Conversas (In)seguras

Comentário à Deliberação da CNPD sobre controlo das praias

No passado dia 6 de Agosto realizaram-se mais umas “Conversas (in)Seguras”, atividade regular da APDPO que pretende debater um tema da atualidade e fomentar a partilha de conhecimento.
A nossa associada Paula Silva Lopes, sob o mote da Presidente da Direção, Inês Oliveira, trouxe à reflexão a Deliberação da CNPD sobre a solução tecnológica que materializa o controlo das praias, iniciando por sublinhar o papel mais ativo da autoridade de supervisão, a CNPD, plasmada nas recentes deliberações emanadas

Adentrando-se no tema das “Conversas”, foi salientado que foi a Agência Portuguesa do Ambiente que solicitou uma análise e o parecer da CNPD sobre a solução tecnológica “smart crowd” que identifica a taxa de ocupação das praias de maior pressão, com a finalidade de informar os cidadãos se uma determinada praia garante as regras de distanciamento social.

O sistema disponibiliza em tempo real a densidade populacional numa praia recorrendo a imagens que são processadas por câmaras, disponibilizando informação em formato anónimo e agregado a duas aplicações “Info praia” e “Praia em direto”. As duas aplicações, que recolhem dados da solução tecnológica, foram desenvolvidas antes do período da pandemia, salienta a oradora.

Devido à limitação de acesso público à AIPD e ao documento complementar de avaliação de impacto, aos quais a CNPD teve acesso, a oradora focou-se apenas na deliberação da CNPD.

Antes de mais, foi sublinhado que o fundamento de licitude de tratamento de dados pessoais reside no exercício de funções de interesse público, na prevenção de risco e na proteção da saúde pública, que, no presente contexto, limitam o tratamento à época balnear de 2020, espelhando a alínea e) do n.º 1 do artigo 6.º do RGPD.

A deliberação da CNPD, recordando que está em causa um sistema que implica a captação sistemática de imagem de pessoas em espaço público, é claro ao afirmar que o RGPD impõe a elaboração de uma avaliação de impacto de proteção de dados, nos termos da alínea c) do n.º 3 do artigo 35.º.

Além disso, há um conjunto de elementos mínimos que nessa avaliação têm de ser considerados, nomeadamente a descrição das operações de tratamento dos dados, a finalidade do tratamento, a legitimidade do responsável para fazer o tratamento e a necessidade e proporcionalidade das várias operações em relação à finalidade.

A CNPD refere desde logo que não há qualquer referência na avaliação de impacto ao objeto de tratamento essencial - “dado de localização”. Perante a apreciação da deliberação, a oradora suscita fortes reservas relativas ao parecer favorável emitido, sobretudo porque a avaliação de impacto não corresponde à expectativa e não cumpre o RGPD.


Em relação ao recurso às câmaras, a oradora destaca que não há registo sobre o tempo de conservação das imagens no equipamento local, apenas havendo referência ao tempo «estritamente necessário para processamento e envio da informação». Por outro lado, a aplicação “Info praia” dispõe de política de privacidade, mas que não evidencia as garantias de transparência e critérios de proteção de dados.

A oradora refere ainda que a aplicação “Praia em direto” tem acesso aos contactos, localização e aos conteúdos do cartão de memória, bem como aos dados de informação de ligação a WI-FI, conexões, Bluetooth, rede, automatismos de ativação e configuração dos serviços Google, concluindo que não foi cumprido o princípio da minimização dos dados (cf. alínea c) do n.º 1 do artigo 5.º do RGPD). Note-se que a CNPD exige, quanto ao dado localização, o consentimento explicito.


Em conclusão, a oradora alerta que é necessário criar mecanismos para proteger as pessoas, que nos ajudem a sobreviver a este período excecional e controverso que vivemos, mas não pode concordar com o parecer favorável que a CNPD emite nesta deliberação.


Redação APDPO