Blog

Aplicações móveis e COVID-19: em que condições e quais os limites?

Será lícito às autoridades públicas de saúde rastrear e monitorizar os cidadãos tendo em vista o controlo epidemiológico da COVID-19 e assegurar, dentro do quadro normativo e civilizacional de um Estado de direito democrático, a conciliação entre o direito à proteção dos dados pessoais de saúde, o direito à privacidade dos cidadãos e o interesse público (e geral) em matéria de saúde pública?

A resposta não é – nem poderia ser – linear, e coloca, desde logo, dificuldades no plano da sua admissibilidade teórica, na medida em que o rastreamento e monitorização dos cidadãos poderá ser assimilada a medidas próprias de um Estado-policial.

Atendendo à sensibilidade da questão e tendo em vista evitar uma resposta atomística e desarticulada por parte dos Estados-membros, a Comissão Europeia (CE) emitiu a Recomendação 2020/518, publicada no passado dia 14.04.2020, destinada a estabelecer as linhas orientadoras de uma abordagem pan-europeia, coordenada a nível da U.E., com vista à utilização de aplicações móveis (“apps”) que permitam aos cidadãos tomarem medidas eficazes e mais específicas de distanciamento social e que alertem, previnam e rastreiem os contactos, a fim de limitar a propagação da COVID-19.

Não obstante a especial proteção concedida aos dados pessoais de saúde, à luz do artigo 9.º n.º 1 do Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016) – que se compreende considerando que o tratamento destes dados importa um elevado potencial de estigmatização dos respetivos titulares –, a CE entende que as aplicações móveis poderão constituir ferramentas úteis, mormente para as autoridades nacionais de saúde, a conter a pandemia de COVID-19 (cfr. Considerando 4) da Recomendação).

Porém, e de modo a salvaguardar os direitos fundamentais dos cidadãos, a CE aconselha o estabelecimento de limites, mais concretamente: que (i) os dados recolhidos pelas aplicações sejam utilizados, essencialmente, apenas pelas autoridades de saúde pública; (ii) que a instalação das apps seja, necessariamente, voluntária, assim se assegurando o consentimento prestado pelo titular dos dados de saúde.

O Comité Europeu para a Proteção de Dados (CEPD) já emitiu diretrizes sobre esta matéria (divulgadas pela Comissão Nacional de Proteção de Dados no dia de ontem, aqui), pronunciando-se sobre duas temáticas: a (i) utilização dos dados de localização e as (ii) aplicações de rastreamento e de contacto.

Quanto à primeira (i) temática, o CEPD pronunciou-se no sentido de (a) os dados de localização recolhidos pelas apps apenas deverem ser transmitidos às autoridades ou a terceiros se tiverem sido anonimizados pelo fornecedor dos dados (v.g., pelos prestadores de serviços de comunicações eletrónicas) ou, “relativamente a dados que indiquem a posição geográfica do equipamento terminal de um utilizador, que não sejam dados de tráfego, com o consentimento prévio dos utilizadores”; (b) dever ser privilegiado o tratamento de dados anonimizados (por contraposição aos dados pessoais), i.e., de dados relativamente aos quais não seja possível, mediante o empreendimento de um “esforço razoável” associar os dados a uma pessoa concreta, identificada ou identificável.

Relativamente à segunda (ii) temática, a CEPD adverte que (a) as aplicações de rastreamento de contacto de pessoas infetadas com COVID-19, atendendo ao seu elevado grau lesivo dos direitos fundamentais dos cidadãos e de intromissão na vida privada das pessoas, só poderão ser adotadas numa base de instalação voluntária pelos utilizadores; (b) as referidas apps deverão conter a identificação, clara e inequívoca, do responsável pelo tratamento dos dados, que deverá, em princípio, corresponder às autoridades nacionais de saúde, o que constitui um forte instrumento de (potencial) responsabilização em caso de violação de dados pessoais; (c) e deverão, igualmente, limitar a finalidade do tratamento, excluindo o tratamento posterior e não relacionado com fins de gestão da crise de COVID-19.

A orientação-chave do CEPD consiste na redução da recolha e tratamento dos dados ao estritamente necessário para os fins visados pelas aplicações móveis, de acordo com o princípio da minimização de dados e numa ótica de proteção de dados desde a conceção e por defeito.

Por último, há que considerar que a recolha e tratamento de dados de saúde dos utilizadores das apps se encontrar protegida pelo art. 9.º n.º 1 do RGDP, que impõe a proibição de tratamento desses dados, salvo quando o tratamento seja necessário por motivos de interesse público no domínio da saúde pública (art. 9.º n.º 2 alínea i) do RGPD) ou quando tenha existido consentimento expresso do titular dos dados (art. 9.º n.º 2 alínea a) do RGPD)). Porém, e de acordo com a CNPD, o recurso ao artigo 9.º n.º 2, alínea i), do RGPD como fundamento de licitude do tratamento depender da existência de uma “norma legal expressa e com medidas específicas e adequadas à proteção dos direitos dos titulares dos dados, que não se existe no ordenamento jurídico nacional”.

Porém, na presente data o Estado português, em parceria com a sociedade civil, já se encontra a desenvolver aplicações móveis, de instalação voluntária, nas quais os utilizadores poderão ser informados da probabilidade de terem estado em contacto próximo com alguém confirmado como infetado com COVID-19. A validação destas aplicações apenas poderá ser, eficazmente, efetuada quando foram efetivamente implementadas.

Luísa Pereira | DCM LAWYERS

Comentar