[weglot_switcher]

Comissão de Proteção de Dados exige que uso da app anti-Covid seja voluntário. CNPD preocupada com uso da interface da Google e da Apple

A CNPD defende que, tal como está previsto neste momento, que o uso da app Stayaway desenvolvida pelo INESC TEC deve ser voluntário, exigindo que os utilizadores tenham diversas opções sobre o tratamento de dados. A Comissão quer que a avaliação de impacto de risco elaborada pelo INESC TEC seja “revista”.
29 Junho 2020, 16h36

A Comissão Nacional de Proteção de Dados (CNPD) pronunciou-se hoje sobre a aplicação de rastreio de contactos Covid-19, a Stayaway Covid, desenvolvida pelo INESC TEC.

A CNPD considera que o “sistema dever preservar o seu carácter voluntário, devendo ser facultado ao utilizador, tal como previsto, vários momentos em que pode livremente fazer opções quanto ao tratamento dos seus dados, incluindo a possibilidade de desligar o Bluetooth, configurar a aplicação para não rastrear os contactos de proximidade e desinstalar a aplicação, tendo como consequência a interrupção ou o apagamento definitivo dos seus dados pessoais”.

Na sua análise, a Comissão de Proteção de Dados aponta que a “utilização da tecnologia Bluetooth afigura-se menos intrusiva do que o recurso a uma tecnologia que permitisse de imediato registar a localização do utilizar; todavia, não está isenta de riscos e, ao ser imprescindível que o BLE esteja ativo para que a aplicação funcione, está a habilitar o rastreamento constante da localização e movimentações dos utilizadores por terceiros”.

A CNPD revela também a sua preocupação com o “recurso à interface da Google e da Apple” considerando que este é um dos “aspectos mais críticos da aplicação, na medida em que há uma parte crucial da sua execução que não é controlada pelos autores da aplicação ou pelos responsáveis pelo tratamento”.

A aplicação faz uso do Sistema de notificação de exposição Google-Apple (GAEN), um projeto conjunto das duas empresas para “habilitar o funcionamento de aplicações para rastreio de proximidade via Bluetooth”. Este acordo determina que “apenas as autoridades públicas de saúde podem usar este sistema”, com apenas uma licença permitida por país.

“Esta situação é ainda mais problemática porque o GAEN declara que o seu sistema está sujeito a modificações e extensões, por decisão unilateral das empresas, sem que se possa antecipar os efeitos que tal pode ter nos direitos dos utilizadores”, pode-se ler no parecer.

A CNPD aponta que ainda existem algumas “indefinições quanto ao seu funcionamento, as quais dependem da execução concreta que possam vir a ter, a ser determinada pelo responsável pelo tratamento de dados”, isto é, quem ficar a gerir a base de dados onde serão registados os pacientes infetados com a Covid-19, pelo que a CNPD promete pronunciar-se mais tarde sobre “algumas questões específicas”.

A Comissão conclui que a avaliação de impacto “deve ser revista, tendo em conta os aspetos críticos sinalizados pela CNPD e que não foram objetivo de análise, designadamente a omissão quanto à finalidade e às condições de tratamento de dados”.

A Comissão conclui que a avaliação de impacto “deve ser revista, tendo em conta os aspetos críticos sinalizados pela CNPD e que não foram objetivo de análise, designadamente a omissão quanto à finalidade e às condições de tratamento de dados, bem como atendendo a algumas recomendações adicionais feitas, quanto à indefinição de alguns prazos de conservação ou relativas ao IP [morada digital] dos utilizadores quando comunicam com o Serviço de Publicações de Diagnóstico”.

O organismo recomenda que seja “dado enquadramento legal para o funcionamento do sistema Stayaway”. “Especiais salvaguardas devem ser adotadas quanto à forma como o médico se autentica e interage com o sistema para garantir a segurança global do Stayaway e para a manutenção da pseudonimização dos dados tratados”.

Nas suas recomendações, a CNPD também destaca que a “exigência de normação legal deste tratamento não afaste o caráter voluntário da utilização da aplicação pelo utilizador”.

Como é que funciona esta aplicação para rastrear os contactos com Covid-19?

Idealmente, 60% da população portuguesa (seis milhões de pessoas) deveria ter a app instalada para aumentar a sua eficácia, “mas os epidemiologistas dizem que a app começa a ser útil com uma menor percentagem de população, porque é mais um instrumento”, disse o presidente do INESC TEC ao JE a 5 de junho.

Depois de instalada, a StayAway “troca apertos de mão” com os outros telemóveis, enviando e recebendo números aleatórios, num ato de “contacto social entre telemóveis” recorrendo à tecnologia Bluetooth, conforme explicou José Manuel Mendonça ao JE.

A ideia é que quando uma pessoa é diagnosticada com Covid-19, o médico introduz o número de telemóvel do paciente, com a sua autorização, numa base de dados das autoridades de saúde. Instalada a aplicação, quem esteve perto desta pessoa, e durante um período mínimo de tempo, será alertado de que existe a necessidade de fazer um teste.

Nesse alerta, nem o nome da pessoa infetada, nem o número de telemóvel, nem o local onde ocorreu o contacto são revelados, adiantou o responsável, realçando que esta app respeita a privacidade, ao contrário das que existem na Ásia, que são de “vigilância pura e dura, recorrendo ao GPS e localização dos cidadãos”.

“Cada telemóvel é que vai ao servidor ver se o seu dono teve um contacto com alguém infetado com Covid. O meu telemóvel depois é que me vai dizer se me cruzei com uma pessoa infetada, que está devidamente diagnosticada depois de realizar um teste e de ter dado autorização a um médico para inserir essa informação na base de dados”, afirmou.

Aplicação à prova de “Rui Pintos da vida” vai ser testada por hackers

Além das questões relacionadas com a privacidade, José Manuel Mendonça também garantiu que o sistema é à prova de hackers. “Esta app é completamente descentralizada, e não sai nenhuma informação do telemóvel. Mesmo que um Rui Pinto da vida entre no servidor não percebe o que é aquilo, porque não tem contexto. São números encriptados, aleatórios”, disse, referindo-se ao alegado pirata informático que aguarda julgamento acusado de 90 crimes.

Para testar a segurança da StayAway antes do lançamento, o INESC TEC vai “publicar o código de modo a que todos os especialistas – hackers bons e hackers maus – possam verificar e testar a segurança do código”.

O INESC TEC também está a trabalhar com instituições de outros países para assegurar a interoperabilidade da StayAway com aplicações estrangeiras, no caso de um português ir lá fora, ou de um turista vir cá, para os alertar para possíveis contactos de risco. “Aproxima-se julho, agosto, verão, férias, fronteiras abertas, emigrantes, fala-se em canais seguros para que os emigrantes e os turistas possam vir. Acho que isto pode ser um instrumento muito valido”, defendeu.

 

Comissão de Proteção de Dados diz que ainda não emitiu parecer sobre aplicação anti-Covid

Copyright © Jornal Económico. Todos os direitos reservados.