20.4.20

Tecnologias contra a pandemia e a favor da liberdade



Num texto anterior (Apps para combater a pandemia, liberdade e segurança) suscitei, de forma genérica, a questão da procura de um equilíbrio entre liberdade e segurança na utilização de dados recolhidos nos smartphones dos cidadãos com vista a acrescentar ferramentas no combate à pandemia Covid-19. Talvez por ser pouco concreto quanto às formas técnicas e tecnológicas de prosseguir esse equilíbrio, recebi o retorno de muito cepticismo. Muitos leitores que se dignaram dialogar comigo não acreditam que seja possível preservar a privacidade com qualquer utilização dessas máquinas e desses procedimentos. Esse cepticismo, saudável, fez-me voltar ao tema para procurar ser mais concreto.

O ponto é este: os direitos digitais dos cidadãos, incluindo os direitos dos pacientes, não podem ser desprezados, ou sequer tratados com ligeireza, nem sequer neste contexto de pandemia. Não obstante, não podemos ser preguiçosos: não devemos descurar nenhuma possibilidade de usar as tecnologias disponíveis no combate à Covid-19, desde que encontremos formas de o fazer que respeitem aqueles direitos. Logo, temos de procurar soluções que façam esse equilíbrio. E temos de estar disponíveis para analisar essas questões.

A boa notícia é que já há quem esteja a trabalhar nesse sentido. Creio que devemos manter-nos informados desses esforços. No que que segue, farei o seguinte: (1) exponho alguns elementos do método sul-coreano de uso das tecnologias para detectar percursos de infecção, assinalando alguns dos perigos contidos nesse método e de outros similares; (2) apresento um exemplo de más práticas ocorrido nos Estados Unidos e procuro encontrar pistas para o que precisamos de práticas aceitáveis; (3) apresento o essencial de um esforço de investigação que está em curso na Europa para encontrar uma solução tecnológica que responda aos equilíbrios de que necessitamos para proteger a nossa saúde e a nossa liberdade, sem descurar nem uma nem outra.

1. O método sul-coreano

Num artigo recente, Max S. Kim (“Seoul’s Radical Experiment in Digital Contact Tracing”, The New Yorker, 17 de Abril) descreve os métodos de seguimento das pessoas com Covid-19 usados pelos sul-coreanos, que incluem a monitorização dos percursos feitos pelos infectados, dos transportes públicos que usaram, dos serviços de saúde onde são tratados – e a divulgação dessa informação. Embora o princípio seja o da preservação do anonimato, o que efectivamente se tem passado está longe desse princípio. Desde logo, porque as autoridades locais têm alguma margem de manobra nas decisões acerca do que podem divulgar, levando a situações de identificação pública dos indivíduos envolvidos. O ponto é que não é preciso dizer explicitamente quem é a pessoa em causa, basta fornecer certas informações para facilitar a identificação: idade, género, bairro de residência, locais públicos (de residência ou de trabalho) que tenham visitado, percursos, transportes usados. Com estas informações públicas, são espoletadas conversas e “investigações” privadas para determinar quem corresponde ao perfil, dando lugar a situações de assédio.

O clima é de exigência popular por mais informação dessa: o público quer saber onde estão os infectados. As autoridades estão pressionadas por exigências de transparência criadas em crises sanitárias anteriores, quando foram acusadas de reter informação. Mas há especialistas preocupados mesmo com os efeitos sanitários dessas medidas: com um forte risco de estigmatização social provoca-se a reacção de esconder a doença e os sintomas, em vez de procurar tratamento adequado, com prováveis efeitos perversos na saúde pública.

A publicação de mapas com percursos detalhados de infectados tem um efeito devastador e inapropriado. O articulista narra uma situação de um café que ficou sem clientes, porque foi publicado o percurso de uma pessoa infectada que tinha estado por breves momentos ao balcão desse estabelecimento à espera de uma bebida.

2. Más práticas a partir da Florida e lições a tirar

A experiência sul-coreana exemplifica uma categoria de abordagens ao rastreamento electrónico que aposta em sistemas centralizados e que usam dados de georreferenciação (que ligam um indivíduo-com-smartphone a uma localização ou a um percurso). Dependendo das tradições culturais, do regime político e do quadro legal, nuns países há menos, noutros países há mais protecção contra os abusos a que os cidadãos podem ser submetidos em consequência da existência destes sistemas.

Um artigo recente de John Naughton (“For non-intrusive tracking of Covid-19, smartphones have to be smarter”, The Guardian, 11 de abril), conta o que aconteceu quando, no fim-de-semana ensolarado de 20 e 21 de março, as praias da Florida se encheram de turistas que, manifestamente, não respeitavam qualquer tipo de distanciamento social. Duas empresas privadas especializadas em georreferenciação de smartphones trabalharam os dados dos telefones dos visitantes da praia de Fort Lauderdale e construíram um mapa que mostrava para onde tinham ido depois dessa visita: para todo o país, incluindo grandes cidades como Nova Iorque e Chicago. Publicaram o mapa no Twitter, ficando a sugestão de que aquela massa de trajectórias podia ser um mapa de espalhamento do vírus. Por muito chocante que a operação tenha sido, até por ser da autoria de empresas privadas e não de autoridades sanitárias, a publicação não revela mais do que informação que existe hoje em todos os países onde as telecomunicações cobrem o mundo do modo total que é o actual.

Este é um aspecto curioso desta questão: muitas pessoas parece não estarem cientes da quantidade de dados que estão continuamente a oferecer a quem os queira apanhar, pelo simples facto de usarem os smartphones da forma que a maioria utiliza. E, de repente, escandalizam-se quando lhes dizem que se estão a recolher os dados que estão incessantemente a oferecer…

A partir deste incidente americano, John Naughton transmite uma mensagem essencial: “Parece que estamos a caminhar para um futuro de pesadelo. Mas não tem de ser assim. Tudo depende de como projectamos e implantamos as capacidades de rastreamento dos smartphones. E ao contrário do que você vai ouvir de fontes governamentais e da indústria tecnológica, existem tecnologias que nos permitirão ter o benefício social (ser capaz de rastrear o vírus e manter indivíduos e autoridades informadas), minimizando ao mesmo tempo as intrusões na privacidade pessoal. Só temos de ser mais espertos.”

Aqui, “ser mais esperto” é recusar os modelos que capturam dados (incluindo dados de localização) para os centralizar num único ponto e os analisar centralizadamente, em troca da promessa de que a privacidade está legalmente protegida. Sem curar de que muitas protecções legais são quebradas sem sequer o podermos saber. E sem curar do risco de esses dados serem capturados (roubados) por terceiros (porque não há segurança informática infalível). E tentando fazer passar despercebido que é ilusória a promessa de que esses dados serão anonimizados, porque é muito difícil anonimizar efectivamente dados com georreferenciação.

Mas “ser mais esperto” também não é recusar a ajuda que estas máquinas podem dar no combate à pandemia. Ser mais inteligente é optar por outros sistemas, descentralizados, que deixam ficar nos smartphones dos utilizadores quase todos os dados, protegendo a privacidade, mas permitindo construir informação útil quando seja necessário e com o consentimento do próprio produtor dos dados.

O articulista menciona, de passagem, vários exemplos de trabalhos em curso neste sentido. Um deles, Safe Paths, é americano, no MIT. O outro é europeu, envolvendo várias “universidades técnicas”. Vamos dar um pouco mais de atenção a este caso.

3. O projeto europeu Decentralised Privacy-Preserving Proximity Tracing

O projeto Decentralised Privacy-Preserving Proximity Tracing (DP-3T) junta uma série de instituições de ensino superior europeias, a saber: EPFL – École polytechnique fédérale de Lausanne, ETHZ (Instituto Federal Suíço de Tecnologia em Zurique), Universidade Católica de Leuven, Universidade Técnica de Delft, University College London, Centro Helmholtz para a Segurança da Informação em Saarbruecken, Universidade de Oxford, Instituto para o Intercâmbio Científico da Universidade de Turim. Vamos dar alguns elementos a partir de um texto dos investigadores, texto de uma fase inicial da investigação, que é público e de que dou o link: Decentralized Privacy-Preserving Proximity Tracing.

O documento dá a ambição do projecto: um sistema de rastreamento de proximidade, em larga escala, que seja seguro e que preserve a privacidade.

O objectivo do rastreamento de proximidade é poder informar alguém de que esteve na proximidade física de uma pessoa infectada, sem revelar nem a identidade do contacto nem o local desse contacto. Para alcançar este objectivo, os utilizadores instalam no seu smartphone uma aplicação e deixam-na a correr continuamente. Essa aplicação transmite um ID (identificador) efémero (não é um ID permanente, muda frequentemente, por exemplo a cada minuto), difundido localmente via Bluetooth. Esta modificação frequente do ID emitido inviabiliza o seguimento por um sistema centralizado que pudesse recolher esses sinais e reconstruir percursos. Um smartphone que esteja a correr a mesma aplicação, e que esteja próximo, pode captar esse sinal e gravar o ID efémero, junto com uma datação pouco fina (por exemplo, “2 de Abril”) e a duração do contacto.

Se uma pessoa é diagnosticada com COVID-19, pode carregar para um servidor central uma representação compacta dos seus dados, mantendo o anonimato. Este passo deve requerer a aprovação de uma autoridade de saúde e depende da autorização explícita do indivíduo que transmite os dados: até aí, todos os dados permanecem exclusivamente no telefone do utilizador. Outras instâncias da aplicação (a serem usadas por outras pessoas), tendo acesso aos dados anónimos do servidor, calcularão localmente (no seu próprio smartphone) se houve um cruzamento perigoso com uma pessoa infectada: basta haver uma correspondência entre ID efémeros registados na sua aplicação e ID efémeros identificados pelo servidor central como tendo sido emitidos pelo telefone de um infectado. Caso a aplicação detecte um risco elevado (contacto dentro do período de contágio), ela informará o usuário. Além disso, o sistema permite que os utilizadores forneçam voluntariamente informações aos epidemiologistas, de modo a preservar a privacidade, para permitir estudos da evolução da doença e para ajudar a encontrar melhores políticas para prevenir mais infecções.

A aplicação não faz o rastreamento de (uma vez que uma pessoa infectada tenha auto-reportado o seu caso, a aplicação não tenta rastreá-la), nem permite determinar locais ou trajectórias de utilizadores infectados (não recolhe de dados de localização, que são difíceis de publicar de uma forma que preserve a privacidade). O servidor central não dispõe de dados que comprometam a privacidade, pelo que, mesmo que o servidor seja comprometido ou tomado, a privacidade permanece intacta. O servidor central apenas serve a comunicação entre as aplicações dos utilizadores, não faz qualquer processamento de dados.

Pretende-se que a aplicação garanta os seguintes requisitos funcionais: Completude: o histórico de contacto é abrangente em relação a eventos de contacto; Precisão: os eventos de contacto relatados devem reflectir a proximidade física real; Integridade: os eventos de contacto correspondentes a pessoas em risco são autênticos, ou seja, os utilizadores não podem falsificar eventos de contacto; Confidencialidade: um agente malicioso não pode aceder ao histórico de contactos de um utilizador; Notificação: os indivíduos em situação de risco podem ser informados.

O sistema deve, ainda, garantir a preservação dos direitos de privacidade dos indivíduos face aos meios digitais, de acordo com o Regulamento Europeu de Protecção de Dados; limitar a recolha de dados ao estritamente necessário para o propósito explicitado (por exemplo, não deve recolher dados de geolocalização); controlar as inferências possíveis a partir dos dados recolhidos (cada entidade envolvida só deve poder aceder aos dados necessários para cumprir a sua parte); impedir a identificação de qualquer pessoa (sem a sua autorização); apagar todos os dados que sejam ou se tornem irrelevantes para os propósitos anunciados; ser escalável para a grandeza da pandemia; funcionar apenas com base em métodos e técnicas já dominadas e não em descobertas a fazer; usar dispositivos geralmente disponíveis. O sistema pode ser usado para além das fronteiras nacionais.

Cabe notar que grandes empresas tecnológicas já tinham começado a explorar estas possibilidades, mas deram, entretanto, suporte a esta abordagem, que será mais poderosa.

O que proponho ao leitor é que devemos pensar nisto, sendo firmes nos nossos valores democráticos e, ao mesmo tempo, estando abertos às possibilidades de fazer mais pelo combate à pandemia, inclusivamente sento criativo no uso das tecnologias. É um debate a que não podemos fugir, por responsabilidade cidadã.


Porfírio Silva, 20 de Abril de 2020

Print Friendly and PDF