Num parecer publicado no seu ‘site’, a CNPD diz que o recurso a uma interface que é da Google ou da Apple é um dos aspetos mais críticos, pois há “uma parte crucial” da execução do sistema que não é controlada pelos autores da aplicação STAYAWAY COVID ou pelos responsáveis pelo tratamento de dados.
“Esta situação é ainda mais problemática porque o GAEN [sistema de notificação de exposição Google-Apple] declara que o seu sistema está sujeito a modificações e extensões, por decisão unilateral das empresas, sem que se possa antecipar os efeitos que tal pode ter nos direitos dos utilizadores”, escreve.
Apesar de reconhecer que no desenho do sistema houve uma preocupação pelo princípio de minimização dos dados, a CNPD diz que se prevê o tratamento de alguns dados “além dos identificadores pseudoaleatórios que sustentam o sistema de notificação”, sendo desconhecida “a sua finalidade, a sua inserção no sistema, a sua transmissão ou o seu prazo de conservação”.
A Comissão sublinha o facto positivo de a aplicação ser de uso voluntário, mas recorda que o resultado das ações como desligar o Bluetooth e deixar de ter o rastreio de proximidade ativado não se encontra sob controlo do utilizador, mas sim do sistema operativo gerido pela Apple ou Google, pois a aplicação é descarregada na Apple Store ou na Google Play.
Argumenta ainda que para o tratamento de dados decorrentes da aplicação é preciso uma avaliação de impacto da proteção de dados, pois há operações de “tratamento em larga escala” relativos a dados pessoais de saúde.
A CNPD defende igualmente que um teste piloto em condições reais em que a aplicação esteja disponível para um número de restrito de utilizadores pode ser benéfico “para identificar e corrigir falhas de segurança”.
No parecer, a comissão aponta algumas indefinições quanto ao funcionamento do sistema e diz que, após a definição de todas as questões ainda pendentes, impõe-se uma reavaliação “para garantir que os pormenores de implementação da aplicação não induzem riscos acrescidos para a privacidade dos titulares dos dados”.
A CPND diz ainda que a tecnologia BLE (Bluetooth Low Energy) cumpre o princípio de minimização de dados ao alertar os utilizadores do risco de contágio por proximidade física com pessoa infetada por mais de 15 minutos sem que seja necessário conhecer a sua localização, nem a de terceiros, o local conde o risco ocorreu e muito menos a identificação do outro utilizador.
Contudo, recorda que não esta excluída de riscos de localização do utilizador, pois permite, “com elevada precisão, a localização dos dispositivos moveis, quando estão a emitir sinais, como acontece nestes casos, que podem ser lidos por recetores colocados em qualquer sítio (centros comerciais, ruas, aeroportos)”
O facto de a aplicação ter de funcionar com BLE ativo força o utilizador a deixar a função bluetooth ativa, tornando o seu dispositivo móvel visível quase em permanência, com risco de rastreamento por terceiros da sua localização e das suas deslocações, ao contrário do que acontece agora, em que o BLE é usado para emparelhar dispositivos, sendo o uso controlado pelo utilizador e limitado no tempo
Considera também que se os dados processados por este tipo de aplicações forem usados para outros fins “as garantias do sistema ficam comprometidas”.
Do ponto de vista da segurança do tratamento dos dados, a comissão reconhece que foram adotadas medidas importantes, mas realça que os criadores da aplicação STAYAWAY COVID não detêm o controlo total dos dados tratados, uma vez que o tratamento realizado pelo sistema operativo dos dispositivos moveis dos utilizadores é da responsabilidade do sistema GAEN, logo, da Apple ou Google.
Aponta ainda algumas indefinições quanto ao funcionamento da aplicação, assim como da evolução da interoperacionalidae de outras ‘apps’ europeias noutros espaços geográficos.
Uma vez que tem de haver envolvimento da autoridade publica de saúde, a comissão diz ser imprescindível que o responsável pelo tratamento dos dados seja uma entidade pública nacional com atribuições na área da saúde e competências especificas ajustadas a finalidade da aplicação.
A Comissão considera igualmente que a intervenção imprescindível de um profissional de saúde (médico) para validar o diagnóstico e fazer avançar a deteção de eventuais contactos de proximidade em risco e o correspondente sistema de notificações, “também parece depender de enquadramento legal para que a aplicação possa funcionar, não bastando por isso a adesão voluntária do utilizador”.
O parecer da CNPD resultou de uma consulta prévia do Instituto de Engenharias de Sistemas e Computadores, Ciência e Tecnologia INESC – TEC para uma avaliação de impacto sobre a proteção de dados em relação ao sistema STAYAWAY COVID, para rastreio de propagação da Covid-19, através do uso voluntário de uma aplicação para dispositivos móveis pessoais.