Re: [ANSOL-geral] ANSOL: Disponibilização do código da STAYAWAY COVID não é suficiente

[Bruno D. Rodrigues]

Parabéns pelo contínuo esforço pela defesa do software livre.

É fundamental não abrir mão da pressão para que o INESC liberte o código de toda a plataforma, desde as aplicações móveis aos código do servidor, tal como a SAP fez na Alemanha.

No entanto tenho de discordar com parte desta mensagem, pois a funcionalidade da Exposure Notification está bem documentada e é claro para qualquer developer que não há informação pessoal envolvida de todo nesse componente - bem pelo contrário, até o ID do bluetooth deixa de ser visível.

Criticar o projecto porque usa essa API é o equivalente a criticar porque corre em cima dos sistemas operativos fechados da Google e da Apple. É como criticar que não se pode usar a app a menos que todo o sistema operativo seja aberto por todas as marcas de telemóveis. Isto não faz sentido.

A interface de EN foi criada propositadamente para garantir que não haja abusos de privacidade (por razões altruístas, sim) e para que seja eficiente energicamente (por razões económicas).

Se só houvesse Android e as ARC usassem bluetooth normal, haveria facilmente a hipótese de abusos de privacidade, pois usando os IDs únicos do Bluetooth seria possível reconhecer outra pessoa em diversos dias, ou até ir à procura dela após a notificação de infeção.

A API de EN tem zero de informação pessoal.

No entanto a app que corre terá acesso a tudo o que quiser (ao que pedir autorização), desde dados pessoais a localização. A Apple e Google comprometeram-se a analisar as apps e tentar que sejam compliant com privacidade, mas isso não chega, e está nas nossas mãos exigir o código fonte de toda a plataforma para que vários olhos possam verificar que faz o que diz que fará, e temos todo o direito de o pedir pois é uma plataforma paga com o nosso dinheiro.

A SAP lançou o código fonte duas semanas antes de lançar a app. Onde está o nosso código? Teremos disponível o código todo, incluindo servidor?

O que é que a ANSOL recomenda que cada um de nós possa fazer pressão no INESC e no governo para que isto aconteça?

Obrigado
 


> No dia 23/07/2020, às 09:42, Tiago Carrondo <tiago.carrondo  ansol.org> escreveu:
> 
> Versão web: https://ansol.org/STAYAWAY-COVID
> 
> # PRESS RELEASE
> 
> # ANSOL: Disponibilização do código da STAYAWAY COVID não é suficiente
> 
> 23 de Julho de 2020 - A ANSOL - Associação Nacional para o Software
> Livre tem acompanhado com preocupação os desenvolvimentos sobre a
> aplicação de rastreamento de contactos (ARC) STAYAWAY COVID,
> desenvolvida pelo INESC TEC.
> 
> Apesar do INESC TEC afirmar que vai disponibilizar o código fonte da
> aplicação, é certo que esta usa a API da Google e da Apple, cujo código
> não é escrutinável e, portanto, a disponibilização do código pelo INESC
> TEC corresponde apenas a uma parte da aplicação por onde passam os dados
> dos cidadãos.
> 
> *"Qualquer modelo que passe por usar código que os cidadãos não podem
> escrutinar deve ser rejeitada. Estamos a falar de dados de saúde e,
> portanto, dados muito sensíveis. É imperioso que os cidadãos saibam que
> dados são recolhidos, quem os recolhe, e como é que esses dados vão ou
> podem ser usados."*, afirma Tiago Carrondo, presidente da ANSOL,
> acrescentando *"A mera informação sobre quem instala ou não a aplicação
> pode ser usada como fonte de discriminação".*
> 
> A aplicação irá fazer uso da interface de Notificação de Exposição da
> Apple e da Google
> ([GAEN](https://www.google.com/covid19/exposurenotifications/)). Esta
> componente fornece acesso a funcionalidades do dispositivo e não são
> executadas directamente pela aplicação. Mas, embora a GAEN forneça
> amostras de como implementar os serviços de acesso, como podemos ver
> [neste exemplo de
> servidor](https://github.com/google/exposure-notifications-server), **o
> código usado na aplicação final não é público. Não é conhecido o
> tratamento de dados que leva, nem estas empresas se têm mostrado
> dispostas a disponibilizar estes detalhes.**
> 
> Depois da [primeira deliberação da Comissão Nacional de Protecção de
> Dados (CNPD)](https://www.cnpd.pt/home/decisoes/Delib/DEL_2020_277.pdf)
> em relação à aplicação, que levanta questões em relação à falta de
> garantias que há com o uso da GAEN, temos observado com desagrado o
> facto de que nada se tem feito sobre esse assunto.
> 
> Pelo contrário, o uso da GAEN, tal como o uso de uma ARC, continua a ser
> apresentado como uma inevitabilidade. Assim, foi publicada a [Resolução
> do Conselho de Ministros de
> 16-07-2020](https://www.portugal.gov.pt/pt/gc22/governo/comunicado-de-conselho-de-ministros?i=359),
> na altura ainda sem parecer emitido pela CNPD sobre o mesmo, algo que só
> veio a ocorrer - numa crítica ao Decreto-Lei - [no dia 21 de
> Julho](https://www.cnpd.pt/home/decisoes/Par/PAR_2020_82.pdf). Mais uma
> vez, a CNPD destaca, no modelo previsto, "uma parte substancial do
> tratamento de dados não ser controlada pelo responsável do tratamento,
> mas sim por uma parceria das duas maiores empresas de tecnologia", a
> interface GAEN, criada pela Google e pela Apple.
> 
> Se fosse preciso algo mais do que desconfiança para perceber que as
> garantias que temos de conseguir, como sugere a CNPD, "a monitorização
> contínua do funcionamento" da GAEN, são nulas, temos a própria equipa
> que se encontra a desenvolver a aplicação a dar-nos um exemplo do quão
> não transparente é a relação entre eles e aquelas empresas. Em reacção a
> uma notícia do New York Times, que diz que vários dos países a
> implementar uma solução baseada em GAEN "estão desconfortáveis" com o
> comportamento da Google ao não aceitar alterar um dos detalhes do GAEN,
> o INESC TEC [disse ao
> Observador](https://observador.pt/2020/07/21/afinal-a-google-pode-recolher-dados-de-localizacao-nas-apps-de-rastreio-a-covid-19/)
> "Com outros responsáveis do desenvolvimento de aplicações similares
> europeias, temos vindo a questionar a Google e a solicitar a correcção
> do sistema operativo", além de ter dito ao [jornal
> ECO](https://eco.sapo.pt/2020/07/21/portugal-pressiona-google-a-desligar-acesso-ao-gps-na-app-de-contact-tracing/)
> que "a solicitação feita pelo Android é incorrecta e causa de
> preocupação em todas as aplicações que utilizam a GAEN". Contudo, não se
> obteve resposta sobre a possibilidade de alterar esta situação.
> 
> Esta não é a primeira vez que nos deparamos com os problemas que advêm
> do uso desta componente de software proprietário. Em [resposta à
> comunidade
> científica](https://github.com/corona-warn-app/cwa-documentation/issues/228)
> quando esta encontrou um problema de segurança na ARC alemã, também
> assente na interface GAEN, a equipa que a desenvolve
> desresponsabilizou-se do problema, nem sequer alertando os seus
> utilizadores, com o argumento de que o problema está na GAEN, e que "não
> gerem essa componente", indicando que estas preocupações deviam ser
> "enviadas directamente à Apple e à Google".
> 
> *"Depois da forma como a Google e a Apple optaram pela criação desta
> API, e pressionaram os países a adoptá-la, parece-nos difícil que estas
> empresas tenham abertura para torná-la numa componente livre"*, diz
> Tiago Carrondo, que acrescenta *"A opção destas gigantes da tecnologia
> por manter o controlo sobre a API é propositada, mas nós não somos
> forçados a utilizar esta API."*
> 
> [A atitude que se observou recentemente, com o INESC TEC a dizer aos
> utilizadores do teste piloto que a CNPD tinha aprovado a
> app](https://twitter.com/direitosdig/status/1284892858810540033),
> levanta preocupações sobre a sensibilidade dos envolvidos para a
> privacidade dos dados e para o tratamento dos mesmos.
> 
> Recorde-se que até agora o ponto mais positivo sobre a app e um
> requisito essencial por parte da Comissão Nacional de Protecção de Dados
> é o carácter voluntário da aplicação. *"De facto, não estão garantidas
> as condições sobre a privacidade dos cidadãos, para se poder recomendar
> o uso da aplicação"*, conclui Tiago Carrondo.
> 
> 
> -- 
> Melhores cumprimentos / Best Regards
> 
> Tiago Miguel Feiteiro Carrondo
> Presidente da Direcção
> ANSOL - Associação Nacional para o Software Livre
> <Comunicado_APPStayaway.pdf><Comunicado_APPStayaway.md>_______________________________________________
> Ansol-geral mailing list
> Ansol-geral  listas.ansol.org
> http://listas.ansol.org/mailman/listinfo/ansol-geral