O governo do Reino Unido anunciou recentemente que interromperá o desenvolvimento de um aplicativo de rastreamento de contatos. No mesmo dia, o governo canadense declarou que está desenvolvendo um aplicativo - também de rastreamento. Tudo isso na mesma semana em que a autoridade sanitária norueguesa teve que excluir todos os dados coletados por meio de um aplicativo de rastreamento de contatos e suspendeu o seu uso devido a uma decisão da Norwegian Data Protection Authority. E se esses exemplos não forem suficientes para demonstrar a confusão absoluta que vivemos atualmente, podemos destacar que o aplicativo de rastreamento australiano apresentou uma falha que impede que os iPhones possam relatar possíveis contatos próximos.
Está claro que não existe uma solução única ou rápida que atenda às necessidades individuais dos órgãos governamentais e de saúde do mundo que estão tentando usar a tecnologia para ajudar a reduzir as taxas de infecção ocasionadas pela Covid-19.
Segundo a Wikipedia, mais de 30 países têm ou planejam lançar aplicativos projetados para o rastreamento de contatos ou para manter os usuários isolados, com o objetivo de limitar e gerenciar a propagação da Covid-19. O ciclo de desenvolvimento e a distribuição dessas soluções tão urgentes são inéditos. Faça a seguinte pergunta a um membro de qualquer equipe de desenvolvimento de aplicativos: seria possível desenvolver um aplicativo e uma infraestrutura para oferecer suporte a 100 milhões ou mais de usuários em menos de três meses? Provavelmente, eles responderiam “não” - e a resposta viria depois de alguns momentos de risos.
Carregando um smartphone
O conceito de rastreamento de contato é informar às pessoas que elas podem ter entrado em contato com outras que contraíram ou estão apresentando sintomas de uma doença infecciosa, neste caso a Covid-19. O destinatário da notificação pode então tomar medidas de precaução, como autoisolamento. O rastreamento de contato provou ser uma excelente ferramenta para ajudar na erradicação de outras doenças, como a varíola, e tem sido usada para controlar outras, como tuberculose, sarampo e HIV. Com grande parte da população mundial agora carregando um smartphone, a tecnologia deve ser capaz de desempenhar um papel importante, e é por isso que estamos vendo um aumento no desenvolvimento de aplicativos de rastreamento de contatos.
A maioria dos aplicativos disponíveis são patrocinados pelo governo e usam uma variedade de métodos diferentes para cumprir sua finalidade, como Bluetooth x GPS, centralizado x descentralizado, e nem todos têm em conta a privacidade do usuário.
Existem dois métodos principais sendo usados para reunir a proximidade física dos usuários. O primeiro é o sistema de posicionamento global (GPS): usa a navegação por rádio baseada em satélite para aproximar a localização do indivíduo e a de outros usuários do aplicativo. A segunda solução, mais destacada, usa Bluetooth e a intensidade do sinal para identificar a proximidade de outros usuários do aplicativo, permitindo que os dispositivos troquem “apertos de mão” em vez de rastrear a localização real. Existem algumas soluções que usam uma combinação de Bluetooth e GPS e algumas até usam o rastreamento de localização baseado em rede, mas esses métodos têm problemas significativos de privacidade no rastreamento da localização e, felizmente, estão limitados a apenas alguns desenvolvimentos. A principal tecnologia usada pelos aplicativos de rastreamento de contatos da Covid-19 é o Bluetooth, pois fornece um nível mais alto de proteção da privacidade.
No entanto, existe um problema implícito: o modo “descobrir” do Bluetooth não é ativado em dois casos, se o seu smartphone estiver bloqueado ou se o aplicativo que solicita o recurso não estiver como principal. Até agora, não havia motivo para esse modo ser ativado. As primeiras versões de aplicativos como o BlueTrace, solução do governo de Cingapura, só funcionavam quando os usuários estavam com os smartphones desbloqueados. O aplicativo beta do NHS do Reino Unido tinha uma solução exclusiva para isso, pelo menos para o Android, mas parece que os limites implementados pela Apple no iOS significavam que isso era algo inatingível e exigia que os desenvolvedores trabalhassem com a API oficial de notificações de exposição da Apple e da Google.
A solução conjunta da Google e da Apple, que é a API oficial de notificações de exposição, preserva a privacidade e fornece um método de uso de Bluetooth Low Energy e criptografia para fornecer uma infraestrutura de rastreamento de contatos. O uso da API é limitado às autoridades de saúde pública e o acesso é concedido apenas quando critérios específicos sobre privacidade, segurança e dados são atendidos. No entanto, essa API é apenas parte de uma solução que um aplicativo precisa para fornecer a funcionalidade necessária. Se um aplicativo solicitar informações pessoais, diretamente ou por outros métodos, ele poderá ser questionado em relação a privacidade. A percepção de um usuário de um aplicativo de rastreamento de contatos que usa essa solução pode ser de que o aplicativo, devido à solução da Google e da Apple, tenha sido desenvolvido para preservar a privacidade do indivíduo - isso pode dar uma falsa sensação de segurança.
Também há especulações de que o uso da API de notificação de exposição e Bluetooth para medição de proximidade e distância no iOS pode não ser preciso – essa informação foi mencionada pelo governo do Reino Unido ao anunciar o interrompimento do desenvolvimento de sua própria solução. Alguns dos possíveis problemas estão detalhados em um artigo publicado pela MIT Technology Review, no qual se afirma que, se um telefone estiver em seu bolso em posição vertical, em vez de horizontal, isso poderá ajustar a potência recebida e fazer com que alguém pareça estar outro lado do quarto em vez de estar ao seu lado. A pesquisa também menciona a questão dos sinais que passam pelos corpos - por exemplo, se duas pessoas estão de costas, o sinal pode parecer fraco e, assim, registrar uma distância incorreta. O governo do Reino Unido alega ter desenvolvido algoritmos que reduzem alguns desses problemas - esperamos que os gigantes da tecnologia estejam dispostos a pelo menos explorar a solução que a equipe do Serviço Nacional de Saúde Britânica (NHS) afirma ter.
A solução da Google e da Apple se junta a outras oito frameworks criados desde o início da pandemia. Esses frameworks foram criados em paralelo por várias empresas de tecnologia, organizações de privacidade, universidades e governos. Se o mundo adotasse um framework, com certeza, haveria padronização, mas isso também adiciona um único ponto de falha se o framework for comprometido ou caso não consiga fornecer os resultados esperados.
Os termos descentralizado e centralizado são frequentemente usados e fornecem uma visualização de onde os dados coletados por um aplicativo de rastreamento de contatos são processados e armazenados - dá a percepção de que a centralização cria um risco maior para a privacidade. Isso pode não ser verdade, pois existem projetos que usam uma abordagem centralizada, mas potencialmente oferecem ao usuário do aplicativo o nível de privacidade desejado. A questão subjacente é se o uso de dados pode ser mal utilizado – ou seja, se a identidade do usuário for revelada ou se essa informação possa ser rapidamente obtida.
No lugar certo e na hora certa?
Quando um aplicativo de rastreamento de contato entra em contato com outro dispositivo executando o mesmo aplicativo, se produz um “aperto de mão” (handshake) e uma troca de chaves. Essas chaves geralmente mudam continuamente e são geradas com base no tempo e de forma exclusiva para o dispositivo. Quando o dispositivo A está em frente ao dispositivo B, eles compartilham chaves com base em uma distância e tempo pré-determinados, por exemplo, dentro de 2 metros por 15 minutos. O dispositivo mantém as chaves ou as envia para um servidor central - quando os usuários confirmam que podem ser positivos para a infecção, todas as chaves que eles geraram são adicionadas a um sistema em nuvem. Todos os outros dispositivos os coletam com frequência para verificar se há uma correspondência com as chaves que foram coletadas ou, alternativamente, essa correspondência será processada na nuvem. Se houver uma correspondência, esses usuários serão avisados de que entraram em contato com outro dispositivo que agora afirmam ser positivo – embora não possam ter ideia de qual dispositivo.
Caso o usuário possa ser identificado e todos os dados forem mantidos e processados de forma centralizada, há claramente um problema de privacidade. No entanto, se o usuário não puder ser identificado e a nuvem central esteja processando apenas para correspondências, isso poderá ser mais eficiente do que pedir ao dispositivo local para fazer esse processamento, especialmente se o dispositivo final estiver com recursos limitados... o que pode ser o caso em algumas áreas do mundo. Essa abordagem também oferece ao sistema centralizado a capacidade de identificar possíveis falsos positivos, onde alguns usuários com más intenções dizem que estão infectados, mas na realidade não estão e apenas tentam criar problemas para usuários, empresas e sociedade em geral. O uso de algoritmos complexos para identificar falsos positivos em uma abordagem descentralizada é menos realista devido às limitações de recursos.
Um benefício da centralização parcial é que a parte dos dados centralizados que está sendo processada pode ser usada para informar aos cientistas como a população como um todo se move e para identificar rapidamente pontos críticos e permitir a alocação de recursos médicos. Se, por exemplo, um CEP for solicitado no momento da instalação, os cientistas de dados poderão prever a propagação da doença. É improvável que o usuário seja identificado, pois um único código postal é usado por centenas ou milhares de pessoas.
Cada país adotou um ou outro dos nove framework desenvolvidos, cada um oferecendo um equilíbrio diferente entre eficiência e privacidade. O uso dos diferentes frameworks pode causar problemas: por exemplo, a maioria dos países europeus adotou a API de notificação de exposição da Google e da Apple, enquanto a França não tem processado dados de forma centralizada. Quando as fronteiras entre países sejam abertas, é improvável que haja qualquer sincronização entre um aplicativo da Alemanha e um aplicativo da França.
Até as soluções que alegam ser mais sensíveis à privacidade estão sujeitas a abusos: considere o cenário extremo em que a vigilância por vídeo é usada em conjunto com a captura de sinais Bluetooth emitidos pelos dispositivos e as chaves que estão sendo trocadas. Combinado com a tecnologia de reconhecimento facial e a localização do dispositivo em um dado momento, pode significar que o usuário é identificável. Embora isso possa parecer extremo, demonstra que nenhum sistema oferece garantia de privacidade.
Isso pode funcionar?
Tantos problemas em tão pouco tempo. Não existe uma solução perfeita tem em conta os prazos diante da necessidade de apresentar uma solução para o mercado. A incerteza de quais dados podem ser úteis no futuro, quais dados serão compartilhados pelos usuários, os frameworks tecnológicos emergentes, os desafios da distância aproximada e a imensa pressão para que os aplicativos sejam entregues demonstram os desafios enfrentados por desenvolvedores e governos em trazer uma solução para o mercado que funcione com eficiência e seja aceitável do ponto de vista da privacidade. Como isso nunca foi feito antes, devemos esperar erros cometidos e que alguns projetos podem mudar de direção – é através da tentativa e do erro que as melhores soluções serão encontradas.
Existem fatores-chave que devem ser considerados tanto por um desenvolvedor de aplicativos como por um governo que solicita o desenvolvimento de um aplicativo. Os protocolos que foram desenvolvidos tendo em conta a privacidade são tão bons quanto a disposição dos desenvolvedores de aderir apenas à coleta e transmissão da quantidade mínima de dados. Portanto, não se esconda atrás de um framework e um estado que afirmam estar preocupados com a privacidade dos usuários caso estejam realmente coletando outros dados de identificação e os armazenando de forma centralizada.Se houver elementos de centralização, indique claramente os motivos da coleta e qual é o uso e publique os limites de quanto tempo os dados serão mantidos e quem tem acesso. O conceito de que dados não identificados, como um CEP, é usado para desviar recursos médicos para o lugar certo é potencialmente aceitável para muitas pessoas, mas deve haver uma orientação clara de que esses dados são sensíveis ao tempo e serão removidos quando se tornem obsoletos.
Em prol da confiança pública: na minha opinião, todos os governos, independentemente de sua abordagem sobre esse problema, deveriam legislar sobre o uso aceitável de dados e criar critérios sobre quando um aplicativo atingirá seu “fim de vida” e será removido dos dispositivos. Sem mais infecções, sem mais aplicativos ou dados.
Se eu usaria um aplicativo de rastreamento de contatos? Sim, contanto que o uso fosse anônimo e que os dados não estivessem sendo usados para outra coisa senão impedir que esta doença específica se espalhe e continue causando estragos. No caso de informações gerais de localização, como códigos postais, ajudarem a ciência a derrotar esta doença e colocar os recursos médicos no lugar certo, no momento certo, o meu desejo por privacidade absoluta poderia ser superado pela simples vontade de contribuir.
