Estabelece o responsável pelo tratamento dos dados e regula a intervenção do médico no sistema STAYAWAY COVID

Decreto-Lei n.º 52/2020 - Diário da República n.º 155/2020, Série I de 2020-08-11
Presidência do Conselho de Ministros
Estabelece o responsável pelo tratamento dos dados e regula a intervenção do médico no sistema STAYAWAY COVID

 

TEXTO

Decreto-Lei n.º 52/2020

de 11 de agosto

Sumário: Estabelece o responsável pelo tratamento dos dados e regula a intervenção do médico no sistema STAYAWAY COVID.

No atual contexto epidemiológico, a identificação e acompanhamento de contactos entre cidadãos constitui uma prioridade na intervenção das autoridades de saúde e das equipas de saúde pública para a interrupção de cadeias de transmissão do vírus SARS-CoV-2 e da doença COVID-19.

A importância das ferramentas digitais como meio complementar e de reforço da atividade de interrupção de cadeias de transmissão do vírus já foi sublinhada pela Organização Mundial da Saúde, tendo a Comissão Europeia, no mesmo sentido, emitido recomendações sobre o desenvolvimento e a utilização de aplicações móveis de notificação da exposição individual a fatores de risco decorrentes de contacto com doentes COVID-19, reconhecendo que as aplicações móveis podem desempenhar um papel importante na estratégia de levantamento das medidas de confinamento, desde que sob a responsabilidade de uma autoridade de saúde, mediante intervenção exclusiva de um médico e uma vez garantidas a proteção de dados pessoais, a segurança e a privacidade.

À semelhança de outros países, em Portugal, foi considerado relevante a utilização de um sistema digital de identificação e notificação de fatores de risco - em função da proximidade física e da duração do contacto com doentes COVID-19 - como medida complementar da estratégia nacional de resposta à pandemia de COVID-19 e atento o seu interesse no domínio da saúde pública.

Deste modo, foi criado o sistema STAYAWAY COVID, desenvolvido pelo Instituto de Engenharia de Sistemas de Computadores, Ciência e Tecnologia (INESC TEC), em parceria com o Instituto de Saúde Pública da Universidade do Porto e as empresas Keyruptive e Ubirider, no âmbito da Iniciativa Nacional em Competências Digitais e.2030.

Por outro lado, é ainda atribuída à Direção-Geral da Saúde a responsabilidade pelo tratamento de dados do referido sistema, que contrata à SPMS - Serviços Partilhados do Ministério da Saúde, E. P. E., os serviços e meios técnicos necessários ao seu adequado funcionamento.

A Comissão Nacional de Proteção de Dados, na pronúncia que efetuou sobre a avaliação de impacto sobre a proteção de dados em relação ao sistema STAYAWAY COVID, recomendou que fosse dado enquadramento legal a alguns dos aspetos respeitantes ao seu funcionamento.

Nestes termos, o presente decreto-lei visa conferir enquadramento legal ao responsável pelo tratamento dos dados e regular a intervenção do médico no sistema STAYAWAY COVID.

Foi ouvida a Comissão Nacional de Proteção de Dados.

Assim:

Nos termos da alínea a) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:

Artigo 1.º

Objeto

1 - O presente decreto-lei estabelece o responsável pelo tratamento dos dados e regula a intervenção do médico no sistema STAYAWAY COVID.

2 - O STAYAWAY COVID é um sistema digital para dispositivos móveis pessoais com sistema operativo «iOS» ou «Android», que utiliza como sensor de proximidade a tecnologia «Bluetooth Low Energy» e notifica os utilizadores da exposição individual a fatores de contágio por SARS-CoV-2, decorrente de contacto com utilizador da aplicação que posteriormente venha a ser confirmado com COVID-19, nos termos definidos pela Direção-Geral da Saúde (DGS), funcionando como um instrumento complementar e voluntário de resposta à situação epidemiológica pelo reforço da identificação de contactos.

Artigo 2.º

Proteção de dados pessoais e cibersegurança

1 - O STAYAWAY COVID deve respeitar a legislação europeia e nacional aplicável à proteção de dados pessoais, nomeadamente o Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, a Lei n.º 58/2019, de 8 de agosto, e demais legislação aplicável.

2 - O STAYAWAY COVID deve ainda respeitar as iniciativas europeias adotadas no âmbito do combate à COVID-19 através do recurso a soluções baseadas em dados pessoais, designadamente a recomendação para uma «Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis» e as Diretrizes n.º 4/2020, do Comité Europeu para a Proteção de Dados, sobre a utilização de dados de localização e meios de rastreio de contactos no contexto do surto de COVID-19, bem como as recomendações «COVID-19 APPS - Cybersecurity Requirements and Testing», da Agência Europeia de Cibersegurança, e as recomendações da Autoridade Nacional de Cibersegurança.

Artigo 3.º

Entidade responsável

1 - A DGS é a entidade responsável pelo tratamento de dados do sistema STAYAWAY COVID, nos termos das suas competências legais, para efeitos da legislação europeia e nacional aplicável à proteção de dados pessoais.

2 - Para efeitos do disposto no número anterior, a DGS define o funcionamento do sistema, a geração, comunicação, armazenamento e processamento de dados, bem como a articulação entre todos os intervenientes no sistema, contratando com a SPMS - Serviços Partilhados do Ministério da Saúde, E. P. E. (SPMS, E. P. E.), os serviços e meios técnicos necessários ao adequado funcionamento do STAYAWAY COVID.

Artigo 4.º

Intervenção de médico

1 - O médico obtém e comunica ao utilizador da aplicação STAYAWAY COVID, que seja um caso confirmado de COVID-19, nos termos definidos pela DGS, o código de legitimação pseudoaleatório previsto no sistema STAYAWAY COVID, para efeitos de inserção na referida aplicação, caso o utilizador o pretenda fazer.

2 - A obtenção do código previsto no número anterior requer a atribuição ao médico de um perfil de acesso ao Sistema de Legitimação de Diagnóstico do sistema.

3 - Para a obtenção do código de legitimação é necessária a inserção, por parte do médico, da data dos primeiros sintomas ou, no caso de o doente ser assintomático, da data da realização do teste laboratorial, não sendo inseridos quaisquer dados identificáveis do doente.

4 - O perfil a que se refere o n.º 2 é atribuído pela entidade responsável, que define igualmente os termos da intervenção do médico no sistema, o modo em que opera a respetiva autenticação e a forma de interação com o sistema.

5 - Qualquer médico com perfil de acesso pode intervir no sistema, independentemente do setor onde se integre.

Artigo 5.º

Natureza excecional e transitória do tratamento de dados

1 - O tratamento de dados para funcionamento do sistema STAYAWAY COVID é excecional e transitório, mantendo-se apenas enquanto a situação epidemiológica provocada pela COVID-19 o justificar.

2 - A utilização dos dados em causa é limitada à finalidade descrita no n.º 2 do artigo 1.º, não sendo admitida para quaisquer outros fins.

Artigo 6.º

Interoperabilidade

A interoperabilidade do STAYAWAY COVID com outros sistemas e aplicações móveis deve garantir o respeito pelos princípios e salvaguardas em matéria de proteção de dados pessoais, nomeadamente o princípio da minimização dos dados.

Artigo 7.º

Entrada em vigor

O presente decreto-lei entra em vigor no dia seguinte ao da sua publicação.

Visto e aprovado em Conselho de Ministros de 23 de julho de 2020. - Pedro Gramaxo de Carvalho Siza Vieira - Mariana Guimarães Vieira da Silva - João Alberto Sobrinho Teixeira - Marta Alexandra Fartura Braga Temido de Almeida Simões.

Promulgado em 3 de agosto de 2020.

Publique-se.

O Presidente da República, Marcelo Rebelo de Sousa.

Referendado em 4 de agosto de 2020.

Pelo Primeiro-Ministro, Pedro Gramaxo de Carvalho Siza Vieira, Ministro de Estado, da Economia e da Transição Digital.

 
© 2018 Sindicato dos Médicos da Zona Sul