A aplicação portuguesa de rastreio de contactos de COVID-19 ainda não foi disponibilizada ao público mas não tem escapado a críticas de várias entidades, sobretudo relacionadas com a segurança e privacidade dos utilizadores. A ANSOL - Associação Nacional para o Software Livre tem também preocupações nesta área e diz que a disponibilização do código da STAYAWAY COVID não é suficiente.

A associação "tem acompanhado com preocupação os desenvolvimentos sobre a aplicação de rastreamento de contactos (ARC) STAYAWAY COVID, desenvolvida pelo INESC TEC" e afirma que apesar da promessa do INESC TEC de que vai disponibilizar o código fonte da aplicação, a utilização da API da Google e da Apple, cujo código não é escrutinável, faz com que isso seja limitado a apenas uma parte da aplicação por onde passam os dados dos cidadãos.

"Qualquer modelo que passe por usar código que os cidadãos não podem escrutinar deve ser rejeitada. Estamos a falar de dados de saúde e, portanto, dados muito sensíveis. É imperioso que os cidadãos saibam que dados são recolhidos, quem os recolhe, e como é que esses dados vão ou podem ser usados.", afirma Tiago Carrondo, presidente da ANSOL, acrescentando que "a mera informação sobre quem instala ou não a aplicação pode ser usada como fonte de discriminação".

A aplicação está agora em teste alargado, num grupo com cerca de 13 mil pessoas, e José Orlando Pereira explicou ao SAPO TEK os passos que ainda faltam, e o facto de não ter ainda tornado público o código fonte da aplicação.

Transparentes ou não? O uso das API da Google e da Apple

Para apoiar o combate às cadeias de transmissão da COVID-19, com ferramentas que identificam contactos de proximidade que possam ser identificados em caso de testes positivos à infeção pelo novo coronavírus, a Apple e a Google juntaram-se para desenvolver APIs que pudessem ser usadas nos sistemas operativos Android e iOS, com o compromisso de disponibilizar esse código apenas a uma aplicação por país, que fosse apoiada pelos Governos.

STAYAWAY COVID: Os quatro "pecados mortais" da app portuguesa na visão da associação de defesa dos direitos digitais
STAYAWAY COVID: Os quatro "pecados mortais" da app portuguesa na visão da associação de defesa dos direitos digitais
Ver artigo

Nem todos os países optaram por esperar por estas APIs, e alguns decidiram avançar com outros métodos, embora tenham já recuado, como é o caso do Reino Unido. Depois de uma análise a 11 aplicações que considerou de risco para a privacidade e segurança dos utilizadores, a Amnistia Internacional revelou mesmo que tinha mais confiança nas apps que recorriam aos sistemas da Google e da Apple, e também por isso um representante em Portugal classificou a STAYAWAY COVID entre as que estão no grupo das menos perigosas.

A ANSOL mostra-se porém muito crítica em relação a esta integração. "A aplicação irá fazer uso da interface de Notificação de Exposição da Apple e da Google ([GAEN] ). Esta componente fornece acesso a funcionalidades do dispositivo e não são executadas directamente pela aplicação", explica, indicando que pelas amostras fornecidas "o código usado na aplicação final não é público. Não é conhecido o tratamento de dados que leva, nem estas empresas se têm mostrado dispostas a disponibilizar estes detalhes".

A deliberação da Comissão Nacional de Protecção de Dados (CNPD) sobre a app STAYAWAY COVID já levantava questões em relação à falta de garantias com a integração das API da Google e da Apple, como recorda a ANSOL, que diz que "temos observado com desagrado o facto de que nada se tem feito sobre esse assunto".

A associação aponta ainda que a equipa que está a desenvolve a aplicação reconhece que a relação com as empresas não é transparente, e cita declarações ao Observador e ao ECO na sequência de uma notícia do  New York Times, que diz que vários dos países a implementar uma solução baseada em GAEN "estão desconfortáveis" com o comportamento da Google ao não aceitar alterar um dos detalhes sistema.

Como funciona a app de rastreamento à COVID-19? Tudo o que precisa de saber em 27 perguntas com respostas
Como funciona a app de rastreamento à COVID-19? Tudo o que precisa de saber em 27 perguntas com respostas
Ver artigo

No documento enviado à imprensa, a ANSOL refere que "esta não é a primeira vez que nos deparamos com os problemas que advêm do uso desta componente de software proprietário. Em [resposta à comunidade científica] quando esta encontrou um problema de segurança na ARC alemã, também assente na interface GAEN, a equipa que a desenvolve desresponsabilizou-se do problema, nem sequer alertando os seus utilizadores, com o argumento de que o problema está na GAEN, e que "não gerem essa componente", indicando que estas preocupações deviam ser "enviadas directamente à Apple e à Google".

Tiago Carrondo afirma porém que "depois da forma como a Google e a Apple optaram pela criação desta API, e pressionaram os países a adoptá-la, parece-nos difícil que estas empresas tenham abertura para torná-la numa componente livre" e avisa que "a opção destas gigantes da tecnologia por manter o controlo sobre a API é propositada, mas nós não somos forçados a utilizar esta API."

Até agora o ponto mais positivo que a ANSOL reconhece na aplicação é o seu carácter voluntário e  Tiago Carrondo conclui mesmo que "de facto, não estão garantidas as condições sobre a privacidade dos cidadãos, para se poder recomendar o uso da aplicação".