2020/07/07

STAYAWAY COVID: Onde anda a COVID-19?

A Equipa de Propriedade Intelectual e Privacidade da PRA escreve sobre a aplicação STAYAWAY COVID, que pretende ser uma medida complementar ao combate à pandemia da COVID-19.

No passado dia 29 de junho de 2020 a Comissão Nacional de Proteção de Dados (doravante, “CNPD”) publicou a Deliberação/2020/277, onde se pronuncia sobre o pedido de consulta prévia relativamente à avaliação de impacto realizada à aplicação STAYAWAY COVID (doravante, “STW”).

A referida aplicação tem como finalidade ser uma medida complementar ao combate à pandemia da COVID-19, colocando-se à disposição do Estado Português para aferir a possibilidade de alertar o utilizador que tenha estado em contacto (físico) a menos de 2 metros e por um período superior a 15 minutos com outros utilizadores da aplicação, a quem foi posteriormente diagnosticada a doença da COVID-19. Desta forma, esta aplicação visa dar um contributo significativo para a rápida interrupção de cadeias de infeção.

Nesta senda, o pedido de consulta prévia, efetuado a 15 de junho de 2020 pelo Instituto de Engenharia e Sistemas e Computadores, Ciência e Tecnologia (doravante, INESC-TEC), vem fazer uma exposição criteriosa sobre a forma como vai funcionar a aplicação STW, bem como de todas as medidas técnicas e organizativas de segurança que serão aplicáveis. Apresenta-se como sendo uma aplicação que tem como objetivo o rastreio digital de proximidade (contact tracing), fazendo utilização da tecnologia de Bluetooth Low Energy (tecnologia menos intrusiva no que respeita a métodos de geolocalização), e ainda da pseudonimização como ponto base importante, não sendo por este motivo uma aplicação invasiva da privacidade, pelo facto de não estarmos perante uma aplicação onde os utilizadores sejam identificados através da sua localização.

Por outro lado, esta aplicação apenas poderá ser utilizada voluntariamente, sendo que a CNPD alerta para o facto de esta situação, posteriormente, não poder ser alterada. Este caráter voluntário da aplicação é verdadeiramente fulcral e decisivo nesta deliberação, uma vez que, perante a atual pandemia, existiu uma proliferação de aplicações direcionadas para rastreio de infeções por via da doença de COVID-19.

A CNPD, sugere, ainda, que, além da utilização da tecnologia de Bluetooth Low Energy, seja utilizada em complemento a funcionalidade de Bluetooth LE Privacy, por forma a permitir aos fabricantes substituir o endereço MAC (Media Access Control) da interface Bluetooth por um valor aleatório que é mudado a intervalos de tempo, impossibilitando a relação com um único dispositivo e impedindo o seu rastreamento.

No que concerne ao modelo descentralizado da aplicação, este permite que seja menos provável a ocorrência de uma violação de dados pessoais, uma vez que não se encontra toda a informação centralizada numa única base de dados. Esta arquitetura facilita a pseudonimização, e dificulta, por outro lado, a interconexão com outros tratamentos, bem como a utilização dos dados pessoais para outras finalidades, que não as prosseguidas por esta aplicação. A CNPD salienta, todavia, de forma positiva a disponibilização pública do código fonte da STW, o que irá permitir um escrutínio da comunidade ao comportamento do software aqui em causa.

A aplicação irá recorrer, ainda, ao sistema GAEN (Google-Apple Exposure Notification, ou Notificação de Exposição Google-Apple). Este sistema é particularmente inovador, visto ter sido criado com o propósito de desenvolver uma tecnologia de saúde pública, capaz de também proteger a privacidade individual dos seus utilizadores.

Os gigantes de Sillicon Valley, Google e Apple, apesar de não se tratarem de entidades reputadas em matérias de privacidade, juntaram-se para desenvolver o sistema de notificações utilizado pela STW, do qual o funcionamento desta depende – sendo este um fator de risco apontado pela CNPD face à volatilidade que o mesmo apresenta, no sentido em que estas empresas poderão mudar as suas configurações de forma unilateral, podendo tal alteração afetar substancialmente a segurança da aplicação.

Após a instalação da STW, os dados pessoais do utilizador serão encriptados, e a sua chave de identificação, a qual é atualizada diariamente, gera um identificador de proximidade aleatório (RPI, ou rolling proximity identifiers) em intervalos de tempo de 10 a 20 minutos. Este RPI é difundido e obtido através de Bluetooth por parte de outros dispositivos que se encontrem dentro do alcance de proximidade do aparelho.

Assim, caso um utilizador seja diagnosticado com COVID-19, este poderá inserir o resultado positivo na STW através de um código fornecido por um médico, garantindo, assim, que o mesmo foi realizado e obtido junto de um profissional de saúde autorizado. Nesta fase, é utilizado o plano SLD (serviço de legitimação de diagnóstico), onde o médico irá legitimar o resultado através de um código de legitimação e de um código de acesso, ambos pseudoaleatórios, e entregará, posteriormente, ao utilizador para que seja validado o resultado do teste diagnóstico.

Com esta nova informação, a STW irá cruzar os RPI dos dispositivos com os quais o utilizador esteve em contacto nos últimos 14 dias, alertando quanto à possibilidade e risco de contaminação, tendo por base a distância e o período de exposição e contacto.

A aplicação confere um de três estados: sem risco, alerta de potencial contacto de risco ou diagnosticado com COVID-19. Em caso de diagnóstico positivo, e após o utilizador inserir a chave conferida pelo médico, este será informado de que a aplicação não irá continuar a monitorizar os contactos que efetua, devendo ser reinstalada após otimização do seu estado de saúde.

Este software GAEN, confere um nível mais robusto no que concerne a garantias de segurança, no entanto, o facto de o seu interface poder ser alterado unilateralmente pelas empresas que a desenvolvem (Google e Apple), bem como o facto do seu código não ser aberto, limita um escrutínio da comunidade, logo pode gerar alguns problemas no âmbito do cumprimento do princípio da transparência.

No que respeita ao tratamento de dados pessoais dos utilizadores, a aplicação STW utiliza dados na sua forma pseudonimizada, não sendo fácil a re-identificação dos mesmos. Por várias vezes a avaliação de impacto realizada pela CNPD refere o facto de não ser necessário a criação de uma conta ou perfil, aquando da instalação da mesma.

Quanto à forma como são introduzidos os resultados do exame de despiste da doença COVID-19, é utilizado o plano SLD, supra mencionado. Relativamente a este ponto, a CNPD alerta que o processo aplicado a esta validação não se encontra bem definido, no entanto concede que seja uma questão que, posteriormente, aquando da definição da implementação final desta aplicação, se irá definir com um método específico.

Neste seguimento, é uma questão importante a possibilidade de os utilizadores poderem exercer os seus direitos. Um dos direitos primordiais é o direito à informação, a prestar ao utilizador, e cuja avaliação de impacto realizada prevê que seja prestada quer no sítio da Internet da STW, quer na própria aplicação.

Por fim, e mais importante, a CNPD aprecia favoravelmente esta aplicação, no entanto alerta para algumas questões que são primordiais no funcionamento da STW:

  • É necessária a definição de um responsável pelo tratamento (que deverá ser uma entidade pública no ramo da saúde), e após a mesma deverá ser reavaliada a avaliação de impacto, anteriormente efetuada, por forma a definir mais concretamente alguns pontos no processo;
  • Tem que se ter em atenção os titulares dos dados, menores de 13 anos, que não estão aptos a dar o seu consentimento para a utilização destas aplicações; e
  • Alerta para o facto de existir a necessidade de interoperabilidade entre aplicações congéneres no seio da União Europeia (questão muito debatida pelos órgãos da União Europeia, aquando das primeiras iniciativas neste campo).

Em suma, existem algumas vulnerabilidades e indefinições quando ao funcionamento da aplicação STW, cuja sua resolução depende da definição de um responsável pelo tratamento, e pela adoção das medidas sugeridas na Deliberação/2020/277 da CNPD.

Rita Ferreira Ramos | Associada | rita.ramos@pra.pt
Sara Trota Santos | Advogada Estagiária | sara.santos@pra.pt
Catarina Silva Caetano | catarina.caetano@pra.pt