A Associação, que já criou o site rastreamento.pt, que pretende ajudar a compreender estas aplicações e esclarecer a decisão de as instalar ou não, continua a considerar que grande parte das questões sobre a aplicação que está a ser desenvolvida pelo INESC TEC, financiada com verbas públicas pela FCT e apoiada oficialmente pelo Governo e a Direção Geral de Saúde, não estão respondidas.

A aplicação portuguesa STAYAWAY COVID já está a ser testada jundo de um grupo alargado de utilizadores, com mais de 13 mil pessoas a serem contactadas para instalar a aplicação, e faz parte de um grupo de apps que está a ser usada para quebrar as cadeias de transmissão do novo coronavírtus, ajudando a rastrear os contactos de risco e avisando os utilizadores que estiveram em contacto com pessoas que testaram positivo à COVID-19. Várias organizações já levantaram dúvidas sobre questões de segurança e privacidade, mas as aplicações são vistas como uma ferramenta de auxílio a um sistema de rastreamento tradicional, baseado em questionários aos pacientes, que podem ter falhas.

Foi a preocupação com a falta de transparência no desenvolvimento, e com as consequências implicadas pelo uso generalizado de uma solução tecnológica, com eficácia não comprovada e com muitas dúvidas por responder, que levou a que a D3 tenha emitido um comunicado detalhando em quatro pontos as suas dúvidas e falhas identificadas, apelando ao Governo e Assembleia da República para desenvolverem legislação específica e fazendo também exigências aos responsáveis pela STAYAWAY COVID.

Como funciona a app de rastreamento à COVID-19? Tudo o que precisa de saber em 27 perguntas com respostas
Como funciona a app de rastreamento à COVID-19? Tudo o que precisa de saber em 27 perguntas com respostas
Ver artigo

A associação pede ainda que o Governo reveja o "entusiasmo em aderir a “soluções” que podem só complicar o problema" e que não incentive a instalação da aplicação STAYAWAY e recomenda à população portuguesa a "máxima precaução antes de enveredar por este artifício tecnológico até que existam garantias de que não vai piorar ainda mais a drástica situação que estamos todas e todos a viver".

Estes são quatro tópicos apontados pela D3 no seu comunicado.

Falsos positivos e negativos

"Pela forma como a Stayaway funciona através de contacto Bluetooth, sabemos haver muitas situações em que serão registados contactos que não existiram: por entre divisórias finas, barreiras de proteção de acrílico ou vidro, ou mesmo engarrafamentos, registar-se-ão imensos contactos entre pessoas que na verdade não aconteceram", refere a associação, lembrando ainda que a tecnologia Bluetooth não foi feita para medir distâncias. "Também foi publicado recentemente que as ARCs não funcionam dentro de autocarros, com uma taxa de deteção inferior a 5% devido à estrutura de metal do veículo, que interfere com o Bluetooth", adianta.

A D3 escreve que "a cada falso positivo corresponde não só tempo perdido por parte da comunidade científica a tentar compreender que partes das redes de contaminação são fidedignas e quais não são, como também será uma causa desnecessária de ansiedade e desespero por parte de cada pessoa que receber a mensagem a dar a má notícia – e a própria app aconselha imediatamente o isolamento a quem receber a notificação, o que só vai agravar essas consequências".

STAYAWAY COVID: Primeiro teste alargado da app com 13 mil pessoas registadas em estudo sobre COVID-19
STAYAWAY COVID: Primeiro teste alargado da app com 13 mil pessoas registadas em estudo sobre COVID-19
Ver artigo

Segundo o comunicado, agora já sabemos que os falsos positivos são um problema real. "O Ministério da Saúde de Israel veio admitir que houve mais de 12.000 casos de falsos positivos na app oficial que levaram à quarentena desnecessária de 12000 pessoas. Sabemos que muita gente vai ser notificada sem ter tido um contacto real. Um cenário particularmente plausível é o de que rapidamente as pessoas se apercebam que as notificações não são para levar a sério, o que arrasaria com qualquer potencial de eficácia da Stayaway".

Nenhum caso de sucesso

Este é mais um ponto destacado pela D3. "Apesar de já terem passado várias semanas desde que as primeiras ARCs começaram a ser usadas pela Europa, continua um silêncio revelador sobre os seus efeitos positivos. Por outro lado, já conhecemos alguns fiascos: na Austrália, a ARC local não conseguiu identificar qualquer contacto para além do que já havia sido determinado pelo rastreio convencional".

A associação refere que houve quem já tenha avisado para esta questão e apontou o artigo da Profª. Joana Gonçalves de Sá no Público, onde refere a enorme dificuldade em implementar com sucesso uma solução técnica deste género, com a agravante das múltiplas deficiências do sistema adotado, algumas delas intransponíveis.

É ainda citado um estudo do Trinity College Dublin que questiona profundamente se estas apps são sequer eficazes, condenando a falta de transparência na sua implementação. E um relatório suíço que a D3 diz que vai mais longe e aponta um conjunto grave de ineficácias e riscos para a privacidade que todas as ARCs têm, afirmando que o seu uso poderá resultar em cenários piores do que se não existissem.

"Assim, repetimos que a Stayaway está longe de merecer o otimismo do Primeiro-Ministro ou de qualquer outro cidadão", sublinha a associação.

Mostrem o código!

"O Primeiro-Ministro e vários dos ministros do Governo manifestaram, várias semanas antes da data projetada de lançamento, a sua intenção de instalar esta ARC sem sequer a terem visto ou usado", refere a D3, sublinhando que com os escândalos de fugas de dados com apps do género "apreciar-se-ia algum cuidado no endosso a uma solução técnica cujos métodos de funcionamento ainda ninguém conhece, porque o seu código-fonte ainda está mantido em segredo", e refere a propósito  o exemplo da Índia, onde existem relatos de que era possível aceder à localização dos infetados.

Governo dá luz verde ao decreto-lei que "valida" uso da app STAYAWAY COVID e coloca DGS como gestora do sistema
Governo dá luz verde ao decreto-lei que "valida" uso da app STAYAWAY COVID e coloca DGS como gestora do sistema
Ver artigo

Reconhecendo que existe a promessa de publicar o código aquando do lançamento da Stayaway, a D3 defende que é essencial que isso se faça mais rapidamente. "A publicação do código-fonte da aplicação, de forma integral e reprodutível, é fundamental para qualquer noção de controlo democrático de uma aplicação que vamos todos ser incentivados a instalar. Só assim se pode analisar o que a aplicação realmente faz, e incluir os cidadãos no esforço de assegurar que não há falhas nem riscos na Stayaway".

NA associação afirma que no caso da aplicação de rastreamneto de contactos na Alemanha o código foi publicado duas semanas antes do lançamento e que inúmeras pessoas participam no esforço de alerta para problemas encontrados nas apps, tendo sido resolvidos vários problemas graças a este processo aberto.

"Por cá, nada está publicado", sublinha a D3, lembrando que várias notícias dizem que a app está pronta ddesde o início de junho. "Porque se mantém ainda em segredo o código?", questiona a associação.

Temos de falar da Apple e da Google

A utilização das APIs da Apple e da Google é apontada como mais um problema. "A Stayaway recorre à API da Apple e da Google para poder funcionar, o que significa que interage com o sistema operativo de uma forma que só a Apple e a Google controlam; ou seja, mesmo que o código da Stayaway seja integralmente publicado, falta publicar a parte do código do sistema operativo que manipula a informação obtida pela app", explica a associação.

Mesmo acreditando na promessa de inviolabilidade dos nossos dados pessoais, estas empresas continuam a ter acesso aos dados de instalação e utilização da app (tal como com qualquer outra), refere o comunicado. "É de óbvio interesse obter informação sobre como uma pessoa lidou com a app (instalou ou não? Quantas vezes a abre por dia?), para cruzar com os dados de login da app store de cada pessoa, e assim complementar os perfis usados para o targeting de anúncios: uma empresa de produtos médicos poderá assim apontar os seus anúncios a pessoas que instalaram a Stayaway, por serem um público mais suscetível de aceitar soluções mágicas para lidar com o desespero que a pandemia provoca", identifica, afirmando que as proteções de privacidade prometidas pela Stayaway não o conseguem impedir.

STAYAWAY COVID: app portuguesa já está a testar integração com as APIs da Google e Apple
STAYAWAY COVID: app portuguesa já está a testar integração com as APIs da Google e Apple
Ver artigo

Para a D3, a dependência da API Apple e Google tem outra consequência: estas empresas podem alterar unilateralmente o funcionamento do seu código, e não há forma das pessoas (ou o Governo) saberem o que mudou. "Contra isto, nem o Inesctec nem o Governo podem fazer nada, porque aceitam recorrer a estas componentes fechadas que não podem ser auditadas", sublinha a associação.

"O Governo português está a apoiar oficialmente uma app que enviará informação para a Apple e Google, sem qualquer acordo com estas empresas para assegurar que os dados de utilização da app não vão ser utilizados para outros fins. Exigimos outro respeito pela integridade dos dados dos cidadãos, particularmente num momento em que muitos se aproveitam da instabilidade atual; não é aceitável que estas duas gigantes possam ser partes fundamentais de um mecanismo de saúde pública, sem qualquer transparência pela forma como operam", afirma a D3.

Exigências aos responsáveis pela app e apelos ao Governo e Parlamento

Na sequência desta análise a D3 exige aos responsáveis da STAYAWAY que façam a publicação imediata do código-fonte da Stayaway e dos mecanismos de funcionamento Apple+Google para esclarecer a privacidade dos dados de utilização da app, e que divulguem também o montante de financiamento público do desenvolvimento da Stayaway.

Os apelos estendem-se ao Governo e Parlamento, que pretendem que implemente legislação específica para proibir a discriminação baseada na opção pelo uso ou não uso da app, afirmar o carácter exclusivamente voluntário da sua instalação e assegurar que soluções tecnológicas realizadas com financiamento público devem ter o seu código público.

“Ao Governo português pedimos uma revisão do entusiasmo em aderir a “soluções” que podem só complicar o problema, e que se abstenha de incentivar a instalação da Stayaway por parte da população portuguesa. E à população portuguesa, recomendamos a máxima precaução antes de enveredar por este artifício tecnológico até que existam garantias de que não vai piorar ainda mais a drástica situação que estamos todas e todos a viver.”, sublinha Ricardo Lafuente, vice-Presidente da D3.

Newsletter

Receba o melhor do SAPO Tek. Diariamente. No seu email.

Notificações

Subscreva as notificações SAPO Tek e receba a informações de tecnologia.

Na sua rede favorita

Siga-nos na sua rede favorita.