2020/09/01

App Stayaway Covid e as perguntas sem resposta


Com a chegada da app Stayaway Covid que fará o contact tracing em Portugal, permanecem muitas questões ainda sem resposta que seria conveniente esclarecer.

A Associação D3 - Defesa dos Direitos Digitais referiu anteriormente os potenciais problemas de uma solução tecnológica apressada, com possíveis efeitos negativos que obrigam a uma maior sensatez na altura de anunciar soluções definitivas. Há também questões às quais faltam respostas satisfatórias, e que transcrevo de seguida:

Nenhum sinal positivo até agora

Já passou tempo suficiente para se poder olhar para os países que arrancaram com apps semelhantes, e só se pode concluir que está longe de haver qualquer semblante de sucesso. Podemos aliás constatá-lo no discurso dos próprios promotores da app, que moderaram a euforia inicial: o presidente do Inesc Tec admite que é cedo para se falar de eficácia, e ainda está para surgir nas notícias qualquer relato promissor que valide esta forma de combate à pandemia.

Bem pelo contrário, os sinais são reveladores de um potencial fracasso: em França, onde 2,3 milhões de pessoas instalaram a app, foram emitidas apenas 72 notificações de contacto. Mesmo na Alemanha, um dos países com maior adopção da aplicação, a adesão não chega aos 25% da população, bem longe dos números indicados anteriormente como mínimos para se poder falar em eficácia da app. A ausência de relatos de sucesso ou sequer eficácia vindos de fora deveria aconselhar maior ponderação na altura de repetir a experiência por cá.


É voluntário ou puxam-nos as orelhas se não instalarmos?

Ao contrário dos promotores da app, que se tornaram cuidadosos no que toca a falar de eficácia, o Ministério da Saúde entra no assunto sem qualquer contenção: segundo o presidente dos SPMS, é “fundamental que descarreguem a aplicação, que a mantenham ligada, que a usem no seu dia-a-dia”. Mas o mesmo responsável admite que a app será apenas uma “ajuda” à luta contra a pandemia, pelo que será preciso bem mais para justificar a sofreguidão com que se apresenta a Stayaway como algo “fundamental”. A D3 defende que, na ausência de provas de eficácia, é irresponsável descrever o uso da app como “fundamental”, especialmente quando a sua instalação deverá ser uma decisão voluntária e individual, idealmente ponderada com recurso a dados fidedignos, e não a apelos catastrofistas.

Ao mesmo tempo, surgem notícias preocupantes relativas às recomendações operacionais emitidas pelo Ministério da Ciência, Tecnologia e Ensino Superior. Num comunicado recente do gabinete do MCTES, recomenda-se às instituições académicas que “Divulguem e incentivem a utilização pela comunidade académica do sistema digital STAYAWAY COVID, actualmente já em testes e a disponibilizar em Agosto, como uma ferramenta eficaz, voluntária, não discriminatória e totalmente descentralizada, orientada para evitar e monitorizar o potencial risco de contágio”. Aqui, o mesmo problema: é apresentado como uma “ferramenta eficaz” algo que, à data do comunicado, não estava sequer lançado. É preocupante observar um Ministério a emitir semelhantes afirmações, num momento em que é essencial assegurar a confiança da população nas autoridades, para que a luta contra a doença não seja ainda mais dificultada pela desinformação e pela desconfiança. Esperamos que as comunidades académicas sejam mais sóbrias face a esta directiva, particularmente tendo em conta as recentes reservas expressas pela comunidade científica quanto à eficácia destas apps.

Finalmente, observámos o Primeiro-Ministro a defender a instalação da app como “um dever cívico”. Aqui a mensagem fica profundamente confusa: o seu uso é voluntário ou é um dever cívico? E novamente, ela é fundamental ou não? E se não é, por que é um dever cívico usá-la? O “dever” não se coaduna com o “poder” que a adopção voluntária implica, e sentimos que o discurso do Primeiro-Ministro, até agora cauteloso, passa a deixar implícito que a app é necessária para o combate à pandemia, coisa que o presidente dos SPMS acima citado já deixou claro que não é o caso.

Promessa quebrada: partes essenciais do código fonte continuam por publicar

Desde o princípio que foi prometida a publicação do código fonte da Stayaway. Parte desse código foi efetivamente publicada, mas apenas a que diz respeito ao interface da aplicação; o código do servidor não está, estranhamente, devidamente publicado.

A única coisa que encontramos nos repositórios do Inesc Tec é uma cópia antiga do “template” providenciado pelo D3PT, o projecto europeu cujo código a Stayaway reutiliza. Não existe qualquer acrescento por parte do Inesc Tec ou outra entidade portuguesa. Daqui duas conclusões são possíveis: ou este repositório desactualizado corresponde ao código que está a ser usado (com meses de atraso e falhas de segurança que entretanto foram corrigidas na origem); ou então o verdadeiro código permanece oculto, pelo que o anúncio de que o código fonte da aplicação é público não corresponde à verdade. Acreditamos que a segunda opção é a mais provável, mas faltam esclarecimentos essenciais face às promessas feitas – especialmente se recordarmos que o seu desenvolvimento terá sido levado a cabo com financiamento público.

Outra parte do código que move a aplicação permanece oculta, nomeadamente a parte controlada pela Apple e Google.

Apple e Google, ou o ajoelhamento do Governo perante a Big Tech

A Stayaway funciona recorrendo a componentes dos sistemas operativos dos telemóveis (GAEN é a sigla que envolve esses componentes), desenvolvidos e controlados pela Apple e pela Google. O próprio presidente do Inesc Tec reconhece que esta dependência põe totalmente em causa a transparência e o controlo sobre a aplicação: “Ao estarmos a usar estas funcionalidades da Apple e da Google perdemos o controlo sobre elas, mais ainda, apesar da aplicação e todo o sistema ser código aberto, esta parte não é e, portanto, perdemos esse controlo”, disse, acrescentando que esta é “uma fragilidade que não vai ser ultrapassada”.

O responsável pela app vem assim dar razão à Comissão Nacional de Proteção de Dados, quando esta manifestou grande preocupação com o “recurso à interface da Google e da Apple”, que será um dos “aspectos mais críticos da aplicação, na medida em que há uma parte crucial da sua execução que não é controlada pelos autores da aplicação ou pelos responsáveis pelo tratamento”. E aponta correctamente os riscos de tal abordagem: “Esta situação é ainda mais problemática porque o GAEN declara que o seu sistema está sujeito a modificações e extensões, por decisão unilateral das empresas, sem que se possa antecipar os efeitos que tal pode ter nos direitos dos utilizadores”.

Lamentamos profundamente que essa preocupação tenha sido ignorada pelo Governo, abrindo o perigoso precedente de permitir que Google e Apple se tornem uma componente dos protocolos de saúde pública, sem qualquer transparência ou responsabilidade democrática.

Perguntas ainda sem resposta

Assim, às dúvidas que exprimimos anteriormente, juntamos outras perguntas a que é fundamental obter resposta:
  • Quanto custou o desenvolvimento da app? Há ou não financiamento público no seu desenvolvimento?
  • Onde está o código-fonte do servidor da Stayaway?
  • Porque não está disponível o código que mostra o que Apple e Google fazem com os dados? Quais têm sido os esforços do Governo para assegurar transparência total por parte destas entidades?
  • Em que se baseia o Governo para afirmar que a Stayaway é uma “ferramenta eficaz”, quando não há dados concretos que demonstrem a eficácia destas apps?
  • Se uma pessoa for notificada, com a app a recomendar o seu isolamento, existe justificação de falta ao trabalho, a um exame, a aulas, a reuniões?
  • O que acontece se se concluir que a app não serviu para nada, como as experiências lá fora estão a evidenciar?


Tendo em conta tudo aquilo que se vai sabendo a nível de abusos de privacidade por conta da recolha exaustiva de dados, este é um tema que simplesmente não se pode descartar, ou simplesmente aceitar que esteja a ser feito "por bondade" de empresas tecnológicas através de código inacessível que ninguém pode validar. A disponibilização desse código será um indispensável primeiro passo para a transparência; assim como a moderação das promessas quanto à real eficácia desta solução, até que isso seja devidamente comprovado... ou não.

8 comentários:

  1. As pessoas instalam todo tipo de aplicações sem saber se as mesmas respeitam a privacidade dos dados privados e chegam a instalar outras que sabem que recolhem todo o tipo de informação. Tipo: Aplicações do Facebook e da Google.
    Quando se cria uma aplicação que poderá ajudar no controlo de uma pandemia mundial, começam a levantar questões.
    Desculpem, mas não entendo. É simples. Têm duvidas? Não instalem!
    Se não têm nada a perder, instalem.
    Não me "custou nada". É mais uma das "milhentas" aplicações que tenho no smartphone.

    ResponderEliminar
    Respostas
    1. Rio-me sempre que vejo pessoas a falar contra esta, mas têm o TikTok instalado. A hipocrisia é real.

      Eliminar
  2. Só três coisas, porque o post é igual aos anteriores.

    Começando pelo que disse a Associação D3, o que não está no post, está noutro: a app vais servir "para complementar os perfis usados para o targeting de anúncios: uma empresa de produtos médicos poderá assim apontar os seus anúncios a pessoas que instalaram a Stayaway, por serem um público mais suscetível de aceitar soluções mágicas para lidar com o desespero que a pandemia provoca". Conseguem dizer isto sem se rir?
    Isto abrange também o magno problema "das componentes dos sistemas operativos dos telemóveis desenvolvidos e controlados pela Apple e pela Google" que as podem alterar. Para refinar o targeting de anúncios?

    O código da Stayway Covid. Já viram no GitHub?
    https://github.com/stayawayinesctec

    Na Alemanha a app baseada na Google/Apple, lançada em meados de junho, já teve 17,8 milhões de downloads. Bem, são 17,8 milhões e a app só pode ser usada em versões mais recentes do SO. Na Europa foram ou estão em testes apps baseadas na Google/Appl em: Alemanha, Áustria, Bélgica, Croácia, Escócia, Eslovénia, Espanha, República Checa, Dinamarca, Estonia, Finlândia, Holanda, Irlanda, Irlanda do Norte, Itália, Lituânia, Malta, Polónia, Portugal, Reino Unido, e Suíça. Noutros continentes: EUA (em vários Estados), Canadá, Japão, Austrália, Brasil, México e outros.
    Deixemo-nos da appzinha portuguesa porque há muitas mais. É possível mudar de país, em férias ou trabalho, e usar a app de lá/cá, multilíngua.

    O que disse o Primeiro Ministro e o SNS de que é um dever cívico usar a app - e que por isso deixa de ser de uso voluntário não tem explicação.

    Nem vale a pena pôr mais na carta a Garcia. As pessoas pensam pela sua cabeça. Sabem que não é a solução milagrosa para parar a pandemia, mas que pode ser um meio importante para quebrar as cadeias de transmissão.
    Não se esqueçam que vem aí o Outono e Inverno, o regresso às aulas, aos locais de trabalho e aos transportes públicos. Em todos estes locais podem estar com familiares, conhecidos e desconhecidos (ou de que já não se lembram), a menos de dois metros e durante mais de 15 minutos - que é considerado risco de contágio, nos últimos 14 dias.
    Se testaram positivo não gostariam de ter um meio de os prevenir? Se fosse ao contrário não gostavam de ser prevenidos?
    Tenham isso em consideração e não apenas o "blá-blá tech", boa parte dele inconsistente e preconceituoso.

    ResponderEliminar
  3. O iOS 13.7 que saiu hoje já faz esse tracking nativamente sem ser preciso instalar a misteriosa app que governo tanto insiste em que instalemos.

    ResponderEliminar
    Respostas
    1. Não, o que traz é a API que permite que esta (e outras apps) funcionem; mas continua a precisar de uma app que lhe dê uso. A própria opção faz referência a isso: "You can turn on Exposure Notifications from your Public Health Authority by downloading their app in the App Store".

      Eliminar
    2. Ok, já vi a nova versão, já sai notícia amanhã. (No iOS 14 beta ainda não tinha aparecido).

      Eliminar
  4. Para quem utiliza a ROM que respeita a privacidade a e da E Foundation esta aplicação não funciona. :-)

    ResponderEliminar
  5. Todos temos de instalar para o app ter sucessos.

    ResponderEliminar