Ferramentas para facilitar as viagens na UE durante a pandemia de COVID‑19 Iniciativas pertinentes, impacto varia entre o sucesso e a baixa adesão

Síntese

I Em março de 2020, após a deteção dos primeiros casos de COVID-19 na UE, os Estados-Membros começaram a impor proibições de viagem e outras restrições à livre circulação dos cidadãos. Para facilitar as viagens e ajudar a rastrear casos de COVID-19, a Comissão desenvolveu quatro ferramentas:

• o serviço europeu de interoperabilidade federativa, um portal para assegurar a interoperabilidade a nível da UE entre as aplicações nacionais de rastreio de contactos;
• o Formulário Digital de Localização do Passageiro, uma ferramenta que substitui os formulários em papel utilizados para recolher informações que permitem o rastreio de contactos durante as viagens;
• o Certificado Digital COVID da UE, um certificado que comprova um teste à COVID-19 com resultado negativo, a vacinação contra a doença ou a recuperação da mesma;
• a plataforma para o intercâmbio de formulários de localização dos passageiros, uma solução para as autoridades nacionais dos diferentes Estados-Membros partilharem dados que permitem o rastreio de contactos.

II A finalidade da presente auditoria foi avaliar se a Comissão desenvolveu ferramentas eficazes para facilitar as viagens no interior da UE durante a pandemia de COVID-19. O Tribunal visou, assim, apontar exemplos de boas práticas e domínios a melhorar na forma como a Comissão desenvolve ferramentas informáticas para facilitar a livre circulação durante uma crise sanitária. Esta auditoria complementa o Relatório Especial 13/2022 do TCE, que avaliou se a Comissão tinha tomado medidas eficazes para proteger o direito de livre circulação de pessoas durante a pandemia de COVID-19.

III A conclusão geral do Tribunal é que, apesar das suas competências limitadas em matéria de política de saúde pública, a Comissão avançou rapidamente na proposta de soluções tecnológicas adequadas para facilitar as viagens na União durante a pandemia de COVID-19. Contudo, estas ferramentas foram utilizadas pelos Estados-Membros em graus muito variáveis, pelo que tiveram um impacto desigual na facilitação das viagens.

IV A Comissão mobilizou rapidamente 71 milhões de euros para o desenvolvimento das ferramentas, combinando várias fontes de financiamento e recorrendo aos contratos-quadro existentes em vez de a concursos públicos. O portal de rastreio de contactos ficou disponível pouco depois do início da pandemia e do lançamento do Certificado Digital COVID da UE, numa altura em que os esforços de vacinação se intensificavam em todo o continente. O trabalho técnico e legislativo relativo a estas ferramentas foi rápido. No entanto, vários Estados-Membros já tinham desenvolvido os seus próprios formulários digitais de localização de passageiros antes de estar disponível a solução da União referente a estes formulários.

V Ao conceber as ferramentas da União, a Comissão teve em conta os requisitos de proteção de dados e as boas práticas em matéria de segurança informática. Porém, não tem autoridade para verificar se os países que utilizam o Certificado Digital COVID da UE cumprem os requisitos de segurança informática.

VI O Certificado Digital COVID da UE foi eficaz a facilitar as viagens e melhorou a partilha de informações e a coordenação em relação às restrições de viagem. Os Estados-Membros e muitos países terceiros utilizaram este sistema de forma generalizada e, até março de 2022, tinham sido emitidos mais de 1,7 mil milhões de certificados em países da UE e do Espaço Económico Europeu. Além disso, no período de um mês após a entrada em vigor do Regulamento Certificado Digital COVID da UE, os Estados-Membros harmonizaram consideravelmente as suas restrições de viagem. O Tribunal constatou, todavia, que as disposições que permitem aos países informarem-se mutuamente sobre incidentes que exijam uma resposta urgente (por exemplo, certificados fraudulentos) são morosas devido às dificuldades em identificar os homólogos certos nos outros países.

VII As restantes ferramentas examinadas não tiveram o impacto pretendido devido à sua reduzida utilização. O Formulário Digital de Localização do Passageiro foi utilizado por apenas quatro Estados-Membros, enquanto outros países continuaram a basear-se em soluções nacionais. A plataforma para o intercâmbio de formulários e o portal de rastreio de contactos foram globalmente pouco utilizados.

VIII Com base nestas conclusões, o Tribunal recomenda que a Comissão deve:

• analisar e sanar os motivos da baixa adesão às soluções referentes aos formulários digitais de localização de passageiros;
• facilitar a comunicação sobre incidentes relacionados com o Certificado Digital COVID da UE;
• elaborar ferramentas da UE pertinentes para futuras crises.

Introdução

01 A livre circulação de pessoas é o direito de os cidadãos da União Europeia (UE) e os seus familiares circularem e residirem livremente no território dos Estados-Membros. Situando-se no cerne do projeto europeu desde a sua criação, é uma das quatro liberdades fundamentais da União (juntamente com a livre circulação de mercadorias, serviços e capitais)¹. A Diretiva Livre Circulação² estabelece as condições e limitações aplicáveis.

02 A proteção da saúde pública é da competência dos Estados-Membros³. Nestes termos, a Comissão Europeia desempenha um papel limitado na política de saúde, centrando-se principalmente na coordenação⁴. Pode apoiar e complementar as ações dos Estados-Membros, que dispõem de poderes substanciais para determinar as suas próprias políticas de saúde⁵.

03 Em março de 2020, após a deteção dos primeiros casos de COVID-19, os Estados-Membros começaram a impor controlos nas fronteiras e restrições à livre circulação dos cidadãos, numa tentativa de limitar a propagação da pandemia. Contudo, a Comissão era responsável por verificar se estas restrições estavam em conformidade com a legislação da UE em matéria de livre circulação. De modo a limitar o impacto das medidas relacionadas com a COVID-19 na livre circulação, a Comissão tomou várias iniciativas para apoiar a coordenação entre os Estados-Membros.

04 A Comissão desenvolveu igualmente as seguintes ferramentas para facilitar as viagens e ajudar a rastrear casos positivos de COVID-19 (para uma descrição pormenorizada das ferramentas, ver anexo I):

• um portal de rastreio de contactos, o serviço europeu de interoperabilidade federativa;
• o Formulário Digital de Localização do Passageiro;
• o Certificado Digital COVID da UE;
• uma plataforma para o intercâmbio de formulários de localização dos passageiros.

05 As aplicações de rastreio de contactos, que informam anonimamente os utilizadores de que podem ter estado em contacto com uma pessoa infetada, foram uma das primeiras ferramentas disponibilizadas. A Comissão desenvolveu a ligação entre as diferentes aplicações de rastreio de contactos dos Estados-Membros, fazendo assim com que os seus benefícios incluam facilitar as viagens dentro da UE.

06 Durante a pandemia, a fim de facilitar o rastreio de contactos durante as viagens, os passageiros deviam preencher formulários de localização dos passageiros com os seus dados de contacto e de localização, que eram enviados às autoridades nacionais competentes. Em caso de teste positivo, as autoridades utilizavam os formulários para contactar os passageiros que se tinham sentado perto dessa pessoa e alertá-los para que realizassem um teste à COVID-19 e tomassem medidas de precaução. A Comissão desenvolveu o Formulário Digital de Localização do Passageiro para simplificar a utilização de formulários nacionais durante crises sanitárias transfronteiriças, como a COVID-19. O terceiro Programa de Saúde da UE (2014-2020) incluía uma ação comum denominada «EU Healthy Gateways», que, antes da eclosão da pandemia de COVID-19, já tinha começado a desenvolver formulários em papel para o transporte marítimo e terrestre a partir de modelos internacionais. Esta ação foi posteriormente utilizada para apoiar a digitalização dos formulários de localização dos passageiros.

07 A Comissão desenvolveu também o Certificado Digital COVID da UE, que proporcionava provas verificáveis e aceites mutuamente de que o titular tinha obtido recentemente um resultado negativo num teste à COVID-19, sido vacinado contra a doença ou recuperado da mesma. Os Estados Membros são obrigados a aceitar estes certificados ao decidirem, durante a pandemia de COVID-19, exigir que os viajantes apresentem uma prova de vacinação, de um teste com resultado negativo ou de recuperação.

08 A última ferramenta desenvolvida pela Comissão foi uma plataforma para o intercâmbio de formulários de localização dos passageiros pelos Estados-Membros. Esta plataforma permitia que as equipas de rastreio de contactos partilhassem diretamente formulários por via eletrónica, reduzindo assim o tempo necessário para informar os viajantes em risco.

09 O desenvolvimento das ferramentas envolveu vários serviços da Comissão. A Direção-Geral da Saúde e da Segurança dos Alimentos e a Direção-Geral das Redes de Comunicação, Conteúdos e Tecnologias eram as proprietárias do sistema subjacente ao portal de rastreio de contactos. Estas duas Direções-Gerais também lideraram o desenvolvimento do Certificado Digital COVID da UE, juntamente com a Direção-Geral da Justiça e dos Consumidores e a Direção-Geral da Migração e dos Assuntos Internos. Além disso, a Direção-Geral da Informática proporcionou a infraestrutura informática necessária.

10 O desenvolvimento destas ferramentas contou com o contributo dos Estados-Membros, principalmente através da rede de saúde em linha (ver caixa 1), bem como de agências da UE como o Centro Europeu de Prevenção e Controlo das Doenças ou a Agência Europeia de Medicamentos. O desenvolvimento das ferramentas de localização de passageiros foi coordenado pelos Estados-Membros, sob a forma de uma ação comum financiada pelo terceiro Programa de Saúde da UE, pela Agência da União Europeia para a Segurança da Aviação e pela Direção-Geral da Mobilidade e dos Transportes.

11 Estas ferramentas da UE tinham uma finalidade ímpar, o que significa que, quando do seu desenvolvimento, não existiam outros sistemas adequados a uma comparação. Para que fossem tão eficazes quanto possível na facilitação de viagens durante a pandemia de COVID-19, era importante a adesão de todos os Estados-Membros, que, assim, poderiam coordenar as suas restrições de viagem e fazer uma utilização coerente dos dados de saúde para gerirem as viagens na UE.

12 Além de disponibilizar 71 milhões de euros para apoiar o desenvolvimento das ferramentas informáticas, a Comissão concedeu 100 milhões de euros aos Estados-Membros para os ajudar a suportar os encargos financeiros dos testes à COVID-19. O aumento dos testes e da vacinação, por sua vez, fez subir o número de Certificados Digitais COVID-19 emitidos. As viagens transfronteiriças dentro da UE podem implicar algumas destas ferramentas ou todas elas, como descrito na figura 1.

Âmbito e método da auditoria

13 A presente auditoria complementa um Relatório Especial anterior⁷, no qual o Tribunal avaliou se a Comissão tinha tomado medidas eficazes para proteger o direito de livre circulação de pessoas durante a pandemia de COVID-19, tendo abrangido o seu escrutínio dos controlos nas fronteiras internas do espaço Schengen, as restrições de viagem conexas e os esforços de coordenação a nível da UE.

14 A finalidade desta segunda auditoria foi avaliar se a Comissão desenvolveu ferramentas eficazes para facilitar as viagens no interior da UE durante a crise provocada pela COVID-19. O Tribunal procurou apontar exemplos de boas práticas e domínios a melhorar na forma como a Comissão desenvolve ferramentas informáticas para facilitar a livre circulação durante crises sanitárias. Para dar resposta à principal questão de auditoria, o Tribunal colocou duas subquestões:

• A Comissão desenvolveu devidamente as ferramentas da UE para facilitar as viagens?
• Os Estados-Membros utilizaram amplamente as ferramentas da UE? Essa utilização levou a uma melhor coordenação e à partilha de informações sobre as suas restrições de viagem?

15 A auditoria abrange o período entre outubro de 2020 e junho de 2022 e centra-se nas quatro ferramentas da UE enumerados no ponto 04, incluindo o seu financiamento pela União. Não abrange o financiamento da UE para a vacinação contra a COVID-19, que o Tribunal avaliou anteriormente no seu relatório especial sobre a aquisição de vacinas contra a COVID-19 pela União⁸.

16 O Tribunal realizou a auditoria através de análises documentais, questionários escritos e entrevistas com as partes interessadas pertinentes, examinando e analisando:

• a legislação pertinente da UE, para identificar os principais requisitos regulamentares e as responsabilidades dos diferentes intervenientes;
• documentos internos da Comissão relativos ao desenvolvimento técnico e à adoção jurídica do Certificado Digital COVID da UE, do serviço europeu de interoperabilidade federativa, do Formulário Digital de Localização do Passageiro e de uma plataforma para o intercâmbio de formulários de localização dos passageiros;
• publicações da Comissão relacionadas com viagens no contexto da pandemia de COVID-19, tais como orientações, comunicações, propostas de recomendação ou propostas de atos legislativos;
• as especificações técnicas das ferramentas, avaliações da segurança e dos riscos, relatórios de testes de penetração e planos de segurança informática, de forma a permitir aos seus peritos informáticos verificar se as ferramentas cumprem os requisitos de segurança.

17 Para obter elementos de prova, confirmar factos e corroborar os dados recolhidos de outras fontes, o Tribunal realizou entrevistas de auditoria com:

• Direções-Gerais da Comissão (Justiça e Consumidores; Mobilidade e Transportes; Saúde e Segurança dos Alimentos; Redes de Comunicação, Conteúdos e Tecnologias);
• o Centro Europeu de Prevenção e Controlo das Doenças, cujas responsabilidades incluem mapas de risco e orientações no contexto da COVID-19;
• autoridades competentes no domínio da saúde nos Estados-Membros e em países terceiros:
• representantes de companhias aéreas, do setor das viagens e de associações de consumidores.

18 O Tribunal realizou igualmente um inquérito para recolher opiniões sobre a utilização das referidas ferramentas em cada Estado-Membro. Dos 27 delegados dos Estados-Membros que constituem o Mecanismo Integrado de Resposta Política a Situações de Crise, sob a égide do Conselho, 13 responderam ao inquérito, o que representa uma taxa de resposta de 48 %. O Tribunal utilizou este inquérito para fundamentar a sua análise e corroborar as suas observações.

Observações

A Comissão desenvolveu soluções tecnológicas adequadas, que nem sempre obtiveram a adesão dos Estados-Membros

19 Esta secção analisa se a Comissão desenvolveu devidamente as ferramentas para facilitar as viagens durante a pandemia de COVID-19 e, em especial, se:

1. mobilizou fundos da UE rapidamente após o início da pandemia;
2. produziu as ferramentas em tempo útil;
3. teve em consideração as necessidades dos Estados-Membros e o seu interesse em utilizarem as ferramentas;
4. teve em conta as questões de segurança informática e privacidade em relação a dados de saúde sensíveis.

20 O Tribunal examinou se as escolhas da Comissão quanto às fontes de financiamento e aos prestadores de serviços lhe permitiram começar a trabalhar no desenvolvimento das ferramentas imediatamente após o início da pandemia. Analisou igualmente o processo de consulta para avaliar se as ferramentas estavam em consonância com as prioridades dos Estados-Membros. Por último, avaliou se as ferramentas seguiram as boas práticas em matéria de proteção dos dados pessoais e de segurança informática.

A Comissão mobilizou rapidamente fundos da UE para as ferramentas

21 A Comissão mobilizou financiamento da UE a partir de diferentes fontes, como o Instrumento de Apoio de Emergência e o Programa Europa Digital. A União atribuiu 71 milhões de euros ao desenvolvimento das ferramentas. A figura 2 apresenta uma panorâmica visual deste financiamento.

22 O financiamento atribuído pela União ao Certificado Digital COVID da UE ascendeu a 50 milhões de euros (43 milhões de euros do Instrumento de Apoio de Emergência e 7 milhões de euros adicionais do Programa Europa Digital). À data de março de 2022, 77 % deste montante tinha sido afetado ao desenvolvimento e adaptação de soluções nacionais e à sua ligação ao portal do Certificado Digital COVID da UE: foram autorizados 21,9 milhões de euros para um contratante privado e foram pagos 16,7 milhões de euros em subvenções aos Estados-Membros.

23 O financiamento da UE para o portal de rastreio de contactos ascendeu a cerca de 16,8 milhões de euros (dos quais 13 milhões de euros provenientes do Instrumento de Apoio de Emergência). A Comissão justificou este financiamento com base na necessidade de facilitar o intercâmbio de dados entre países, permitindo que as aplicações nacionais notifiquem os utilizadores que tenham sido expostos a outro utilizador que use uma aplicação nacional diferente e que tenha tido um teste positivo à COVID-19.

24 A plataforma para o intercâmbio de formulários de localização dos passageiros e o Formulário Digital de Localização do Passageiro exigiram muito menos financiamento da União: foram atribuídos 2,9 milhões de euros à plataforma de intercâmbio (principalmente pelo Instrumento de Apoio de Emergência) e 1,3 milhões de euros ao Formulário Digital (com financiamento do Programa de Saúde da UE). O financiamento atribuído à plataforma de intercâmbio foi utilizado para financiar um projeto-piloto destinado a testar a viabilidade da plataforma e a expandi-la a um maior número de Estados-Membros e meios de transporte. O financiamento da versão digital do Formulário de Localização do Passageiro foi utilizado para o desenvolvimento, o alojamento em nuvem e a transferência da ferramenta para o ambiente informático da Comissão Europeia.

25 Além disso, na sequência do lançamento do Certificado Digital COVID da UE, a União disponibilizou 100 milhões de euros para apoiar os testes à COVID-19 nos Estados-Membros⁹. Este financiamento seguiu-se ao acordo político de 20 de maio de 2021 entre o Parlamento Europeu e o Conselho sobre o Regulamento Certificado Digital COVID da UE. Os Estados-Membros utilizaram a grande maioria (90 %) desta dotação, o que permitiu a emissão de certificados adicionais com base em testes de forma a facilitar as viagens.

26 O Tribunal constatou que a Comissão mobilizou rapidamente este financiamento e, ao desenvolver as ferramentas, seguiu uma estratégia pragmática que refletiu a necessidade de as produzir rapidamente. O desenvolvimento esteve sujeito a condicionalismos temporais, sem que tenham sido solicitadas propostas a diferentes contratantes. Em vez de recorrer a concursos públicos para obter licenças e desenvolver o portal de rastreio de contactos, o Certificado Digital COVID da UE e a plataforma para o intercâmbio de formulários de localização dos passageiros, a Comissão utilizou contratos-quadro que já tinha celebrado com um prestador de serviços informáticos em 30 de outubro de 2019 e 24 de fevereiro de 2020. Os contratos-quadro estabelecem as condições gerais de uma relação comercial e constituem uma base para a assinatura de contratos específicos para cada produção. Em relação ao Formulário Digital de Localização do Passageiro, o financiamento inicial foi mobilizado em julho de 2020, no âmbito da ação comum «EU Healthy Gateways», através da reafetação de fundos provenientes de atividades que não foi possível realizar devido à pandemia.

27 No caso do Certificado Digital COVID da UE, a Comissão selecionou o fornecedor através de um contrato-quadro que foi adjudicado mediante um procedimento por negociação lançado em 2019, sem publicação de um anúncio de concurso. Segundo a Comissão, o fornecedor selecionado adquiriu experiência com o desenvolvimento do portal de rastreio de contactos e era o único com os conhecimentos especializados necessários sobre osoftware a utilizar neste Certificado.

A Comissão desenvolveu em tempo útil o portal de rastreio de contactos e o sistema do Certificado Digital COVID da UE, mas, no caso dos formulários de localização dos passageiros, as soluções nacionais ficaram disponíveis antes das da UE

28 Quando a Organização Mundial da Saúde declarou a COVID-19 como pandemia, em março de 2020, os Estados-Membros começaram a impor restrições à livre circulação¹⁰ e a Comissão começou a emitir orientações para facilitar a coordenação entre eles¹¹. O portal de rastreio de contactos começou a funcionar sete meses após a declaração da pandemia, enquanto o Certificado Digital COVID da UE e o Formulário Digital de Localização do Passageiro demoraram cerca de 15 meses a ficarem disponíveis. A figura 3 ilustra o calendário de conceção e introdução das ferramentas. Tendo em conta os requisitos jurídicos e técnicos destas ferramentas, como em seguida se mostra, o Tribunal considera que o portal de rastreio de contactos e o Certificado Digital COVID da UE foram desenvolvidos em tempo útil, mas que o mesmo não sucedeu com as ferramentas relacionadas com os formulários de localização dos passageiros.

29 A primeira ferramenta a ser desenvolvida foi o portal de rastreio de contactos, um sistema à escala da UE para assegurar a interoperabilidade entre as aplicações nacionais de rastreio de contactos. Em 13 de maio de 2020, a Comissão emitiu um conjunto de orientações e recomendações para ajudar a levantar gradualmente as restrições de viagem¹² impostas pelos Estados-Membros. As orientações incentivavam a utilização da tecnologia para esse efeito. O portal entrou em funcionamento em outubro de 2020, cinco meses após a publicação das orientações pela Comissão.

30 No final de abril de 2020, apenas um mês após a imposição das primeiras restrições, a ação comum «EU Healthy Gateways» apresentou à Comissão uma proposta para digitalizar os formulários de localização dos passageiros. No entanto, as discussões entre a Comissão e os Estados-Membros demoraram vários meses, tendo a proposta sido aceite em agosto de 2020. Em outubro de 2020, o Conselho recomendou¹³ o desenvolvimento de um formulário comum da UE de localização do passageiro em formato digital. Nessa altura, vários Estados-Membros já estavam numa fase adiantada no desenvolvimento das suas próprias soluções nacionais (ver quadro 1).

31 Na sequência da recomendação do Conselho, em novembro de 2020 a Comissão iniciou os trabalhos sobre a plataforma para o intercâmbio de formulários de localização dos passageiros, mas a sua Decisão de Execução¹⁴ que rege o intercâmbio de formulários só foi adotada em 27 de maio de 2021. Os Estados-Membros só puderam começar a partilhar formulários digitais na plataforma em julho de 2021.

32 O Certificado Digital COVID da UE foi a quarta ferramenta criada pela Comissão, tendo começado a ser desenvolvido mais tarde do que os restantes por estar estreitamente relacionado com o processo de vacinação na UE. A Comissão e os Estados-Membros já estavam a discutir um certificado de vacinação contra a COVID-19 desde novembro de 2020, no âmbito da rede de saúde em linha¹⁵ (ver caixa 1), no quadro da qual a Estónia apresentou o primeiro projeto-piloto de um certificado de vacinação verificável digitalmente.

33 Em 21 de dezembro de 2020, a Agência Europeia de Medicamentos recomendou a autorização da primeira vacina e, alguns dias depois, tiveram início as primeiras vacinações em toda a UE. Um mês mais tarde, em 28 de janeiro de 2021, os países da União adotaram orientações básicas sobre uma prova de vacinação interoperável para fins médicos¹⁶, um identificador único de certificado e os princípios de um quadro de confiança.

34 O acordo político de 20 de maio de 2021 entre o Parlamento Europeu e o Conselho sobre o Regulamento Certificado Digital COVID da UE fixou o final de junho como o prazo para a aplicação do sistema, pelo que a Comissão teve de se dedicar ao desenvolvimento técnico em paralelo com os trabalhos legislativos sobre o regulamento¹⁷. Ao conceber a arquitetura técnica, aproveitou a experiência adquirida com o portal de rastreio de contactos, o que lhe permitiu acelerar o desenvolvimento da ferramenta. Em 17 de março de 2021, apresentou a sua proposta legislativa¹⁸. Sete países começaram a utilizar o Certificado Digital COVID da UE em 1 de junho de 2021, um mês antes da entrada em vigor do Regulamento, permitindo aos cidadãos e residentes da União terem os seus certificados emitidos, verificados e aceites em toda a UE. Em 1 de julho, todos os países da União/do Espaço Económico Europeu (com exceção da Irlanda, que aderiu em 14 de julho de 2021, na sequência do ciberataque sofrido pelo seu serviço nacional de saúde em maio desse ano) estavam ligados ao portal de certificados digitais da UE.

35 O Parlamento Europeu e o Conselho adotaram o Regulamento em 14 de junho de 2021, menos de três meses após a proposta inicial¹⁹. Foi um processo muito rápido, tendo em conta que a duração média para legislação da UE adotada em primeira leitura é quase de 18 meses²⁰. Esta velocidade permitiu o lançamento do Certificado Digital COVID da UE na altura em que se iniciava o período de férias de verão e em que os esforços de vacinação estavam a ser intensificados em todo o continente: em 10 de julho de 2021, a UE tinha recebido vacinas suficientes para vacinar 71 % da sua população adulta.

Ao desenvolver algumas das ferramentas, a Comissão não conseguiu superar as reservas de certos Estados-Membros

36 A necessidade de disponibilizar rapidamente as ferramentas e de facilitar as viagens durante a pandemia de COVID-19 levou a Comissão a começar a desenvolvê-las sem realizar previamente avaliações de impacto, que visam determinar os efeitos prováveis de uma política pública e se há necessidade de uma ação da UE. As orientações da União para legislar melhor²¹ exigem que a Comissão, em circunstâncias normais, realize uma avaliação de impacto da política antes de qualquer nova regulamentação. Porém, reconhecem igualmente que, em situações extraordinárias, como uma emergência que exija uma resposta rápida, pode não ser possível ou adequado seguir todas as medidas prescritas.

37 Embora não tenha realizado uma avaliação de impacto, a Comissão, através de grupos de trabalho, consultou os Estados-Membros sobre o portal de rastreio de contactos e a certificação digital. Logo em dezembro de 2020, um subgrupo técnico no âmbito da rede de saúde em linha analisou formas de apoiar os certificados de vacinação digitais e facilitar a partilha destas informações entre os Estados-Membros. A Comissão não realizou consultas pormenorizadas deste tipo antes de desenvolver as outras ferramentas. O inquérito do Tribunal confirmou que nem todos os Estados-Membros estavam interessados em utilizar todas as ferramentas da UE examinadas.

38 Segundo o inquérito, quase metade dos 11 Estados-Membros que declararam não ter utilizado as ferramentas referentes aos formulários de localização dos passageiros justificaram a sua relutância com preocupações relativas à proteção de dados e a outras questões jurídicas. Três Estados-Membros assinalaram que já tinham desenvolvido os seus próprios formulários nacionais de localização dos passageiros, adaptados às suas necessidades individuais, e que não viam vantagens em mudar para as soluções da UE.

39 Além disso, nas consultas no âmbito da ação «EU Healthy Gateways», em outubro de 2021 e março de 2022, os Estados-Membros expressaram diferentes pontos de vista sobre a utilidade das ferramentas referentes aos formulários de localização dos passageiros. Cinco deles estavam a utilizar pelo menos uma das ferramentas e 10 manifestaram interesse em fazê-lo, mas 12 outros afirmaram que tal seria pouco provável, incluindo dois (Dinamarca e Suécia) que declararam não estar interessados em utilizá-las.

40 No caso do portal de rastreio de contactos, nem todos os Estados-Membros aderiram quando a solução ficou disponível em setembro de 2020. A sua adesão foi gradual, dependendo da vontade em fazê-lo e de terem aplicações prontas. Em meados de novembro de 2020, seis Estados-Membros tinham ligado as suas aplicações ao portal. Seguiram-se progressivamente outros até julho de 2021, altura em que 19 Estados-Membros estavam ligados.

A Comissão deu resposta às questões de proteção de dados e aplicou boas práticas de segurança informática

41 Existem dois grandes riscos a que é preciso dar resposta ao desenvolver ferramentas de gestão de dados de saúde²².

1. Proteção dos dados: os dados de saúde são altamente sensíveis e são reconhecidos pelo Regulamento geral da UE sobre a proteção de dados como uma categoria especial²³. Por conseguinte, as ferramentas utilizadas na sua gestão devem incluir salvaguardas e controlos específicos para proteger as informações conservadas e enviadas. O Tribunal examinou as avaliações de impacto sobre a proteção de dados relativas às ferramentas, assim como se os processos em vigor minimizaram o tratamento de dados pessoais.
2. Segurança informática: a digitalização dos serviços de saúde e o acesso a registos de saúde digitais aumentam o risco de incidentes de cibersegurança, uma vez que criam novos pontos de acesso possíveis aos cibercriminosos. Por este motivo, o Tribunal avaliou se as ferramentas tinham sido desenvolvidas e funcionavam em conformidade com boas práticas de segurança²⁴.

42 Do ponto de vista da proteção de dados, os Estados-Membros participantes são «responsáveis conjuntos pelo tratamento de dados» (na aceção do Regulamento geral sobre a proteção de dados) em relação a aplicações à escala da União, como o portal de rastreio de contactos e algumas funcionalidades específicas do Certificado Digital COVID da UE. Partilham a responsabilidade de decidir as finalidades e os meios do tratamento dos dados pessoais e de estabelecer controlos adequados. Cada um deles tem de elaborar avaliações de impacto sobre a proteção de dados, de forma a assinalar e atenuar os riscos decorrentes da utilização das referidas aplicações para o tratamento de dados pessoais. A Comissão, que age como «subcontratante» em nome dos Estados-Membros, ajudou-os na elaboração destas avaliações em relação às ferramentas da UE abrangidas pelo presente relatório, disponibilizando documentação de apoio e modelos²⁵. A utilização destes modelos era voluntária e a Comissão não era responsável por controlar se os Estados-Membros os utilizaram ou não.

43 O Certificado Digital COVID da UE e o portal de rastreio de contactos utilizaram uma arquitetura técnica que minimizou a recolha de dados pessoais através dos pontos de acesso centrais da União. No caso do Certificado, os dados pessoais dos cidadãos da UE permaneciam nos sistemas nacionais, sob a responsabilidade dos respetivos Estados-Membros. O ponto de acesso central apenas recebia as informações criptográficas (e, posteriormente, as listas de revogação) necessárias para que as autoridades nacionais pudessem verificar a validade dos certificados. No caso do portal de rastreio de contactos, este tratava apenas dados pessoais pseudonimizados, sob a forma de identificadores aleatórios (conhecidos como «chaves») gerados pelas aplicações de rastreio de contactos. Este método reduziu consideravelmente os riscos em matéria de proteção de dados.

44 O Regulamento Certificado Digital COVID da UE não estipulou um processo normalizado para a revogação de certificados se, por exemplo, se constatar que são fraudulentos. Os países participantes tiveram liberdade para aplicarem soluções técnicas à sua escolha, e a Comissão não tinha a responsabilidade de avaliar a solidez destas soluções do ponto de vista da proteção de dados.

45 Para garantir que era possível identificar um certificado revogado noutros países, os Estados-Membros teriam de trocar informações bilateralmente, sob a forma de listas de revogação. Uma questão suscitada durante a presente auditoria foi a ineficácia deste eventual intercâmbio bilateral, que envolvia diferentes intervenientes e soluções de revogação, especialmente porque o número de novos certificados estava a aumentar.

46 De modo a dar resposta a estas questões, em 30 de março de 2022, oito meses após a introdução do Certificado Digital COVID da UE, a Comissão publicou especificações técnicas e regras para estabelecer um mecanismo mais eficiente de intercâmbio de listas de revogação através do ponto de acesso central. As especificações recomendavam igualmente três tecnologias para a distribuição das listas de revogação das bases de dados nacionais pelas aplicações utilizadas para verificar os certificados. Pode-se considerar que, se corretamente aplicadas, estas soluções propostas preservam a privacidade, embora uma delas (os filtros de Bloom) tivesse em conta as questões a este respeito muito melhor do que as outras duas²⁶. Não obstante, a utilização destas soluções era voluntária e a Comissão não tinha competência para controlar se os Estados-Membros as aplicavam.

47 Os riscos de segurança informática podem ser visados e atenuados através de um quadro estruturado de segurança informática²⁷. Este quadro inclui geralmente vários elementos, como mecanismos de governação, políticas de segurança, requisitos e normas, além de boas práticas como a procura ativa de deficiências («análises de vulnerabilidade») e o teste ativo de defesas («testes de penetração»).

48 A Comissão dispõe do seu próprio quadro de segurança informática²⁸ que é aplicável a todos os sistemas de informação alojados nos seus centros de dados, incluindo os portais de rastreio de contactos e do Certificado Digital COVID da UE. O quadro segue as normas internacionais²⁹, exigindo que a Comissão realize uma avaliação dos riscos de cada sistema informático, dê resposta aos riscos pertinentes mediante um plano de segurança informática e aplique um conjunto de políticas formais e normas de segurança.

49 A Comissão tomou medidas razoáveis para garantir a segurança informática em relação ao portal de rastreio de contactos. Uma empresa especializada realizou uma avaliação sobre a segurança da conceção e do código-fonte do portal quando o sistema entrou em funcionamento (outubro de 2020) e não encontrou deficiências relevantes. Para obter mais garantias sobre a segurança do portal, foram realizados três exercícios de pirataria informática ética.

50 A Comissão definiu também requisitos mínimos de segurança para as aplicações nacionais de rastreio de contactos ligadas à plataforma de intercâmbio do portal de rastreio de contactos. Segundo a análise do Tribunal sobre esta arquitetura de segurança e as respostas dos Estados-Membros ao inquérito, o processo técnico de ligação dos sistemas nacionais ao portal da UE («integração») foi estruturado e deu resposta aos aspetos de segurança informática.

51 No que diz respeito ao Certificado Digital COVID da UE, a Direção-Geral da Informática realizou avaliações da vulnerabilidade do portal e um contratante independente realizou testes de penetração suplementares. Os testes confirmaram que o ponto de acesso central foi concebido de forma a garantir um elevado nível de segurança. A maioria dos problemas encontrados dizia respeito à infraestrutura e não ao código-fonte, e as vulnerabilidades detetadas foram sujeitas a acompanhamento. Os consultores que realizaram os testes de penetração no portal recomendaram a realização de uma auditoria completa a mais componentes, incluindo os que podem ser utilizados a nível nacional, como o serviço de emissão de certificados ou as aplicações móveis. Esta auditoria adicional terminou em abril de 2022 e não pôs em causa a arquitetura de segurança da ferramenta.

52 Os Estados-Membros e os países terceiros que participam no sistema do Certificado Digital COVID da UE geraram os certificados nos seus sistemas nacionais. Se os sistemas nacionais fossem colocados em risco e partes não autorizadas obtivessem acesso aos mesmos, utilizadores mal-intencionados poderiam ter emitido certificados válidos, mas fraudulentos. A circulação generalizada destes certificados poderia ter posto em causa a liberdade de circulação ao minar a confiança no Certificado Digital COVID da UE, aumentando assim o risco de os Estados-Membros reintroduzirem restrições adicionais. Por conseguinte, era importante garantir que os sistemas nacionais incluíam controlos de segurança adequados.

53 Em relação aos controlos de segurança nos sistemas dos países participantes, a Comissão baseou-se também em questionários de autoavaliação preenchidos pelos países, mas não tinha autoridade para verificar a sua conformidade real (por exemplo, mediante a análise de relatórios sobre análises de vulnerabilidade, relatórios de auditoria, planos de ação ou certificações internacionais). Esta situação reduziu a confiança na conduta de segurança dos sistemas nacionais.

54 As entrevistas realizadas pelo Tribunal confirmaram que tinha ocorrido um incidente de segurança informática num país terceiro. A solução nacional do país apresentava uma vulnerabilidade, tendo permitido que utilizadores não autorizados acedessem à aplicação e gerassem certificados ilegais a nível nacional até à deteção e resolução do incidente. Segundo o relatório do incidente apresentado pelo país em causa, o impacto resumiu-se a um pequeno número de certificados.

55 Não existem soluções técnicas que evitem todos os riscos. Por exemplo, mesmo controlos de segurança de última geração não conseguem impedir o pessoal autorizado com acesso legítimo aos sistemas nacionais de abusar dos seus poderes para gerar certificados fraudulentos.

56 A comunicação de incidentes como os certificados fraudulentos e o combate aos mesmos exigem, por isso, uma rápida partilha de informações entre as autoridades competentes. Os Estados-Membros e os países terceiros consultados indicaram ao Tribunal que a comunicação destes problemas era demorada, pois era difícil identificar os homólogos certos nos outros países.

57 Em relação ao Formulário Digital de Localização do Passageiro e à plataforma de intercâmbio, foram aplicadas as seguintes práticas de segurança informática recomendadas³⁰: autenticação de dois fatores, protocolos de comunicação seguros, barreiras de proteção (firewalls) das aplicações Web e controlos de segurança do acesso físico. O contratante realizou igualmente uma avaliação dos riscos informáticos e estabeleceu um procedimento estruturado para a integração dos países no sistema.

58 Contudo, o primeiro teste de penetração deste sistema só teve lugar em março de 2022, um ano após a ligação do primeiro país. Na sequência do teste, o prestador de serviços externo elaborou um plano de execução para dar resposta às constatações, o que significa que o sistema funcionou durante um ano com vulnerabilidades não detetadas.

Impacto desigual das ferramentas da UE na facilitação das viagens durante a pandemia de COVID-19

59 Esta secção analisa se as ferramentas da UE facilitaram as viagens dentro da União durante as fases iniciais da pandemia de COVID-19. Em especial, o Tribunal examinou se as ferramentas:

1. foram utilizadas pelos Estados-Membros de forma generalizada, o que é necessário para que sejam eficazes;
2. melhoraram a coordenação e a partilha de informações entre os Estados-Membros quanto à imposição de restrições de viagem, dando assim resposta a duas questões anteriormente consideradas prejudiciais para as viagens na UE³¹.

60 O Tribunal compilou e analisou os dados sobre a utilização das ferramentas pelos Estados-Membros. Comparou também as restrições de viagem impostas pelos mesmos antes e depois da introdução do Certificado Digital COVID da UE.

As ferramentas da UE referentes aos formulários de localização dos passageiros e o portal de rastreio de contactos não tiveram o impacto pretendido devido à sua reduzida utilização pelos Estados-Membros

61 Para alcançar o impacto pretendido, era necessário que as ferramentas da UE fossem utilizadas de forma generalizada. O quadro 2 sintetiza a sua utilização por cada Estado-Membro, mostrando que o Certificado Digital COVID da UE foi a única a que todos os Estados-Membros aderiram.

62 O Formulário Digital de Localização do Passageiro e a plataforma de intercâmbio não foram suficientemente utilizados pelos Estados-Membros para terem um impacto significativo na contenção da propagação da COVID-19 e na facilitação de viagens seguras.

63 O Formulário Digital de Localização do Passageiro³² foi utilizado por apenas quatro Estados-Membros, enquanto 17 continuaram a basear-se em soluções nacionais. Dos quase 27 milhões de formulários emitidos até fevereiro de 2022, 91,6 % (24,7 milhões) eram italianos.

64 Do mesmo modo, a utilização da plataforma de intercâmbio foi muito reduzida. Embora, em teoria, a ferramenta pudesse ser utilizada para partilhar informações de qualquer plataforma nacional, foi sobretudo adotada pelos países que também utilizavam os formulários da UE. A utilização global da plataforma foi insignificante, tendo servido para o intercâmbio de apenas três formulários em 2021 e 253 nos dois primeiros meses de 2022. À exceção de um, todos os 256 formulários eram provenientes de Espanha.

65 A adesão às aplicações de rastreio de contactos variou entre os Estados-Membros. Alguns Estados-Membros não adotaram qualquer aplicação de rastreio de contactos e, nos que o fizeram, a utilização real pela população foi escassa. Os descarregamentos de todas as aplicações de rastreio de contactos por cidadãos da UE totalizaram 74 milhões (até outubro de 2021), mas não existem estatísticas ao nível da UE sobre o número de pessoas que realmente as utilizavam.

66 À data de 22 de maio de 2022, o número total de casos de COVID-19 confirmados era superior a 522 milhões³³ e tinham sido carregadas 55 milhões de chaves. Os dados do portal de rastreio de contactos revelam que os Estados-Membros utilizaram de forma desigual as ferramentas de rastreio de contactos, tendo 83 % das chaves sido carregadas apenas por utilizadores da Alemanha (ver anexo II).

67 De um modo geral, as ferramentas examinadas foram desenvolvidas para dar resposta a necessidades emergentes, o que dificultou a criação sistemática de sinergias entre elas. Por exemplo, apesar de estarem intrinsecamente ligados, o Formulário Digital de Localização do Passageiro e a plataforma para o seu intercâmbio foram desenvolvidos separadamente (pela ação comum «EU Healthy Gateways» e pela Agência da União Europeia para a Segurança da Aviação, respetivamente). De forma similar, as orientações sobre a combinação do Certificado Digital COVID da UE com os formulários de localização dos passageiros foram disponibilizadas ao nível da União após os lançamentos correspondentes e, até agora, não foram aplicadas.

68 Uma vez que as ferramentas foram concebidas para funcionar a curto prazo, não existem procedimentos flexíveis para as utilizar a longo prazo ou reativar rapidamente caso sejam necessárias no futuro. A título de exemplo, a base jurídica vigente do Certificado Digital COVID da UE caduca em junho de 2023 e tem de ser renovada pelo Parlamento Europeu e pelo Conselho, com base numa proposta da Comissão. Durante a presente auditoria, a Comissão salientou que seria extremamente difícil, tanto do ponto de vista jurídico como técnico, restabelecer a certificação num prazo curto.

Os Estados-Membros utilizaram o Certificado Digital COVID da UE de forma generalizada, o que facilitou as viagens

69 O portal do Certificado Digital COVID da UE entrou em funcionamento em 1 de junho de 2021, com sete Estados-Membros ligados a ele, e, um mês e meio depois, os 27 Estados-Membros já estavam todos ligados. A solução proposta pela Comissão suscitou também um grande interesse fora da União. Em julho de 2022, 45 países e territórios não pertencentes à UE tinham adotado o quadro da União para o Certificado Digital COVID da UE.

70 Até 13 de outubro de 2021, os Estados-Membros tinham emitido 585 milhões de certificados. Cinco meses mais tarde, tinham sido emitidos 1,7 mil milhões de certificados, a maioria dos quais (1,1 mil milhões) com base na vacinação. Este número é superior à população da União porque uma pessoa pode ter vários certificados (por exemplo, pode obter dois certificados de teste e, depois, ser vacinada). Era gerado um Certificado Digital COVID da UE após cada dose de vacina, recuperação ou teste. Além de facilitar as viagens, estes certificados foram utilizados nos Estados-Membros para controlar o acesso a espaços públicos como restaurantes ou teatros. A figura 4 ilustra a repartição destes 1,7 mil milhões de certificados por Estado-Membro.

71 As ferramentas abrangidas pelo presente relatório destinavam-se a facilitar viagens seguras. Muitos Estados-Membros decidiram, devido à pandemia, introduzir diversas restrições de viagem. No seu relatório especial sobre a livre circulação na UE durante a pandemia de COVID-19³⁴, o Tribunal concluiu que, em junho de 2021, os Estados-Membros ainda tinham em vigor muitas restrições de viagem descoordenadas, designadamente testes PCR, requisitos de quarentena e proibições de entrada.

72 De facto, até à entrada em vigor do Certificado Digital COVID da UE, as restrições de entrada de viajantes baseavam-se no risco para a saúde na zona geográfica de onde viajavam. Em julho de 2021, esta situação mudou com a introdução do Regulamento Certificado Digital COVID da UE, logo após a qual as restrições começaram a aplicar-se gradualmente a pessoas e não a zonas geográficas, baseando-se predominantemente na posse de um certificado válido.

73 Além da mudança na natureza das restrições de viagem, o Regulamento Certificado Digital COVID da UE introduziu também um novo mecanismo formal para melhorar a partilha de informações sobre estas restrições. Desde a entrada em vigor do regulamento, se um Estado-Membro pretender introduzir novas restrições, tem de informar a Comissão e os outros Estados-Membros, indicando os motivos, o âmbito e a duração das restrições adicionais. Até março de 2022, 13 Estados-Membros tinham apresentado informações nos termos desta disposição.

74 Em julho de 2021, a consulta da Comissão sobre as restrições de viagem revelou que todos os Estados-Membros (exceto a Grécia, a Hungria e Itália, que só responderam mais tarde) tinham levantado as restrições a titulares do Certificado Digital COVID da UE. A figura 5 mostra as diferenças nas restrições de viagem antes e imediatamente após a introdução do sistema de certificação (junho e julho de 2021). Doze dos 13 inquiridos que responderam ao inquérito do Tribunal declararam que o Certificado Digital COVID da UE tinha ajudado a coordenar as restrições de viagem entre Estados-Membros.

Conclusões e recomendações

75 O Tribunal conclui que, apesar das suas competências limitadas em matéria de política de saúde pública, a Comissão avançou rapidamente na proposta de soluções tecnológicas adequadas para facilitar as viagens na União durante a pandemia de COVID-19. Porém, o impacto de algumas destas ferramentas depende do interesse dos Estados-Membros na sua utilização. O Certificado Digital COVID da UE obteve um forte apoio e foi eficaz a facilitar as viagens, mas as restantes ferramentas tiveram um impacto modesto devido à sua reduzida utilização.

76 A Comissão mobilizou rapidamente 71 milhões de euros para o desenvolvimento das ferramentas, combinando várias fontes de financiamento e recorrendo aos contratos-quadro existentes em vez de a concursos públicos. As ferramentas tinham uma finalidade ímpar, o que significa que não existem outros sistemas adequados a uma comparação (pontos 21 a 27).

77 A Comissão produziu em tempo útil o portal de rastreio de contactos e o Certificado Digital COVID da UE. Este portal, concebido para assegurar a interoperabilidade entre as aplicações de rastreio de contactos, entrou em funcionamento em outubro de 2020, sete meses após a Organização Mundial da Saúde ter declarado a COVID-19 uma pandemia. O desenvolvimento técnico do Certificado Digital COVID da UE beneficiou da experiência adquirida com o portal de rastreio de contactos e foi concluído antes de os Estados-Membros terem terminado de executar os seus planos de vacinação. O processo legislativo para adotar o Certificado Digital COVID da UE foi também muito mais rápido do que o habitual (pontos 28 a 35).

78 A Comissão não conseguiu superar as reservas de alguns Estados-Membros sobre a utilização das soluções da UE referentes aos formulários de localização dos passageiros. Estas foram disponibilizadas depois de vários Estados-Membros já terem desenvolvido as suas próprias ferramentas, pelo que as soluções da União acabaram por ser utilizadas apenas por cinco Estados-Membros (pontos 36 a 40).

Recomendação 1 – Sanar os motivos da baixa adesão às soluções referentes aos formulários digitais de localização de passageiros

A Comissão deve sanar os motivos subjacentes à baixa adesão ao Formulário Digital de Localização do Passageiro e à plataforma de intercâmbio e promover uma maior utilização destas ferramentas pelos Estados-Membros durante as fases futuras da pandemia de COVID-19.

Prazo de execução: dezembro de 2023

79 Ao conceber as ferramentas da UE, a Comissão teve globalmente em conta os requisitos de proteção de dados e as boas práticas em matéria de segurança informática. Estas ferramentas minimizam a utilização de dados pessoais (pontos 42 e 43). As avaliações dos riscos de segurança e os testes de penetração foram geralmente realizados de forma sistemática; a única exceção diz respeito a atrasos na realização de alguns testes de segurança ao Formulário Digital de Localização do Passageiro, o que fez com que a ferramenta tivesse funcionado durante um ano com vulnerabilidades não detetadas (pontos 47 a 51 e 57 a 58).

80 Em relação ao Certificado Digital COVID da UE, os países participantes tiveram de trocar listas de certificados fraudulentos de forma bilateral, recorrendo a diferentes canais de comunicação. Este método reduz a eficiência do bloqueio de certificados fraudulentos. Até março de 2022, a Comissão tinha proposto soluções viáveis para resolver esta questão, mas a sua utilização era voluntária (pontos 44 a 46). Além disso, as disposições que permitem aos países informarem-se mutuamente sobre incidentes que exijam uma resposta urgente (por exemplo, certificados fraudulentos) são morosas (pontos 55 e 56).

Recomendação 2 – Facilitar a comunicação sobre incidentes relacionados com o Certificado Digital COVID da UE

A Comissão deve facilitar a comunicação direta entre as pessoas de contacto oficiais para cada país participante no sistema do Certificado Digital COVID da UE, de modo a agilizar a comunicação em situações de emergência relacionadas com os certificados.

Prazo de execução: junho de 2023

81 Uma vez que os códigos utilizados no sistema do Certificado Digital COVID da UE eram gerados pelos sistemas nacionais dos países participantes, era importante que estes sistemas incluíssem controlos de segurança adequados. A Comissão baseou-se em autoavaliações da segurança informática preenchidas pelos países participantes, pois não tem autoridade para verificar a sua conformidade real com os requisitos de segurança. Esta situação reduz a confiança na conduta de segurança dos sistemas nacionais (pontos 52 a 54).

82 As ferramentas da UE referentes aos formulários de localização dos passageiros e o portal de rastreio de contactos não tiveram o impacto pretendido devido à sua reduzida utilização. O Formulário Digital de Localização do Passageiro foi utilizado por apenas quatro Estados-Membros, enquanto outros países continuaram a basear-se em soluções nacionais. A utilização global da plataforma para o intercâmbio de formulários de localização dos passageiros foi insignificante, tendo servido para o intercâmbio de apenas três formulários em 2021 e de 253 nos dois primeiros meses de 2022. A utilização do portal de rastreio de contactos foi limitada pela baixa adesão dos Estados-Membros a aplicações para este efeito, tendo a grande maioria do tráfego sido gerada por um único país (pontos 61 a 67).

83 As ferramentas examinadas pelo Tribunal foram desenvolvidas para dar resposta a necessidades emergentes e funcionam de forma independente umas das outras. Esta situação, combinada com a variedade de soluções nacionais para os formulários de localização dos passageiros, tornou mais difícil assegurar a adoção uniforme das ferramentas da UE. Acresce que as ferramentas foram concebidas para funcionar a curto prazo, em resposta à crise sanitária, não existindo procedimentos específicos para as utilizar a longo prazo ou reativar rapidamente caso sejam necessárias no futuro. A base jurídica vigente do Certificado Digital COVID da UE caduca em junho de 2023 e tem de ser renovada segundo o procedimento legislativo normal da UE (ponto 68).

84 O Tribunal constatou que o Certificado Digital COVID da UE foi eficaz a facilitar as viagens durante a pandemia de COVID-19. Os Estados-Membros e vários países terceiros utilizaram o Certificado Digital COVID de forma generalizada e, até março de 2022, tinham sido emitidos mais de 1,7 mil milhões de certificados em países da UE/do Espaço Económico Europeu. O Tribunal constatou ainda que, no período de um mês após a entrada em vigor do Regulamento Certificado Digital COVID da UE, os Estados-Membros harmonizaram consideravelmente as suas restrições de viagem. Mais concretamente, todos os Estados-Membros suprimiram as restrições de viagem para os cidadãos da UE que eram titulares deste Certificado por terem sido totalmente vacinados, apresentado um teste com resultado negativo ou recuperado da COVID-19.

85 Além disso, o Certificado Digital COVID da UE melhorou a partilha de informações e a coordenação em relação às restrições de viagem, pois o regulamento aplicável exige que os Estados-Membros comuniquem e justifiquem a introdução de tais restrições (pontos 69 a 74).

Recomendação 3 – Elaborar ferramentas da UE pertinentes para futuras crises

A Comissão deve:

1. determinar quais as ferramentas da UE criadas durante a pandemia de COVID-19 que foram mais úteis para os cidadãos e os Estados-Membros e elaborar procedimentos para as reativar rapidamente em futuras situações de emergência;
2. através de sinergias e simplificações, tornar mais fácil o acesso dos cidadãos da UE às ferramentas da União que visam facilitar o rastreio de contactos transfronteiriço em situações de crise;
3. em conjunto com os Estados-Membros, analisar a necessidade de ferramentas adicionais para fazer face a eventuais crises futuras.

Prazo de execução: a) e c): setembro de 2023; b): setembro de 2024

O presente relatório foi adotado pela Câmara III, presidida por Bettina Jakobsen, Membro do Tribunal de Contas, no Luxemburgo, em 22 de novembro de 2022.

Anexos

Anexo I – Descrição das ferramentas da UE que facilitaram as viagens durante a pandemia de COVID-19

Serviço europeu de interoperabilidade federativa

O serviço europeu de interoperabilidade federativa é um sistema que permite a interoperabilidade entre as aplicações nacionais de rastreio de contactos, desenvolvidas para informar os cidadãos sobre potenciais contactos de risco e ajudar a quebrar as cadeias de transmissão da COVID-19.

Uma aplicação de rastreio de contactos regista continuamente os contactos próximos com os utilizadores deste tipo de aplicações. A cada 15 minutos (de modo a proteger a privacidade), gera uma chave, ou identificador, para o seu utilizador. A aplicação utiliza a tecnologia Bluetooth para detetar outros telemóveis inteligentes na proximidade e partilhar chaves. Cada encontro entre utilizadores leva ao intercâmbio das chaves de ambos, que são armazenadas nos dois telemóveis.

Quando um utilizador tem um teste positivo à COVID-19, declara-o na aplicação, que envia todas as chaves do utilizador registadas nos últimos 14 dias para o servidor de suporte do seu país. O servidor envia as chaves do utilizador infetado às aplicações de todos os outros utilizadores, que as comparam com as chaves armazenadas em cada telefone. A existência de uma correspondência significa que o utilizador esteve na proximidade da pessoa infetada, pelo que recebe um alerta.

A maioria dos Estados-Membros seguiu este método descentralizado, em que as combinações das chaves das pessoas infetadas são enviadas para as aplicações dos utilizadores e a comparação é feita no telefone de cada um. Alguns Estados-Membros optaram por um método mais centralizado, em que a comparação das chaves e a correspondência com os dispositivos dos utilizadores são realizadas nos servidores centrais nacionais.

As plataformas nacionais de rastreio de contactos que utilizam o método descentralizado e blocos de construção tecnologicamente compatíveis podem trocar entre si chaves anonimizadas de pessoas infetadas através do portal de rastreio de contactos da UE. Assim, este portal permite que os viajantes utilizem as suas aplicações nacionais de rastreio de contactos durante as deslocações noutros países ligados ao portal da União.

Formulário Digital de Localização do Passageiro

As autoridades de saúde pública utilizam formulários de localização dos passageiros para facilitar o rastreio de contactos quando os viajantes são expostos a uma doença infecciosa durante uma viagem de avião, comboio, navio ou autocarro. A Organização Mundial da Saúde e a Organização da Aviação Civil Internacional já tinham começado a desenvolver estes formulários durante anteriores surtos de doenças (nomeadamente de ébola).

Tradicionalmente, os países que exigem o preenchimento de formulários de localização dos passageiros utilizam-nos com frequência em versão impressa, mas o suporte papel tem limitações significativas: os documentos podem ser difíceis de ler e os dados que apresentam têm de ser introduzidos manualmente em sistemas informáticos para tratamento automatizado. Estas limitações levaram muitos países a desenvolver versões eletrónicas. O Formulário Digital de Localização do Passageiro é uma aplicação Web que foi desenvolvida para simplificar a utilização de formulários de localização dos passageiros durante ameaças sanitárias transfronteiriças, como a COVID-19.

Cada viajante preenche o formulário com os dados da sua viagem e recebe um código QR (Quick Response) único, que pode ser lido pelas autoridades competentes dos países de destino para verificar se os passageiros facultaram as informações exigidas. Este formato digital visa facilitar e acelerar a recolha e o intercâmbio de dados entre as partes interessadas, com o objetivo de tornar o rastreio de contactos mais eficiente e eficaz.

Intercâmbio de formulários de localização dos passageiros

Quando um viajante tem um teste positivo à COVID-19, os dados do formulário de localização do passageiro recolhidos por um país podem ter de ser transmitidos de forma segura a outros países afetados exclusivamente para efeitos de rastreio de contactos no âmbito da COVID-19. Devido à limitação do atual sistema europeu de intercâmbio de informações sobre saúde (Sistema de Alerta Rápido e de Resposta), a Comissão decidiu desenvolver uma plataforma específica para partilhar os dados dos formulários de localização dos passageiros entre diferentes sistemas nacionais.

A plataforma para o intercâmbio de formulários de localização dos passageiros permite a transmissão de dados encriptados de forma segura entre as autoridades nacionais competentes, não armazenando quaisquer informações. As autoridades dos Estados-Membros podem ligar-se através dos sistemas nacionais ou da UE referentes aos formulários digitais de localização de passageiros.

Certificado Digital COVID da UE

O Certificado Digital COVID da UE é uma prova de que uma pessoa apresentou um teste à COVID-19 com resultado negativo, foi vacinada contra a doença ou recuperou da mesma. A sua emissão incumbe às autoridades nacionais competentes.

Os certificados podem ser emitidos em papel e em formato eletrónico, contendo em ambos os casos um código QR que os protege contra falsificações. A segurança da solução baseia-se na utilização de chaves criptográficas públicas e privadas. Existem duas chaves: uma privada, utilizada para assinar digitalmente o código QR, e outra pública, que permite verificar a assinatura digital.

Cada autoridade emissora tem a sua própria chave privada e a chave pública correspondente. As chaves privadas são armazenadas de forma segura e as públicas são partilhadas na base de dados central nacional. A autoridade disponibiliza o seu sistema de emissão aos intervenientes pertinentes do setor dos cuidados de saúde (como hospitais e centros de teste), após autorização, permitindo-lhes assinar digitalmente os certificados.

As aplicações utilizadas para verificar a autenticidade do Certificado Digital COVID da UE obtêm as chaves públicas a partir das bases de dados nacionais. Estas últimas trocam chaves públicas com outros países através do portal do Certificado Digital COVID da UE, que permite, assim, a verificação mútua dos certificados em diferentes países.

Anexo II – Adesão às aplicações de rastreio de contactos na UE

A adesão às aplicações de rastreio de contactos não foi uniforme em toda a UE. O número de descarregamentos das aplicações de rastreio de contactos só foi superior a 50 % da população em dois Estados-Membros. A figura seguinte mostra as diferentes situações nos Estados-Membros que utilizavam aplicações de rastreio de contactos descentralizadas.

O descarregamento da aplicação não significa necessariamente que o rastreio de contactos esteja a ser utilizado. Para que o rastreio ocorra, as aplicações têm de estar ativas e os cidadãos têm de declarar voluntariamente os seus testes positivos à COVID-19. Sempre que o fazem, as chaves pertinentes são carregadas no portal de rastreio de contactos. Os dados do portal mostram que a utilização do rastreio de contactos foi variável entre os Estados-Membros. O número de chaves carregadas no portal mostra que a esmagadora maioria delas provinha de um só país.

Glossário

Análise de vulnerabilidade: processo de inspeção de dispositivos de rede, sistemas informáticos e aplicações para apontar possíveis problemas e pontos fracos.

Controlo das fronteiras: controlos e vigilância realizados numa fronteira em relação às pessoas que a passam ou pretendem passar.

Espaço Schengen: espaço constituído por 26 países europeus que suprimiram os controlos de passaportes e de imigração nas suas fronteiras comuns.

Responsável pelo tratamento: na aceção do Regulamento Geral sobre a Proteção de Dados, pessoa ou organização que determina como e para que finalidades os dados pessoais devem ser tratados.

Teste de penetração: método de avaliação da segurança de um sistema informático que consiste em tentar violar as suas garantias de segurança com as ferramentas e técnicas normalmente utilizadas pelos adversários.

Respostas da Comissão Europeia

https://www.eca.europa.eu/pt/Pages/DocItem.aspx?did=62947

Cronologia

https://www.eca.europa.eu/pt/Pages/DocItem.aspx?did=62947

Equipa de auditoria

Os relatórios especiais do TCE apresentam os resultados das suas auditorias às políticas e programas da UE ou a temas relacionados com a gestão de domínios orçamentais específicos. O TCE seleciona e concebe estas tarefas de auditoria de forma a obter o máximo impacto, tendo em consideração os riscos relativos ao desempenho ou à conformidade, o nível de receita ou de despesa envolvido, a evolução futura e o interesse político e público.

A presente auditoria de resultados foi realizada pela Câmara de Auditoria III – Ações externas, segurança e justiça, presidida pelo Membro do TCE Bettina Jakobsen. A auditoria foi efetuada sob a responsabilidade do Membro do Tribunal Baudilio Tomé Muguruza, com a colaboração de Daniel Costa de Magalhães, chefe de gabinete, e Ignacio García de Parada Miranda, assessor de gabinete; Alejandro Ballester Gallardo, responsável principal; Piotr Senator, responsável de tarefa; João Coelho, Mirko Iaconisi, Ioanna Topa e Andrej Minarovič, auditores. Michael Pyper prestou assistência linguística.

Da esquerda para a direita: Daniel Costa de Magalhães, Andrej Minarovič, Ignacio García de Parada Miranda, João Coelho, Ioanna Topa, Piotr Senator, Baudilio Tomé Muguruza, Mirko Iaconisi e Michael Pyper.

Notas

¹ Tratado sobre o Funcionamento da União Europeia, artigo 20.º, n.º 2, alínea a), e artigo 21.º, n.º 1.

² Diretiva 2004/38/CE.

³ Tratado sobre o Funcionamento da União Europeia, artigo 168.º, n.º 7.

⁴ Tratado da União Europeia, artigo 17.º.

⁵ Tratado sobre o Funcionamento da União Europeia, artigo 4.º, n.º 2, alínea k), artigo 6.º, alínea a), e artigo 168.º.

⁶ Diretiva 2011/24/UE relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços.

⁷ Relatório Especial 13/2022.

⁸ Relatório Especial 19/2022.

⁹ Declaração da Comissão de 15 de junho de 2021.

¹⁰ Figura 4 do Relatório Especial 13/2022.

¹¹ Orientações relativas às medidas de gestão das fronteiras para proteger a saúde e garantir a disponibilidade de bens e serviços essenciais, 2020/C 86 I/01, JO C 86I de 16.3.2020.

¹² Comunicações da Comissão C(2020) 3250, C(2020) 3251 e C(2020) 3139.

¹³ Recomendação (UE) 2020/1475 do Conselho.

¹⁴ Decisão de Execução (UE) 2021/858 da Comissão.

¹⁵ Sítio Web da Comissão Europeia Saúde em linha e COVID-19.

¹⁶ Rede de saúde em linha, Guidelines on verifiable vaccination certificates - basic interoperability elements, 12.3.2021.

¹⁷ Regulamento (UE) 2021/953.

¹⁸ Proposta de Regulamento COM(2021) 130 final.

¹⁹ Processo 2021/0068/COD.

²⁰ Parlamento Europeu, Activity Report – Development and Trends of the Ordinary Legislative Procedure.

²¹ Better Regulation guidelines, SWD(2017) 350, 7 de julho de 2017.

²² ENISA, Taking Care of Health Data).

²³ Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho.

²⁴ ISACA, Certified Information System Auditor review manual, 2019; Organização Internacional de Normalização/Comissão Eletrotécnica Internacional, normas 27001.

²⁵ Projeto de avaliação dos riscos em matéria de proteção de dados.

²⁶ Rede de saúde em linha, EU DCC Revocation – B2A Communication between the Backend and the Applications, secção 4.6.3.

²⁷ ISACA, Certified Information System Auditor review manual, 2019.

²⁸ Decisão (UE, Euratom) 2017/46 da Comissão relativa à segurança dos sistemas de comunicação e de informação na Comissão Europeia e C(2017) 8841 final (regras de execução).

²⁹ Organização Internacional de Normalização/Comissão Eletrotécnica, normas 27001, 27002, 27005 e 27035.

³⁰ Organização Internacional de Normalização/Comissão Eletrotécnica, norma 27001.

³¹ Relatório Especial 13/2022, pontos 69 a 75.

³² Formulário Europeu Digital de Localização de Passageiros.

³³ Organização Mundial da Saúde, Weekly epidemiological update on COVID-19 – 25 May 2022.

³⁴ Relatório Especial 13/2022.

Contacto

TRIBUNAL DE CONTAS EUROPEU
12, rue Alcide De Gasperi
1615 Luxembourg
LUXEMBOURG

Tel. +352 4398-1
Informações: eca.europa.eu/pt/Pages/ContactForm.aspx
Sítio Internet: eca.europa.eu
Twitter: @EUAuditors

Encontram-se mais informações sobre a União Europeia na rede Internet, via servidor Europa (https://europa.eu)

Luxemburgo: Serviço das Publicações da União Europeia, 2023.

PDF	ISBN 978-92-847-9242-9	ISSN 1977-5822	doi:10.2865/702243	QJ-AB-22-027-PT-N
HTML	ISBN 978-92-847-9199-6	ISSN 1977-5822	doi:10.2865/641791	QJ-AB-22-027-PT-Q

DIREITOS DE AUTOR

© União Europeia, 2023

A política de reutilização do Tribunal de Contas Europeu (TCE) encontra-se estabelecida na Decisão nº 6-2019 do Tribunal de Contas Europeu relativa à política de dados abertos e à reutilização de documentos.

Salvo indicação em contrário (por exemplo, em declarações de direitos de autor individuais), o conteúdo do TCE que é propriedade da UE está coberto pela licença Creative Commons Attribution 4.0 International (CC BY 4.0). Por conseguinte, regra geral, é autorizada a reutilização desde que sejam indicados os créditos adequados e as eventuais alterações. Esta reutilização do conteúdo do TCE não pode distorcer o significado ou a mensagem originais. O TCE não é responsável por quaisquer consequências da reutilização.

É necessário obter uma autorização adicional se um conteúdo específico representar pessoas singulares identificáveis, por exemplo, imagens do pessoal do TCE, ou incluir obras de terceiros.

Se for obtida uma autorização, esta anula e substitui a autorização geral acima referida e deve indicar claramente quaisquer restrições aplicáveis à sua utilização.

Para utilizar ou reproduzir conteúdos que não sejam propriedade da UE, pode ser necessário pedir autorização diretamente aos titulares dos direitos de autor.

O software ou os documentos abrangidos por direitos de propriedade industrial, nomeadamente patentes, marcas, desenhos e modelos registados, logótipos e nomes, estão excluídos da política de reutilização do TCE.

O conjunto de sítios Web institucionais da União Europeia, no domínio europa.eu, disponibiliza ligações a sítios de terceiros. Uma vez que o TCE não controla esses sítios, recomenda que se consultem as respetivas políticas em matéria de proteção da privacidade e direitos de autor.

Utilização do logótipo do TCE

O logótipo do TCE não pode ser utilizado sem o seu consentimento prévio.

CONTACTAR A UNIÃO EUROPEIA

Pessoalmente
Em toda a União Europeia há centenas de centros Europe Direct. Pode encontrar o endereço do centro mais próximo em linha (european-union.europa.eu/contact-eu/meet-us_pt).

Por telefone ou por escrito
Europe Direct é um serviço que responde a perguntas sobre a União Europeia.

Pode contactar este serviço:

• pelo telefone gratuito: 00 800 6 7 8 9 10 11 (alguns operadores podem cobrar estas chamadas),
• pelo telefone fixo: +32 22999696,
• através do seguinte formulário: european-union.europa.eu/contact-eu/write-us_pt

ENCONTRAR INFORMAÇÕES SOBRE A UNIÃO EUROPEIA

Em linha
Estão disponíveis informações sobre a União Europeia em todas as línguas oficiais no sítio Europa (european-union.europa.eu).

Publicações da União Europeia
As publicações da União Europeia podem ser consultadas ou encomendadas em op.europa.eu/pt/web/general-publications/publications. Pode obter exemplares múltiplos de publicações gratuitas contactando o seu centro local Europe Direct ou de documentação (european-union.europa.eu/contact-eu/meet-us_pt).

Legislação da União Europeia e documentos conexos
Para ter acesso à informação jurídica da União Europeia, incluindo toda a legislação da União Europeia desde 1951 em todas as versões linguísticas oficiais, visite o sítio EUR-Lex (eur-lex.europa.eu).

Dados abertos da União Europeia
O portal data.europa.eu dá acesso a conjuntos de dados abertos das instituições, organismos e agências da União Europeia. Os dados podem ser descarregados e reutilizados gratuitamente, para fins tanto comerciais como não comerciais. Este portal também disponibiliza uma série de conjuntos de dados dos países europeus.