requisitos legais aplicáveis a uma utilização futura do sistema.
Trata-se de um sistema digital de rastreio de proximidade – contact tracing – para dispositivos móveis com sistema Android ou iOS que utilizam o sensor de proximidade bluetooth. A app assume-se como um sistema de identificação da exposição individual a factores de risco de contágio Covid-19. Caso o utilizadores tenha estado a menos de 2 metros de distância durante mais de 15 minutos de alguém a quem tenha sido diagnosticada a doença é recebida uma notificação.
O sistema conta com um modelo descentralizado – os dados não são coligidos, armazenados ou processados num servidor central, mas sim no dispositivo móvel do próprio utilizador.
A CNPD deixou alguns alertas relativamente à utilização da tecnologia bluetooth, ou seja, para a app funcionar é necessário que esta tecnologia esteja sempre activa no dispositivo móvel, tornando-o sempre visível e com risco de rastreamento da sua localização por terceiros. A tecnologia afigura-se menos intrusiva “porém não está isenta de riscos”.
Além desta questão, destaque para o facto de o sistema recorrer ao uso do sistema de notificação de exposição Google – Apple – GAEN. Embora o código da app portuguesa seja aberto, o qual se tornará público antes do seu lançamento oficial, o sistema GAEN disponibiliza a especificação do protocolo, algoritmos e interface, mas não tem um código aberto, impedindo o seu escrutínio, sendo que o interface está “sujeito a alteração”.
A CNPD aponta que o sistema “mantém algumas indefinições quanto ao seu funcionamento”. O sistema deverá preservar o seu carácter voluntário.
No ponto 93, a CNPD salienta que a avaliação de impacto deve ser revista, tendo em conta os aspectos críticos sinalizados pela CNPD e que não foram objecto de análise, designadamente a omissão quanto à finalidade e às condições de tratamento de dados, bem como atendendo a algumas recomendações adicionais feitas, quando à indefinição de alguns prazos de conservação ou relativas ao IP dos utilizadores quando comunicam com o serviço de publicação de diagnóstico.
