Parecer fala na recolha de alguns dados pessoais cuja finalidade e forma de tratamento não são explicadas. CNPD pede ainda que seja implementado sistema de mascaramento do endereço de IP dos utilizadores e que a parte de segurança informática da aplicação seja garantida por outra entidade
O parecer da Comissão Nacional de Proteção de Dados (CNPD) é, na sua maioria, favorável à forma como a aplicação de rastreio de contactos de proximidade STAYWAY Covid, que está a ser desenvolvida pelo INESC TEC e pelo Instituto de Saúde Pública da Universidade do Porto, irá funcionar – mas o regulador da área da privacidade também é claro ao pedir mais medidas de privacidade que protejam os dados pessoais dos utilizadores.
Um dos dados recolhidos pela aplicação é um identificador único universal (uuid), mas segundo a análise da CNPD não é feita qualquer referência “ao que está a identificar”. “Não se pode deixar de sublinhar que nada é mencionado sobre a finalidade de tratamento deste dado, como é utilizado ou por quanto tempo é conservado”, lê-se no parecer divulgado nesta segunda-feira.
Ainda no que à proteção dos dados pessoais dos utilizadores diz respeito, a CNPD diz que a STAYAWAY Covid precisa de introduzir um mecanismo que esconda o real endereço de ligação à internet (endereço IP) dos utilizadores. A aplicação vai recolher esta informação, que é considerada como um dado pessoal, para fins de segurança do sistema e controlo de tentativas de intrusão, segundo a Avaliação de Impacto na Proteção de Dados (AIPD) feita pelos criadores da app – e esta informação estará apenas acessível aos administradores de sistema. A CNPD sublinha que esta finalidade é “legítima”, mas reforça a necessidade de “especiais salvaguardas devem ser adotadas quanto ao tratamento deste dado pessoal”. Além disso, o regulador diz taxativamente que “devem ser segregadas as funções de administração e suporte ao STAYWAY das de segurança da infraestrutura”.
Existem ainda outros dados registados pela aplicação – como a data dos identificadores rotativos de proximidade, data de primeiros sintomas ou data de teste Covid-19 para assintomáticos – e cuja forma de tratamento posterior é omissa, o que também mereceu reparo no relatório.
Também a utilização do Bluetooth merece uma chamada de atenção: “O facto de a aplicação STAYAWAY só funcionar com o Bluetooth Low Energy ativo força o utilizador, para a poder usar, a deixar ativa a função de Bluetooth, tornando o seu dispositivo visível quase em permanência, com risco de rastreamento da sua localização e das suas deslocações por terceiros”.
Outra preocupação da CNPD é o facto de a STAYAWAY usar o sistema de rastreamento criado pela Apple e pela Google, e de poder haver, por parte das tecnológicas, alterações, por decisão unilateral, que alterem o comportamento e modo de funcionamento da aplicação.
E apesar de a aplicação não necessitar de qualquer registo do utilizador para funcionar, para descarregar a aplicação, seja da loja da Apple App Store, seja da Google Play Store, o utilizador necessita de ter uma conta de utilizador para estas aplicações “pelo que passa a ser, pelo menos, do conhecimento direto destas empresas que aquela pessoa, identificada (até eventualmente com cartão de crédito associado), é utilizadora da STAYAWAY”.
Apesar dos alertas, a CNPD é maioritariamente favorável ao formato de funcionamento da aplicação, com destaque para a utilização de carácter voluntário, à realização de um teste-piloto antes do lançamento mais generalizado, para o respeito pelo princípio da minimização de dados em quase todo o funcionamento da aplicação, e para o plano de disponibilização do código-fonte da app antes do seu lançamento generalizado.
A CNPD diz que a AIPD submetida pelo INESC TEC e pelo ISPUP “deverá ser revista e atualizada para refletir todos os aspetos do tratamento de dados pessoais” levantados no parecer e a própria CNPD irá, em momento futuro, voltar a pronunciar-se sobre a STAYAWAY Covid.
Comentários
Enviar um comentário