I

O 11 de março de 2020, a Organização Mundial da Saúde elevou a situação de emergência de saúde pública gerada pela expansão do coronavirus COVID-19 a nível de pandemia internacional. Esta expansão está a gerar uma crise sem precedentes na saúde pública, que afecta todos os sectores e indivíduos. As diferentes administrações, organismos e instituições, nacionais e internacionais, tiveram que adoptar medidas drásticas e urgentes para a prevenção e luta contra a pandemia.

Neste sentido, o 13 de março de 2020 o Conselho da Xunta da Galiza aprovou o Acordo pelo que se declarou a situação de emergência sanitária no território da Comunidade Autónoma da Galiza e se activou o Plano territorial de emergências da Galiza (Platerga) no seu nível IG (emergência de interesse galego), como consequência da evolução da pandemia do coronavirus COVID-19.

O 14 de março publicou-se o Real decreto 463/2020, de 14 de março, pelo que se declarou o estado de alarme para a gestão da situação de crise sanitária ocasionada pelo COVID-19, dentro das medidas previstas para fazer frente à situação ocasionada pela extensão da doença.

A declaração afectou todo o território nacional e a sua duração inicial foi de quinze dias naturais, se bem que o estado de alarme foi objecto de sucessivas prorrogações e supôs uma situação excepcional de limitação efectiva da liberdade de circulação das pessoas e de actividades, com determinadas excepções, como ficou recolhido no mencionado Real decreto 463/2020, de 14 de março, o que teve um enorme impacto na actividade económica e social e, em termos gerais, em todos os aspectos da vida quotidiana da cidadania galega ou residente na Galiza.

Depois do período inicial de quinze dias naturais e do correspondente à primeira e à segunda prorrogações do estado de alarme, iniciou-se durante a terceira um processo de redução progressiva das medidas extraordinárias de restrição da mobilidade, do contacto social e do exercício de actividades, estabelecidas na versão inicial do Real decreto 463/2020, de 14 de março, em especial com motivo da aprovação pelo Conselho de Ministros, na sua reunião de 28 de abril, do Plano para a transição para uma nova normalidade.

No dito plano recolheu-se um processo gradual de volta à normalidade dividido em quatro fases: uma fase zero ou preliminar e três fases de desescalada, diferenciadas em função das actividades permitidas em cada uma delas, pelas que poderiam transitar os diferentes territórios em função de diversos critérios e indicadores, até chegar à denominada «nova normalidade».

No caso da Comunidade Autónoma da Galiza, em aplicação do artigo 6 do Real decreto 555/2020, de 5 de junho, o Conselho da Xunta da Galiza, por Acordo de 12 de junho de 2020, apreciou, como autoridade sanitária, que a Comunidade Autónoma da Galiza, como unidade territorial, estava em condições de superar a fase III e, portanto, em condições de entrar na «nova normalidade». E pelo Decreto da Presidência da Xunta da Galiza 90/2020, de 13 de junho, declarou-se a superação da fase III e, portanto, a entrada na nova normalidade, com efeitos desde as 00.00 horas do dia 15 de junho de 2020. Agora bem, a superação da supracitada fase III, se bem que implicou que ficassem sem efeito as medidas extraordinárias derivadas do estado de alarme, comportou e segue comportando a adopção pelas administrações competente das necessárias medidas que permitam seguir fazendo frente e controlando a pandemia, tendo em conta a subsistencia, ainda que atenuada, de uma situação de crise sanitária. Neste sentido, no âmbito estatal ditou-se o Real decreto lei 21/2020, de 9 de junho, de medidas urgentes de prevenção, contenção e coordinação para fazer frente à crise sanitária ocasionada pelo COVID-19, as quais, conforme o disposto no seu artigo 2, são de aplicação em todo o território nacional. E, no âmbito autonómico, a resposta à crise sanitária que ainda subsiste foi fundamentalmente, ademais da manutenção da declaração de situação de emergência sanitária efectuada mediante o Acordo do Conselho da Xunta da Galiza de 13 de março de 2020, a adopção de medidas de prevenção. Assim, cabe destacar que por Resolução de 12 de junho de 2020, da Secretaria-Geral Técnica da Conselharia de Sanidade, deu-se publicidade ao Acordo do Conselho da Xunta da Galiza de 12 de junho de 2020 sobre medidas de prevenção necessárias para fazer frente à crise sanitária ocasionada pelo COVID-19, uma vez superada a fase III do Plano para a transição para uma nova normalidade. Conforme o ponto sexto do acordo, as medidas previstas nele poderão ser objecto de modificação ou supresión pelo Conselho da Xunta da Galiza e, além disso, a pessoa titular da conselharia competente em matéria de sanidade, como autoridade sanitária, poderá adoptar as medidas necessárias para a aplicação do acordo e poderá estabelecer, de acordo com a normativa aplicável e em vista da evolução da situação sanitária, todas aquelas medidas adicionais ou complementares às previstas no acordo que sejam necessárias.

Neste contexto, na gestão da crise sanitária e no processo gradual de volta à normalidade não se deve esquecer o papel que podem desenvolver a tecnologia, os dados e o uso estendido dos dispositivos móveis na povoação para a prevenção, detecção e seguimento de possíveis brotes de contágio. Neste sentido, a tecnologia deve considerar-se como um instrumento complementar a respeito dos protocolos estabelecidos para a rastrexabilidade de contactos.

Nesta linha, a Recomendação (UE) 2020/518 da Comissão, de 8 de abril de 2020, relativa a um conjunto de instrumentos comuns da União para a utilização da tecnologia e os dados com o fim de combater e superar a crise do COVID-19, contém uma referência em particular no que respeita às aplicações móveis e à utilização de dados de mobilidade anonimizados, e reconhece o valioso papel que desempenharão as tecnologias e os dados digitais na luta contra a crise do COVID- 19, já que na Europa muitas pessoas conectam à internet através de dispositivos móveis.

Essas tecnologias e dados, segundo a Comissão, oferecem uma ferramenta importante para informar o público e ajudar as autoridades públicas pertinente nos seus esforços por conter a propagação do vírus.

A mesma Comissão europeia, na sua Comunicação relativa às Orientações sobre as aplicações móveis de apoio à luta contra a pandemia do COVID-19 no referente à protecção de dados, publicada o 17 de abril de 2020, manifesta ser ciente de que as aplicações para dispositivos móveis, que adoptam estar instaladas em telefones inteligentes, podem facilitar às autoridades sanitárias públicas o seguimento e a contenção da pandemia do COVID-19, e são especialmente pertinente de para o levantamento das medidas de confinamento. Essas aplicações, indica a Comissão, podem proporcionar orientações directas à cidadania e facilitar o labor de rastrexo de contactos de risco.

Por sua parte, o Comité Europeu de Protecção de Dados adoptou o 21 de abril de 2020 as directrizes 04/2020 sobre o uso de dados de localização e ferramentas de rastrexo de contactos no contexto da pandemia do COVID-19, em que também se reconhece que os dados e a tecnologia são importantes ferramentas na luta contra o coronavirus.

Tendo em conta o exposto, procede promover o desenvolvimento e posta em marcha de um sistema de informação, que estará disponível para as pessoas utentes através de uma aplicação para dispositivos móveis, como um mais dos instrumentos que se vão utilizar na Comunidade Autónoma galega na gestão da crise sanitária ocasionada pelo COVID-19. Não se trata, portanto, de um elemento isolado, senão de um complemento a outros já aplicados dentro da estratégia global da Administração autonómica de luta contra o vírus e os seus possíveis rebrotes.

Este sistema, que estará disponível tanto para pessoas residentes na Galiza coma para aquelas que se encontrem temporariamente em território autonómico, terá como finalidades facilitar informação às pessoas utentes (orientações, conselhos práticos, recomendações e recursos de interesse, assim como informação personalizada); servir de apoio aos protocolos de rastrexabilidade e gestão de contactos dos casos COVID-19 identificados, assim como oferecer através da aplicação um suporte digital para facilitar a posta em funcionamento das medidas que adoptem as autoridades competente na gestão da crise sanitária. Em definitiva, a finalidade última da aplicação é o contributo à melhora da saúde colectiva e individual.

Para o cumprimento das finalidades previstas, a aplicação que dê suporte ao sistema de informação basear-se-á em informação individual disponível, especialmente no Sistema público de saúde da Galiza, mas também, quando assim o exixir o cumprimento das finalidades do sistema, noutros sistemas de informação do sector público autonómico; na disponibilidade de sistemas de acreditação digital da cidadania como é o sistema de chaves concertadas da Xunta de Galicia (Chave365); no estado de desenvolvimento tecnológico e penetração na sociedade do uso de dispositivos móveis, de modo que possa servir de instrumento para minimizar a corrente de transmissão do contágio mediante a detecção temporã de contactos epidemioloxicamente relevantes; na aplicação dos protocolos e das disposições que as autoridades competente estabeleçam para a gestão da crise sanitária, e no carácter voluntário da instalação e do uso da aplicação, assim como no cumprimento dos princípios e obrigações estabelecidos pela normativa vigente em matéria de protecção de dados pessoais. Em relação com esta questão procede salientar que tanto a instalação da aplicação como a habilitação de cada uma das suas funcionalidades é voluntária, e a pessoa interessada deverá prestar o seu consentimento, será também voluntário o uso da aplicação. Agora bem, este carácter voluntário não significa que o tratamento dos dados pessoais se baseie necessária e exclusivamente no consentimento. Na medida em que o sistema de informação permitirá às autoridades sanitárias autonómicas a prestação de serviços e o cumprimento de funções previstos em diversas normas legais em matéria de saúde pública que resultam de aplicação numa situação de crise sanitária como a que se está vivendo, a base legítima principal do tratamento de dados é a relativa ao cumprimento de uma missão realizada em interesse público (artigos 6.1.e) e 9.2.g) e i) do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à protecção das pessoas físicas no que respeita ao tratamento de dados pessoais e à livre circulação destes dados e pelo que se derrogar a Directiva 95/46/CE (Regulamento geral de protecção de dados), e artigos 8.2 e 9.2 da Lei orgânica 3/2018, de 5 de dezembro, de protecção de dados pessoais e garantia dos direitos digitais).

Assim, a Lei orgânica 3/1986, de 14 de abril, de medidas especiais em matéria de saúde pública, estabelece no seu artigo 3 que, com o fim de controlar as doenças transmisibles, a autoridade sanitária, ademais de realizar as acções preventivas gerais, poderá adoptar as medidas oportunas para o controlo dos enfermos, das pessoas que estejam ou estivessem em contacto com eles e da contorna imediata, assim como as que se considerem necessárias em caso de risco de carácter transmisible.

Por outra parte, o artigo 26 da Lei 14/1986, de 25 de abril, geral de sanidade, prevê a possibilidade de que as autoridades sanitárias possam adoptar as medidas preventivas pertinente quando exista ou se suspeite razoavelmente a existência de um risco iminente e extraordinário para a saúde, assim como quantas outras se considerem sanitariamente justificadas. A duração das ditas medidas fixará para cada caso, sem prejuízo das prorrogações sucessivas acordadas por resoluções motivadas, e não excederá o que exixir a situação de risco iminente e extraordinário que as justificou.

Além disso, o artigo 27.2 da Lei 33/2011, de 4 de outubro, geral de saúde pública, estabelece a obrigação, para as administrações públicas, no âmbito das suas competências, de proteger a saúde da povoação mediante actividades e serviços que actuem sobre os riscos existentes.

Na mesma linha, o artigo 34 da Lei 8/2008, de 10 de julho, de saúde da Galiza, inclui, entre as intervenções públicas que poderão exercer as autoridades sanitárias competente sobre as actividades públicas e privadas que, directa ou indirectamente, possam ter consequências para a saúde, adoptar as medidas preventivas que se considerem pertinente em caso de que exista ou se suspeite razoavelmente a existência de um risco iminente e extraordinário para a saúde. E o seu artigo 38 prevê que as autoridades sanitárias poderão levar a cabo intervenções públicas nos supostos de riscos para a saúde de terceiras pessoas, nos mesmos termos previstos nos artigos 2 e 3 da Lei orgânica 3/1986, de 14 de abril.

Além disso, o artigo 49 da mesma lei, na sua letra d), estabelece que a prestação de saúde pública pelo Sistema público de saúde da Galiza compreende, entre outros aspectos, a prevenção e o controlo das doenças transmisibles. E o seu artigo 52.4, por sua parte, recolhe a previsão de que ante situações de crises, alerta ou alarme de saúde pública, o Sistema público de saúde da Galiza responderá com mecanismos e acções precisas que garantam a protecção da saúde da povoação.

Finalmente, no que atinge ao uso da informação sanitária com fins epidemiolóxicos ou de saúde pública, os artigos 16 da Lei 41/2002, de 14 de novembro, básica reguladora da autonomia do paciente e de direitos e obrigacións em matéria de informação e documentação clínica, e 19 da Lei 3/2001, de 28 de maio, reguladora do consentimento informado e da história clínica dos pacientes, recolhem o acesso à história clínica com fins epidemiolóxicos e de protecção da saúde pública.

Especial atenção merece também a configuração como responsável pelo tratamento da conselharia competente em matéria de sanidade, tendo em conta a condição de autoridade sanitária da pessoa titular da dita conselharia, conforme o artigo 33 da Lei 8/2008, de 10 de julho, e como encarregado do tratamento a Agência para a Modernização Tecnológica da Galiza (Amtega), adscrita à Presidência da Xunta da Galiza, atendidos os seus objectivos básicos de definição, desenvolvimento e execução dos instrumentos da política da Xunta de Galicia no âmbito das tecnologias da informação, a comunicação, a inovação e o desenvolvimento tecnológico.

Em consequência, de conformidade com o contexto, com as previsões normativas e com as recomendações institucionais antes indicadas, e dentro da estratégia geral autonómica de luta contra a crise sanitária derivada da expansão do coronavirus SARS-CoV-2, com esta ordem alargam-se as medidas para a gestão da crise ocasionada pelo COVID-19, aproveitando os meios tecnológicos e sistemas de informação disponíveis no sector público autonómico, com a finalidade última de contribuir à melhora da saúde colectiva e da saúde individual tanto das pessoas residentes na Galiza como daquelas que se encontrem temporariamente em território autonómico.

II

A presente ordem consta de 15 artigos, agrupados em 6 capítulos, ademais de uma disposição adicional e de uma disposição derradeiro.

No capítulo I, relativo às disposições gerais, regulam-se o objecto da ordem assim como o carácter e o alcance do sistema de informação Passcovid.gal, as suas finalidades e funcionalidades e o regime de titularidade e de responsabilidade. O capítulo II regula as potenciais pessoas utentes do sistema, o carácter voluntário da instalação e do uso da aplicação que dá acesso ao sistema, assim como as modalidades de identificação previstas. O capítulo III, sobre os aspectos técnicos e operativos, recolhe os aspectos relativos aos critérios de aplicação, assim como à avaliação do sistema. No capítulo IV, relativo à publicidade, transparência e colaboração, recolhem-se os critérios de publicidade e transparência do sistema assim como a possível colaboração com outras administrações públicas ou instituições com a finalidade de alargar o âmbito de implantação funcional do sistema permitindo atingir uma maior extensão deste. O capítulo V estabelece os critérios de vigência do sistema de informação e, por último, o capítulo VI, sobre a protecção de dados pessoais, recolhe os aspectos gerais a respeito da protecção de dados pessoais e as obrigações do encarregado e dos possíveis subencargados do tratamento.

A disposição adicional refere às actualizações do sistema e a disposição derradeiro estabelece a imediata entrada em vigor da disposição tendo em conta a necessidade de que o sistema possa servir, sem demora, de medida complementar na gestão da crise sanitária causada pelo COVID-19.

O procedimento de elaboração da ordem ajustou-se ao disposto na Lei 16/2010, de 17 de dezembro, de organização e funcionamento da Administração geral e do sector público autonómico da Galiza, e cumpriram-se, além disso, os trâmites previstos na normativa em matéria de transparência. Fez-se ademais partícipe do alcance deste sistema à Agência Espanhola de Protecção de Dados.

Por último, a norma adecúase aos princípios de boa regulação do artigo 129 da Lei 39/2015, de 1 de outubro, do procedimento administrativo comum das administrações públicas. Assim, em aplicação dos princípios de necessidade, eficácia, proporcionalidade e eficiência, a norma persegue um interesse geral que é regular um sistema de informação que sirva como medida complementar na gestão da crise ocasionada pelo COVID-19, recolhendo as normas necessárias para tal fim e sem impor obrigações nem ónus innecesarias. Em virtude do princípio de segurança jurídica a norma guarda coerência com o resto do ordenamento jurídico e em cumprimento do princípio de transparência identificam-se com claridade nela os objectivos perseguidos e, ademais, durante a sua tramitação promoveu-se a participação da cidadania através da publicidade no Portal de transparência e governo aberto.

Na sua virtude, no exercício da competência prevista no artigo 34.6 da Lei 1/1983, de 22 de fevereiro, de normas reguladoras da Junta e da sua Presidência,

DISPONHO:

CAPÍTULO I

Disposições gerais

Artigo 1. Objecto

O objecto desta ordem é a regulação do sistema de informação Passcovid.gal como medida complementar na gestão da crise sanitária ocasionada pelo COVID-19.

Artigo 2. Carácter e alcance do sistema de informação Passcovid.gal

1. Passcovid.gal é um sistema de informação que poderá ter as finalidades e funcionalidades que se prevêem nesta ordem. Este sistema de informação estará disponível para as pessoas utentes através de uma aplicação para dispositivos móveis.

Em caso que a dita aplicação seja utilizada para prestar à pessoa utente outras finalidades e funcionalidades diferentes das próprias do sistema de informação Passcovid.gal, com respeito ao regime jurídico e ao regime de responsabilidades, observar-se-á o previsto nas disposições em cada caso aplicável a essas diferentes finalidades e funcionalidades.

2. O sistema de informação Passcovid.gal não terá em nenhum caso a consideração de sistema de diagnóstico médico, de atenção sanitária ou de prescrição farmacolóxica. Em consequência, não terá por finalidade nem estará destinado a ser utilizado com fins médicos específicos de diagnóstico, prevenção, seguimento, predição, prognóstico, tratamento ou alívio de uma doença.

Artigo 3. Finalidades do sistema

O sistema de informação Passcovid.gal poderá ter as seguintes finalidades:

a) Estabelecer um canal de comunicação directa entre o Sistema público de saúde da Galiza e as pessoas utentes para facilitar conselhos práticos e orientações de carácter geral relativas à crise sanitária ocasionada pelo COVID-19, assim como recomendações das acções e medidas a seguir para enfrentar a situação.

b) Oferecer informação sobre recursos de interesse para o seguimento das pautas de saúde, de confinamento ou de mobilidade.

c) Facilitar informação personalizada sobre o risco transmissor que cada pessoa utente supõe para os demais com base na informação que dela dispõe o Sistema público de saúde da Galiza.

d) Permitir a identificação e a alerta de contactos relevantes epidemioloxicamente com pessoas utentes declaradas como caso COVID-19.

e) Oferecer, através da aplicação, um suporte digital para recolher a informação e documentação de utilidade para facilitar a aplicação das medidas que adoptem as autoridades competente na gestão da crise sanitária causada pelo COVID-19, na medida e nos termos que o permitam as disposições, os actos, as instruções e os protocolos que disciplinen tais medidas.

f) Obter informação relevante pelo seu valor científico ou epidemiolóxico com as devidas garantias de anonimización.

Artigo 4. Funcionalidades do sistema de informação

Para atingir as finalidades previstas no artigo anterior, o sistema de informação Passcovid.gal poderá ter as seguintes funcionalidades:

a) Recepção de informação ou alertas relativas a conselhos práticos e orientações de carácter geral relativas ao COVID-19, assim como recomendações a respeito de acções e medidas adequadas que se vão seguir.

b) Xeolocalización de recursos de interesse que possam servir de apoio à cidadania para o seguimento das pautas de saúde, de confinamento ou de mobilidade.

c) Determinação da informação individual da pessoa utente relativa à situação de saúde em referência ao COVID-19, em termos de nível de risco transmissor. A informação determinar-se-á com base no conhecimento que da pessoa utente tenha o Sistema público de saúde da Galiza.

d) Identificação por parte da pessoa utente de contactos recentes.

e) Recepção de comunicações por estar em situação de contacto estreito por casos declarados COVID-19.

f) Proporcionar à pessoa utente o suporte digital de informação ou documentação individual relativa às suas circunstâncias laborais ou de localização geográfica com o fim de facilitar a aplicação das medidas que adoptem as autoridades competente na gestão da crise sanitária causada pelo COVID-19, na medida e nos termos que o permitam as disposições, os actos, as instruções e os protocolos que disciplinen tais medidas.

Artigo 5. Titularidade e responsabilidade do sistema de informação

1. A titularidade do serviço prestado através do sistema de informação Passcovid.gal corresponde à conselharia competente em matéria de sanidade.

2. A Agência para a Modernização Tecnológica da Galiza (em diante, Amtega), como entidade instrumental do sector público autonómico com competências em matéria de desenvolvimento digital, será a responsável pela gestão tecnológica e de continuidade, acessibilidade e segurança do sistema de informação Passcovid.gal.

CAPÍTULO II

Pessoas utentes e carácter voluntário

Artigo 6. Pessoas utentes do sistema de informação Passcovid.gal

1. O sistema de informação Passcovid.gal poderá ser utilizado por qualquer pessoa, maior de idade, que seja residente ou se encontre temporariamente na Comunidade Autónoma galega.

2. O acesso e o uso da aplicação que dá acesso ao sistema de informação por menores de idade ficarão limitados a aquelas funcionalidades que não requeiram tratamento dos seus dados pessoais. Para a habilitação e o uso por menores de idade de funcionalidades que requeiram ou comportem o tratamento dos seus dados pessoais será necessária a prestação de consentimento nos termos previstos no artigo 7 da Lei orgânica 3/2018, de 5 de dezembro, de protecção de dados pessoais e garantia dos direitos digitais (em diante,  LOPDGDD).

Artigo 7. Instalação e uso voluntários da aplicação

1. A instalação da aplicação para dispositivos móveis que facilita o acesso ao sistema de informação Passcovid.gal, e a habilitação de cada uma das funcionalidades do sistema basear-se-ão na voluntariedade da pessoa utente.

Para tal efeito, a pessoa utente deverá consentir expressamente a habilitação de cada uma das funcionalidades por separado, determinando as que quer utilizar em função das que tem disponíveis, e poderá decidir em todo momento deshabilitar alguma ou algumas das funcionalidades assim como desinstalar a aplicação.

2. A prestação do consentimento, tanto para a instalação da aplicação coma para a habilitação das diferentes funcionalidades, baseará numa declaração ou clara acção afirmativa prestada de forma explícita pela pessoa utente para cada uma das finalidades especificadas. Com carácter prévio à prestação do consentimento, garantir-se-á a subministração de informação nos termos e com o alcance exixir pela normativa de protecção de dados.

3. Dado o seu carácter voluntário, não derivará nenhum tipo de consequência negativa para as pessoas que decidam não descargar ou não usar a aplicação, como também não para as pessoas utentes que decidam desinstalala ou retirar o consentimento previamente outorgado para a habilitação de alguma ou de algumas das funcionalidades. Contudo, a retirada do consentimento não afectará a licitude do tratamento prévio a ela.

Artigo 8. Identificação das pessoas utentes

1. Para o registo na aplicação que facilita o acesso ao sistema de informação
Passcovid.gal e os posteriores acessos a ela existirão duas modalidades de identificação:

a) Identificação verificada. Neste caso, a identificação para o registo na aplicação e os posteriores acessos realizará mediante o sistema de chaves concertadas da Xunta de Galicia, Chave365, pelo que a pessoa utente deverá estar previamente registada no sistema Chave365 regulado na Ordem de 6 de fevereiro de 2014 pela que se aprova o protocolo de identificação e assinatura electrónicas da Administração geral e do sector público autonómico da Galiza.

Ademais do código de utente e do código de acesso do sistema Chave365, com o fim de garantir o duplo factor de autenticação exixir pelo Esquema Nacional de Segurança (ENS), realizar-se-á um envio automático à terminal da pessoa utente de uma mensagem de texto com um código para introduzir no momento da sua autenticação. O supracitado código será de um só uso e terá uma duração máxima de 24 horas. A pessoa disporá de um número máximo de tentativas de acesso à aplicação antes do bloqueio automático do seu utente.

b) Identificação não verificada. Neste caso, a identificação para o registo na aplicação e os posteriores acessos realizará mediante um identificador na própria aplicação, sem verificação da identidade da pessoa utente.

c) Sem identificação prévia da pessoa utente, isto é, de forma anónima.

2. As funcionalidades do sistema disponíveis para cada pessoa utente através da aplicação dependerão da modalidade de identificação eleita por ela.

3. Qualquer funcionalidade que implique o acesso a informação de carácter pessoal recolhida nos sistemas de informação do sector público autonómico requererá necessariamente o acesso mediante a modalidade de identificação verificada, que permite a identificação segura mediante duplo factor de autenticação. O acesso ao sistema de informação Passcovid.gal, não habilita em nenhum caso a pessoa utente para o acesso à pasta pessoal de saúde nem à história clínica electrónica.

4. Tal e como se indica no artigo 7, a pessoa utente registada deverá expressamente consentir a habilitação, por separado, de cada uma das funcionalidades disponíveis na aplicação, determinando as que quer utilizar em função das que tem disponíveis. Ademais, sem prejuízo daqueles outros aspectos a que deva estender-se o dever de informação prévio à prestação do consentimento, a pessoa utente, antes de prestar o seu consentimento para o acesso e tratamento de dados procedentes de sistemas de informação, será informada de maneira completa dos concretos sistemas de informação de que se trate e dos dados existentes neles cujo acesso e tratamento consente.

CAPÍTULO III

Aspectos técnicos e operativos

Artigo 9. Determinação de critérios sobre aspectos relacionados com a saúde pública

1. A conselharia competente em matéria de sanidade estabelecerá os critérios que deverão adoptar para o funcionamento do sistema de informação Passcovid.gal em todos os aspectos relativos à matéria de saúde pública.

2. Entre tais aspectos, e sobre a base dos protocolos e das disposições vigentes em cada caso e momento, a conselharia competente em matéria de sanidade estabelecerá, para os efeitos deste sistema, os critérios de determinação dos conceitos de caso COVID-19 e de contacto estreito, assim como dos níveis de risco transmissor do vírus, ou a determinação do que se considera contacto estreito.

Artigo 10. Avaliação do sistema

1. As autoridades competente na gestão da crise sanitária determinarão os indicadores que permitam o seguimento do impacto do uso do sistema, com a finalidade de avaliar a sua eficácia e utilidade prática.

2. Igualmente, determinarão a informação que deva conservar-se conforme o disposto na normativa sanitária aplicável, assim como aquela que também proceda conservar, com as devidas garantias de anonimización, pelo seu valor científico ou epidemiolóxico.

CAPÍTULO IV

Publicidade, transparência e colaboração

Artigo 11. Publicidade e transparência

1. Com o fim de garantir a confiança no sistema e na aplicação que lhe dá suporte por parte das pessoas utentes dar-se-á publicidade às características de funcionamento do sistema assim como a todos aqueles aspectos que permitam ter um conhecimento adequado das suas finalidades, funcionalidades e dos protocolos conforme os quais funcionará. A dita publicidade realizar-se-á através do portal informativo https://passcovid.junta.gal

2. Em concreto, o portal https://passcovid.junta.gal facilitará, no mínimo, a seguinte informação:

a) O alcance e as finalidades e funcionalidades do sistema.

b) Os critérios de determinação dos conceitos utilizados no sistema, entre eles, os de caso COVID-19 e contacto estreito, e os critérios de determinação dos níveis de risco transmissor.

c) O funcionamento detalhado das funcionalidades do sistema, incluindo as fontes de informação utilizadas.

d) Informação sobre as novidades que se incorporem progressivamente no sistema.

e) A informação relativa aos direitos à privacidade e à protecção de dados pessoais. Em concreto publicar-se-á, conforme o exixir na legislação vigente, o correspondente registro de actividades de tratamento dos dados pessoais e facilitar-se-á informação que permitirá à pessoa utente o exercício dos direitos reconhecidos nos artigos 15 a 22 do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à protecção das pessoas físicas no que respeita ao tratamento de dados pessoais e à livre circulação destes dados e pelo que se derrogar a Directiva 95/46/CE, Regulamento geral de protecção de dados (em diante, RXPD) assim como a retirada do consentimento outorgado.

f) Qualquer outra informação que possa ser de interesse para o conhecimento do sistema.

3. Dado que a eficácia do sistema dependerá em grande medida da percentagem de povoação que descargue a aplicação que dá acesso ao dito sistema, promover-se-á a instalação e o uso da dita aplicação através de campanhas de sensibilização e difusão.

Artigo 12. Mecanismos de colaboração com outras administrações e instituições

1. Poderão estabelecer-se convénios ou acordos de colaboração com outras administrações públicas ou instituições, públicas ou privadas, com a finalidade de alargar o âmbito de implantação funcional do sistema permitindo atingir uma maior extensão deste, e sempre dentro do âmbito competencial autonómico.

2. Estes convénios ou acordos de colaboração deverão concretizar, no mínimo e sem prejuízo dos demais aspectos exixir pela normativa aplicável, a sua finalidade, as funcionalidades do sistema a que se referem e as possíveis comunicações de dados, assim como os aspectos relativos ao cumprimento da normativa vigente em matéria de protecção de dados. Em todo o caso, as comunicações de dados relativos à pessoa utente requererá do consentimento inequívoco e explícito desta.

CAPÍTULO V

Vigência do sistema

Artigo 13. Vigência do sistema de informação Passcovid.gal

1. O sistema de informação Passcovid.gal estará vinculado às disposições e aos protocolos de gestão da crise sanitária derivada do coronavirus COVID-19 pelo que a sua vigência rematará no momento da declaração, pelo governo estatal em aplicação do disposto no artigo 2.3 do Real decreto lei 21/2020, de 9 de junho, de medidas urgentes de prevenção, contenção e coordinação para fazer frente à crise sanitária ocasionada pelo COVID-19, da finalização da situação de crise sanitária ocasionada pelo COVID-19 ou, de ser posterior, no momento da declaração, pelo governo autonómico, da finalização da situação de emergência sanitária declarada pelo Acordo do Conselho da Xunta da Galiza de 13 de março de 2020, pelo que se declara a situação de emergência sanitária no território da Comunidade Autónoma da Galiza e se activa o Plano territorial de emergências da Galiza (Platerga) no seu nível IG (emergência de interesse galego), como consequência da evolução da epidemia do coronavirus COVID-19.

2. Em defesa da necessária transparência, mediante resolução da pessoa titular da conselharia competente em matéria de sanidade publicado no Diário Oficial da Galiza, fá-se-á público o momento do fim da vigência do sistema conforme o disposto no número anterior.

3. A finalização da vigência do sistema implicará a imediata desactivação da aplicação que dá acesso ao dito sistema nos dispositivos móveis e a supresión dos dados pessoais tratados para os fins do sistema.

4. O disposto no número anterior percebe-se sem prejuízo dos dados que devam conservar-se em cumprimento da normativa sanitária aplicável, assim como da possível conservação daquela informação que seja relevante pelo seu valor científico ou epidemiolóxico ao serviço do interesse público durante períodos mais compridos, sempre que neste último caso se conserve num formato anonimizado e com as garantias necessárias para impossibilitar a reidentificación das pessoas afectadas.

CAPÍTULO VI

Protecção de dados pessoais

Artigo 14. Aspectos gerais a respeito da protecção de dados pessoais

1. Tanto no desenvolvimento coma na posta em marcha e funcionamento do sistema e da aplicação que dá acesso a este, e posteriormente na sua desactivação, estabelecer-se-ão as garantias necessárias para as pessoas utentes e demais pessoas afectadas a respeito do tratamento dos seus dados pessoais, segundo o disposto na normativa vigente em matéria de protecção de dados e confidencialidade das comunicações, em especial a Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento dos dados pessoais e à protecção da intimidai no sector das comunicações electrónicas (Directiva sobre a privacidade e as comunicações electrónicas), assim como as suas normas de transposición; o RXPD, e a LOPDGDD.

Estas garantias respeitarão os princípios recolhidos na dita normativa. Em particular, a recolhida dos dados pessoais regerá pelos princípios gerais de efectividade, necessidade e proporcionalidade, respeitando-se em todo o caso o princípio de minimización dos dados.

2. O responsável pelo tratamento será a conselharia com competências em matéria de sanidade. A Amtega terá a consideração de encarregada do tratamento para o desenvolvimento, manutenção, alojamento e gestão do sistema e da aplicação através da qual se lhe dará acesso a ele às pessoas utentes. Autoriza-se a Amtega, pela sua vez, para recorrer a outros encarregados do tratamento para o desenvolvimento do seu encargo.

Neste contexto, tomar-se-ão medidas para garantir que qualquer pessoa que actue baixo a autoridade do responsável ou do encarregado e tenha acesso a dados pessoais só possa tratar os supracitados dados seguindo instruções do responsável, salvo que esteja obrigada a isso em virtude do direito da União ou dos Estados membros. Entre outras medidas, solicitar-se-ão os compromissos de confidencialidade pessoais necessários nos cales se fará menção expressa ao dever de segredo profissional conforme o exixir no RXPD.

3. A habilitação da funcionalidade de determinação do nível de risco transmissor face ao vírus, assim como a de declaração de contactos recentes comportará o tratamento de categorias especiais de dados como os relativos à saúde. Também poderão tratar-se dados identificativo, dados relativos às características pessoais e dados de detalhe do emprego assim como aqueles outros necessários para o cumprimento das finalidades do sistema.

4. Como se indica no artigo 7, tanto a instalação da aplicação que dá acesso ao sistema como a activação de cada uma das funcionalidades têm carácter voluntário, e a pessoa interessada deverá prestar o seu consentimento; será também voluntário o uso da aplicação. Agora bem, este carácter voluntário não significa que o tratamento dos dados pessoais se baseie necessária e exclusivamente no consentimento, senão que a base legítima principal do tratamento de dados é a relativa ao cumprimento de uma missão realizada em interesse público (artigos 6.1.e) e 9.2.g) e i) do RXPD e 8.2 e 9.2 da LOPDGDD), na medida em que o sistema de informação permitirá às autoridades sanitárias autonómicas a prestação de serviços e o cumprimento de funções previstos em diversas normas legais em matéria de saúde pública que resultam de aplicação numa situação de crise sanitária, singularmente a Lei orgânica 3/1986, de 14 de abril, de medidas especiais em matéria de saúde pública; a Lei 14/1986, de 25 de abril, geral de sanidade; a Lei 33/2011, de 4 de outubro, geral de saúde pública, e a Lei 8/2008, de 10 de julho, de saúde da Galiza.

5. Em cumprimento do princípio de limitação da finalidade, os dados pessoais serão tratados unicamente para as finalidades indicadas nesta ordem e para nenhuma outra, e não serão utilizados posteriormente de maneira incompatível com os supracitados fins. Os possíveis tratamentos que possam resultar necessários com fins de arquivamento em interesse público, investigação científica ou histórica ou estatísticos estarão sujeitos as garantias previstas no artigo 89 do RXPD e regerão pela legislação aplicável a cada caso . Além disso, de acordo com o princípio de minimización de dados, unicamente serão objecto de tratamento os dados que sejam adequados, pertinente e estritamente necessários para as diferentes funcionalidades do sistema, depois de valorar a necessidade do seu tratamento e a sua pertinência, ademais de não existir outra medida menos invasiva que possa oferecer os mesmos resultados.

6. O cumprimento do princípio de responsabilidade proactiva e da obrigación de implementar a privacidade desde o desenho e por defeito documentará numa avaliação de impacto na protecção de dados de cujo resultado, assim como das suas possíveis actualizações, se dará difusão.

A supracitada avaliação de impacto será objecto das actualizações necessárias na medida em que o sistema e a aplicação que dá acesso a este possam evoluir, incorporando progressivamente novos serviços para as pessoas utentes aos que inicialmente se ponham à sua disposição, sempre dentro das finalidades e funcionalidades previstas na presente ordem.

7. No desenvolvimento e na operativa do sistema e da aplicação que dá acesso a este respeitar-se-ão os princípios de confidencialidade, segurança e exactidão dos dados.

Toda a pessoa com acesso autorizado aos dados pessoais estará sujeita ao dever de segredo a respeito destes.

Pôr-se-á especial énfase na protecção dos dados de saúde dado que o seu tratamento pode entranhar maiores riscos para as pessoas interessadas.

Sempre que seja possível restringir-se-á o tratamento ao uso de dados anonimizados e agregados.

Aplicar-se-ão, além disso, medidas técnicas e organizativo apropriadas para garantir um nível de segurança adequado ao risco, incluindo: a pseudonimización e a cifraxe de dados pessoais; a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliencia permanentes dos sistemas e serviços de tratamento; a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais de forma rápida em caso de incidência física ou técnica e um procedimento permanente de verificação, avaliação e valoração da eficácia das medidas técnicas e organizativo para garantir a segurança do tratamento. Em concreto, aplicarão aos tratamentos de dados pessoais derivados das diferentes funcionalidades do sistema as medidas que correspondam segundo o previsto no Esquema Nacional de segurança protegendo, assim, a segurança dos dados. As ditas medidas documentar-se-ão adequadamente. Implementaranse, ademais, as medidas necessárias para garantir a exactidão e actualização dos dados pessoais tratados.

8. Os dados não se conservarão durante mais tempo do necessário para cada uma das funcionalidades do sistema e, uma vez finalizada a vigência do sistema, proceder-se-á consonte o especificado no artigo 13.

9. Garantir-se-á que os delegados de protecção de dados correspondentes ao âmbito do sistema de informação participem de forma adequada e em tempo oportuno em todas as questões relativas à protecção de dados pessoais que afectem o conteúdo da presente ordem.

10. Com o fim de garantir a confiança no sistema e na aplicação que dá acesso a este por parte das pessoas utentes implementaranse os necessários requisitos de transparência sobre a configuração de privacidade, mantendo as pessoas utentes à sua disposição, de forma permanente, facilmente acessível e numa linguagem clara e singela, a informação necessária sobre o tratamento dos seus dados que se está levando a cabo e as suas principais características. Para tal fim, elaborar-se-á e publicar-se-á, conforme o exixir na legislação vigente, o correspondente registro de actividades de tratamento dos dados pessoais. Ademais, o sistema permitirá ao utente o exercício dos direitos reconhecidos nos artigos 15 a 22 do RXPD, assim como a retirada do consentimento outorgado mediante um procedimento ao menos tão singelo como o utilizado para dá-lo.

11. Como medidas específicas aplicável ao tratamento dos dados pessoais, implementaranse, entre outras, as seguintes:

a) Estabelecer-se-ão as salvaguardar necessárias para prevenir a reversibilidade da anonimización e evitar a reidentificación de pessoas.

b) Desenvolver-se-ão os requisitos de acessibilidade para as pessoas com deficiência.

c) Utilizar-se-ão técnicas de cifraxe avançadas tanto no armazenamento dos dados como nas transmissões dos mesmos.

d) Implementarase um sistema de controlo de acessos ao sistema baseado no princípio do mínimo privilégio. Para estes efeitos, autorizar-se-á o acesso aos dados para os seguintes perfis: administrador do sistema, xestor do sistema ou pessoa utente com as modalidades de identificação estabelecidos nesta ordem.

e) Subscrever-se-ão os contratos ou actos jurídicos previstos pelo artigo 28 do RXPD a respeito da relação com os encarregados e possíveis subencargados do tratamento dos dados, assim como compromissos de confidencialidade das pessoas com acesso autorizado aos dados. Em relação com este último aspecto, a presente ordem constitui a norma reguladora pela que se atribuem as competências próprias do encarregado do tratamento à Amtega para os efeitos do estabelecido pelo artigo 33.5 da LOPDGDD e segundo o exixir pelo artigo 28.3 do RXPD.

Artigo 15. Obrigações do encarregado e dos possíveis subencargados do tratamento

1. Conforme o previsto no artigo 33.5 da LOPDGDD, atribui-se à Amtega mediante a presente ordem a condição e as competências próprias de encarregado do tratamento para o desenvolvimento, manutenção, alojamento e gestão do sistema e da aplicação através da qual se dará acesso a ele.

Em virtude do anterior, a Amtega dará estrito cumprimento às obrigações que se estabelecem a seguir:

a) Utilizar os dados pessoais objecto de tratamento, ou os que recolha para a sua inclusão, só para a finalidade objecto do encargo. Em nenhum caso poderá utilizar os dados para fins próprios.

b) Tratar os dados de acordo com as instruções do responsável pelo tratamento. Para isto, dar-se-lhe-á deslocação, entre outra documentação, dos resultados da avaliação ou avaliações de impacto relativas à protecção de dados realizadas, assim como das análises de riscos correspondentes e de todas as garantias previstas na presente ordem. Se a Amtega considera que alguma das instruções infringe o RXPD, a LOPDGDD ou qualquer outra disposição vigente em matéria de protecção de dados, informará imediatamente o responsável.

c) Levar por escrito um registro das actividades de tratamento efectuadas por conta do responsável, que inclua o conteúdo previsto no artigo 30 do RXPD.

d) Não comunicar os dados a terceiras pessoas, salvo que conte com a autorização expressa do responsável pelo tratamento, nos supostos legalmente admissíveis. A Amtega poderá comunicar os dados a outros encarregados do tratamento do mesmo responsável, de acordo com as instruções deste último.

e) Não divulgar nem comunicar sem a autorização do responsável pelo tratamento a informação facilitada ou recebida como resultado do encargo.

f) Informar o responsável por qualquer mudança prevista na incorporação ou substituição dos possíveis subencargados, dando assim ao responsável a oportunidade de opor-se às supracitadas mudanças. O responsável pelo tratamento poderá expressar a sua oposição ao respeito no prazo máximo de 7 dias hábeis.

g) Manter o dever de segredo a respeito dos dados pessoais a que tivesse acesso, mesmo depois de que finalize o objecto do encargo.

h) Restringir o acesso à informação aos seus empregados e subcontratados, salvo na medida em que razoavelmente possam necessitar para o cumprimento das suas tarefas directamente relacionadas com a prestação de serviços ao responsável e garantir que as pessoas autorizadas para tratar dados pessoais se comprometam, de forma expressa e por escrito, a respeitar a confidencialidade e a cumprir as medidas de segurança correspondentes.

i) Garantir a formação necessária em matéria de protecção de dados pessoais das pessoas autorizadas para tratar este tipo de informação.

j) Assistir o responsável pelo tratamento na resposta ao exercício dos direitos reconhecidos pela legislação vigente em matéria de protecção de dados pessoais, através de medidas técnicas e organizativo apropriadas, para que aquele possa cumprir com a sua obrigación de responder às solicitudes que tenham por objecto o exercício de tais direitos nos prazos legalmente previstos. Para isso, a Amtega facilitará ao responsável, por requerimento deste, e com a maior brevidade possível, quanta informação seja necessária ou relevante para estes efeitos. Em caso que as pessoas afectadas solicitassem o exercício dos seus direitos ante a Amtega esta informá-los-á, através de qualquer médio fidedigno, do procedimento previsto para isso, e dará deslocação, ao mesmo tempo, do contido da supracitada solicitude ao responsável.

k) Notificar ao responsável pelo tratamento, de forma imediata e implementando as medidas de segurança necessárias, as violações da segurança dos dados pessoais ao seu cargo de que tenha conhecimento, junto com toda a informação relevante para a documentação e comunicação da incidência, de ser o caso, à Agência Espanhola de Protecção de Dados, conforme o previsto no artigo 33 do RXPD.

l) Dar apoio ao responsável pelo tratamento na realização das avaliações de impacto relativas à protecção de dados e na realização das consultas prévias à autoridade de controlo, quando cumpra.

m) Ajudar o responsável para garantir o cumprimento das obrigacións estabelecidas nos artigos 32 a 36 do RXPD, segundo a natureza do tratamento e a informação ao dispor do encarregado.

n) Implantar, em todo o caso, as medidas de segurança necessárias para:

1º. Garantir a confidencialidade, integridade, disponibilidade e resiliencia permanentes dos sistemas e serviços de tratamento.

2º. Restaurar a disponibilidade e o acesso aos dados pessoais de forma rápida, em caso de incidência física ou técnica.

3º. Verificar, avaliar e valorar, de forma regular, a eficácia das medidas técnicas e organizativo implantadas para garantir a segurança do tratamento.

4º. Pseudonimizar e cifrar os dados pessoais, se for necessário.

5º. Além disso, nos casos em que resulte aplicável, implantar-se-ão, ademais, as previsões recolhidas no Real decreto 3/2010, de 8 de janeiro, pelo que se regula o Esquema Nacional de Segurança no âmbito da administração electrónica (ENS).

ñ) Pôr à disposição do responsável toda a informação necessária para demonstrar o cumprimento das suas obrigacións. Em particular, possibilitar-se-á a realização das auditoria ou inspecção por parte do próprio responsável ou outro auditor autorizado, assim como, de ser o caso, facilitar-se-ão os certificados de cumprimento da normativa expedidos por entidades acreditadas.

o) Designar um delegado de protecção de dados segundo o previsto no artigo 37 do RXPD e no artigo 34 da LOPDGDD, e comunicar a sua identidade e dados de contacto ao responsável, sem prejuízo da comunicação à Agência Espanhola de Protecção de Dados.

p) Devolver ao responsável, tão pronto como finalize o encargo, os dados pessoais e, de ser o caso, os suportes onde constem. A devolução suporá o apagado total dos dados existentes nas equipas informáticas utilizadas pelo encarregado e subencargados. Não obstante, de conformidade com a normativa em matéria de protecção de dados, poderão conservar uma cópia dos dados estritamente necessários, devidamente bloqueados, enquanto se possam derivar responsabilidades da execução do encargo.

2. Segundo o previsto no artigo 14.2, autoriza-se a Amtega para recorrer a outros encarregados do tratamento para o desenvolvimento do seu encargo. Para estes efeitos, corresponder-lhe-á à Amtega formalizar a relação com os supracitados subencargados, os quais ficarão submetidos às mesmas obrigações de protecção de dados que as previstas neste artigo para a Amtega, em particular no referente à prestação de garantias suficientes e à aplicação de medidas técnicas e organizativo apropriadas de maneira que o tratamento seja conforme à normativa em matéria de protecção de dados. Se o subencargado incumpre as suas obrigações de protecção de dados, a Amtega seguirá sendo plenamente responsável ante o responsável pelo tratamento pelo que respeita ao cumprimento das obrigações do subencargado. Em caso que a relação entre a Amtega e o subencargado se submeta à Lei 9/2017, de 8 de novembro, de contratos do sector público, pela que se transpõem ao ordenamento jurídico espanhol as directivas do Parlamento Europeu e do Conselho 2014/23/UE e 2014/24/UE, de 26 de fevereiro de 2014, deverá observar-se também o disposto na supracitada lei.

Disposição adicional única. Actualizações do sistema

O sistema de informação Passcovid.gal poderá evoluir no seu funcionamento ou nos serviços incluídos em função do previsto nas disposições, actos, instruções ou protocolos que disciplinen as medidas que adoptem as autoridades competente na gestão da crise sanitária causada pelo COVID-19, respeitando em todo o caso as finalidades e funcionalidades previstas nesta ordem. No portal informativo do sistema previsto no artigo 11 dar-se-á publicidade às sucessivas versões de melhora dele ou novos serviços incluídos e que melhoram ou completam as funcionalidades do sistema dentro das finalidades expressamente previstas na presente ordem.

Disposição derradeiro única. Entrada em vigor

Esta ordem entrará em vigor o dia seguinte ao da sua publicação no Diário Oficial da Galiza.

Santiago de Compostela, 18 de agosto de 2020

Jesús Vázquez Almuíña
Conselheiro de Sanidade