From ansol-imprensa listas.ansol.org Thu Jul 23 09:42:51 2020 From: ansol-imprensa listas.ansol.org (ansol-imprensa@listas.ansol.org) Date: Thu Jul 23 10:07:09 2020 Subject: [ANSOL] =?utf-8?b?QU5TT0w6IERpc3BvbmliaWxpemHDp8OjbyBkbyBjw7Nk?= =?utf-8?q?igo_da_STAYAWAY_COVID_n=C3=A3o_=C3=A9_suficiente?= Message-ID: Versão web: https://ansol.org/STAYAWAY-COVID # PRESS RELEASE # ANSOL: Disponibilização do código da STAYAWAY COVID não é suficiente 23 de Julho de 2020 - A ANSOL - Associação Nacional para o Software Livre tem acompanhado com preocupação os desenvolvimentos sobre a aplicação de rastreamento de contactos (ARC) STAYAWAY COVID, desenvolvida pelo INESC TEC. Apesar do INESC TEC afirmar que vai disponibilizar o código fonte da aplicação, é certo que esta usa a API da Google e da Apple, cujo código não é escrutinável e, portanto, a disponibilização do código pelo INESC TEC corresponde apenas a uma parte da aplicação por onde passam os dados dos cidadãos. *"Qualquer modelo que passe por usar código que os cidadãos não podem escrutinar deve ser rejeitada. Estamos a falar de dados de saúde e, portanto, dados muito sensíveis. É imperioso que os cidadãos saibam que dados são recolhidos, quem os recolhe, e como é que esses dados vão ou podem ser usados."*, afirma Tiago Carrondo, presidente da ANSOL, acrescentando *"A mera informação sobre quem instala ou não a aplicação pode ser usada como fonte de discriminação".* A aplicação irá fazer uso da interface de Notificação de Exposição da Apple e da Google ([GAEN](https://www.google.com/covid19/exposurenotifications/)). Esta componente fornece acesso a funcionalidades do dispositivo e não são executadas directamente pela aplicação. Mas, embora a GAEN forneça amostras de como implementar os serviços de acesso, como podemos ver [neste exemplo de servidor](https://github.com/google/exposure-notifications-server), **o código usado na aplicação final não é público. Não é conhecido o tratamento de dados que leva, nem estas empresas se têm mostrado dispostas a disponibilizar estes detalhes.** Depois da [primeira deliberação da Comissão Nacional de Protecção de Dados (CNPD)](https://www.cnpd.pt/home/decisoes/Delib/DEL_2020_277.pdf) em relação à aplicação, que levanta questões em relação à falta de garantias que há com o uso da GAEN, temos observado com desagrado o facto de que nada se tem feito sobre esse assunto. Pelo contrário, o uso da GAEN, tal como o uso de uma ARC, continua a ser apresentado como uma inevitabilidade. Assim, foi publicada a [Resolução do Conselho de Ministros de 16-07-2020](https://www.portugal.gov.pt/pt/gc22/governo/comunicado-de-conselho-de-ministros?i=359), na altura ainda sem parecer emitido pela CNPD sobre o mesmo, algo que só veio a ocorrer - numa crítica ao Decreto-Lei - [no dia 21 de Julho](https://www.cnpd.pt/home/decisoes/Par/PAR_2020_82.pdf). Mais uma vez, a CNPD destaca, no modelo previsto, "uma parte substancial do tratamento de dados não ser controlada pelo responsável do tratamento, mas sim por uma parceria das duas maiores empresas de tecnologia", a interface GAEN, criada pela Google e pela Apple. Se fosse preciso algo mais do que desconfiança para perceber que as garantias que temos de conseguir, como sugere a CNPD, "a monitorização contínua do funcionamento" da GAEN, são nulas, temos a própria equipa que se encontra a desenvolver a aplicação a dar-nos um exemplo do quão não transparente é a relação entre eles e aquelas empresas. Em reacção a uma notícia do New York Times, que diz que vários dos países a implementar uma solução baseada em GAEN "estão desconfortáveis" com o comportamento da Google ao não aceitar alterar um dos detalhes do GAEN, o INESC TEC [disse ao Observador](https://observador.pt/2020/07/21/afinal-a-google-pode-recolher-dados-de-localizacao-nas-apps-de-rastreio-a-covid-19/) "Com outros responsáveis do desenvolvimento de aplicações similares europeias, temos vindo a questionar a Google e a solicitar a correcção do sistema operativo", além de ter dito ao [jornal ECO](https://eco.sapo.pt/2020/07/21/portugal-pressiona-google-a-desligar-acesso-ao-gps-na-app-de-contact-tracing/) que "a solicitação feita pelo Android é incorrecta e causa de preocupação em todas as aplicações que utilizam a GAEN". Contudo, não se obteve resposta sobre a possibilidade de alterar esta situação. Esta não é a primeira vez que nos deparamos com os problemas que advêm do uso desta componente de software proprietário. Em [resposta à comunidade científica](https://github.com/corona-warn-app/cwa-documentation/issues/228) quando esta encontrou um problema de segurança na ARC alemã, também assente na interface GAEN, a equipa que a desenvolve desresponsabilizou-se do problema, nem sequer alertando os seus utilizadores, com o argumento de que o problema está na GAEN, e que "não gerem essa componente", indicando que estas preocupações deviam ser "enviadas directamente à Apple e à Google". *"Depois da forma como a Google e a Apple optaram pela criação desta API, e pressionaram os países a adoptá-la, parece-nos difícil que estas empresas tenham abertura para torná-la numa componente livre"*, diz Tiago Carrondo, que acrescenta *"A opção destas gigantes da tecnologia por manter o controlo sobre a API é propositada, mas nós não somos forçados a utilizar esta API."* [A atitude que se observou recentemente, com o INESC TEC a dizer aos utilizadores do teste piloto que a CNPD tinha aprovado a app](https://twitter.com/direitosdig/status/1284892858810540033), levanta preocupações sobre a sensibilidade dos envolvidos para a privacidade dos dados e para o tratamento dos mesmos. Recorde-se que até agora o ponto mais positivo sobre a app e um requisito essencial por parte da Comissão Nacional de Protecção de Dados é o carácter voluntário da aplicação. *"De facto, não estão garantidas as condições sobre a privacidade dos cidadãos, para se poder recomendar o uso da aplicação"*, conclui Tiago Carrondo. -- Melhores cumprimentos / Best Regards Tiago Miguel Feiteiro Carrondo Presidente da Direcção ANSOL - Associação Nacional para o Software Livre -------------- próxima parte ---------- Um anexo que não estava em formato texto não está incluído... Nome : Comunicado_APPStayaway.pdf Tipo : application/pdf Tam : 19827 bytes Descr: não disponível Url : http://listas.ansol.org/pipermail/ansol-imprensa/attachments/20200723/8dddde51/Comunicado_APPStayaway.pdf -------------- próxima parte ---------- Um anexo que não estava em formato texto não está incluído... Nome : Comunicado_APPStayaway.md Tipo : text/markdown Tam : 5754 bytes Descr: não disponível Url : http://listas.ansol.org/pipermail/ansol-imprensa/attachments/20200723/8dddde51/Comunicado_APPStayaway.bin