O documento estabelece que o tratamento de dados para funcionamento do sistema "é excecional e transitório", mantendo-se "apenas enquanto a situação epidemiológica provocada pela covid-19 o justificar".
O decreto diz que o Stayaway covid "deve respeitar a legislação europeia e nacional aplicável à proteção de dados pessoais", e regula a intervenção do médico que introduz no sistema informações como a data dos primeiros sintomas ou, no caso de o doente ser assintomático, da data da realização do teste laboratorial.
Destas informações inseridas no sistema pelo médico não podem constar quaisquer dados que identifiquem o doente.
É igualmente este médico que obtém e comunica ao utilizador da aplicação Stayaway covid, que seja um caso confirmado de covid-19, o código de legitimação previsto no sistema, que se o utilizador pretender pode inserir na aplicação, de modo a que as pessoas que usem a plataforma saibam que estiveram próximo de uma pessoa infetada.
No mês passado, quando foi anunciado em Conselho de Ministros que a DGS seria a entidade gestora do sistema e responsável pelo tratamento de dados, a ministra da Presidência assegurou que a aplicação garantia a privacidade dos cidadãos e que "apenas é registado um contacto próximo e de duração superior a 15 minutos" com alguém que esteja infetado com o novo coronavírus.
Mariana Vieira da Silva reforçou, na altura, que seria garantido o anonimato dos utilizadores e que cada cidadão é livre de descarregar ou não a aplicação, lembrando que esta "não substitui as regras de saúde pública" que têm sido seguidas no âmbito da pandemia, quer os inquéritos de saúde pública quer o levantamento de contactos no terreno.
Num parecer emitido em junho, a Comissão Nacional de Proteção de Dados (CNPD) considerou que a aplicação de rastreio de contactos para a covid-19 tinha riscos e defendia que devia ser feito um teste piloto para identificar e corrigir falhas de segurança.
No documento, a CNPD considerava que o recurso a uma interface que é da Google ou da Apple era um dos aspetos mais críticos, pois há "uma parte crucial" da execução do sistema que não é controlada pelos autores da aplicação Stayaway covid - Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência (INESC TEC) - ou pelos responsáveis pelo tratamento de dados.
"Esta situação é ainda mais problemática porque o GAEN [sistema de notificação de exposição Google-Apple] declara que o seu sistema está sujeito a modificações e extensões, por decisão unilateral das empresas, sem que se possa antecipar os efeitos que tal pode ter nos direitos dos utilizadores", referia o parecer.
Apesar de reconhecer que no desenho do sistema houve uma preocupação pelo princípio de minimização dos dados, a CNPD disse ainda que se previa o tratamento de alguns dados "além dos identificadores pseudoaleatórios que sustentam o sistema de notificação", sendo desconhecida "a sua finalidade, a sua inserção no sistema, a sua transmissão ou o seu prazo de conservação".
A Comissão sublinhou o facto positivo de a aplicação ser de uso voluntário, mas lembrou que o resultado das ações como desligar o Bluetooth e deixar de ter o rastreio de proximidade ativado não se encontrava sob controlo do utilizador, mas sim do sistema operativo gerido pela Apple ou Google, pois a aplicação é descarregada na Apple Store ou na Google Play.
Depois de conhecido este parecer da CNPD, o administrador do Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência afirmou que o projeto da aplicação de rastreio da covid-19 estava a ser revisto.
"Havia dúvidas da Comissão Nacional de Proteção de Dados (CNPD) sobre coisas onde fomos omissos ou não fomos claros. Desde ontem que estamos a rever o IPD [Integrated Project Delivery] para explicar isso melhor e enviaremos logo que esteja pronto, mas não estamos a alterar a aplicação", afirmou, na altura, Rui Oliveira, administrador do INESC TEC.
Rui Oliveira considerou o parecer emitido pela CNPD "muito razoável e ajustado" e disse ainda que as "fragilidades" apontadas ao projeto levado a apreciação eram "conhecidas" pelo instituto.
Por seu lado, a Associação dos Profissionais de Proteção e segurança de Dados vieram saudar o parecer cauteloso da CNPD, considerando que a solução é "um 'Big Brother' e que "é de questionar a sua necessidade, proporcionalidade e adequação".
"Não estamos certos de que esta solução tecnológica seja eficaz", afirmou a presidente da associação, considerando que as aplicações de rastreio de contactos têm "fraca adesão nos países da União Europeia que as adotaram", uma condição essencial para darem resultados.