Rastrear Covid-19 com apps de geolocalização? "Lei portuguesa, tal como está, não permite uso de dados"
29-04-2020 - 20:39
 • Liliana Monteiro

Especialistas em proteção de dados ouvidos pela Renascença são perentórios: a atual legislação portuguesa não autoriza o uso e divulgação de dados no combate à pandemia de Covid-19. Alguns defendem que, nesta situação excecional, o caminho pode passar por criar "legislação temporária que diga o que pode ou não ser feito e que dados podem ou não ser transmitidos". Bruxelas já emitiu diretivas para uniformizar abordagens na UE.

Veja também:

Nos esforços de combate à Covid-19, vários países estão neste momento a avaliar o recurso à georeferenciação de pessoas e dispositivos móveis, partilha de dados pessoais, de contactos telefónicos e de resultados de exames clínicos. Mas e Portugal?

Ouvido pela Renascença, o advogado Miguel Resende, especialista na área digital e da proteção de dados, não tem dúvidas: a atual legislação não autoriza que dados recolhidos por georeferenciação sejam usados.

"O Regulamento de Proteccão Geral de Dados (RGPD) na lei comunitária permite o uso de dados dos cidadãos em situações de necessidade para proteção de saúde pública. Já a lei portuguesa, tal como está, não permite. As condições atuais talvez o devessem permitir, mas o quadro legal não permite. O artigo 34.º da Constituição também não permite a interceção de comunicações, georeferenciação e divulgação de dados de saúde."

Segundo o advogado da sociedade ATMJ, para tal seria necessária uma alteração da lei, nem que fosse por um período de exceção. "Temos um quadro legislativo apertado", refere e, para já, "não existe possibilidade de uso e divulgação de dados das pessoas com toda a liberalidade", assegura.

Pôr intrusão e interesse público na balança

No passado dia 23 de abril, em entrevista ao novo podcast "Política com Palavra", uma iniciativa do PS integrada nas comemorações do 47.º aniversário do partido, o primeiro-ministro, António Costa, rejeitou a realização de rastreio por georeferenciação, contrapondo a hipótese de se criar "aplicações que qualquer um pode descarregar e que estabelecem, em comunidade, partilhas [de informação] sempre anónimas”.

“Rastreio não, geolocalização não, identificação de pessoas não”, sublinhou o chefe do Governo. Contudo, admitiu Costa na mesma conversa, existe uma possibilidade limite a ser considerada.

"[Há] a possibilidade de, por exemplo, a DGS ter acesso, a partir do meu telemóvel, à identificação de números de telemóvel de que o meu esteve próximo durante mais de ‘x’ tempo e a menos de ‘x’ distância durante os últimos 14 dias e enviar uma mensagem a essas pessoas, sem saber quem são, informando que o seu telemóvel esteve em proximidade, durante mais de dez minutos ou 15, com o telemóvel de uma pessoa dada como infetada.”

É precisamente isso que faz a app COVIDSafe, que conta já com 2.4 milhões de utilizadores na Austrália. China, Singapura, Coreia do Sul e até a Polónia foram mais longe e decidiram já usar os telemóveis da população como meios para fazer rastreio obrigatório da Covid-19.

Em Portugal, contudo, essa não é uma via constitucional, garantem especialistas ouvidos pela Renascença, recordando que o Tribunal Constitucional já por duas vezes chumbou a utilização dos metadados de telecomunicações pelas secretas para prevenir atos de terrorismo.

"Em termos de georeferenciação, na nossa lei tal como está a possibilidade está limitada", garante o advogado Ricardo Henriques, especialista em propriedade intelectual, tecnologias de informação e proteção de dados. "É preciso uma alteração da lei ou um consentimento expresso dos envolvidos, representa algo da esfera privada e não seria possível controlar a todo o momento sem que o próprio autorizasse."

Mesmo que autorize, o advogado Anselmo Costa Freitas alerta que todos os cuidados serão poucos.

"Ouve-se falar de conceitos de necessidade e de proporcionalidade", refere à Renascença o advogado da GPA especializado na área dos media e da proteção de dados. "O tratamento destes dados [pessoais] sensíveis deve ser reduzido ao mínimo indispensável e estritamente necessário. Este balanço tem de ser constantemente ponderado, para perceber se há intrusão ou não e se os benefícios que obtenho em temos de interesse público justificam o acesso. Quanto maiores os benefícios da intrusão, mais ela será justificada", remata.

"Que dados? Para quê? Até quando?"

Portugal apresentou no dia 27 de abril uma aplicação que alerta quem esteve em contacto com um infetado.

Em desenvolvimento desde março pelo Instituto de Engenharia de Sistemas e Computadores Tecnologia e Ciência (INESC), não se conhecem ainda todos os contornos desta plataforma. Contudo, a intenção é que a "monitor4Covid19" passe a ser a app oficial em Portugal.

Face a esta possibilidade, a Associação de Defesa dos Direitos Digitais alerta para a invasão da privacidade.

A eventual implementação de uma aplicação de telemóvel para rastrear a Covid-19 seria como ter uma câmara em cada casa, “catastrófico para a proteção de dados" e de "eficácia limitada", alertava há duas semanas o vice-presidente da Associação D3 - Defesa dos Direitos Digitais, Ricardo Lafuente, na Renascença.

Já Ricardo Henriques, da Abreu Advogados, lembra que a eficácia deste tipo de apps pode ser frágil. "Há estudos que dizem claramente que uma app apenas é eficaz se [pelo menos] 60% da população a usar." E neste ponto, adianta o advogado especialista em propriedade intelectual, tecnologia de informação e proteção de dados, há vários entraves a ter em conta.

"Há camadas da população que não têm telemóvel, ou não conseguem ativar a tecnologia necessária [Bluetooth], há ainda os que têm telefone e não querem usar a aplicação [o uso é voluntário]. Fica uma grande parte da população de fora."

O advogado Anselmo Costa Freitas não duvida que "as aplicações podem ser úteis para o combate à pandemia e para as pessoas", mas à Renascença aponta duas questões fundamentais.

"Primeiro, a necessidade de consentimento, e aí tudo bem, tendo perfeita noção para que são usados os dados pessoais. Segundo, essa informação precisa ser transparente para se saber o que está a fazer e quais as consequências. Que dados? Para quê? Até quando? E durante quanto tempo vão ser mantidos?"

É preciso também garantir que a informação que constará de uma aplicação é fidedigna, caso contrário o efeito útil perde-se, adianta.

O que o RGPD e a lei portuguesa permitem

Para o advogado Ricardo Henriques, a legislação portuguesa abre portas ao uso de dados da população perante a situação excecional que vivemos.

"O Regulamento Geral de Proteccão de Dados diz que é preciso o titular dos dados dar consentimento e que o tratamento de dados deve ser rigoroso. Podem ser usados por motivos de interesse público no domínio da saúde pública, tais como proteção contra ameaças transfronteiriças graves para a saúde, ou para assegurar elevados níveis de cuidados de saúde, medicamentos ou dispositivos médicos", explica. "A lei salvaguarda também que é necessário haver medidas que protejam os dados recolhidos."

Anselmo Costa Freitas, por seu lado, sublinha que o facto de estarmos a viver em pandemia não siginifica que há "um cheque em branco para começarmos a tratar dados de que possamos até não necessitar em última instância". Uma ideia também defendida pelo advogado Miguel Resende.

"Do ponto de vista legal, o consentimento que interessa não é tanto o da pessoa que quer aceder aos dados, mas da pessoa que é atingida pela divulgação desses dados". À Renascença, o especialista diz temer que a identidade das pessoas e, por conseguinte, a sua privacidade sejam violadas, com consequências graves para todos.

"Se vamos dizer a alguém quem está infetado as pessoas fazem contas e começam a pensar e chegam rapidamente à identificação. Não vale a pena dizer que não se transmite identidade, porque isso vai acontecer. Temo que pessoas infetadas até deixem de procurar serviços de saúde com medo de virem a ser identificadas."

Na opinião de Miguel Resende, o caminho mais transparente e tranquilizador para todos poderia ser produzir "legislação temporária que diga o que pode ou não ser feito e que dados podem ou não ser transmitidos".

Uso de dados pessoais pode abrir precedente grave

Acima disso, aponta Anselmo Costa Freitas, seria importante "dar a possibilidade de quem se arrepender de estar ligado a uma aplicação possa sair e ver o seu perfil e dados eliminados".

"Isso também tem de existir", reforça o especialista. "Parte do debate acerca destas soluções tem a ver com o pós-situação, esse é o grande risco. Quando se abre a porta a este tipo de solução é depois muito difícil aos Estados dar um passo atrás. Em termos legais os dados têm de ser processados pelo tempo estritamente necessário, depois devem ser apagados."

O mesmo defende o advogado Ricardo Henriques, que considera que a "centralização destes tipos de dados, repositório que possa conter informação sensível de um conjunto alargado da população, configura um perigo e pode abrir um precedente, uma primeira experiência para monitorização em massa da população". O problema é ecoado por muitos especialistas neste momento.

No contexto europeu, a Alemanha põe para já de parte esta possibilidade e, face às preocupações, a Comissão Europeia já deu orientações para uniformizar potenciais aplicações de rastreio nos Estados-membros, até para garantir interoperabilidade entre as apps dos vários países.

O executivo da União Europeia lembrou recentemente que todas as aplicações têm de cumprir regras de privacidade e proteção de dados em vigor no espaço comunitário.

Também ditou que as apps devem ser implementadas em coordenação com as autoridades de saúde pública do país em que serão aplicadas; que a instalação dessas apps pelos cidadãos deve ser voluntária; que a tecnologia Bluetooth deve ser privilegiada face ao sistema de GPS (a georeferênciação); que os dados devem ser e permanecer anónimos, sem que se revele a identidade dos infetados; e que cada app deve estar ligada a aplicações de outros países, para que um cidadão que se desloque além fronteiras continue informado caso esteja em contacto próximo com alguém infetado.

Depois de se desenvolver uma "abordagem comum" de apps para rastreio da Covid-19 ao nível da UE, os Estados-membros terão até 31 de maio para apresentarem, cada um, um relatório sobre as ações já encetadas para desenvolver e testar a aplicação.

Bruxelas, por seu lado, compromete-se a publicar, a partir de junho de 2020 e durante toda a crise, relatórios periódicos com recomendações e ordens de levantamento de restrições sempre que se provar necessário.