Proteção de Dados reticente com uso de tecnologia da Google e Apple na app de “contact tracing”

A Comissão Nacional de Proteção de Dados (CNPD) não vê com bons olhos o facto de a aplicação portuguesa de contact tracing, desenvolvida pelo INESC TEC, recorrer a tecnologia criada pela Google e pela Apple. Porém, não dá um “não” redondo ao projeto, pedindo antes uma revisão da avaliação de impacto da mesma na privacidade dos cidadãos.

Na deliberação publicada esta segunda-feira, a autoridade presidida por Filipa Calvão considera que “o recurso à interface” criada pelas duas multinacionais “é um dos aspetos mais críticos da aplicação, na medida em que há uma parte crucial da sua execução que não é controlada pelo autores da aplicação”.

“Esta situação é ainda mais problemática porque o GAEN [nome do interface criado pela Google e pela Apple] declara que o seu sistema está sujeito a modificações e extensões, por decisão unilateral das empresas, sem que se possa antecipar os efeitos que tal pode ter nos direitos dos utilizadores”, lê-se na deliberação da CNPD.

Contudo, esta deliberação da comissão não dá uma nega ao desenvolvimento do aplicativo. A CNPD quer, no entanto, que a avaliação de impacto da mesma nos dados pessoais dos cidadãos, entregue para análise pelos promotores, seja revista.

“A avaliação de impacto deve ser revista, tendo em conta os aspetos críticos sinalizados pela CNPD e que não foram objeto desta análise, designadamente a omissão quanto à finalidade e às condições de tratamento de dados […] bem como atendendo a algumas recomendações feitas, quanto à indefinição de alguns prazos de conservação ou relativas ao IP dos utilizadores quando comunicam com” o servidor, aponta a CNPD.

Em causa está o aplicativo StayAway COVID, que se espera que seja lançado em breve para telemóveis com iOS e Android. A aplicação, que é voluntária — e que a CNPD recorda que “deve preservar” este caráter — recorre ao Bluetooth dos smartphones para emitir e gravar códigos aleatórios. Estes códigos permitem validar a proximidade de um aparelho em relação a outro e, deste modo, notificar os utilizadores aderentes para contactos com pessoas que venham a ser diagnosticadas com o novo coronavírus e que assim se marquem voluntariamente no sistema.

“O sistema deve preservar o seu caráter voluntário, devendo ser facultado ao utilizador, tal como previsto, vários momentos em que pode livremente fazer opções quanto ao tratamento dos seus dados, incluindo a possibilidade efetiva de desligar o Bluetooth, configurar a aplicação para não rastrear contactos de proximidade e desinstalar a aplicação, tendo como consequência a interrupção ou o apagamento definitivo dos seus dados pessoais”, aponta a CNPD.

Modelo descentralizado da app é o “mais adequado”. Mas Bluetooth não está isento de riscos

A CNPD também aponta os pontos fortes da aplicação do INESC TEC. Desde logo, a entidade liderada por Filipa Calvão considera que “o modelo descentralizado do sistema”, que foi adotado pelo INESC TEC, é o “mais adequado do ponto de vista da proteção de dados por dispersar as operações de tratamento, evitando um tratamento centralizado de todos os dados”.

Além disso, o recurso ao Bluetooth em detrimento do GPS é uma opção que se afigura como “menos intrusiva”. “Todavia, não está isenta de riscos e, ao ser imprescindível que o BLE [Bluetooth] esteja ativo para que a aplicação funcione, está a habilitar o rastreamento constante da localização e movimentações dos utilizadores por terceiros.

A comissão também reconhece que, “no desenho do sistema”, houve “uma preocupação pelo princípio da minimização dos dados e pela pseudonimização dos dados”.

Para o futuro, a CNPD considera imprescindível que o “responsável pelo tratamento de dados” seja “uma entidade pública nacional com atribuições na área da saúde e competências específicas ajustadas à finalidade da aplicação”, e não o INESC TEC. Até pelo facto de que o acesso à tecnologia da Google e da Apple ser apenas concedido “para uso das autoridades públicas de saúde e apenas a uma única aplicação por país, considerada aplicação oficial”.

O ECO contactou o INESC TEC no sentido de obter um comentário à deliberação da CNPD. Encontra-se a aguardar resposta.

Ministério da Saúde pode criar app “com facilidade”

Esta segunda-feira, o tema do contact tracing digital foi abordado na habitual conferência de imprensa sobre a evolução da pandemia. Nela, Graça Freitas, diretora-geral da Saúde, garantiu que o Ministério da Saúde, através da Serviços Partilhados do Ministério da Saúde (SPMS), tem capacidade para fazer uma app de rastreio à Covid-19 “com facilidade”.

“A SPMS pode fazer [uma app de contact tracing] com facilidade, ou podemos, se a tutela o entender, optar por uma app desenvolvida pela academia”, disse a responsável da Direção-Geral da Saúde. “A SPMS tem toda a capacidade tecnológica para desenvolver uma aplicação” desse género, reforçou.

Ainda assim, Graça Freitas disse que “todos são bem-vindos, desde que protejam os dados individuais de cada pessoa”. E recordou que este sistema “será sempre mais uma ferramenta”, mas “muito complementar” ao trabalho das autoridades de saúde no terreno.

(Notícia atualizada pela última vez às 18h10)