Durante as semanas, meses, desta crise pandémica, tenho escrito algumas vezes sobre as aplicações para telefone que estão a ser estudadas para ajudar na identificação de contactos potencialmente perigosos em termos de infeção Covid. Aparentemente, as dificuldades que fomos inventariando eram, efetivamente, dificuldades sérias – a julgar pelo tempo que passa sem que as tais aplicações apareçam. Enquanto aguardamos para ver se podem ser cumpridas as promessas de ter aplicações que sejam simultaneamente úteis e respeitadoras dos padrões de privacidade legalmente protegidos, cabe refletir sobre as ressonâncias ideológicas de um aspeto central do debate entre diferentes abordagens para operacionalizar essas ferramentas. Refiro-me ao verdadeiro combate comunicacional entre sistemas centralizados e sistemas descentralizados de rastreamento de contactos potencialmente perigosos.
O debate entre centralizado e descentralizado, que ressurge em inúmeras questões e domínios, ganhou claramente tons ideológicos. Não preciso dizer qual das duas vias aparece, espontaneamente, como o lado mais democrático e mais promissor – enquanto a outra via é sempre suspeita de antiquada, ineficaz e menos democrática. Vale a pena pensar sobre isso. Depois de considerações mais genéricas, vamos voltar a questão das apps-Covid, precisamente comparando as abordagens centralizadas e descentralizadas.
O suspeito que se tornou habitual
Na mentalidade que se tornou dominante, o Estado é o primeiro suspeito de todas as malfeitorias. Também agora, na pandemia, o Estado é, para alguns, o primeiro suspeito de fazer isto e aquilo para se aproveitar da situação - e não para combater a ameaça sanitária. Qualquer erro de procedimento, e erros existem sempre, é apontado como ameaça à cidadania. A mera recolha de informação atempada por todo o país sobre fatores relevantes na gestão sanitária é um exercício complexo, que pode ter desencontros ou atrasos. Poucos dão mostras de entender isso. Os serviços públicos não são máquinas: quem os faz funcionar são pessoas como as demais, que sofrem as perturbações do quotidiano profissional que experienciam outros grupos profissionais em consequência da pandemia, que também têm em casa as modificações da vida que tocaram a tantos outros. E que acarretaram, muitas vezes, um grande acréscimo de trabalho nesta conjuntura. Mesmo sendo isto verdade, há quem critique levianamente o seu desempenho, ignorando os condicionalismos e a pressão.
Qual a razão para esse esquecimento, para a facilidade deste criticismo? É “o Estado”, convém criticar. As nossas sociedades foram sendo empapadas, ao longo de décadas, com esta ideologia larvar de desconfiança do Estado. E isso não aconteceu por acaso, nem ingenuamente. A propaganda contra os poderes públicos serviu interesses muito concretos, designadamente interesses económicos que quiserem alargar os seus mercados invadindo áreas de provisão que nunca deviam ter deixado de ser responsabilidade pública. Até por uma questão de soberania, até para manter níveis adequados de segurança da nossa vida em comum, para que infraestruturas essenciais ao funcionamento do país não sejam alienadas a favor daquele que pague mais num determinado momento.
Concordo: importa não baixar a guarda na defesa dos direitos, liberdades e garantias dos cidadãos face aos poderes, designadamente face aos poderes do Estado. Mesmo em estado de emergência, os poderes de exceção têm de ser exercidos dentro das definições legais e nos limites do necessário. Contudo, se quisermos sair da redoma dessa ideologia larvar de desconfiança dos poderes públicos, teremos oportunidade de compreender que há outros perigos que, no país concreto que somos, são mais reais e mais prementes. No atual estado de coisas, de emergência, ou de calamidade, ou de alarme, conforme as diferentes classificações legais, mas que é, na essência, um estado de susto, o principal perigo à sociabilidade e às liberdades vem da guerra de todos contra todos (para imitar um pouco Hobbes e não ser nada original).
O medo é o catalisador poderoso a ter em conta. O efeito poderoso do medo.
Nas circunstâncias concretas que vivemos, o comportamento dos indivíduos, deste e daquele cidadão concreto genericamente civilizado, torna-se o principal perigo que corremos quando as pessoas chegam a estar dominadas pelo medo, mais do que pela razão. Pessoas que querem controlar outras pessoas por sua própria conta e risco, pessoas que atacam outras pessoas por acharem que elas estão a criar situações de risco, são a principal ameaça que pode advir da saturação desta situação. O medo inflama a irracionalidade, o pânico espoleta a perseguição de uns contra outros. É esse o principal risco que corremos em situações que não sabemos como controlar de forma metódica e organizada.
Contra isso é preciso, até prova em contrário, confiar nas autoridades e na organização social. Fugir da ação assustada. É tempo de perceber o perigo que corremos se nos deixarmos intoxicar pelos que acham sempre que, mesmo numa democracia consolidada, o Estado é o inimigo. E nem é preciso começar a falar em como os radicais do individualismo têm grandes responsabilidades nesta matéria. E em ser necessário este aviso.
A ideologia larvar de desconfiança dos poderes públicos tem o potencial para impregnar muitos debates sem sequer nos apercebermos disso à primeira vista. Vejamos, então, a questão das apps-Covid.
Apps Covid, centralizado e descentralizado
Embora já o tenhamos feito em textos anteriores, recapitulemos rapidamente o esquema básico de funcionamento dos sistemas de rastreio de contactos suportados em tecnologia Bluetooth instalada em smartphones.
Cada utilizador transporta um smartphone equipado com Bluetooth com uma app instalada. Cada app é regularmente carregada com uma lista de identificadores efémeros (uma “matrícula” que muda periodicamente, por exemplo a cada minuto, ou a cada cinco minutos), que serão emitidos numa determinada ordem. Em cada época, um determinado identificador efémero é emitido frequentemente. Ao mesmo tempo, a app regista os identificadores efémeros emitidos por outras apps que estejam nas proximidades. A esses identificadores fica associada uma informação temporal da sua emissão ou receção. Assim, cada app tem duas listas de identificadores efémeros: uma dos emitidos, outra dos recebidos. Os identificadores efémeros estão ligados a pseudónimos, que têm por trás indivíduos de carne e osso – desejavelmente não identificados.
É na operação deste esquema básico que encontramos as principais diferenças entre os sistemas centralizados e os sistemas descentralizados.
Como são gerados os identificadores efémeros que as apps emitem? Nos sistemas centralizados, a lista de identificadores efémeros é gerada pelo servidor central e disponibilizada a cada app. Nos sistemas descentralizados, os identificadores a emitir são gerados por cada app em cada smartphone.
O que é que cada utilizador comunica quando sabe que está infetado? Quando um utilizador é diagnosticado positivo para Covid, recebe da autoridade de saúde um código que lhe permite reportar ao servidor central certa informação que permite a outros utilizadores saberem que estiveram na proximidade de alguém que tinha potencial para estar a contagiar. Nos sistemas centralizados, a app comunica ao servidor central a lista dos identificadores que recebeu de outras apps. Nos sistemas descentralizados, a app comunica ao servidor central a lista dos identificadores que emitiu.
Como é que cada utilizador verifica se há indicações de que possa estar em risco de ter sido infetado? Trata-se de saber se a troca de identificadores efémeros regista um cruzamento de proximidade com uma pessoa que veio a estar infetada dentro do período em que esse risco existe. Nos sistemas centralizados, essa informação é processada pelo servidor central: o servidor central conhece os pseudónimos dos utilizadores (quando o utilizador procede à sua autenticação para aceder ao servidor central) e conhece a que pseudónimos correspondem os identificadores efémeros (lembrar que foi o servidor central a fornecer os identificadores efémeros), o que lhe permite determinar e informar o utilizador se esteve num contacto de risco (o utilizador está em risco se emitiu identificadores que foram recebidos por um utilizador diagnosticado para Covid). Nos sistemas descentralizados, cada app interroga o servidor central para comparar a lista de identificadores que registou passando na proximidade de outras apps com a lista de identificadores que foram reportados como emitidos por uma app de um utilizador positivo: se houver intersecção, o utilizador esteve em risco.
Uma vez que a probabilidade de infeção depende de fatores como a proximidade a que as pessoas se cruzaram ou a duração da permanência nessa proximidade, é preciso calcular, uma vez identificada uma aproximação, se terá ou não havido oportunidade de infeção. Nos sistemas centralizados, é o servidor central que determina o estatuto de risco. No sistema descentralizado, é a app de cada utilizador que faz esse cálculo.
Nos sistemas centralizados, os pseudónimos únicos são fornecidos pelo servidor central; nos sistemas descentralizados, os pseudónimos são criados e armazenados no telefone do utilizador.
Perante esta comparação, podemos constatar duas coisas.
Primeiro, que o sistema centralizado tem uma característica claramente mais protetora da pessoa infetada do que aquilo que se passa num sistema descentralizado: no sistema centralizado, a pessoa diagnosticada não transmite ao servidor central os identificadores que emitiu, apenas os que recebeu. No sistema descentralizado, a pessoa diagnosticada positiva para Covid transmite ao servidor central o seu próprio rasto de identificadores emitidos. (Sim, os sistemas descentralizados também têm servidor central, mas com funções diferentes daquelas que lhe são reservadas pelos sistemas centralizados.) Assim, o sistema descentralizado requer, ao infetado, uma transmissão dos seus próprios dados, algo a que é poupado no caso de estar a usar um sistema centralizado (onde só comunica os identificadores efémeros que recebeu).
Segundo, a seriação da severidade dos riscos que pode correr a privacidade dos indivíduos, riscos que têm de ser contrariados, varia segundo a categoria de sistemas usados, levando a que priorizem questões muito diferentes. Na abordagem descentralizada assume-se que o principal risco deriva do potencial ataque ao servidor central. Uma vez que o servidor central terá mecanismos de proteção sofisticados, supõe-se que um potencial ataque virá de um “inimigo” da mesma potência: um servidor malicioso ou um adversário de nível estatal (ou a negligência, ou malevolência, dos próprios administradores do servidor). É para prevenir esse tipo de risco que se reduz tanto quanto possível o papel do servidor central. Diferentemente, a abordagem centralizada assume que o maior risco para os utilizadores está nos ataques potenciais originados em outros utilizadores. Por isso, a ênfase é colocada na proteção dos utilizadores contra outros utilizadores mal-intencionados que tentam inferir quem está infetado, por exemplo tentando captar a informação diretamente dos telefones na proximidade e cruzando informação de contexto, de modo a permitir uma completa identificação do indivíduo.
O que é preciso reconhecer é que os sistemas de rastreio de contactos, mesmo “descentralizados”, comportam riscos – porque estão sujeitos a ataques à privacidade oriundos dos nossos pares, de outras pessoas com recursos tecnológicos mais modestos do que uma potência estatal. Que, em clima de “pandemia de medo”, podem ser a ameaça mais tangível. Esses ataques de pequena escala, em vez de visarem toda a base de dados com que funciona um servidor central, podem visar apenas o vizinho do andar de baixo – e qualquer um de nós pode ser o vizinho do andar de baixo. É possível seguir-me na rua, monitorizar o funcionamento da minha app no meu telemóvel e ganhar acesso a informação que permite, depois, interpretar a minha situação de saúde. Qualquer pessoa pode, simplesmente, ser “obrigada” (pelo patrão, pelo vizinho) a deixar verificar o estado da app no seu telefone. E será sempre mais fácil atacar um telefone específico do que um servidor central bem protegido.
O texto “Proximity Tracing Approaches - Comparative Impact Analysis” (ver referência no fim) lista várias ameaças à privacidade que resultam, em sistemas descentralizados, da ação de cidadãos (não autoridades) que tratam de recolher localmente, e depois, cruzar informação, tirando proveito da proximidade espacial aos utilizadores de apps. Demos um exemplo de vulnerabilidade própria da abordagem descentralizada: como os pseudónimos são gerados localmente, no telefone de cada utilizador, é possível (por acesso físico ao telemóvel ou recorrendo a malware) aceder-lhes e relacioná-los com os identificadores efémeros emitidos, possibilitando uma análise de trajetos seguidos (designadamente por infetados.)
Enfim, a mensagem é esta: não tomemos por garantido, mesmo em sistemas de base tecnológica, que os riscos derivados do “distante Estado central” sejam, necessariamente, mais graves do que a guerra privada movida pelos pares movidos pelo medo.
- - -
Textos que vale a pena ler sobre esta questão:
Antoine Boutet, Nataliia Bielova, Claude Castelluccia, Mathieu Cunche, Cédric Lauradoux, et al., “Proximity Tracing Approaches - Comparative Impact Analysis”. [Research Report] INRIA Grenoble-Rhone-Alpes. 2020 (https://hal.inria.fr/hal-02570676v2)
Serge Vaudenay, “Centralize dor Decentralized? The Contact Tracing Dilemma”, 6 de maio de 2020, EPFL, Lausanne, Suíça (https://eprint.iacr.org/2020/531)
Stephanie Rosselo, Pierre Dewitte, “Anonymization by decentralization? The case of Covid-19 contact tracing apps”, europeanlawblog, 25/05/2020 (https://europeanlawblog.eu/2020/05/25/anonymization-by-decentralization-the-case-of-covid-19-contact-tracing-apps/ )
Porfírio Silva, 23 de Junho de 2020