Temos procurado, em textos anteriores, contribuir para um debate informado na procura de um equilíbrio entre liberdade e segurança na utilização de dados recolhidos nos smartphones dos cidadãos com vista a acrescentar ferramentas no combate à pandemia Covid-19. (Cf. "Apps para combater a pandemia, liberdade e segurança" e "Tecnologias contra a pandemia e a favor da liberdade".)
O que me tem orientado nesta questão é a necessidade de conciliar dois olhares. Por um lado, evidentemente que não se pode desprezar o contributo que a tecnologia pode dar para sermos capazes de detectar precocemente qualquer possibilidade de infecção e, assim, cortar os caminhos de propagação da doença, que se espalha porque a falta de sintomas oculta a contaminação e dificulta o alerta a quem pode ter sido tocado. Por outro lado, seria insuportável à nossa cultura democrática qualquer capacidade de alguma entidade para seguir os nossos passos e recolher dados sobre nós, sem nosso consentimento e sem o enquadramento e as garantias previstas na lei.
O equilíbrio entre estes dois olhares é delicado e qualquer fundamentalismo pode, em caso de medo generalizado, facilitar a imposição de soluções autoritárias. A recusa em estudar as soluções propostas, quando elas reivindicam conciliar um contributo para a saúde pública sem prejuízo da privacidade, é um caminho errado. É preciso um esforço sério para compreender as soluções em estudo, para perceber até onde vai a sua promessa de conciliar harmoniosamente os dois olhares acima enunciados.
De qualquer modo, convém não fazermos o papel de ingénuos ou distraídos. Como lembrou o deputado José Magalhães, num debate recente promovido pela Federação Distrital de Aveiro da Juventude Socialista, que se pode ver no Facebook, (https://www.facebook.com/federacaoaveirojs/) já há base legal e já se pratica o acompanhamento dos movimentos dos doentes infecciosos, sem precisar de consentimento dessas pessoas, porque isso é considerado necessário e apropriado em termos de saúde pública. Convém, pois, não confundir as coisas. As notícias da fiscalização da circulação automóvel pelas forças de segurança já deviam ter feito perceber que há pessoas que têm o dever de estar confinadas e que a desobediência a esse dever é penalizável e deve ser controlada. Não se pode, no entanto, lançar controlos generalizados sobre os cidadãos fora desse enquadramento específico, apenas porque todos somos “infectáveis”…
Neste quadro, a nossa preocupação é que o debate se faça com base em informação e não com base em preconceitos. E, para isso, o que procuramos é trazer elementos que permitam analisar o que se está ou não a fazer, o que se consegue ou não fazer, as opções reais que vamos ter ou não. Desta vez vamos seguir alguns aspectos do debate francês em curso, para aclarar alguns ângulos do problema.
O protocolo franco-alemão ROBERT
O governo francês engajou-se na iniciativa ROBERT (ROBust and privacy-presERving proximity Tracing), em parceria com os alemães do Fraunhofer. Os documentos da iniciativa podem encontrar-se no endereço: https://github.com/ROBERT-proximity-tracing/documents. Os trabalhos foram confiados a um consórcio (grupos industriais privados e organismos públicos com responsabilidades na saúde pública e na segurança dos sistemas informáticos) liderado pelo Institut National de Recherche en Informatique et en Automatique (Inria). O presidente do Inria, Bruno Sportisse, publicou a 18 de Abril um documento de orientação da iniciativa (que pode ser encontrado aqui: « Contact tracing » : Bruno Sportisse, PDG d’Inria, donne quelques éléments pour mieux comprendre les enjeux ).
O líder do projecto ROBERT dá do funcionamento do sistema uma descrição próxima da que eu próprio dei, em texto anterior, para uma categoria de iniciativas similares. Contudo, vou trazer para aqui essa descrição, quer para retomar aspectos centrais do debate, quer para aproveitar a clarificação de alguns problemas – até porque este sistema tem uma diferença importante face ao exemplo que dei anteriormente. Dá-nos a seguinte descrição:
- Uma pessoa, querendo participar na luta contra a propagação da epidemia, descarrega voluntariamente a aplicação no seu smartphone. O seu smartphone recebe então um conjunto de identificadores encriptados (ou um método para os gerar a cada 15 minutos).
- O detentor do smartphone, ao manter o Bluetooth activado, permite que a sua aplicação construa um histórico dos identificadores encriptados que tenha encontrado "nas proximidades", durante um período significativo de tempo enquanto viaja (estes identificadores encriptados são emitidos pelos smartphones das pessoas que também descarregaram a aplicação).
- Se a pessoa for diagnosticada positiva, envia o histórico dos identificadores encriptados com que se cruzou para o servidor de (por exemplo) uma autoridade sanitária, sem divulgar ao servidor os seus próprios identificadores encriptados. Nenhuma ligação é feita entre o telefone da pessoa e o seu histórico. Cada um destes identificadores encriptados está, portanto, potencialmente "em risco" (corresponde a um smartphone que esteve na proximidade de um smartphone transportado por uma pessoa que posteriormente foi diagnosticada como positiva, sem que seja possível estabelecer uma ligação entre um smartphone e uma pessoa).
- Além disso, cada smartphone com a aplicação verifica com o servidor central, "de vez em quando" (de hora a hora, todos os dias, isto faz parte dos parâmetros a definir) se os seus próprios identificadores encriptados estão entre os de risco. Se este for o caso, significa que o smartphone esteve muito próximo, no período anterior, de um smartphone usado por uma pessoa que mais tarde se revelou positiva.
Esta descrição tem duas diferenças importantes relativamente à descrição que dei, em texto anterior, de um sistema considerado similar. Primeiro, a pessoa infectada não envia a informação acerca dos identificadores emitidos pelo seu próprio smartphone (não revela dados sobre o comportamento do seu próprio equipamento), envia informação acerca dos identificadores encriptados que recebeu. Segundo, a pessoa infectada é que toma a iniciativa de enviar os dados para o servidor central, enquanto no outro exemplo essa acção tinha de ser autorizada por uma autoridade de sanitária. O primeiro aspecto parece positivo, porque pode ser uma barreira teoricamente mais forte à identificação abusiva dos infectados. O segundo aspecto suscita um problema grave de fiabilidade do sistema, de que falaremos adiante.
Entretanto, logo a seguir a esta descrição, o líder do projecto ROBERT escreve o seguinte: “A notificação é baseada numa avaliação de risco (cujo cálculo deve ser definidos com epidemiologistas) utilizando informações de proximidade. A flexibilidade do sistema é a chave para a gestão de uma crise de saúde, tendo em conta a rápida evolução dos conhecimentos médicos, incluindo a aprendizagem do próprio sistema (sempre com base em dados estatísticos anonimizados) para torná-lo mais eficaz, por exemplo, para reduzir a ocorrência de falsos positivos. Desde que a autoridade sanitária se mantenha no controle de tudo isto.” É importante, sempre, que se reconheça que se faz um trajecto dominado pela incerteza e que estas “soluções tecnológicas” não vão fazer nenhum milagre: só podem ser úteis, se o forem, na condição de servirem de auxiliares das autoridades de saúde.
Problemas que nos devem ajudar a pensar
O sistema ROBERT pretende ser capaz de garantias importantes: não utiliza georreferenciação (não “sabe” por onde nós andamos), é anónimo (não permite identificar as pessoas com diagnóstico positivo para Covid-19, nem as suas interacções sociais), não é um instrumento de delação (eu é que devo declarar que estou infectado, não são outros a fazê-lo), é voluntário e repousa no consentimento. O que a aplicação faz é dizer-me que posso ter estado na proximidade de alguém que estaria infectado, levando-me a tomar as precauções correspondentes.
Ninguém duvida de que os promotores destes sistemas querem fazer aquilo que anunciam. O problema é que se trata de projectos em andamento, com muitas incógnitas por resolver.
Algumas dessas incógnitas são técnicas. A começar pelo Bluetooth, que é geralmente considerado pouco fiável em termos de segurança. Algumas marcas de smartphones impedem mesmo, a partir do próprio sistema operativo, um uso continuado do Bluetooth. Por outro lado, é duvidoso que as baterias dos telemóveis aguentem um uso continuado do Bluetooth, o que tornaria o sistema, no seu todo, frágil. Além do mais, o Bluetooth não foi concebido para estimar de forma razoavelmente precisa a distância a outros aparelhos, sendo que qualquer estimativa será influenciada por vários factores, o que implica que a informação a obter resultará de modelos estatísticos que serão provavelmente muito falíveis até estarem razoavelmente calibrados. Um problema grave é o dos falsos positivos: um funcionário a atender num balcão, bem protegido por uma placa de acrílico e máscara e viseira, está suficientemente perto do utente para que os seus smartphones troquem sinais de Bluetooth, nada os distinguindo de um contacto desprotegido. Quando ligam o Bluetooth em vossas casas, quantas máquinas dos vizinhos aparecem identificadas nas proximidades, apesar de haver paredes bem sólidas a separar os apartamentos? Ora, essas situações podem proporcionar falsos positivos, capazes de baralhar tudo.
Outras incógnitas são sociais. Quantas pessoas têm smartphones? Estamos a criar um sistema para uma minoria privilegiada? Também podemos pensar que, com base em indícios, podemos espoletar caças às bruxas, em que os vizinhos tentam adivinhar, a partir de parca informação, quem é o infectado do prédio. E, talvez mais imediato, temos um enorme risco contido num sistema onde qualquer pessoa pode livremente declarar-se infectada, mesmo sem o estar, só para lançar a confusão.
Um sistema capturável por mal-intencionados
Um documento subscrito por vários académicos do mundo francófono, “Le traçage anonyme, dangereux oxymore. Analyse de risques à destination des non-spécialistes” (https://risques-tracage.fr/), de que consultámos a versão de 21 de Abril, contém vários dos alertas acima mencionados – e outros.
Um dos alertas mais importantes diz respeito à preservação do anonimato. Dizem que estes sistemas prometem um anonimato que não é a toda a prova, porque, embora as bases de dados constituídas não tenham listas de nomes de pessoas, têm informação que, combinada com outra informação que pode ser recolhida, pode permitir a identificação. E citam o Regulamento Geral de Protecção de Dados, da União Europeia, segundo o qual os dados pessoais que tenham sido pseudonimizados, que possam ser atribuídos a uma pessoa singular mediante a utilização de informações suplementares, deverão ser considerados informações sobre uma pessoa singular identificável. E a questão está, pois, nas cautelas a ter quanto ao uso que outros possam dar a esses dados, transformando o que parece anónimo em material usado para, em cruzamento com outros meios, identificar indivíduos.
O documento que estamos agora a referir contém uma linha de argumentação que merece cuidada atenção. Assume um princípio de segurança e fornece diversos cenários que devem ilustrar como ele pode ser ofendido. O princípio é assim formulado: “Um princípio essencial da segurança informática é que a inocuidade de um sistema nunca deve ser presumida com base na confiança na honestidade de alguns dos seus actores.” Os riscos devem, pois, ser calculados atendendo ao comportamento de intervenientes mal-intencionados. E esse cálculo é servido por vários cenários, de que anotamos apenas alguns exemplos.
No cenário da entrevista de emprego, a agência de recrutamento quer garantir que não selecciona um candidato que venha a ficar doente até à assinatura do contrato. Para isso, liga discretamente o Bluetooth de um smartphone específico durante a entrevista, usado apenas para esse efeito, o qual receberá os códigos emitidos pelo smartphone do entrevistado. Para cada entrevista, faz o mesmo com diferentes smartphones (ou, em certos casos, pode apenas usar diferentes instâncias da aplicação de rastreamento de contactos). Se, até a assinatura do contrato, algum dos smartphones receber o alerta de contacto com um infectado, a agência de recrutamento sabe qual dos candidatos eliminar imediatamente. Neste caso, o anonimato é eliminado.
No cenário do centro comercial é contornado o suposto carácter voluntário do uso da app: a segurança do espaço comercial usa uma antena dedicada Bluetooth, que pode captar sinais a grande distância (um quilómetro), para detectar os clientes que não estão a usar a app e recusar-lhes acesso.
O cenário das falsas declarações explora a fragilidade do sistema que permita qualquer utilizador poder informar o sistema de que se encontra infectado: para eliminar um poderoso jogador de futebol (no documento chamam-lhe Gronaldo!) de um próximo jogo da Liga dos Campeões, basta conseguir que alguém tenha uma fugaz proximidade com ele uns dias antes, declarar-se infectado para o sistema e esperar que o alerta retira o jogador de circulação o tempo suficiente para falhar o encontro.
Em geral, a possibilidade de falsas declarações, pontuais ou em massa, é uma fragilidade gigantesca para a credibilidade do sistema. Os cenários agrupáveis nesta categoria vão desde um aluno impreparado que quer impedir um exame, até um militante anti-sistema que foi infectado e envia o seu cão com o seu smartphone passear o dia inteiro pela cidade espalhando alarme, passando por um boicote de uma potência estrangeira a uma unidade militar. Note-se que todos os cenários de falsas declarações têm, em comum, uma característica muito elogiada por alguns dos proponentes de sistemas “respeitadores” do anonimato: é o próprio infectado que informa o sistema do facto, em vez de essa comunicação ter de passar pelos serviços de saúde.
Há cenários que exploram as actividades das empresas que podem abusar dos nossos dados. Por exemplo, um grande armazém pode ligar os identificadores Bluetooth detectados durante a deambulação pelo espaço comercial aos dados do cartão de pagamento usado pelo mesmo cliente na caixa, que são pessoais, e fornecer essa informação à companhia de seguros do mesmo grupo no caso de ser detectada uma infecção.
Vários outros cenários assentam nas possibilidade do cibercrime explorar as apps instaladas nos smartphones e os dados que passam por elas: uma peça de malware apanha no meu smartphone a informação de que estou infectado e permite a alguém que faça chantagem comigo para não ser exposto publicamente, uma aplicação malévola pode induzir na app instalada noutro smartphone um falso alerta de contacto com infectado. Todas estas possibilidades, que não são ficção científica, podem ser realizáveis num mundo onde milhões de pessoas são incentivadas a andar todo o dia com o Bluetooth ligado – algo que tem sido sistematicamente desaconselhado até agora, antes desta crise, precisamente por razões de segurança informática.
O documento também propõe cenários inverosímeis, por exemplo quando desatende ao facto de que na própria residência não há qualquer justificação para usar a app. Contudo, globalmente, vários cenários chamam a atenção para o risco de utilização malévola do sistema – quando, aí está o alerta, um sistema não pode ser considerado seguro na base do pressuposto de que todos os utilizadores serão benevolentes.
Outros cenários tratam de lembrar que a informação fornecida pelo sistema pode, cruzada com outra informação de contexto, desfazer o anonimato de uma identificação de pessoa infectada. No cenário do suspeito único, uma pessoa que é a única a sair de casa e apenas se desloca à mercearia do bairro para abastecimento, quando recebe uma notificação de contacto com infectado vai, imediatamente, deduzir que o merceeiro o infectou. E. noutros casos, com um leque mais alargado de possibilidades, vai suspeitar de que conseguiu fazer uma identificação acertada, mesmo que ela dependa fortemente de preconceitos sociais da mais diversa natureza, ou até de raciocínios probabilísticos verosímeis, mas que podem carecer de qualquer base empírica real (no prédio o mais provável contaminador é o enfermeiro?).
Os cenários apresentados permitem pensar em problemas reais, colocando-nos num ponto de vista muito razoável: não interessam tanto as (boas) intenções dos programadores dos sistemas, interessam mais as (más) intenções daqueles que se dedicam a comprometer os sistemas existentes em favor de objectivos inaceitáveis num quadro de preservação dos direitos dos cidadãos. É muito simples: ainda há aldeias onde ninguém fechas as portas de casa, deixando até as chaves na fechadura, por confiança nas restantes pessoas da comunidade – mas é sabido que, na maior parte dos nossos contextos sociais, esse comportamento não garante a segurança de pessoas e bens. Por quê? Porque temos de contar com os malevolentes, não apenas com os benevolentes.
Quer isto dizer que devemos desistir de encontrar soluções para este problema? Não. Quer dizer que só podemos aproximar-nos de uma solução aceitável se lutarmos encarniçadamente para não deixar por considerar nenhum aspecto essencial do que há a fazer e dos direitos que há a preservar.
(Em texto posterior abordaremos o sistema proposto pela Google e pela Apple - e voltaremos às garantias e riscos diferentes consoante tenhamos sistemas centralizados ou descentralizados.)
(O título deste texto é retomado de um artigo do site Data Rainbow.)
Porfírio Silva, 4 de Maio de 2020