COVID-19: O uso de aplicações do telemóvel e proteção de dados

26 de Maio, 2020

O desenvolvimento de aplicações informáticas de rastreamento da proximidade entre pessoas com o objetivo de evitar a propagação da pandemia de COVID-19 tem sido tema de discussão na atualidade, por causa dos riscos que podem comportar para a privacidade das pessoas.

Inclusive, o Comité Europeu para a Proteção de Dados adotou, no passado dia 21 de abril de 2020, um conjunto de diretrizes gerais para todos aqueles que se propõem desenvolver e pôr em funcionamento tais aplicações nos Estados-Membros da União Europeia e do Espaço Económico Europeu, com o propósito de que a conceção e o desenvolvimento dessas aplicações se façam com respeito pelas leis de proteção de dados pessoais, principalmente o Regulamento Geral sobre a Proteção de Dados: Diretrizes n.º 4/2020 sobre a utilização de dados de localização e ferramentas de contact tracing no contexto do surto de COVID-19.

Mas, afinal, o que é aplicação de rastreamento de contactos?

São programas informáticos (software)desenvolvidos e criados especificamente para telemóveis ou equipamentos móveis semelhantes (computadores, tablets, etc.), que permitem trocar informações com outros dispositivos do mesmo género que estejam próximos.

No caso, a função principal da aplicação é detetar a proximidade de dispositivos de utilizadores que sejam portadores do vírus SARS-Cov-2 e assim alertar os seus utilizadores de que podem ter sido expostos ao vírus em razão da distância e da duração da proximidade (ou do contacto) que tiveram com um utilizador portador do vírus e apresentar-lhes recomendações.

No entanto, esta aplicação não pode funcionar sem respeitar os dados pessoais de cada um de nós.

Primeiro, a utilização das aplicações deve ser sempre voluntária, o que significa que apenas devem ser instaladas e utilizadas pelas pessoas que o quiserem fazer.

Segundo, as aplicações também dependem da vontade do utilizador que for portador do vírus em comunicar essa informação, que aliás deve partir de um consentimento específico do próprio e deve ser confirmada por laboratórios de testes ou por profissionais de saúde.

As aplicações apenas podem recolher dados estritamente necessários para efeitos de rastreamento de contactos. Por exemplo, não é necessário conhecer dados acerca do estado civil, identificadores de comunicação, referências de diretórios de equipamentos, mensagens, registos de chamadas, dados de localização, identificadores de dispositivos e ainda dados relativos à saúde para além dos estritamente necessários.

Terceiro, os utilizadores devem ser informados de todos os dados pessoais que serão recolhidos e essa recolha apenas pode ocorrer com o consentimento do utilizador.

Os dados a transmitir entre os dispositivos dos utilizadores, bem como entre esses dispositivos e computadores ou programas servidores centrais que possam apoiar o funcionamento da aplicação, se os houver, não podem incluir dados de identificação dos dispositivos que não sejam dados únicos, pseudonimizados, gerados pela própria aplicação. Estes dados devem ser renovados regularmente, de forma a restringir os riscos de identificação dos utilizadores a que dizem respeito, de rastreamento dos seus movimentos ou da sua ligação a outros utilizadores.

Uma das medidas recomendadas para estas aplicações consiste na elaboração de um sistema que permita confirmar que o utilizador que reportou ter um teste positivo de SARS-CoV-2 está realmente infetado. Pretende-se que um profissional de saúde intervenha e confirme esse estado de saúde do utilizador. Se a confirmação não for obtida de forma segura, esse dado não pode ser utilizado.

Quarto, as aplicações não podem substituir o contacto realizado por profissionais de saúde pública qualificados, devendo existir sempre uma estrita supervisão por estes profissionais, de forma a limitar a ocorrência de falsos negativos e falsos positivos.

As aplicações não podem permitir que os utilizadores sejam diretamente identificados quando utilizam a aplicação. Além disso, não podem permitir rastrear os movimentos nem sequer deduzir informações de outros utilizadores, especialmente se são ou não portadores do vírus. A aplicação só deve revelar a cada utilizador se foi exposto ao vírus e, se possível, o número de horas e datas de exposição, sem revelar informações sobre outros utilizadores.

A própria aplicação deve proporcionar ao utilizador meios de exercer os seus direitos referentes aos seus dados pessoais, em particular os direitos prescritos no Regulamento Geral sobre a Proteção de Dados.

Para além disto, a aplicação deve estabelecer de forma clara e explicada aos utilizadores quais os papéis e responsabilidades dos diferentes atores que contribuíram para a implementação da aplicação, em especial quem é ou quem são os responsáveis pelo tratamento de dados da aplicação.

Quinto, os dados recolhidos pelas aplicações apenas podem ser conservados pelo limite das necessidades e pela relevância médica dos dados (por exemplo o período de incubação) e que os dados pessoais devem ser mantidos apenas durante a pandemia.

No fim da situação excecional de pandemia, o mais tardar, as autoridades públicas competentes devem instituir um procedimento para fazer cessar o funcionamento da aplicação, por exemplo por meio da desativação da aplicação, de instruções para que os utilizadores a desinstalem ou de desinstalação automática, e eliminar todos os dados recolhidos de todas as bases de dados.

Em conclusão o Comité Europeu para a Proteção de Dados refere: “ O mundo enfrenta atualmente uma importante crise de saúde pública que exige respostas fortes, cujo impacto far-se-á sentir para além do atual estado de emergência que o mundo vive.

O tratamento automatizado de dados e as tecnologias digitais podem ser componentes fundamentais na luta contra a COVID-19. No entanto, é preciso ter cuidado com o «efeito irreversível». Temos a responsabilidade de garantir que as medidas tomadas nestas circunstâncias extraordinárias sejam necessárias, limitadas no tempo, limitadas ao mínimo necessário e sujeitas a uma revisão periódica e genuína, bem como a uma avaliação científica.

O CEPD sublinha que não se deve ter de escolher entre uma resposta eficaz à atual crise e a proteção dos nossos direitos fundamentais: podemos alcançar ambos e, além disso, os princípios de proteção de dados podem desempenhar um papel muito importante na luta contra o vírus. A legislação europeia em matéria de proteção de dados permite a utilização responsável de dados pessoais para fins de gestão da saúde, garantindo simultaneamente que os direitos e as liberdades individuais não sofram qualquer deterioração no processo.”

Portanto, tudo é possível e pode ser inventado, estas diretrizes não são o limite em absoluto, mas as soluções tecnológicas têm de ser criadas e implementadas sempre com o devido respeito pela proteção dos Dados Pessoais.

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram