Covid-19: Projeto da aplicação de rastreio está a ser revisto

A STAYAWAY COVID é uma aplicação voluntária que, através da proximidade física entre ‘smartphones’, permite rastrear de forma rápida e anónima as redes de contágio por covid-19.

O administrador do Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência afirmou ontem que, após um parecer da Comissão Nacional de Proteção de Dados, está a ser revisto o projeto da aplicação de rastreio da covid-19.

“Havia dúvidas da Comissão Nacional de Proteção de Dados (CNPD) sobre coisas onde fomos omissos ou não fomos claros. Desde ontem que estamos a rever o IPD [Integrated Project Delivery] para explicar isso melhor e enviaremos logo que esteja pronto, mas não estamos a alterar a aplicação”, afirmou hoje Rui Oliveira, administrador do Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência (INESC TEC).

A STAYAWAY COVID é uma aplicação voluntária que, através da proximidade física entre ‘smartphones’, permite rastrear de forma rápida e anónima as redes de contágio por covid-19, informando os utilizadores que estiveram, nos últimos 14 dias, no mesmo espaço de alguém infetado com o novo coronavirus.

Em declarações à Lusa, Rui Oliveira afirmou que o parecer emitido pela CNPD é “muito razoável e ajustado” e que as “fragilidades” apontadas ao projeto levado a apreciação eram “conhecidas” pelo instituto.

Num parecer publicado no seu ‘site’, a CNPD considera que a aplicação tem riscos e defende que deve ser feito um teste piloto para identificar e corrigir falhas de segurança.

Segundo Rui Oliveira, duas das “fragilidades” apontadas pela comissão estão relacionadas com “alguns detalhes que estavam submissos”, como a integração dos profissionais de saúde na aplicação e a definição do organismo público responsável pela STAYAWAY COVID, situação que “ainda está a ser definida”.

“O parecer da CNPD onde coloca as chamadas linhas vermelhas em rigorosamente nada que tem a ver com a aplicação. As linhas vermelhas do parecer estão em que é necessário que seja definido o organismo público responsável pela aplicação e é necessário o envolvimento ativo das autoridades de saúde”, referiu.

Para a comissão, um dos aspetos mais críticos da aplicação é o recurso a uma interface que é da Google ou da Apple, pois há “uma parte crucial” da execução do sistema que não é controlada pelos autores da aplicação ou pelos responsáveis pelo tratamento de dados.

No que a esta questão concerne, Rui Oliveira afirmou que, apesar de compreender, não tem “uma solução que possa ultrapassar as desvantagens” relacionadas com a utilização da API de notificação e exposição da Google e da Apple.

“Ao estarmos a usar estas funcionalidades da Apple e da Google perdemos o controlo sobre elas, mais ainda, apesar da aplicação e todo o sistema ser código aberto, esta parte não é e, portanto, perdemos esse controlo”, disse, acrescentando que esta é “uma fragilidade que não vai ser ultrapassada”.

“Deixarmos de usar estas funcionalidades da Google e da Apple significaria não termos aplicação”, sublinhou.

A Comissão sublinha o facto positivo de a aplicação ser de uso voluntário, mas recorda que o resultado das ações como desligar o Bluetooth e deixar de ter o rastreio de proximidade ativado não se encontra sob controlo do utilizador, mas sim do sistema operativo gerido pela Apple ou Google, pois a aplicação é descarregada na Apple Store ou na Google Play.

Argumenta ainda que para o tratamento de dados decorrentes da aplicação é preciso uma avaliação de impacto da proteção de dados, pois há operações de “tratamento em larga escala” relativos a dados pessoais de saúde.

A CNPD defende igualmente que um teste piloto em condições reais em que a aplicação esteja disponível para um número restrito de utilizadores pode ser benéfico “para identificar e corrigir falhas de segurança”.

No parecer, a comissão aponta algumas indefinições quanto ao funcionamento do sistema e diz que, após a definição de todas as questões ainda pendentes, impõe-se uma reavaliação “para garantir que os pormenores de implementação da aplicação não induzem riscos acrescidos para a privacidade dos titulares dos dados”.

À Lusa, o administrador do INESC TEC afirmou que só depois da publicação de um documento oficial de enquadramento da lei para a aplicação é que a STAYAWAY “pode chegar ao público”.

Em comunicado, o INESC TEC afirma hoje que está a trabalhar para que a aplicação seja interoperável com o sistema suíço, acrescentando que apesar de não conseguir indicar uma data prevista para o seu lançamento “devido a condicionantes externas”, mantém a expectativa de conseguir lançar a STAYAWAY COVID “em meados de julho”.

As associações de profissionais de profissionais de proteção de dados saudaram hoje, em declarações à Lusa, o parecer cauteloso da CNPD sobre a aplicação, divergindo sobre a utilidade da tecnologia.

Para Inês Oliveira, presidente da Associação dos Profissionais de Proteção e Segurança de Dados, a solução é “um ‘Big Brother’, considerando que “é de questionar a sua necessidade, proporcionalidade e adequação”.

“Não estamos certos de que esta solução tecnológica seja eficaz”, afirmou Inês Oliveira, apontando que aplicações de rastreio de contactos têm “fraca adesão nos países da União Europeia que as adotaram”, uma condição essencial para darem resultados.

Já o presidente da Associação de Encarregados de Proteção de Dados, João Gabriel, disse à Lusa que a posição da Comissão Nacional de Proteção de Dados tem a “cautela acertada” em relação à aplicação, “não negando a utilidade desse meio complementar” de acompanhamento de eventuais cadeias de transmissão do novo coronavírus.

João Gabriel defendeu que, para haver confiança na aplicação, terá de ser disponibilizado publicamente o código-fonte do seu programa e que o “semi-patrocínio” do governo à sua utilização poderá ser complementado também com a defesa da aplicação por parte de partidos da oposição.

A pandemia de covid-19 já provocou mais de 505.500 mortos e infetou mais de 10,32 milhões de pessoas em 196 países e territórios, segundo um balanço feito pela agência francesa AFP.

Em Portugal, morreram 1.576 pessoas das 42.141 confirmadas como infetadas, de acordo com o boletim mais recente da Direção-Geral da Saúde.


Conteúdo Recomendado