Política de Privacidade

Política de Privacidade

A presente Política de Privacidade identifica a informação pessoal recolhida, explica a necessidade na sua recolha e o modo como é utilizada pelo sistema STAYAWAY COVID, que inclui uma aplicação para dispositivos móveis, além de explicitar os direitos dos utilizadores e respetiva forma de exercício.

O sistema STAYAWAY COVID foi criado no âmbito do programa INCoDe.2030 para o desenvolvimento de uma solução de rastreio da propagação da COVID-19 e as entidades responsáveis pelo seu desenvolvimento são o Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência (INESC TEC) e o Instituto de Saúde Pública da Universidade do Porto (ISPUP) com o apoio das empresas Keyruptive e Ubirider.

O sistema foi alvo de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) e submetido a consulta prévia da Comissão Nacional de Proteção de Dados (CNPD), sendo ainda auditado pelo Centro Nacional de Cibersegurança (CNCS).

Responsável pelo tratamento:

  • DGS – Direção-Geral da Saúde

Alameda D. Afonso Henriques 45, 1049-005 Lisboa, Portugal

Tel. +351 218 430 500

Subcontratantes:

  • INESC TEC – Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência

Rua Dr. Roberto Frias, 4200-465 Porto, Portugal

Tel. +351 222 094 000

  • Keyruptive

Praça Conde de Agrolongo 123, 4700-312 Braga, Portugal

  • Ubirider

Rua Alfredo Allen 455/461 – sala 1.03, 4200-135 Porto, Portugal

  • SPMS – Serviços Partilhados do Ministério da Saúde, EPE

Avenida da República n.º 61, 8.º, 1050-189 Lisboa, Portugal

Tel. +351 211 545 600

  • INCM – Imprensa Nacional-Casa da Moeda

Av. António José de Almeida, 1000-042 Lisboa, Portugal

Tel. +351 217 810 700

O objetivo do tratamento de dados na aplicação é o de contribuir para um rastreio mais rápido, amplo e eficaz da COVID-19 em Portugal, no contexto do plano global de combate à pandemia definido pelas autoridades de saúde portuguesas e em linha com exemplos congéneres dos outros países europeus. A aplicação é parte de um sistema informático que permitirá ao utilizador ser informado sobre o seu potencial risco de contágio com base na monitorização dos seus contactos de proximidade dos últimos 14 dias. A aplicação é de adesão e participação voluntária permitindo em qualquer momento, autónoma e unilateralmente, deixar de o fazer.

A instalação e utilização é estritamente voluntária. Relativamente aos utilizadores o consentimento constitui uma base legal do tratamento de dados (artigos 6.º, n.º 1, a) e 9.º, n.º 2, a) do RGPD).

Porém, como o funcionamento da aplicação implica operações de tratamento distintas que envolvem diferentes categorias de titulares (utilizadores e profissionais de saúde), o tratamento de dados realizado exige uma dupla condição de licitude deste tratamento, o que só reforça a sua legitimidade e torna o tratamento mais proporcional.

Com efeito, quando as autoridades publicas prestam um serviço com base num mandato conferido por e em consonância com os requisitos previstos na lei, afigura-se que a base jurídica mais pertinente para o tratamento é a necessidade de exercer funções de interesse publico, nos termos do disposto no artigo 6º, n.º 1, alínea e), podendo ainda ser aplicável o  artigo 9º nº2 e), ambos do RGPD.

O Decreto-Lei 52/2020 de 11 de agosto dá enquadramento legal à utilização do STAYAWAY COVID, estabelecendo a DGS como o responsável pelo tratamento de dados e regulando a intervenção do médico no sistema.

Os dados pessoais recolhidos pela aplicação nunca permitem identificar diretamente utilizadores ou os seus dispositivos. De modo a proteger a sua privacidade são essencialmente utilizados identificadores alfanuméricos efémeros, gerados aleatoriamente, legalmente considerados dados pseudonimizados.

Dada a possibilidade de poderem reportar a utilizadores diagnosticados com COVID-19 ou a utilizadores alertados do potencial risco de contágio, consideramos que aqueles identificadores se referem a dados relativos à sua saúde.

A aplicação difunde e recebe os identificadores aleatórios de outros dispositivos que estejam próximos. Os identificadores aleatórios difundidos (nunca os recebidos) poderão ser partilhados publicamente pela aplicação num servidor oficial e localizado em território nacional. Nenhum identificador é armazenado no sistema por um período superior a 14 dias.

Como resultado do processamento dos identificadores aleatórios, o utilizador poderá receber um alerta com informação de potencial risco de contágio e a data de ocorrência do mais recente contacto de proximidade que lhe deu origem. Esta informação fica armazenada na aplicação até esta ser desinstalada.

Para além dos dados dos utilizadores, são forçosamente processados dados dos profissionais de saúde envolvidos na validação da informação do contágio. Será usado um sistema de autenticação, a cargo dos SPMS, que funcionará de forma separada de outros sistemas para garantia da privacidade dos médicos e doentes.

Serão tratados os seguintes dados pessoais pelo sistema STAYAWAY:

Dados Definição Finalidade Conservação
Dados pseudonimizados (Chaves de Identificadores TEK e Identificadores Aleatórios RPI) O dispositivo móvel gera diariamente uma Chave de Identificadores TEK. A partir da Chave de Identificadores TEK diária é gerado, a cada 15 minutos, em média, um Identificador Aleatório RPI a partir da Chave de Identificadores TEK corrente e do intervalo temporal durante o qual o RPI é válido. Os Identificadores Aleatórios RPI são transmitidos em modo de difusão e recebidos pelos dispositivos móveis geograficamente próximos. Permite sinalizar a proximidade do utilizador com alguém durante pelo menos 15 minutos a 2 metros de distância, sem que a aplicação possa identificar o utilizador ou rastrear o local onde o contacto teve lugar. Apagados automaticamente do dispositivo móvel 14 dias após terem sido armazenados.
Dados pseudonimizados (Identificador único universal) Identificador produzido no Serviço de Legitimação de Diagnóstico (SLD) como parte do Código de Acesso (CA). É armazenado no Serviço de Publicação de Diagnóstico (SPD) quando o CA é criado e usado depois para garantir que cada CA não é usado mais do que uma vez dentro do seu período de validade. É eliminado pela tarefa diária de manutenção da base de dados após o fim da sua validade, que é no máximo de 24 horas.
Dados de saúde (Chaves de Identificadores TEK partilhadas após diagnóstico de infeção) São as chaves submetidas pelos utilizadores diagnosticados por COVID-19 ao servidor central do sistema. Estas chaves são descarregadas periodicamente pelos dispositivos com a STAYAWAY. A aplicação guarda a data da última atualização e pede apenas as chaves publicadas após essa data, para cada um dos dias relevantes. O DMP calcula os Identificadores Aleatórios RPI associados a estas chaves para os comparar com os RPIs recebidos de DMPs próximos durante os últimos 14 dias. Depois, calcula uma função de risco que avalia a existência de contactos a menos de 2 metros e por mais de 15 minutos mediante os RPIs, distâncias estimadas e tempos de exposição. O período de conservação é 14 dias.
Dados de saúde (data, duração e distância estimada do contacto) A partir dos Identificadores Aleatórios RPIs recebidos dos DMPS próximos e das Chaves de Identificação TEK, dos utilizadores infetados, recebidas do SPD, bem como dos metadados temporais associados, o DMP calcula uma função de risco que, seguindo as diretrizes atuais da Organização Mundial de Saúde, avalia a existência de contactos a menos de 2 metros e por mais de 15 minutos. A aplicação alerta de que o utilizador esteve em contacto com alguém a quem foi diagnosticada COVID-19, durante pelo menos 15 minutos a 2 metros de distância. O período de conservação é 14 dias.
Dados de saúde (Data dos primeiros sintomas ou data do teste no caso de indivíduos assintomáticos) Informação inserida pelo profissional de saúde no sistema no momento de geração do Código de Legitimação. Esta data só pode ser obtida com o conhecimento do CL, que é do conhecimento apenas do doente e do profissional de saúde. Esta data destina-se a limitar os contactos que desencadeiam avisos aos que ocorreram após a data de 3 dias antes da data dos primeiros sintomas, que corresponde ao consenso atual sobre o período pré-sintomático em que há a possibilidade de contágio. Quando se trata de um caso assintomático, é da responsabilidade do médico usar a data do teste ou determinar a data mais adequada.

É relevante conservar a data de início de sintomas e de diagnóstico para que seja possível à aplicação alertar apenas aquelas pessoas que contactaram com alguém diagnosticado com infeção por SARS-CoV-2 nos 3 dias antes do início de sintomas, ou de diagnóstico, quando estes estão assintomáticos. Pretende-se desta forma reduzir o número de falsos positivos, minimizando a procura aos cuidados de saúde, sem comprometer a eficácia do sistema, os custos inerentes com esta procura e com a realização de testes, o número de pessoas em isolamento sem indicação, e, por fim, o stress psicológico inerente à (falsa) suspeita de contacto de alto risco com um doente COVID-19.

A data é enviada para o SLD, aquando da geração do CL pelo médico, e guardada no registo associado ao CL no SLD e no respetivo CA, depois usado pelo SPD para determinar as Chaves de Identificadores TEK que devem ser difundidas pelos DMPs.

Logo que o CL tenha esgotado a sua validade, que é de 24 horas, é apagado da base de dados pela tarefa diária de manutenção.
Endereço IP O SLD armazena os endereços IP para fins de segurança. No caso do SPD não está previsto o armazenamento de endereços IP ou outro identificador diretamente associado ao dispositivo móvel. O endereço IP é armazenado durante um curto período pela infraestrutura de perímetro com o único objetivo de garantir a segurança informática, nomeadamente contra ataques DDoS. Os equipamentos da infraestrutura de perímetro são independentes do SLD e não há cruzamento de dados. O período de conservação dos endereços IP nos equipamentos de perímetro é não superior a 1 hora.

O sistema STAYAWAY COVID é composto por dois sub-sistemas:

  • um sub-sistema de avaliação de contactos de proximidade, que compreende a aplicação e um servidor (SPD);
  • um sub-sistema de gestão de códigos de legitimação de diagnóstico, que compreende um cliente web e um servidor (SLD).

Ambos os servidores estarão em território nacional e sob o controlo das seguintes entidades: INCM (servidor SPD) e SPMS  (Servidor SLD).

A aplicação utiliza a tecnologia Bluetooth de baixo consumo (BLE) para difundir e receber identificadores aleatórios de dispositivos próximos. Quando sob o alcance de um outro dispositivo a executar a aplicação, a aplicação armazena os seguintes dados:

  • os identificadores aleatórios difundidos pelo outro dispositivo;
  • a potência do sinal;
  • a data e a duração estimada do contacto.

No caso de um utilizador ser diagnosticado com COVID-19 os seguintes dados são armazenados no SLD:

  • o código de legitimação do diagnóstico para obtenção do código de acesso ao SPD;
  • a data dos primeiros sintomas ou a data de teste para indivíduos assintomáticos;
  • a data em que estes dados deverão ser destruídos no SLD;
  • o número de vezes que o código de legitimação do diagnóstico foi utilizado (0 ou 1, já que é de utilização única).

O servidor SPD contém uma lista com os seguintes dados:

  • as Chaves de Identificadores TEK de utilizadores diagnosticados com COVID-19;
  • a data de cada Chave de Identificadores TEK.

A aplicação utiliza o protocolo implementado pela GAEN API. A Google e a Apple disponibilizam a especificação do protocolo, algoritmos e respetiva API. Contudo o código da GAEN API não é aberto. De acordo com a GAEN, apenas uma aplicação por país endossada oficialmente está autorizada a aceder à API.

Caso a Google e a Apple comuniquem a introdução de alterações na GAEN API, que afetem os utilizadores, serão adicionadas imediatamente nesta política de privacidade as informações relativas às referidas modificações.

Após instalada, a aplicação solicita ao utilizador autorização para usar permanentemente a comunicação por Bluetooth. A aplicação não funcionará se não for concedida autorização para utilização da interface Bluetooth.

O Regulamento Europeu de Proteção de Dados (Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016 – RGPD) assegura aos utilizadores, enquanto titulares de dados pessoais, além do direito de informação, os direitos de acesso, retificação, modificação ou apagamento e oposição ao tratamento.

No entanto, atendendo à impossibilidade de o responsável pelo tratamento identificar os utilizadores, neste caso, em princípio, não são serão aplicáveis os artigos 15º a 20º do Regulamento, relativos aos direitos de acesso, retificação, modificação ou apagamento, em conformidade com o disposto no nº 2 do artigo 11º do mesmo regulamento. Já o direito de oposição será facilmente exercido desinstalando a aplicação.

O titular dos dados pessoais poderá exercer os seus direitos bem como solicitar qualquer informação respeitante ao tratamento dos seus dados pessoais mediante solicitação escrita dirigida ao responsável pelo tratamento ou ao respetivo encarregado de proteção de dados, através, dos endereços postal e de email seguintes:

Questões/Apoio Técnico : stayaway@inesctec.pt

Proteção de Dados: eugeniacarvalho@dgs.min-saude.pt

O RGPD garante, ainda, ao titular dos dados, nos termos do seu artigo 77º, o direito de apresentar queixa junto de uma autoridade de controlo na União Europeia. Em Portugal a entidade de controlo competente é a CNPD (https://www.cnpd.pt).

O utilizador pode a qualquer momento desinstalar a aplicação sem que isso lhe traga algum prejuízo. A desinstalação vai resultar no apagamento imediato de todos os dados processados localmente pela aplicação. Os restantes dados armazenados nos servidores do sistema serão automaticamente apagados findo o respetivo prazo regular de conservação.

Todo o sistema será descontinuado quando for declarado em Portugal o fim da epidemia provocada pela COVID-19.

As informações sobre quaisquer alterações introduzidas ao longo do texto serão resumidas neste capítulo e associadas à data da sua efetiva implementação.

O utilizador deverá ter sempre disponível, via a aplicação, a versão atualizada da Política de Privacidade.

Go to Top