O progresso tecnológico sempre foi um importante aliado, quando devidamente utilizado, na mitigação dos efeitos das crises e não será diferente na luta contra a pandemia de Covid-19. Tanto assim é que vários países da União Europeia (UE) e a nível mundial já anunciaram o recurso a aplicações móveis com diferentes funcionalidades para o combate à pandemia.

No entanto, o surgimento de aplicações móveis alimentadas por dados pessoais dos cidadãos da UE traz associadas algumas preocupações relativas a protecção e privacidade desses dados, pelo que veio a Comissão, no dia 17 de Abril de 2020, emitir orientações respeitantes a aplicações móveis de apoio à luta contra a pandemia de Covid-19 na perspectiva da protecção de dados (2020/C 124 I/01).

Segundo a Comissão, estas aplicações a serem instaladas nos smartphones e outros dispositivos similares dos cidadãos podem, por um lado, apoiar as autoridades de saúde pública (quer a nível nacional, quer a nível da UE) na monitorização e contenção da pandemia, pois permitem orientar os cidadãos e rastrear os contactos entre os mesmos, o que será especialmente relevante na fase de levantamento das medidas de contenção.

Por outro lado, a eficácia destas aplicações ficará dependente das características e nível de utilização pela população. Por esta razão, é imperioso que os direitos fundamentais sejam respeitados e que os dados sejam apenas utilizados para os fins especificamente definidos. Isto, sem nunca olvidar que o objectivo é exclusivamente o de combate à pandemia e que aquelas não serão, portanto, utilizadas para vigilância em larga escala.

Dado o grau de ingerência na privacidade e nos dados pessoais dos cidadãos, a Comissão vem assim identificar as soluções menos intrusivas e conformes com os requisitos em matéria de protecção de dados pessoais e privacidade.

Desde logo, é esclarecido que estas aplicações, na medida em que afectam o direito à confidencialidade das comunicações, apenas poderão ser utilizadas de forma voluntária e nunca impostas aos cidadãos, o que apenas seria possível através de uma medida legislativa que seja necessária, adequada e proporcionada, para proteger determinados objectivos específicos, de acordo com a Directiva da Privacidade Electrónica (DPE).

Ademais, encontra-se igualmente clarificado que estas aplicações móveis deverão ser desactivadas o mais tardar quando a pandemia for declarada sob controlo, bem como deverão incluir as protecções de segurança da informação mais avançadas.

Âmbito de aplicação e funcionalidades

Ainda que estas orientações da Comissão não detenham carácter vinculativo, as mesmas incidem sobre as aplicações móveis de utilização voluntária para apoio na luta contra a pandemia de COVID-19 com uma ou várias das seguintes funcionalidades: (i) fornecimento de informações exactas aos cidadãos sobre a pandemia de COVID-19; (ii) fornecimento de questionários para autoavaliação e orientação dos cidadãos (funcionalidade de controlo de sintomas); (iii) alerta das pessoas que tenham estado na proximidade de uma pessoa infectada durante determinado período de tempo, de modo a fornecer informações como a recomendação de auto-quarentena ou a indicação dos locais de realização de testes de diagnóstico (funcionalidades de rastreio de contactos e alerta); (iv) criação de um fórum de comunicação para médicos e pacientes em situação de auto-isolamento e para os casos em que é prestado aconselhamento ulterior em matéria de diagnóstico e de tratamento (maior utilização da telemedicina).

Elementos para uma utilização responsável e confiável das aplicações

Para além disso, e sendo consabido que estas funcionalidades podem ter um impacto significativo num vasto conjunto de direitos consagrados na Carta dos Direitos Fundamentais da UE, como a dignidade do ser humano, o respeito pela vida privada e familiar, a protecção dos dados pessoais, a liberdade de circulação, a não discriminação, a liberdade de empresa e a liberdade de reunião e de associação.

Deste modo, a Comissão veio igualmente apresentar um conjunto de elementos para uma utilização responsável e confiável das aplicações, por forma a limitar o carácter intrusivo daquelas funcionalidades e a assegurar o cumprimento da legislação da UE em matéria de protecção dos dados pessoais e da privacidade. São estes:

• As autoridades nacionais de saúde (ou entidades que desempenham funções de interesse público na área da saúde) como responsáveis pelo tratamento;
• Assegurar que as pessoas mantêm o controlo através das seguintes condições:

a)     A instalação da aplicação nos dispositivos deve ser voluntária e não devem existir consequências negativas para a pessoa que decida não a descarregar ou utilizar;

b)    As diferentes funcionalidades das aplicações (por exemplo, funcionalidades de informação, controlo de sintomas, rastreio de contactos e alerta) não devem ser agrupadas, de modo a permitir que as pessoas possam dar o seu consentimento separado para cada uma das funcionalidades, mas tal não deverá impedir o utilizador de combinar diferentes funcionalidades da aplicação, se o fornecedor oferecer essa opção;

c)     Se forem utilizados dados de proximidade (dados gerados pelo intercâmbio de sinais de baixo consumo energético do Bluetooth (BLE) entre dispositivos a uma distância epidemiologicamente relevante e durante um período epidemiologicamente relevante), os dados devem ser armazenados no dispositivo da pessoa;

d)    Se esses dados se destinarem a ser partilhados com as autoridades de saúde, só o devem ser depois da confirmação de que a pessoa em causa está infectada com a COVID-19 e na condição de esta escolher fazê-lo;

e)    As autoridades de saúde devem fornecer às pessoas todas as informações necessárias relacionadas com o tratamento dos seus dados pessoais (em conformidade com o RGPD e com a DPE);

f)      A pessoa deve poder exercer os direitos que lhe assistem ao abrigo do RGPD (em particular, acesso, rectificação e apagamento) e qualquer restrição dos direitos ao abrigo do RGPD ou da DPE deve, em conformidade com estes actos, ser necessária, proporcionada e estar prevista na legislação;

g)     As aplicações devem ser desactivadas o mais tardar quando a pandemia for declarada sob controlo e a desactivação não deve depender da desinstalação pelo utilizador.

• O consentimento do utilizador é fundamento jurídico para o armazenamento de informações no dispositivo do utilizador ou a possibilidade de acesso a informações já armazenadas no mesmo. Já a nível do fundamento jurídico para o tratamento pelas autoridades nacionais de saúde, a Comissão entende que, tendo em conta a natureza dos dados pessoais em causa (em especial os dados relativos à saúde que constituem uma categoria especial de dados pessoais), bem como as circunstâncias da actual pandemia de COVID-19, usar uma lei como fundamento jurídico contribuiria para a segurança jurídica;
• Minimização dos dados - os dados produzidos através de dispositivos e já armazenados anteriormente nesses dispositivos estão protegidos ao abrigo do RGPD e da DPE;
• Limitação da divulgação/acesso aos dados;
• Estabelecimento de finalidades exactas do tratamento - a base jurídica deve estabelecer a finalidade do tratamento, devendo esta ser específica, de modo a que não haja dúvidas sobre o tipo de dados pessoais necessários para alcançar o objectivo pretendido, e explícita. A(s) finalidade(s) exactas dependerão das funcionalidades da aplicação. A Comissão recomenda que não se agrupem diferentes funcionalidades (de informação, de controlo de sistemas e de telemedicina e de rastreio de contactos e de alerta), de modo que as pessoas tenham pleno controlo dos seus dados. Em qualquer caso, o utilizador deve ter a possibilidade de escolher entre diferentes funcionalidades, cada uma com finalidades distintas;
• Estabelecer limites estritos de conservação dos dados - o princípio da limitação da conservação exige que os dados pessoais sejam conservados apenas durante o período necessário e, no caso concreto, o limite temporal deve ser determinado com base na pertinência em termos médicos (em função da finalidade da aplicação: o período de incubação, etc.), bem como na vigência realista das medidas administrativas que se revelem necessárias.
• Garantir a segurança dos dados - a Comissão recomenda que: (i) os dados sejam conservados no dispositivo terminal do indivíduo, em formato encriptado, utilizando técnicas de encriptação avançadas, e pseudonomizado; (ii) o acesso a dados conservados num servidor central, incluindo o administrativo, deve ser registado; (iii) deverá ser possível activar o Bluetooth sem necessidade de activar os serviços de localização, assegurando que não é possível o rastreio por terceiros; (iv) durante a recolha de dados de proximidade por BLE, é preferível criar e conservar identificadores de utilizador temporários que sejam regularmente modificados, em vez de conservar o identificador real do dispositivo, proporcionando uma protecção adicional contra escutas e localização por parte de piratas informáticos, dificultando, por conseguinte, a identificação das pessoas.
• Garantir a exactidão dos dados - enquanto condição indispensável para a eficiência da aplicação, mas também requisito ao abrigo da legislação em matéria de protecção de dados pessoais. É recomendada o recurso a tecnologias que permitam uma avaliação mais exacta do contacto (como o Bluetooth).
• Papel das autoridades de protecção de dados - deverão ser consultadas no âmbito do desenvolvimento de uma aplicação e que deverão avaliar a implantação das aplicações. Este tratamento de dados pode ser considerando um tratamento em grande escala de categorias especiais de dados (de saúde), pelo que é feito um alerta para a necessidade de uma avaliação de impacto sobre os dados.

Por outro lado, o European Data Protection Board (EDPB) também já publicou as suas guidelines neste tema, em 21 de Abril, estando as mesmas disponíveis para consulta aqui.