de 11 de agosto
Sumário: Estabelece o responsável pelo tratamento dos dados e regula a intervenção do médico no sistema STAYAWAY COVID.
No atual contexto epidemiológico, a identificação e acompanhamento de contactos entre cidadãos constitui uma prioridade na intervenção das autoridades de saúde e das equipas de saúde pública para a interrupção de cadeias de transmissão do vírus SARS-CoV-2 e da doença COVID-19.
A importância das ferramentas digitais como meio complementar e de reforço da atividade de interrupção de cadeias de transmissão do vírus já foi sublinhada pela Organização Mundial da Saúde, tendo a Comissão Europeia, no mesmo sentido, emitido recomendações sobre o desenvolvimento e a utilização de aplicações móveis de notificação da exposição individual a fatores de risco decorrentes de contacto com doentes COVID-19, reconhecendo que as aplicações móveis podem desempenhar um papel importante na estratégia de levantamento das medidas de confinamento, desde que sob a responsabilidade de uma autoridade de saúde, mediante intervenção exclusiva de um médico e uma vez garantidas a proteção de dados pessoais, a segurança e a privacidade.
À semelhança de outros países, em Portugal, foi considerado relevante a utilização de um sistema digital de identificação e notificação de fatores de risco - em função da proximidade física e da duração do contacto com doentes COVID-19 - como medida complementar da estratégia nacional de resposta à pandemia de COVID-19 e atento o seu interesse no domínio da saúde pública.
Deste modo, foi criado o sistema STAYAWAY COVID, desenvolvido pelo Instituto de Engenharia de Sistemas de Computadores, Ciência e Tecnologia (INESC TEC), em parceria com o Instituto de Saúde Pública da Universidade do Porto e as empresas Keyruptive e Ubirider, no âmbito da Iniciativa Nacional em Competências Digitais e.2030.
Por outro lado, é ainda atribuída à Direção-Geral da Saúde a responsabilidade pelo tratamento de dados do referido sistema, que contrata à SPMS - Serviços Partilhados do Ministério da Saúde, E. P. E., os serviços e meios técnicos necessários ao seu adequado funcionamento.
A Comissão Nacional de Proteção de Dados, na pronúncia que efetuou sobre a avaliação de impacto sobre a proteção de dados em relação ao sistema STAYAWAY COVID, recomendou que fosse dado enquadramento legal a alguns dos aspetos respeitantes ao seu funcionamento.
Nestes termos, o presente decreto-lei visa conferir enquadramento legal ao responsável pelo tratamento dos dados e regular a intervenção do médico no sistema STAYAWAY COVID.
Foi ouvida a Comissão Nacional de Proteção de Dados.
Assim:
Nos termos da alínea a) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:
Artigo 1.º
Objeto
1 - O presente decreto-lei estabelece o responsável pelo tratamento dos dados e regula a intervenção do médico no sistema STAYAWAY COVID.
2 - O STAYAWAY COVID é um sistema digital para dispositivos móveis pessoais com sistema operativo «iOS» ou «Android», que utiliza como sensor de proximidade a tecnologia «Bluetooth Low Energy» e notifica os utilizadores da exposição individual a fatores de contágio por SARS-CoV-2, decorrente de contacto com utilizador da aplicação que posteriormente venha a ser confirmado com COVID-19, nos termos definidos pela Direção-Geral da Saúde (DGS), funcionando como um instrumento complementar e voluntário de resposta à situação epidemiológica pelo reforço da identificação de contactos.
Artigo 2.º
Proteção de dados pessoais e cibersegurança
1 - O STAYAWAY COVID deve respeitar a legislação europeia e nacional aplicável à proteção de dados pessoais, nomeadamente o Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, a Lei 58/2019, de 8 de agosto, e demais legislação aplicável.
2 - O STAYAWAY COVID deve ainda respeitar as iniciativas europeias adotadas no âmbito do combate à COVID-19 através do recurso a soluções baseadas em dados pessoais, designadamente a recomendação para uma «Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis» e as Diretrizes n.º 4/2020, do Comité Europeu para a Proteção de Dados, sobre a utilização de dados de localização e meios de rastreio de contactos no contexto do surto de COVID-19, bem como as recomendações «COVID-19 APPS - Cybersecurity Requirements and Testing», da Agência Europeia de Cibersegurança, e as recomendações da Autoridade Nacional de Cibersegurança.
Artigo 3.º
Entidade responsável
1 - A DGS é a entidade responsável pelo tratamento de dados do sistema STAYAWAY COVID, nos termos das suas competências legais, para efeitos da legislação europeia e nacional aplicável à proteção de dados pessoais.
2 - Para efeitos do disposto no número anterior, a DGS define o funcionamento do sistema, a geração, comunicação, armazenamento e processamento de dados, bem como a articulação entre todos os intervenientes no sistema, contratando com a SPMS - Serviços Partilhados do Ministério da Saúde, E. P. E. (SPMS, E. P. E.), os serviços e meios técnicos necessários ao adequado funcionamento do STAYAWAY COVID.
Artigo 4.º
Intervenção de médico
1 - O médico obtém e comunica ao utilizador da aplicação STAYAWAY COVID, que seja um caso confirmado de COVID-19, nos termos definidos pela DGS, o código de legitimação pseudoaleatório previsto no sistema STAYAWAY COVID, para efeitos de inserção na referida aplicação, caso o utilizador o pretenda fazer.
2 - A obtenção do código previsto no número anterior requer a atribuição ao médico de um perfil de acesso ao Sistema de Legitimação de Diagnóstico do sistema.
3 - Para a obtenção do código de legitimação é necessária a inserção, por parte do médico, da data dos primeiros sintomas ou, no caso de o doente ser assintomático, da data da realização do teste laboratorial, não sendo inseridos quaisquer dados identificáveis do doente.
4 - O perfil a que se refere o n.º 2 é atribuído pela entidade responsável, que define igualmente os termos da intervenção do médico no sistema, o modo em que opera a respetiva autenticação e a forma de interação com o sistema.
5 - Qualquer médico com perfil de acesso pode intervir no sistema, independentemente do setor onde se integre.
Artigo 5.º
Natureza excecional e transitória do tratamento de dados
1 - O tratamento de dados para funcionamento do sistema STAYAWAY COVID é excecional e transitório, mantendo-se apenas enquanto a situação epidemiológica provocada pela COVID-19 o justificar.
2 - A utilização dos dados em causa é limitada à finalidade descrita no n.º 2 do artigo 1.º, não sendo admitida para quaisquer outros fins.
Artigo 6.º
Interoperabilidade
A interoperabilidade do STAYAWAY COVID com outros sistemas e aplicações móveis deve garantir o respeito pelos princípios e salvaguardas em matéria de proteção de dados pessoais, nomeadamente o princípio da minimização dos dados.
Artigo 7.º
Entrada em vigor
O presente decreto-lei entra em vigor no dia seguinte ao da sua publicação.
Visto e aprovado em Conselho de Ministros de 23 de julho de 2020. - Pedro Gramaxo de Carvalho Siza Vieira - Mariana Guimarães Vieira da Silva - João Alberto Sobrinho Teixeira - Marta Alexandra Fartura Braga Temido de Almeida Simões.
Promulgado em 3 de agosto de 2020.
Publique-se.
O Presidente da República, Marcelo Rebelo de Sousa.
Referendado em 4 de agosto de 2020.
Pelo Primeiro-Ministro, Pedro Gramaxo de Carvalho Siza Vieira, Ministro de Estado, da Economia e da Transição Digital.
113472563
