News

Our Information

COVID-19: Utilização de aplicações móveis

O progresso tecnológico sempre foi um importante aliado, quando devidamente utilizado, na mitigação dos efeitos das crises e não será diferente na luta contra a pandemia de Covid-19. Tanto assim é que vários países da União Europeia (UE) e a nível mundial já anunciaram o recurso a aplicações móveis com diferentes funcionalidades para o combate à pandemia.

No entanto, o surgimento de aplicações móveis alimentadas por dados pessoais dos cidadãos da UE traz associadas algumas preocupações relativas a protecção e privacidade desses dados, pelo que veio a Comissão, no dia 17 de Abril de 2020, emitir orientações respeitantes a aplicações móveis de apoio à luta contra a pandemia de Covid-19 na perspectiva da protecção de dados (2020/C 124 I/01).

Segundo a Comissão, estas aplicações a serem instaladas nos smartphones e outros dispositivos similares dos cidadãos podem, por um lado, apoiar as autoridades de saúde pública (quer a nível nacional, quer a nível da UE) na monitorização e contenção da pandemia, pois permitem orientar os cidadãos e rastrear os contactos entre os mesmos, o que será especialmente relevante na fase de levantamento das medidas de contenção.

Por outro lado, a eficácia destas aplicações ficará dependente das características e nível de utilização pela população. Por esta razão, é imperioso que os direitos fundamentais sejam respeitados e que os dados sejam apenas utilizados para os fins especificamente definidos. Isto, sem nunca olvidar que o objectivo é exclusivamente o de combate à pandemia e que aquelas não serão, portanto, utilizadas para vigilância em larga escala.

Dado o grau de ingerência na privacidade e nos dados pessoais dos cidadãos, a Comissão vem assim identificar as soluções menos intrusivas e conformes com os requisitos em matéria de protecção de dados pessoais e privacidade.

Desde logo, é esclarecido que estas aplicações, na medida em que afectam o direito à confidencialidade das comunicações, apenas poderão ser utilizadas de forma voluntária e nunca impostas aos cidadãos, o que apenas seria possível através de uma medida legislativa que seja necessária, adequada e proporcionada, para proteger determinados objectivos específicos, de acordo com a Directiva da Privacidade Electrónica (DPE).

Ademais, encontra-se igualmente clarificado que estas aplicações móveis deverão ser desactivadas o mais tardar quando a pandemia for declarada sob controlo, bem como deverão incluir as protecções de segurança da informação mais avançadas.

Âmbito de aplicação e funcionalidades

Ainda que estas orientações da Comissão não detenham carácter vinculativo, as mesmas incidem sobre as aplicações móveis de utilização voluntária para apoio na luta contra a pandemia de COVID-19 com uma ou várias das seguintes funcionalidades: (i) fornecimento de informações exactas aos cidadãos sobre a pandemia de COVID-19; (ii) fornecimento de questionários para autoavaliação e orientação dos cidadãos (funcionalidade de controlo de sintomas); (iii) alerta das pessoas que tenham estado na proximidade de uma pessoa infectada durante determinado período de tempo, de modo a fornecer informações como a recomendação de auto-quarentena ou a indicação dos locais de realização de testes de diagnóstico (funcionalidades de rastreio de contactos e alerta); (iv) criação de um fórum de comunicação para médicos e pacientes em situação de auto-isolamento e para os casos em que é prestado aconselhamento ulterior em matéria de diagnóstico e de tratamento (maior utilização da telemedicina).

Elementos para uma utilização responsável e confiável das aplicações

Para além disso, e sendo consabido que estas funcionalidades podem ter um impacto significativo num vasto conjunto de direitos consagrados na Carta dos Direitos Fundamentais da UE, como a dignidade do ser humano, o respeito pela vida privada e familiar, a protecção dos dados pessoais, a liberdade de circulação, a não discriminação, a liberdade de empresa e a liberdade de reunião e de associação.

Deste modo, a Comissão veio igualmente apresentar um conjunto de elementos para uma utilização responsável e confiável das aplicações, por forma a limitar o carácter intrusivo daquelas funcionalidades e a assegurar o cumprimento da legislação da UE em matéria de protecção dos dados pessoais e da privacidade. São estes:

  • As autoridades nacionais de saúde (ou entidades que desempenham funções de interesse público na área da saúde) como responsáveis pelo tratamento;
  • Assegurar que as pessoas mantêm o controlo através das seguintes condições:

a)     A instalação da aplicação nos dispositivos deve ser voluntária e não devem existir consequências negativas para a pessoa que decida não a descarregar ou utilizar;

b)    As diferentes funcionalidades das aplicações (por exemplo, funcionalidades de informação, controlo de sintomas, rastreio de contactos e alerta) não devem ser agrupadas, de modo a permitir que as pessoas possam dar o seu consentimento separado para cada uma das funcionalidades, mas tal não deverá impedir o utilizador de combinar diferentes funcionalidades da aplicação, se o fornecedor oferecer essa opção;

c)     Se forem utilizados dados de proximidade (dados gerados pelo intercâmbio de sinais de baixo consumo energético do Bluetooth (BLE) entre dispositivos a uma distância epidemiologicamente relevante e durante um período epidemiologicamente relevante), os dados devem ser armazenados no dispositivo da pessoa;

d)    Se esses dados se destinarem a ser partilhados com as autoridades de saúde, só o devem ser depois da confirmação de que a pessoa em causa está infectada com a COVID-19 e na condição de esta escolher fazê-lo;

e)    As autoridades de saúde devem fornecer às pessoas todas as informações necessárias relacionadas com o tratamento dos seus dados pessoais (em conformidade com o RGPD e com a DPE);

f)      A pessoa deve poder exercer os direitos que lhe assistem ao abrigo do RGPD (em particular, acesso, rectificação e apagamento) e qualquer restrição dos direitos ao abrigo do RGPD ou da DPE deve, em conformidade com estes actos, ser necessária, proporcionada e estar prevista na legislação;

g)     As aplicações devem ser desactivadas o mais tardar quando a pandemia for declarada sob controlo e a desactivação não deve depender da desinstalação pelo utilizador.

  • O consentimento do utilizador é fundamento jurídico para o armazenamento de informações no dispositivo do utilizador ou a possibilidade de acesso a informações já armazenadas no mesmo. Já a nível do fundamento jurídico para o tratamento pelas autoridades nacionais de saúde, a Comissão entende que, tendo em conta a natureza dos dados pessoais em causa (em especial os dados relativos à saúde que constituem uma categoria especial de dados pessoais), bem como as circunstâncias da actual pandemia de COVID-19, usar uma lei como fundamento jurídico contribuiria para a segurança jurídica;
  • Minimização dos dados - os dados produzidos através de dispositivos e já armazenados anteriormente nesses dispositivos estão protegidos ao abrigo do RGPD e da DPE;
  • Limitação da divulgação/acesso aos dados;
  • Estabelecimento de finalidades exactas do tratamento - a base jurídica deve estabelecer a finalidade do tratamento, devendo esta ser específica, de modo a que não haja dúvidas sobre o tipo de dados pessoais necessários para alcançar o objectivo pretendido, e explícita. A(s) finalidade(s) exactas dependerão das funcionalidades da aplicação. A Comissão recomenda que não se agrupem diferentes funcionalidades (de informação, de controlo de sistemas e de telemedicina e de rastreio de contactos e de alerta), de modo que as pessoas tenham pleno controlo dos seus dados. Em qualquer caso, o utilizador deve ter a possibilidade de escolher entre diferentes funcionalidades, cada uma com finalidades distintas;
  • Estabelecer limites estritos de conservação dos dados - o princípio da limitação da conservação exige que os dados pessoais sejam conservados apenas durante o período necessário e, no caso concreto, o limite temporal deve ser determinado com base na pertinência em termos médicos (em função da finalidade da aplicação: o período de incubação, etc.), bem como na vigência realista das medidas administrativas que se revelem necessárias.
  • Garantir a segurança dos dados - a Comissão recomenda que: (i) os dados sejam conservados no dispositivo terminal do indivíduo, em formato encriptado, utilizando técnicas de encriptação avançadas, e pseudonomizado; (ii) o acesso a dados conservados num servidor central, incluindo o administrativo, deve ser registado; (iii) deverá ser possível activar o Bluetooth sem necessidade de activar os serviços de localização, assegurando que não é possível o rastreio por terceiros; (iv) durante a recolha de dados de proximidade por BLE, é preferível criar e conservar identificadores de utilizador temporários que sejam regularmente modificados, em vez de conservar o identificador real do dispositivo, proporcionando uma protecção adicional contra escutas e localização por parte de piratas informáticos, dificultando, por conseguinte, a identificação das pessoas.
  • Garantir a exactidão dos dados - enquanto condição indispensável para a eficiência da aplicação, mas também requisito ao abrigo da legislação em matéria de protecção de dados pessoais. É recomendada o recurso a tecnologias que permitam uma avaliação mais exacta do contacto (como o Bluetooth).
  • Papel das autoridades de protecção de dados - deverão ser consultadas no âmbito do desenvolvimento de uma aplicação e que deverão avaliar a implantação das aplicações. Este tratamento de dados pode ser considerando um tratamento em grande escala de categorias especiais de dados (de saúde), pelo que é feito um alerta para a necessidade de uma avaliação de impacto sobre os dados.

Por outro lado, o European Data Protection Board (EDPB) também já publicou as suas guidelines neste tema, em 21 de Abril, estando as mesmas disponíveis para consulta aqui.

Please note, your browser is out of date.
For a good browsing experience we recommend using the latest version of Chrome, Firefox, Safari, Opera or Internet Explorer.