Disponibilização do código da STAYAWAY COVID não é suficiente
A ANSOL - Associação Nacional para o Software Livre tem acompanhado com preocupação os desenvolvimentos sobre a aplicação de rastreamento de contactos (ARC) STAYAWAY COVID, desenvolvida pelo INESC TEC.
Apesar do INESC TEC afirmar que vai disponibilizar o código fonte da aplicação, é certo que esta usa a API da Google e da Apple, cujo código não é escrutinável e, portanto, a disponibilização do código pelo INESC TEC corresponde apenas a uma parte da aplicação por onde passam os dados dos cidadãos.
"Qualquer modelo que passe por usar código que os cidadãos não podem escrutinar deve ser rejeitada. Estamos a falar de dados de saúde e, portanto, dados muito sensíveis. É imperioso que os cidadãos saibam que dados são recolhidos, quem os recolhe, e como é que esses dados vão ou podem ser usados.", afirma Tiago Carrondo, presidente da ANSOL, acrescentando "A mera informação sobre quem instala ou não a aplicação pode ser usada como fonte de discriminação".
A aplicação irá fazer uso da interface de Notificação de Exposição da Apple e da Google (GAEN). Esta componente fornece acesso a funcionalidades do dispositivo e não são executadas directamente pela aplicação. Mas, embora a GAEN forneça amostras de como implementar os serviços de acesso, como podemos ver neste exemplo de servidor, o código usado na aplicação final não é público. Não é conhecido o tratamento de dados que leva, nem estas empresas se têm mostrado dispostas a disponibilizar estes detalhes.
Depois da primeira deliberação da Comissão Nacional de Protecção de Dados (CNPD) em relação à aplicação, que levanta questões em relação à falta de garantias que há com o uso da GAEN, temos observado com desagrado o facto de que nada se tem feito sobre esse assunto.
Pelo contrário, o uso da GAEN, tal como o uso de uma ARC, continua a ser apresentado como uma inevitabilidade. Assim, foi publicada a Resolução do Conselho de Ministros de 16-07-2020, na altura ainda sem parecer emitido pela CNPD sobre o mesmo, algo que só veio a ocorrer - numa crítica ao Decreto-Lei - no dia 21 de Julho. Mais uma vez, a CNPD destaca, no modelo previsto, "uma parte substancial do tratamento de dados não ser controlada pelo responsável do tratamento, mas sim por uma parceria das duas maiores empresas de tecnologia", a interface GAEN, criada pela Google e pela Apple.
Se fosse preciso algo mais do que desconfiança para perceber que as garantias que temos de conseguir, como sugere a CNPD, "a monitorização contínua do funcionamento" da GAEN, são nulas, temos a própria equipa que se encontra a desenvolver a aplicação a dar-nos um exemplo do quão não transparente é a relação entre eles e aquelas empresas. Em reacção a uma notícia do New York Times, que diz que vários dos países a implementar uma solução baseada em GAEN "estão desconfortáveis" com o comportamento da Google ao não aceitar alterar um dos detalhes do GAEN, o INESC TEC disse ao Observador "Com outros responsáveis do desenvolvimento de aplicações similares europeias, temos vindo a questionar a Google e a solicitar a correcção do sistema operativo", além de ter dito ao jornal ECO que "a solicitação feita pelo Android é incorrecta e causa de preocupação em todas as aplicações que utilizam a GAEN". Contudo, não se obteve resposta sobre a possibilidade de alterar esta situação.
Esta não é a primeira vez que nos deparamos com os problemas que advêm do uso desta componente de software proprietário. Em resposta à comunidade científica quando esta encontrou um problema de segurança na ARC alemã, também assente na interface GAEN, a equipa que a desenvolve desresponsabilizou-se do problema, nem sequer alertando os seus utilizadores, com o argumento de que o problema está na GAEN, e que "não gerem essa componente", indicando que estas preocupações deviam ser "enviadas directamente à Apple e à Google".
"Depois da forma como a Google e a Apple optaram pela criação desta API, e pressionaram os países a adoptá-la, parece-nos difícil que estas empresas tenham abertura para torná-la numa componente livre"*, diz Tiago Carrondo, que acrescenta *"A opção destas gigantes da tecnologia por manter o controlo sobre a API é propositada, mas nós não somos forçados a utilizar esta API."
A atitude que se observou recentemente, com o INESC TEC a dizer aos utilizadores do teste piloto que a CNPD tinha aprovado a app, levanta preocupações sobre a sensibilidade dos envolvidos para a privacidade dos dados e para o tratamento dos mesmos.
Recorde-se que até agora o ponto mais positivo sobre a app e um requisito essencial por parte da Comissão Nacional de Protecção de Dados é o carácter voluntário da aplicação. *"De facto, não estão garantidas as condições sobre a privacidade dos cidadãos, para se poder recomendar o uso da aplicação"*, conclui Tiago Carrondo.