Política de Privacidade

Esta Política de Privacidade identifica a informação coligida, explica a necessidade de a coligir e a forma como é utilizada pela aplicação para dispositivos móveis STAYAWAY COVID (doravante referida como aplicação). É importante conhecê-la enquanto titular de dados pessoais.

Responsável pelo tratamento de dados

FCT – Fundação para a Ciência e a Tecnologia. 

Sede Av. D. Carlos I, 126, 1249-074 Lisboa, Portugal. 

Tel: 213 924 300 Fax: 213 956 519

Finalidade do tratamento de dados

O objetivo do tratamento de dados na aplicação é o de contribuir para um rastreio mais rápido, amplo e eficaz da COVID-19 em Portugal, no contexto do plano global de combate à pandemia definido pelas autoridades de saúde portuguesas e em linha com exemplos congéneres do outros países europeus. A aplicação é parte de um sistema informático que permitirá ao utilizador ser informado sobre o seu potencial risco de contágio com base na monitorização dos seus contactos de proximidade dos últimos 14 dias. A aplicação é de adesão e participação voluntária permitindo em qualquer momento, autónoma e unilateralmente, deixar de o fazer.

Licitude do tratamento de dados

Os fundamentos de licitude para tratamento de dados na aplicação móvel é o interesse público no domínio da saúde pública com base na lei nacional portuguesa e nos artigos 6º nº 1 e) e 9º nº2 i).

Dados pessoais e prazos de conservação

Por omissão, os dados pessoais recolhidos pela aplicação nunca permitem identificar diretamente utilizadores ou os seus dispositivos. Para proteger a sua privacidade apenas são usados identificadores alfanuméricos efémeros e gerados aleatoriamente, que legalmente são considerados dados pseudoanonimizados. Na medida em que podem reportar a utilizadores diagnosticados com COVID-19 ou àqueles alertados de potencial risco de contágio, consideramos que aqueles identificadores se referem a dados relativos à sua saúde. A aplicação difunde e recebe estes identificadores aleatórios de outros dispositivos que estejam próximos. Os identificadores aleatórios difundidos (nunca os recebidos) poderão ser partilhados publicamente pela aplicação num servidor oficial e localizado em território nacional. Nenhum identificador é armazenado no sistema por um período superior a 14 dias. Como resultado do processamento dos identificadores aleatórios, o utilizador poderá receber um alerta com informação de potencial risco de contágio e a data de ocorrência do mais recente contacto de proximidade que lhe deu origem. Esta informação é mantida pela aplicação até ser desinstalada.

Recolha e processamento de dados

O sistema é composto por dois sub-sistemas:

  •  um sub-sistema de avaliação de contactos de proximidade, que compreende a aplicação e um servidor (SPD);
  • um sub-sistema de gestão de códigos de legitimação de diagnóstico, que compreende um cliente web e um servidor (SLD).

Ambos os servidores estão sob o controlo da Fundação para a Ciência e a Tecnologia. A aplicação utiliza a tecnologia Bluetooth de baixo consumo (BLE) para difundir e receber identificadores aleatórios de dispositivos próximos. Quando sob o alcance de um outro dispositivo a executar a aplicação, a aplicação armazena os seguintes dados:

  • os identificadores aleatórios difundidos pelo outro dispositivo;
  • a potência do sinal;
  • a data e a duração estimada do contacto.

No caso de um utilizador ser diagnosticado com COVID-19 os seguintes dados são armazenados no SLD:

  • o códigio de legitimação do diagnóstico para obtenção de certificado de acesso ao SPD;
  • a data dos primeiros sintomas ou a data de teste para indivíduos assintomáticos;
  • a data em que estes dados deverão ser destruídos no SLD;
  • o número de vezes que o código de legitimação do diagnóstico foi utilizado.
    O servidor SPD contém uma lista com os seguintes dados:
  • os identificadores aleatórios de utilizadores diagnosticados com COVID-19;
  • a data de cada identificador.

Transferências internacionais de dados

Não estão previstas transferências internacionais de dados para além das implicadas pelo cariz público dos dados constantes do servidor SPD e do armazenamento local de informação ao nível dos próprios dispositivos móveis dos utilizadores.

Direitos dos titulares

O Regulamento Europeu de Proteção de Dados (Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016 – RGPD) assegura aos utilizadores, enquanto titulares de dados pessoais, além do direito de informação, os direitos de acesso, retificação, modificação ou apagamento e oposição ao tratamento. No entanto, atendendo à impossibilidade de o responsável pelo tratamento identificar os utilizadores, neste caso, em princípio, não são serão aplicáveis os artigos 15º a 20º do Regulamento, relativos aos direitos de acesso, retificação, modificação ou apagamento, em conformidade com o disposto no nº 2 do artigo 11º do mesmo regulamento. Já o direito de oposição será facilmente exercido desinstalando a aplicação.

O titular dos dados pessoais poderá exercer os seus direitos bem como solicitar qualquer informação respeitante ao tratamento dos seus dados pessoais mediante solicitação escrita dirigida ao responsável pelo tratamento ou ao respetivo encarregado de proteção de dados, através, dos endereços postal e de email seguintes:

Endereço email STAYAWAY COVID: stayaway@inesctec.pt

Endereço email DPO: dpo@inesctec.pt

O RGPD garante, ainda, ao titular dos dados, nos termos do seu artigo 77º, o direito de apresentar uma queixa junto de uma autoridade de controlo na União Europeia. Em Portugal a entidade de controlo competente é a CNPD (www.cnpd.pt ).

Desinstalação e descontinuação da aplicação

O utilizador pode a qualquer momento desinstalar a aplicação sem que tal lhe traga algum prejuízo. A desinstalação vai resultar no apagamento de todos os dados processados pela aplicação, incluindo os dados armazenados no servidor do sistema.


Todo o sistema será descontinuado quando for declarado em Portugal o fim da pandemia.

Alterações à política de privacidade

O responsável pelo tratamento de dados pessoais tem o direito de modificar e atualizar a Política de Privacidade. As informações sobre as alterações introduzidas ao longo do texto deverão ser resumidas neste capítulo e associadas à data da sua efetiva implementação.


O utilizador deverá ter sempre disponível via a aplicação a versão atualizada da Política de Privacidade.