16 Junho 2020

A Noruega, o Bahrein e o Kuwait lançaram algumas das aplicações de rastreio de contactos mais invasivas do mundo para fazer face à COVID-19, colocando em risco a privacidade e a segurança de centenas de milhares de pessoas, revela uma investigação da Amnistia Internacional.

“É improvável que seja necessário e proporcional no contexto de uma resposta de saúde pública. A tecnologia pode desempenhar um papel útil no rastreio de contactos para conter a COVID-19, mas a privacidade não deve ser outra vítima”

Claudio Guarnieri, chefe do Security Lab da Amnistia Internacional

A análise, realizada pelo Security Lab da Amnistia Internacional, abrange contact tracing apps da Europa, do Médio Oriente e do Norte de África, e uma avaliação técnica detalhada de 11 aplicações de Argélia, Bahrein, França, Islândia, Israel, Kuwait, Líbano, Noruega, Qatar, Tunísia e Emirados Árabes Unidos, sendo que a avaliação de algumas delas vai de “má” a “perigosa” para os direitos humanos.

A “BeAware Bahrain” do Bahrein, a “Shlonik” do Kuwait e a “Smittestopp” da Noruega destacaram-se como algumas das aplicações de vigilância em massa mais alarmantes. Nestes três casos, o rastreio dos utilizadores é feito de forma ativa, em tempo real ou quase real, através do upload frequente das coordenadas de GPS num servidor central.

Esta segunda-feira, o governo norueguês anunciou que iria suspender a utilização da sua aplicação. A decisão ocorreu poucas horas antes da Amnistia Internacional publicar a análise e depois de a organização ter partilhado as conclusões da investigação com as autoridades da Noruega e a agência de proteção de dados do país, no dia 2 de junho. Além disso, também se reuniu com um responsável pelo desenvolvimento da aplicação “Smittestopp”, no dia 10 de junho.

“O Bahrein, o Kuwait e a Noruega passaram por cima da privacidade das pessoas, com ferramentas de vigilância altamente invasivas que vão muito além do que se justifica nos esforços para combater a COVID-19”, afirma Claudio Guarnieri, chefe do Security Lab da Amnistia Internacional.

“A app da Noruega era altamente invasiva e a decisão de voltar atrás é a correta. Instamos os governos do Bahrein e do Kuwait a também interromper imediatamente o uso dessas aplicações invasivas na sua forma atual. Estão a transmitir a localização dos utilizadores, em tempo real, para uma base de dados do governo. É improvável que seja necessário e proporcional no contexto de uma resposta de saúde pública. A tecnologia pode desempenhar um papel útil no rastreio de contactos para conter a COVID-19, mas a privacidade não deve ser outra vítima, à medida que os governos se apressam para lançar apps”, alerta o mesmo responsável.

Ferramentas de vigilância em massa

As contact tracing apps do Bahrain, do Kuwait e da Noruega seguem uma abordagem invasiva e centralizada, representando uma grande ameaça à privacidade. Os sistemas recolhem dados de localização por GPS e enviam-nos para uma base de dados central, rastreando os movimentos dos utilizadores em tempo real. A aplicação “EHTERAZ” do Qatar é capaz de ativar opcionalmente o rastreio de localização, em direto, de todos os utilizadores ou de indivíduos específicos (até agora, esta possibilidade permanece desativada).

“Se as aplicações têm um papel efetivo no combate à COVID-19, as pessoas precisam de ter a confiança de que a sua privacidade vai ser protegida”

Claudio Guarnieri, chefe do Security Lab da Amnistia Internacional

As autoridades destes países podem vincular facilmente as informações pessoais sensíveis a um indivíduo, já que Qatar, Bahrein e Kuwait exigem que os utilizadores se registem com o número do cartão de identificação nacional, enquanto a Noruega exige um número de telefone válido.

Outras aplicações analisadas pelo Security Lab da Amnistia Internacional, como o “E7mi” da Tunísia, também seguem um modelo centralizado, mas, em vez de gravar as coordenadas de GPS, usam um rastreio de proximidade através de Bluetooth para monitorizar o contacto entre os utilizadores em tempo real. O “EHTERAZ” do Qatar regista e carrega o contacto via Bluetooth entre os dispositivos dos utilizadores, juntamente com as coordenadas de GPS do encontro entre as pessoas.

Uma vulnerabilidade de segurança foi identificada na app “EHTERAZ” do Qatar, que acabou por expor detalhes pessoais sensíveis de mais de um milhão de pessoas. A 22 de maio, a sua utilização tinha sido declarada obrigatória. O problema foi corrigido depois de a Amnistia Internacional ter alertado as autoridades, no final do último mês. A falha de segurança teria permitido que cibercriminosos tivessem acesso a informações pessoais altamente confidenciais, incluindo nome, número de cartão de identificação nacional, condições de saúde e local de confinamento dos utilizadores.

As aplicações de países como França, Islândia e Emirados Árabes Unidos usam um modelo centralizado, mas as informações sobre o contacto entre dispositivos são carregadas apenas quando os usuários decidem reportar, de forma voluntária, que estão sintomáticos ou no caso de ser solicitado pelas autoridades de saúde. Os envios voluntários e consensuais, pelo menos, reduzem o risco de vigilância em massa, pois os dados não são carregados automaticamente. O modelo centralizado da aplicação de rastreio da França, associado à falta de transparência sobre como os dados são armazenados, levanta questões à forma como as informações dos utilizadores podem não ser anónimas.

“Os governos de todo o mundo necessitam de suspender a implementação das aplicações de rastreio de contactos com falhas ou excessivamente intrusivas que não cumprem com a proteção dos direitos humanos. Se as aplicações têm um papel efetivo no combate à COVID-19, as pessoas precisam de ter a confiança de que a sua privacidade vai ser protegida”, sublinha Claudio Guarnieri.

Novas formas de vigilância

A aplicação do Bahrein chegou a ser usada num programa de televisão nacional chamado “Are You at Home?”, que oferecia prémios a quem ficasse em casa durante o ramadão. Através da utilização de detalhes dos contactos recolhidos pela app, dez números de telefone eram selecionados, todos os dias e aleatoriamente, com recurso a um programa de computador. Depois, eram realizadas chamadas, em direto, para verificar se os utilizadores da aplicação estavam em casa. O prémio era entregue a essas pessoas.

“Existem melhores opções disponíveis que equilibram a necessidade de rastrear a propagação da doença sem acumular informações sensíveis de milhões de pessoas”

Claudio Guarnieri, chefe do Security Lab da Amnistia Internacional

Numa fase inicial, a participação neste sorteio era obrigatória, mas a Autoridades para as Informações e o Governo Eletrónico do país adicionou uma opção à “BeAware Bahrain”, permitindo que os utilizadores não fossem incluídos no concurso televisivo. As autoridades do Bahrein também publicaram online informações pessoais sensíveis de casos suspeitos de COVID-19, incluindo a condição de saúde, a nacionalidade, a idade, o género e registo de viagens de uma pessoa.

As aplicações do Kuwait e do Bahrein podem ser conectadas a uma pulseira Bluetooth, usada para garantir que o utilizador permanece junto ao telefone, com o objetivo de impor as medidas de quarentena.

No caso específico do Kuwait, é verificada regularmente a distância entre a pulseira e o dispositivo, carregando dados de localização a cada dez minutos num servidor central.

Na “BeAware Bahrain”, dados da localização e informações adicionais da pulseira ligados à aplicação também são frequentemente enviados para um servidor central. É obrigatório que todos os indivíduos registados para cumprir a quarentena em casa usem a pulseira e quem não cumpre pode incorrer em sanções, de acordo com a Lei de Saúde Pública nº 34 (2018), incluindo penas de prisão de, pelo menos, três meses e/ou multas entre 1000 e 10.000 dinares do Bahrein (aproximadamente 2700 e 27.000 dólares, respetivamente).

Privacidade e direitos humanos

O rastreio de contactos é uma componente importante da resposta eficaz à pandemia e as aplicações têm o potencial para apoiar esse objetivo. No entanto, para ser compatível com os direitos humanos, deve incluir, entre outras coisas, privacidade e proteção de dados na sua conceção, ou seja, quaisquer dados recolhidos devem corresponder a uma quantidade mínima necessária e o seu armazenamento deve ser feito em segurança.

A recolha dos dados deve ser limitada ao controlo da propagação da COVID-19 e não pode ser usada para nenhum outro propósito, como a aplicação da lei, a segurança nacional ou o controlo de imigração. Também não deve ser disponibilizada a terceiros ou para uso comercial.

Qualquer decisão individual de fazer o download e usar estas aplicações deve ser totalmente voluntária. Quaisquer dados recolhidos devem permanecer anónimos, inclusivamente quando combinados com outros conjuntos de dados.

“Os governos que implementam estas contact tracing apps com rastreio de localização em tempo real precisam de voltar atrás. Existem melhores opções disponíveis que equilibram a necessidade de rastrear a propagação da doença sem acumular informações sensíveis de milhões de pessoas”, defende Claudio Guarnieri.

 

As aplicações analisadas

A investigação da Amnistia Internacional concluiu que as aplicações tendem a ser divididas em três categorias.

Na primeira, incluem-se aquelas que não fazem um rastreio digital, mas permitem que os utilizadores registem e verifiquem voluntariamente os seus sintomas (por exemplo, no Líbano e Vietname).

Na segunda, estão apps que usam um modelo descentralizado muito menos invasivo de rastreio de contactos Bluetooth, como o que foi desenvolvido por empresas como a Google e Apple. Sob este modelo, os dados são armazenados nos telemóveis das pessoas e não numa base de dados centralizada. Isto inclui países como Áustria, Alemanha, Irlanda e Suíça. A Amnistia Internacional não realizou uma revisão técnica de nenhuma aplicação que segue este modelo, pois tendem a ser menos preocupantes do ponto de vista da privacidade e ainda estão em processo de implementação.

Na terceira, que apresenta mais riscos para os direitos humanos, encontram-se as aplicações que registam dados recolhidos pelo sensor Bluetooth do telemóvel, via GPS ou ambos e enviam-nos para uma base de dados centralizada do governo. Em alguns casos, são obrigatórias. A Amnistia Internacional escreveu às autoridades do Bahrein, do Kuwait e da Noruega antes da publicação da investigação para notificá-las sobre as vulnerabilidades de privacidade e segurança das apps.

 

Outras aplicações problemáticas

A Amnistia Internacional focou-se especialmente em aplicações da Europa, do Médio Oriente e do Norte da África. Investigações realizadas por ONG e organizações de média mostram que existem outras apps e plataformas digitais, noutras regiões, que apresentam sérios riscos para os direitos humanos, em países como a China, Etiópia e Guatemala.

 

 

COVID 19: DETERMINADOS PELA ESPERANÇA

À medida que a pandemia de COVID-19 se espalha pelo mundo, a vida pode parecer em espera – mas a luta pelos direitos humanos nunca pára.
Preparámos uma página com vários conteúdos relacionado com esta temática, que incluía informações específicas, inspiração tão necessária neste momento e formas de agir e se envolver.

ver conteúdos

 

Artigos Relacionados