A adoção de uma aplicação móvel para o rastreio da pandemia de covid-19 exige cuidados, tanto de programadores como de futuros utilizadores, face ao risco de acesso indevido a informação privada, alertam especialistas em cibersegurança consultados pela Lusa.
Portugal deve passar em breve a utilizar a ‘app’ STAYAWAY COVID para monitorizar a propagação do novo coronavírus. O governo tem acompanhado o trabalho do Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência (INESC TEC), responsável pelo desenvolvimento da plataforma, mas o presidente da Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI), Jorge Pinto, alerta que a solução comporta alguns riscos.
“Qualquer aplicação instalada no telemóvel representa um risco de segurança. Por isso, qualquer desenvolvimento que seja feito tem de contemplar uma perspetiva de risco: como é que a aplicação pode ser utilizada de uma forma que não estava a ser pensada originalmente e possa prejudicar as pessoas?”, frisa Jorge Pinto, que resume a questão como “uma faca de dois gumes”, podendo servir “fins espetaculares” ou “fins menos reconfortantes” para as pessoas.
A aplicação portuguesa vai assentar no recurso ao ‘bluetooth’ instalado nos telemóveis e não em serviços de geolocalização, inviabilizando assim o rastreio da localização física dos utilizadores. No entanto, como observa o professor Miguel Pupo Correia, do Instituto Superior Técnico da Universidade de Lisboa, apesar do alcance “curto e limitado” desta tecnologia, “não saber a localização exata não quer dizer que não se saiba informação que é privada”.
“Saber que duas pessoas estiveram juntas, que um conjunto de pessoas teve uma reunião, que um conjunto de pessoas está junta, a uma determinada hora, ou que uma pessoa está infetada é informação privada e que pode não querer revelar. A geolocalização é muito pior, não há dúvida, mas essa informação de contacto ainda é crítica”, assinala o também investigador do Instituto de Engenharia de Sistemas e Computadores, Investigação e Desenvolvimento.
Apesar de reconhecer que as pessoas confiam diariamente informação de natureza privada a empresas tecnológicas, como Facebook, Google ou LinkedIn, Miguel Pupo Correia considera que a aplicação de rastreio nacional da pandemia deve, do ponto de vista da proteção da privacidade, erguer-se sobre uma solução descentralizada, ou seja, sem enviar a informação sobre os contactos para um servidor centralizado.
“Aqui, o que acontece é que os telemóveis vão guardando a informação sobre os contactos e de vez em quando vão perguntar a um servidor – que esse, sim, é centralizado – se há alguma informação sobre pessoas infetadas. Então, os nossos telemóveis vão olhar para os nossos contactos, perceber se estivemos perto de uma pessoa infetada e avisar”, explica, sem deixar de realçar que “os contactos só são úteis se houver muita gente a utilizar a aplicação”.
Paralelamente, Jorge Pinto destaca a mais-valia de ter também a Comissão Nacional de Proteção de Dados a analisar “de uma forma consistente” esta situação e a importância do Regulamento Geral sobre a Proteção de Dados (RGPD) na criação de “uma ‘framework’ a nível europeu para que todos os países possam estar alinhados e ter algum suporte” nesta matéria.
“Deve ser tido em conta nas aplicações de rastreio de que forma consegue trabalhar com o mínimo de permissões e, mesmo que seja atacada por ‘hackers’ [piratas informáticos], não criar um risco para o seu utilizador. Quanto menos permissões ou informação sobre o utilizador tiver, mais segura está caso seja comprometida”, sentencia o líder da AP2SI.
App para rastreio de contágios em Portugal cumprirá leis europeias e usará apenas Bluetooth