7
1
mirror of https://gitlab.com/ansol/web-ansol.org.git synced 2024-11-24 15:13:14 +00:00
web-ansol.org/imported-content/_posts/2020-07-23-disponibilizacao-do-codigo-da-stayaway-covid-nao-e-suficiente.md

11 lines
5.9 KiB
Markdown

---
categories: []
metadata:
node_id: 747
layout: article
title: Disponibilização do código da STAYAWAY COVID não é suficiente
created: 1595493221
date: 2020-07-23
---
<p>A ANSOL - Associação Nacional para o Software Livre tem acompanhado com preocupação os desenvolvimentos sobre a aplicação de rastreamento de contactos (ARC) STAYAWAY COVID, desenvolvida pelo INESC TEC.<br><br>Apesar do INESC TEC afirmar que vai disponibilizar o código fonte da aplicação, é certo que esta usa a API da Google e da Apple, cujo código não é escrutinável e, portanto, a disponibilização do código pelo INESC TEC corresponde apenas a uma parte da aplicação por onde passam os dados dos cidadãos.<br><br><em>"Qualquer modelo que passe por usar código que os cidadãos não podem escrutinar deve ser rejeitada. Estamos a falar de dados de saúde e, portanto, dados muito sensíveis. É imperioso que os cidadãos saibam que dados são recolhidos, quem os recolhe, e como é que esses dados vão ou podem ser usados."</em>, afirma Tiago Carrondo, presidente da ANSOL, acrescentando <em>"A mera informação sobre quem instala ou não a aplicação pode ser usada como fonte de discriminação"</em>.<br><br>A aplicação irá fazer uso da interface de Notificação de Exposição da Apple e da Google (<a href="https://www.google.com/covid19/exposurenotifications/">GAEN</a>). Esta componente fornece acesso a funcionalidades do dispositivo e não são executadas directamente pela aplicação. Mas, embora a GAEN forneça amostras de como implementar os serviços de acesso, como podemos ver <a href="https://github.com/google/exposure-notifications-server">neste exemplo de servidor</a>, <strong>o código usado na aplicação final não é público. Não é conhecido o tratamento de dados que leva, nem estas empresas se têm mostrado dispostas a disponibilizar estes detalhes</strong>.<br><br>Depois da <a href="https://www.cnpd.pt/home/decisoes/Delib/DEL_2020_277.pdf">primeira deliberação da Comissão Nacional de Protecção de Dados (CNPD)</a> em relação à aplicação, que levanta questões em relação à falta de garantias que há com o uso da GAEN, temos observado com desagrado o facto de que nada se tem feito sobre esse assunto.<br><br>Pelo contrário, o uso da GAEN, tal como o uso de uma ARC, continua a ser apresentado como uma inevitabilidade. Assim, foi publicada a <a href="https://www.portugal.gov.pt/pt/gc22/governo/comunicado-de-conselho-de-ministros?i=359">Resolução do Conselho de Ministros de 16-07-2020</a>, na altura ainda sem parecer emitido pela CNPD sobre o mesmo, algo que só veio a ocorrer - numa crítica ao Decreto-Lei - <a href="https://www.cnpd.pt/home/decisoes/Par/PAR_2020_82.pdf">no dia 21 de Julho</a>. Mais uma vez, a CNPD destaca, no modelo previsto, "uma parte substancial do tratamento de dados não ser controlada pelo responsável do tratamento, mas sim por uma parceria das duas maiores empresas de tecnologia", a interface GAEN, criada pela Google e pela Apple.<br><br>Se fosse preciso algo mais do que desconfiança para perceber que as garantias que temos de conseguir, como sugere a CNPD, "a monitorização contínua do funcionamento" da GAEN, são nulas, temos a própria equipa que se encontra a desenvolver a aplicação a dar-nos um exemplo do quão não transparente é a relação entre eles e aquelas empresas. Em reacção a uma notícia do New York Times, que diz que vários dos países a implementar uma solução baseada em GAEN "estão desconfortáveis" com o comportamento da Google ao não aceitar alterar um dos detalhes do GAEN, o INESC TEC <a href="https://observador.pt/2020/07/21/afinal-a-google-pode-recolher-dados-de-localizacao-nas-apps-de-rastreio-a-covid-19/">disse ao Observador</a> "Com outros responsáveis do desenvolvimento de aplicações similares europeias, temos vindo a questionar a Google e a solicitar a correcção do sistema operativo", além de ter dito ao <a href="https://eco.sapo.pt/2020/07/21/portugal-pressiona-google-a-desligar-acesso-ao-gps-na-app-de-contact-tracing/">jornal ECO</a> que "a solicitação feita pelo Android é incorrecta e causa de preocupação em todas as aplicações que utilizam a GAEN". Contudo, não se obteve resposta sobre a possibilidade de alterar esta situação.<br><br>Esta não é a primeira vez que nos deparamos com os problemas que advêm do uso desta componente de software proprietário. Em <a href="https://github.com/corona-warn-app/cwa-documentation/issues/228">resposta à comunidade científica</a> quando esta encontrou um problema de segurança na ARC alemã, também assente na interface GAEN, a equipa que a desenvolve desresponsabilizou-se do problema, nem sequer alertando os seus utilizadores, com o argumento de que o problema está na GAEN, e que "não gerem essa componente", indicando que estas preocupações deviam ser "enviadas directamente à Apple e à Google".<br><br><em>"Depois da forma como a Google e a Apple optaram pela criação desta API, e pressionaram os países a adoptá-la, parece-nos difícil que estas empresas tenham abertura para torná-la numa componente livre"*, diz Tiago Carrondo, que acrescenta *"A opção destas gigantes da tecnologia por manter o controlo sobre a API é propositada, mas nós não somos forçados a utilizar esta API."</em><br><br><a href="https://twitter.com/direitosdig/status/1284892858810540033">A atitude que se observou recentemente, com o INESC TEC a dizer aos utilizadores do teste piloto que a CNPD tinha aprovado a app</a>, levanta preocupações sobre a sensibilidade dos envolvidos para a privacidade dos dados e para o tratamento dos mesmos.<br><br>Recorde-se que até agora o ponto mais positivo sobre a app e um requisito essencial por parte da Comissão Nacional de Protecção de Dados é o carácter voluntário da aplicação. *"De facto, não estão garantidas as condições sobre a privacidade dos cidadãos, para se poder recomendar o uso da aplicação"*, conclui Tiago Carrondo.</p>