Avançar para o conteúdo principal

Covid-19: Proteção de Dados pede mais medidas de privacidade para a app Stayaway


Stayaway Covid aplicação

Parecer fala na recolha de alguns dados pessoais cuja finalidade e forma de tratamento não são explicadas. CNPD pede ainda que seja implementado sistema de mascaramento do endereço de IP dos utilizadores e que a parte de segurança informática da aplicação seja garantida por outra entidade

O parecer da Comissão Nacional de Proteção de Dados (CNPD) é, na sua maioria, favorável à forma como a aplicação de rastreio de contactos de proximidade STAYWAY Covid, que está a ser desenvolvida pelo INESC TEC e pelo Instituto de Saúde Pública da Universidade do Porto, irá funcionar – mas o regulador da área da privacidade também é claro ao pedir mais medidas de privacidade que protejam os dados pessoais dos utilizadores.

Um dos dados recolhidos pela aplicação é um identificador único universal (uuid), mas segundo a análise da CNPD não é feita qualquer referência “ao que está a identificar”. “Não se pode deixar de sublinhar que nada é mencionado sobre a finalidade de tratamento deste dado, como é utilizado ou por quanto tempo é conservado”, lê-se no parecer divulgado nesta segunda-feira.

Ainda no que à proteção dos dados pessoais dos utilizadores diz respeito, a CNPD diz que a STAYAWAY Covid precisa de introduzir um mecanismo que esconda o real endereço de ligação à internet (endereço IP) dos utilizadores. A aplicação vai recolher esta informação, que é considerada como um dado pessoal, para fins de segurança do sistema e controlo de tentativas de intrusão, segundo a Avaliação de Impacto na Proteção de Dados (AIPD) feita pelos criadores da app – e esta informação estará apenas acessível aos administradores de sistema. A CNPD sublinha que esta finalidade é “legítima”, mas reforça a necessidade de “especiais salvaguardas devem ser adotadas quanto ao tratamento deste dado pessoal”. Além disso, o regulador diz taxativamente que “devem ser segregadas as funções de administração e suporte ao STAYWAY das de segurança da infraestrutura”.

Existem ainda outros dados registados pela aplicação – como a data dos identificadores rotativos de proximidade, data de primeiros sintomas ou data de teste Covid-19 para assintomáticos – e cuja forma de tratamento posterior é omissa, o que também mereceu reparo no relatório.

Também a utilização do Bluetooth merece uma chamada de atenção: “O facto de a aplicação STAYAWAY só funcionar com o Bluetooth Low Energy ativo força o utilizador, para a poder usar, a deixar ativa a função de Bluetooth, tornando o seu dispositivo visível quase em permanência, com risco de rastreamento da sua localização e das suas deslocações por terceiros”.

Outra preocupação da CNPD é o facto de a STAYAWAY usar o sistema de rastreamento criado pela Apple e pela Google, e de poder haver, por parte das tecnológicas, alterações, por decisão unilateral, que alterem o comportamento e modo de funcionamento da aplicação.

E apesar de a aplicação não necessitar de qualquer registo do utilizador para funcionar, para descarregar a aplicação, seja da loja da Apple App Store, seja da Google Play Store, o utilizador necessita de ter uma conta de utilizador para estas aplicações “pelo que passa a ser, pelo menos, do conhecimento direto destas empresas que aquela pessoa, identificada (até eventualmente com cartão de crédito associado), é utilizadora da STAYAWAY”.

Apesar dos alertas, a CNPD é maioritariamente favorável ao formato de funcionamento da aplicação, com destaque para a utilização de carácter voluntário, à realização de um teste-piloto antes do lançamento mais generalizado, para o respeito pelo princípio da minimização de dados em quase todo o funcionamento da aplicação, e para o plano de disponibilização do código-fonte da app antes do seu lançamento generalizado.

A CNPD diz que a AIPD submetida pelo INESC TEC e pelo ISPUP “deverá ser revista e atualizada para refletir todos os aspetos do tratamento de dados pessoais” levantados no parecer e a própria CNPD irá, em momento futuro, voltar a pronunciar-se sobre a STAYAWAY Covid.



Comentários

Enviar um comentário

Notícias mais vistas:

Ucrânia acusa Hungria de fazer sete funcionários de banco ucraniano reféns em Budapeste

 Kiev acusa as autoridades húngaras de terem raptado sete funcionários do Oschadbank da Ucrânia, e terem apreendido uma grande quantidade de dinheiro e ouro. Uma nova escalada numa amarga disputa diplomática entre Orbán e Zelenskyy. O ministro dos Negócios Estrangeiros da Ucrânia acusou na quinta-feira a Hungria de fazer sete funcionários de um banco ucraniano reféns em Budapeste, num momento de elevada tensão entre os dois países. "Em Budapeste, as autoridades húngaras fizeram sete cidadãos ucranianos reféns. Os motivos permanecem desconhecidos, assim como o seu estado de saúde atual", escreveu Andriy Sybiga. Segundo o chefe da diplomacia ucraniana, os detidos são "funcionários do banco estatal Oschadbank que operavam dois veículos do banco em trânsito entre a Áustria e a Ucrânia, transportando dinheiro". "Trata-se de terrorismo e de extorsão patrocinada pelo Estado" perpetrada pela Hungria, denunciou o ministro, afirmando já ter enviado uma nota oficial ...
Enviar um comentário
Ler mais

A Internet vai deixar de ser anónima? O que diz um especialista sobre a nova lei portuguesa

A  nova lei digital portuguesa para menores de 16 anos  tem levantado um debate intenso nas redes sociais e na opinião pública. Entre receios de vigilância estatal, o possível fim do anonimato online e dúvidas sobre a proteção de dados, a desinformação começou rapidamente a circular. Para esclarecer o que é tecnicamente possível, o que é juridicamente exigido e onde estão, de facto, os riscos, falámos com Carlos Quintinha, engenheiro de software, especialista em DevOps e CEO da  OneShift . Quintinha aceitou responder de forma direta às principais preocupações levantadas sobre verificação de idade, Chave Móvel Digital, RGPD, encriptação ponta-a-ponta e eventuais precedentes institucionais. A entrevista que se segue não é um posicionamento político. É uma análise técnica. E, num tema onde o ruído tem sido maior do que a informação, isso faz toda a diferença. Verificação de idade e Chave Móvel Digital Imagem via Autenticao.Gov.pt A lei prevê verificação obrigatória de idade ...
Enviar um comentário
Ler mais

J.K. Rowling

 Aos 17 anos, foi rejeitada na faculdade. Aos 25 anos, sua mãe morreu de doença. Aos 26 anos, mudou-se para Portugal para ensinar inglês. Aos 27 anos, casou. O marido abusou dela. Apesar disso, sua filha nasceu. Aos 28 anos, divorciou-se e foi diagnosticada com depressão severa. Aos 29 anos, era mãe solteira que vivia da segurança social. Aos 30 anos, ela não queria estar nesta terra. Mas ela dirigiu toda a sua paixão para fazer a única coisa que podia fazer melhor do que ninguém. E foi escrever. Aos 31 anos, finalmente publicou seu primeiro livro. Aos 35 anos, tinha publicado 4 livros e foi nomeada Autora do Ano. Aos 42 anos, vendeu 11 milhões de cópias do seu novo livro no primeiro dia do lançamento. Esta mulher é JK Rowling. Lembras de como ela pensou em suicídio aos 30 anos? Hoje, Harry Potter é uma marca global que vale mais de $15 bilhões. Nunca desista. Acredite em você mesmo. Seja apaixonado. Trabalhe duro. Nunca é tarde demais. Esta é J.K. Rowling. J. K. Rowling – Wikipédi...
Enviar um comentário
Ler mais