[ANSOL-geral] ANSOL: Disponibilização do código da STAYAWAY COVID não é suficiente

[Tiago Carrondo]

Versão web: https://ansol.org/STAYAWAY-COVID

# PRESS RELEASE

# ANSOL: Disponibilização do código da STAYAWAY COVID não é suficiente

23 de Julho de 2020 - A ANSOL - Associação Nacional para o Software
Livre tem acompanhado com preocupação os desenvolvimentos sobre a
aplicação de rastreamento de contactos (ARC) STAYAWAY COVID,
desenvolvida pelo INESC TEC.

Apesar do INESC TEC afirmar que vai disponibilizar o código fonte da
aplicação, é certo que esta usa a API da Google e da Apple, cujo código
não é escrutinável e, portanto, a disponibilização do código pelo INESC
TEC corresponde apenas a uma parte da aplicação por onde passam os dados
dos cidadãos.

*"Qualquer modelo que passe por usar código que os cidadãos não podem
escrutinar deve ser rejeitada. Estamos a falar de dados de saúde e,
portanto, dados muito sensíveis. É imperioso que os cidadãos saibam que
dados são recolhidos, quem os recolhe, e como é que esses dados vão ou
podem ser usados."*, afirma Tiago Carrondo, presidente da ANSOL,
acrescentando *"A mera informação sobre quem instala ou não a aplicação
pode ser usada como fonte de discriminação".*

A aplicação irá fazer uso da interface de Notificação de Exposição da
Apple e da Google
([GAEN](https://www.google.com/covid19/exposurenotifications/)). Esta
componente fornece acesso a funcionalidades do dispositivo e não são
executadas directamente pela aplicação. Mas, embora a GAEN forneça
amostras de como implementar os serviços de acesso, como podemos ver
[neste exemplo de
servidor](https://github.com/google/exposure-notifications-server), **o
código usado na aplicação final não é público. Não é conhecido o
tratamento de dados que leva, nem estas empresas se têm mostrado
dispostas a disponibilizar estes detalhes.**

Depois da [primeira deliberação da Comissão Nacional de Protecção de
Dados (CNPD)](https://www.cnpd.pt/home/decisoes/Delib/DEL_2020_277.pdf)
em relação à aplicação, que levanta questões em relação à falta de
garantias que há com o uso da GAEN, temos observado com desagrado o
facto de que nada se tem feito sobre esse assunto.

Pelo contrário, o uso da GAEN, tal como o uso de uma ARC, continua a ser
apresentado como uma inevitabilidade. Assim, foi publicada a [Resolução
do Conselho de Ministros de
16-07-2020](https://www.portugal.gov.pt/pt/gc22/governo/comunicado-de-conselho-de-ministros?i=359),
na altura ainda sem parecer emitido pela CNPD sobre o mesmo, algo que só
veio a ocorrer - numa crítica ao Decreto-Lei - [no dia 21 de
Julho](https://www.cnpd.pt/home/decisoes/Par/PAR_2020_82.pdf). Mais uma
vez, a CNPD destaca, no modelo previsto, "uma parte substancial do
tratamento de dados não ser controlada pelo responsável do tratamento,
mas sim por uma parceria das duas maiores empresas de tecnologia", a
interface GAEN, criada pela Google e pela Apple.

Se fosse preciso algo mais do que desconfiança para perceber que as
garantias que temos de conseguir, como sugere a CNPD, "a monitorização
contínua do funcionamento" da GAEN, são nulas, temos a própria equipa
que se encontra a desenvolver a aplicação a dar-nos um exemplo do quão
não transparente é a relação entre eles e aquelas empresas. Em reacção a
uma notícia do New York Times, que diz que vários dos países a
implementar uma solução baseada em GAEN "estão desconfortáveis" com o
comportamento da Google ao não aceitar alterar um dos detalhes do GAEN,
o INESC TEC [disse ao
Observador](https://observador.pt/2020/07/21/afinal-a-google-pode-recolher-dados-de-localizacao-nas-apps-de-rastreio-a-covid-19/)
"Com outros responsáveis do desenvolvimento de aplicações similares
europeias, temos vindo a questionar a Google e a solicitar a correcção
do sistema operativo", além de ter dito ao [jornal
ECO](https://eco.sapo.pt/2020/07/21/portugal-pressiona-google-a-desligar-acesso-ao-gps-na-app-de-contact-tracing/)
que "a solicitação feita pelo Android é incorrecta e causa de
preocupação em todas as aplicações que utilizam a GAEN". Contudo, não se
obteve resposta sobre a possibilidade de alterar esta situação.

Esta não é a primeira vez que nos deparamos com os problemas que advêm
do uso desta componente de software proprietário. Em [resposta à 
comunidade
científica](https://github.com/corona-warn-app/cwa-documentation/issues/228)
quando esta encontrou um problema de segurança na ARC alemã, também
assente na interface GAEN, a equipa que a desenvolve
desresponsabilizou-se do problema, nem sequer alertando os seus
utilizadores, com o argumento de que o problema está na GAEN, e que "não
gerem essa componente", indicando que estas preocupações deviam ser
"enviadas directamente à Apple e à Google".

*"Depois da forma como a Google e a Apple optaram pela criação desta
API, e pressionaram os países a adoptá-la, parece-nos difícil que estas
empresas tenham abertura para torná-la numa componente livre"*, diz
Tiago Carrondo, que acrescenta *"A opção destas gigantes da tecnologia
por manter o controlo sobre a API é propositada, mas nós não somos
forçados a utilizar esta API."*

[A atitude que se observou recentemente, com o INESC TEC a dizer aos
utilizadores do teste piloto que a CNPD tinha aprovado a
app](https://twitter.com/direitosdig/status/1284892858810540033),
levanta preocupações sobre a sensibilidade dos envolvidos para a
privacidade dos dados e para o tratamento dos mesmos.

Recorde-se que até agora o ponto mais positivo sobre a app e um
requisito essencial por parte da Comissão Nacional de Protecção de Dados
é o carácter voluntário da aplicação. *"De facto, não estão garantidas
as condições sobre a privacidade dos cidadãos, para se poder recomendar
o uso da aplicação"*, conclui Tiago Carrondo.


-- 
Melhores cumprimentos / Best Regards

Tiago Miguel Feiteiro Carrondo
Presidente da Direcção
ANSOL - Associação Nacional para o Software Livre
-------------- próxima parte ----------
Um anexo que não estava em formato texto não está incluído...
Nome : Comunicado_APPStayaway.pdf
Tipo : application/pdf
Tam  : 19827 bytes
Descr: não disponível
Url  : http://listas.ansol.org/pipermail/ansol-geral/attachments/20200723/8dddde51/Comunicado_APPStayaway-0001.pdf
-------------- próxima parte ----------
Um anexo que não estava em formato texto não está incluído...
Nome : Comunicado_APPStayaway.md
Tipo : text/markdown
Tam  : 5754 bytes
Descr: não disponível
Url  : http://listas.ansol.org/pipermail/ansol-geral/attachments/20200723/8dddde51/Comunicado_APPStayaway-0001.bin