Protecção de dados: decreto-lei da app StayAway Covid tem de ser mais explícito

A CNPD diz que é preciso deixar claro quem são os profissionais de sistema capazes de usar o sistema da StayAway Covid e dar códigos para activar os sistemas de alerta na aplicação.

Foto
A aplicação considera contacto próximo, encontros de mais de 15 minutos a menos de dois metros daniel rocha

A Comissão Nacional de Protecção de Dados (CNPD) diz que o decreto-lei aprovado a 16 de Julho para regular o funcionamento da aplicação móvel StayAway Covid deixa várias perguntas por responder, nomeadamente quem faz parte do “universo de profissionais de saúde” capaz de desencadear o sistema de alerta da aplicação.

A StayAway Covid é a ferramenta portuguesa que está a ser desenvolvida desde o final de Março para alertar os interessados de contactos próximos com alguém infectado pelo novo coronavírus através do telemóvel. A aplicação permite que pessoas com covid-19 que forem diagnosticadas por um profissional de saúde tenham acesso a um código que podem introduzir na aplicação para avisar, anonimamente, as pessoas com quem estiveram perto nas últimas duas semanas.

Num parecer publicado esta terça-feira a pedido do Conselho de Ministros, a CNPD nota, no entanto, que o decreto-lei não determina “a qualificação do profissional de saúde com capacidade para validar o diagnóstico médico” e gerar o código para a aplicação, nem esclarece se os profissionais de saúde podem emitir um “código de legitimação” da doença a partir de serviços como o SINAVE ou da Trace Covid-19 (uma ferramenta de acompanhamento para a pandemia de covid-19, de doentes em vigilância e autocuidados).

“Deve ser explicitado no diploma que o profissional de saúde com competência para validar um diagnóstico de infecção por SARS-CoV-2 é um médico”, sublinha a CNPD que nota que também é preciso esclarecer se a aplicação será usada por profissionais do sector público e privado, porque tal influencia o alcance da aplicação. 

A Comissão destaca ainda o facto de a aplicação remeter “genericamente” para a Direcção-Geral de Saúde (DGS) o funcionamento de todo o sistema, incluindo operações de tratamentos de dados de saúde, quando essa tarefa apenas pode ser incumbida a “quem detenha atribuições e competências legais na área da saúde e ajustadas à finalidade concreta da aplicação”. Para a CNPD, o decreto-lei deveria referir o Director-Geral da Saúde como responsável pelo tratamento de dados.

Pedido de apreciação chegou tarde

Com as críticas, a CNPD sublinha que o pedido de apreciação do decreto-lei apenas foi feito pelo Conselho de Ministros no dia da aprovação do diploma, notando que apesar das “circunstâncias especiais inerentes à situação de pandemia”, qualquer consulta à CNPD deve ser “prévia e não posterior à aprovação dos diplomas, sob pena de o parecer emitido não ter efectiva utilidade”.

A CNPD também esclarece que, contrariamente ao que foi referido no comunicado de Conselho de Ministros de dia 16 de Julho, a Comissão não efectuou a avaliação de impacto (AIPD) sobre a protecção de dados e apenas apreciou a avaliação de impacto feita pelos responsáveis da aplicação.

As críticas à StayAway Covid também chegam da associação portuguesa D3 (Defesa dos Direitos Digitais) que pede que o código usado para criar a aplicação seja publicado na integra aquando o lançamento. “A publicação do código-fonte da aplicação, de forma integral e reprodutível, é fundamental para qualquer noção de controlo democrático de uma aplicação que vamos todos ser incentivados a instalar”, escreve a D3 em comunicado de imprensa. 

Como ponto positivo do decreto-lei, a CNPD destaca o facto de a aplicação Stay Away Covid ser caracterizada, desde logo, como um “um instrumento complementar e voluntário de resposta à situação epidemiológica”. Desde o início que a CNPD insiste que o carácter voluntário da aplicação é um requisito essencial, do ponto de vista da garantia dos direitos e liberdades dos cidadãos, para o funcionamento de aplicações de contactos de proximidade.

O parecer de oito páginas reforça que é fundamental salvaguardar que os médicos não têm de inserir “dados identificáveis” dos doentes para gerir o código de legitimação de diagnóstico, e que o decreto-lei deve reforçar que o sistema é de natureza “transitória e excepcional” prevendo-se o seu término com o final da pandemia.