Notícias

StayAway Covid não recolhe dados, mas suscita reservas

As autoridades portuguesas não recolhem informação de saúde dos utilizadores. Mas a Google e a Apple, que asseguram o sistema de notificações, mantêm parte do código fechado, pelo que não sabemos o que fazem com a informação.

  • Dossiê técnico
  • Pedro Mendes
  • Texto
  • Inês Lourinho e Cláudia Sofia Santos
01 setembro 2020
  • Dossiê técnico
  • Pedro Mendes
  • Texto
  • Inês Lourinho e Cláudia Sofia Santos
Telemóvel com as palavras Stayaway e covid escritas no ecrã

iStock

Nova pandemia, novas abordagens. A elevada pressão para a procura de soluções levou à proposta de criação de apps que permitissem rastrear os indivíduos infetados com a doença. Mas os exemplos que nos chegavam do Extremo Oriente, e, em particular, da China, suscitaram cascatas de preocupações com a utilização abusiva dos dados. Para proteger informação sensível dos cidadãos, a União Europeia decidiu que não valia tudo em nome de um bem (para muitos) maior, como a saúde, e definiu regras. Desde logo, as apps deveriam ser desenhadas em colaboração com as autoridades de saúde nacionais.

Depois de vários países europeus, Portugal acaba de lançar a sua versão, que testámos em laboratório. Os resultados descansam-nos quanto à recolha de dados de saúde pelas autoridades nacionais. Contudo, existem preocupações. A StayAway Covid não cumpre integralmente o princípio da abertura de código e transparência, pelo que existe a possibilidade de uso não-declarado e indevido dos dados pessoais por parte da Google e da Apple. Preparámos 10 questões para perceber o que está em causa.

Quais os resultados do nosso teste à app portuguesa?

A versão portuguesa chama-se StayAway Covid e recorre ao sistema Google/Apple Exposure Notification, conhecido como GAEN. A parceria entre Google e Apple permite a compatibilidade da app, independentemente do sistema operativo do telemóvel: Android ou iOS.

A nossa primeira avaliação foi realizada numa versão beta, isto é, experimental e não disponível para o público em geral. Após o lançamento oficial, fizemos novos testes e confirmámos os resultados.

A app não pede permissões além daquelas de que necessita para funcionar. E todas fazem sentido, nomeadamente o acesso ao bluetooth, à rede e às ligações wi-fi, o bloqueio da função standby, a ativação assim que se liga o telefone e o funcionamento em segundo plano.

O utilizador é informado sobre os termos e condições e a política de privacidade, com remissão para endereços específicos. É identificado o controlador dos dados, isto é, a Direção-Geral da Saúde. Apenas os identificadores anonimizados são enviados, e com encriptação.

Também verificámos que não é enviada informação para servidores de terceiros. A app só permite a comunicação com os servidores que têm o certificado específico, o que diminui o risco de ataques cibernéticos. Os identificadores dos utilizadores são renovados a cada 12 minutos.

A StayAway Covid usa um sistema de códigos únicos, que o médico fornece ao indivíduo infetado. Este, voluntariamente, introduz a palavra-chave e fica registado no sistema. Se entrar em contacto com outros utilizadores da app, são emitidas notificações.

Analisámos ainda o código que foi tornado público e que compõe a StayAway Covid (excluindo o sistema de notificações GAEN). Verificámos que a app não tem qualquer sistema de rastreamento e que a informação é apenas enviada para um servidor controlado pela Imprensa Nacional - Casa da Moeda. 

O código é aberto, assim como as licenças. É baseado no protocolo DP3T e usa partes do código da app Suíça. Já as comunicações são feitas com recurso ao protocolo de transporte TLS 1.2 com cifra SHA-256, opção considerada segura.

Não é feita recolha de dados além dos identificadores anónimos. São usadas medidas de mitigação, para impedir que se faça uma captura de dados quando um diagnóstico positivo de covid-19 é reportado. E a informação é armazenada com encriptação.

Como funciona a StayAway Covid?

Em abril, a Apple e a Google anunciaram uma parceria para ajudar os governos e as autoridades de saúde a desenvolver as suas apps de monitorização da covid-19. Em vez de uma solução assente em sistemas de geolocalização (GPS), sugeriam uma alternativa baseada na tecnologia bluetooth, em conformidade com as recomendações da União Europeia.

Neste caso, não é recolhida a localização do utilizador. O sistema de notificações depende da proximidade dos telemóveis em que a app é instalada. Na prática, as autoridades nacionais gerem a parte da app relacionada com saúde, enquanto as notificações da proximidade com um indivíduo infetado são asseguradas pelo GAEN. Na União Europeia, a maioria das apps funcionam mais ou menos da mesma forma.

A app associa a cada telemóvel um código aleatório. O código muda várias vezes a cada hora. Quanto o utilizador A entra em contacto com o B, a uma certa distância e durante um certo tempo (no caso de Portugal, a regra são menos de dois metros, durante mais de 15 minutos), os telemóveis trocam os respetivos códigos através de bluetooth. A app consegue, assim, rastrear os contactos mantidos, registando os códigos dos outros dispositivos recolhidos pelo telefone, ainda que não guarde a identidade dos utilizadores nem os locais de encontro.

Quem testou positivo para a covid-19 pode aceitar partilhar num servidor os códigos aleatórios gerados nos 14 dias anteriores, para que os restantes telefones possam consultá-los e ver se os têm registados. As autoridades de saúde contactam quem obteve um resultado positivo e verificam se a pessoa instalou a StayAway Covid. Se sim, será convidada a abrir a app e a utilizar um código de 12 dígitos fornecido por um médico. Ficará no sistema e, se entrar em contacto com outros utilizadores da app, será disparada uma notificação.

A DECO PROTESTE aconselha a instalação?

A tecnologia pode ser uma aliada dos desafios modernos e inesperados, mas os direitos dos consumidores devem estar totalmente assegurados.

Muitas opções técnicas da StayAway Covid são corretas, tais como o recurso ao modelo descentralizado e à tecnologia bluetooth, em detrimento do GPS. Também há que saudar o seu caráter voluntário. Ainda assim, por ser baseada no GAEN, não permite um total escrutínio, já que o código desta parte do sistema não é público.

O sistema de notificação GAEN não segue o princípio da abertura de código e transparência sobre entidades envolvidas no tratamento de dados. Por isso, abre a porta para a possibilidade de terceiros, em particular as duas gigantes tecnológicas (Google e Apple), darem um uso não-declarado e indevido aos dados pessoais obtidos.

O Governo determinou que fosse a Direção-Geral da Saúde (DGS) a responsável pelo tratamento dos dados pessoais, assim como pela definição do sistema e do armazenamento e processamento dos dados. Trata-se de um processo excecional e transitório. Só irá durar enquanto a epidemia o justificar, e a utilização dos dados será limitada à notificação da exposição individual a fatores de contágio da covid-19. Não é, pois, possível dar-lhe outro destino.

Caberá à DGS e, no limite, ao próprio Governo a responsabilidade por esta aplicação. Mas, apesar do nobre desígnio de um maior controlo da pandemia e de as autoridades portuguesas não recolherem informação dos utilizadores, não podemos recomendar a instalação da StayAway Covid sem reservas. A decisão está do lado do consumidor.

O bluetooth é preciso nos resultados?

O sistema da Google e da Apple recorre ao bluetooth, e não à geolocalização. Se existem vantagens do ponto de vista da proteção dos dados, a verdade é que nesta tecnologia, mesmo com a versão mais recente (Bluetooth Low Energy), existe incerteza quanto à deteção de dispositivos, ou seja, embora alguns telemóveis consigam captar sinais a 30 metros, não sabem com precisão a que distância se encontra esse aparelho emissor. Além disso, os sinais de bluetooth podem ser bloqueados por paredes ou mesmo atenuados pelo tecido das calças, se o telemóvel estiver no bolso, o que tem influência na medição da distância entre dispositivos, mesmo a curtas distâncias.

Além de falhas no reconhecimento de telemóveis, pode ocorrer a identificação de falsos contactos com infetados, ou seja, sem que os utilizadores tenham estado sujeitos a riscos, o que poderá criar ansiedade desnecessária.

E, elementar, o sistema só funciona se a função bluetooth do telemóvel estiver ativada.

Que preocupações éticas envolvem as apps de rastreamento?

Quando se instalou a pandemia, cresceu o número de apps relacionadas com a covid-19, algumas verdadeiros instrumentos de burla. A própria DECO PROTESTE alertou para a Covid-19 Tracker, que bloqueava os aparelhos Android e exigia de resgate 100 dólares americanos em bitcoins.

Em abril, quando se começou a debater a possibilidade de apps para monitorizar a doença e ajudar na fase do desconfinamento, as autoridades europeias decidiram uma abordagem uniforme, para combater a pandemia sem dar espaço ao cibercrime.

As aplicações a serem desenvolvidas deveriam ser de uso facultativo e respeitar a legislação de proteção de dados. Neste sentido, poderiam alertar os utilizadores que tivessem estado durante algum tempo perto de um indivíduo infetado, mas estavam impedidas de revelar a identidade do doente.

Os portugueses são adeptos de apps para rastrear a covid-19?

Em maio, perguntámos aos portugueses, através de um inquérito online, se concordariam com uma app de rastreamento. Apesar de acreditarem que esta ferramenta pode salvar vidas, mostravam reservas quanto à privacidade dos dados.

A geolocalização era a funcionalidade que gerava maior desconforto. Questionados sobre a possibilidade de serem recolhidos dados de localização para que as autoridades monitorizassem os hábitos de mobilidade dos cidadãos durante a pandemia, cerca de metade concordava com a medida, mas apenas se a informação fosse anónima. Se tal não fosse garantido, o número caía para um terço.

Neste ponto, podem ficar descansados, porque a Stayaway Covid não recolhe dados de geolocalização. Além disso, a informação que recolhe não permite identificar o utilizador, que se mantém anónimo.

Que países já adotaram a tecnologia para rastrear infetados?

O desenvolvimento das aplicações no espaço europeu tem-se processado a diferentes ritmos. Alemanha, Dinamarca, Espanha, Irlanda, Itália e Suíça são exemplos de países que adotaram a app que segue o modelo da Google e da Apple.

Alguma comunicação social tem falado do Reino Unido para provar a ineficácia das apps de rastreamento. Acontece que este país decidiu desenvolver um modelo próprio, diferente do preconizado pela União Europeia. Mas, vários meses e milhões de investimento depois, as autoridades entenderam abandoná-lo. Durante os testes realizados na ilha de Wight, ao largo da costa sul, verificou-se que a app só reconhecia 4% dos telemóveis com iOS e 75% dos equipados com o Android.

Como tal, as autoridades britânicas estão agora a considerar a abordagem da Google e da Apple, mais rigorosa e compatível com um maior número de equipamentos recentes. Ainda assim, telefones com mais de cinco anos que não tenham recebido atualizações ficam de fora do sistema.

Se usar no estrangeiro, também resulta?

A interoperabilidade foi uma das regras estabelecidas pela União Europeia, para que, ao viajarem pelos Estados-membros, os cidadãos se mantivessem protegidos.

Esta interligação está assegurada, mas apenas nos países que usarem aplicações baseadas no GAEN. O objetivo é a abertura gradual das fronteiras e o rápido retorno da circulação por toda a União Europeia.

As apps dos outros países são seguras?

Investigadores do Trinity College Dublin, na Irlanda, analisaram as apps disponíveis ao nível europeu. Fizeram-no, contudo, apenas para a versão Android. Na altura, a app portuguesa ainda não tinha sido lançada, pelo que ficou fora do estudo.

Descobriram que, se a componente gerida pelas autoridades sanitárias, no geral, mantém a privacidade dos dados relacionados com a saúde, existem variações consoante os países, e as apps lançadas na Dinamarca, na Irlanda, na Letónia e na Polónia deveriam ser melhoradas, sugestões que fizeram chegar à Google.

A versão dinamarquesa não verifica se está a comunicar com o servidor correto, o que pode levar a que, depois de receber um telefonema a transmitir um teste positivo, e de armazenar a informação, o utilizador possa, por exemplo, ver os dados carregados na sua rede profissional e partilhados com a entidade patronal. Já as versões letã e polaca recorrem ao serviço Google Firebase, pelo que partilham informação com a gigante tecnológica. Por sua vez, a app irlandesa gera uma espécie de “supercookie” que permite rastrear as comunicações do telefone ao longo do tempo.

Mas o problema principal prende-se com a segunda componente das apps, garantida pelo GAEN. Os investigadores descobriram que a Google Play Services contacta os servidores da Google a cada 10 a 20 minutos, permitindo a localização do telefone através do endereço IP. Além disso, a Google Play partilha o identificador único e o número de série do telemóvel, o número de série do cartão SIM, o número de telefone, o e-mail da conta Google e, ainda, informações sobre as apps instaladas no aparelho.

Os investigadores concluem que este nível de intrusão é incompatível com apps patrocinadas pelos governos nacionais, que as aconselham para uso generalizado das populações. A Google está, pois, a fazer o que as plataformas digitais sempre fazem: explorar os dados dos utilizadores.

Importa referir que este tipo de recolha não está diretamente relacionado com as apps de rastreamento. Ainda assim, as que utilizam o GAEN, como é o caso da StayAway Covid, precisam do serviço da Google ativo (no Android), pelo que ficam expostas ao problema. 

Só funciona se 60% da população descarregar?

Espalhou-se a notícia de que apenas se um mínimo de 60% da população de um país descarregasse a app seria possível obter resultados precisos, aparentemente com base num estudo da Universidade de Oxford. Entretanto, os investigadores vieram esclarecer que tinham sido mal interpretados e que estas apps podem funcionar com níveis de adesão mais baixos. Mas um artigo na MIT Technology Review indica que, apesar de os investigadores reconhecerem a utilidade de patamares mais modestos, não têm a certeza de qual será o limiar mínimo.

Algumas vozes, no entanto, defendem que níveis muito reduzidos tornarão a app inútil. Por exemplo, se unicamente 10% da população a descarregar, a probabilidade de contacto entre duas pessoas que a detenham será de 10% de 10%, ou seja, de 1 por cento.

É nosso subscritor e precisa de esclarecimentos personalizados sobre este tema? Contacte o nosso serviço de assinaturas. Relembramos ainda que pode aceder a todos os conteúdos reservados do site: basta entrar na sua conta

Se ainda não é subscritor, conheça essas e as demais vantagens da assinatura.

Subscrever

 

O conteúdo deste artigo pode ser reproduzido para fins não-comerciais com o consentimento expresso da DECO PROTESTE, com indicação da fonte e ligação para esta página. Ver Termos e Condições.