Perspectivas sobre o Humanismo Digital - Aplicativos Rastreadores de Contato

Perspectivas sobre o Humanismo Digital

Manifesto de Viena sobre o Humanismo Digital

Parte X Aprendendo com a Crise

Ensaio anterior

[291]Aplicativos Rastreadores de Contato: Uma Lição nos Aspectos Sociais do Desenvolvimento Tecnológico

por Walter Hötzendorfer

Resumo No geral, pode haver aspectos mais importantes da pandemia da COVID-19 e da luta global contra ela do que os aplicativos rastreadores de contato. Mas o caso dos aplicativos rastreadores de contato conta-nos uma história interessante no contexto do humanismo digital. Ela revela-nos que o princípio de privacidade por design alcançou a prática e o que isso significa e realiza. Infelizmente, ela também é uma lição sobre as limitações sociais da privacidade por design na prática. É uma boa coisa que as pessoas sejam céticas e perguntem sobre privacidade e proteção de dados. Contudo, é necessário diferenciar e tentar tomar decisões educadas ou confiar em especialistas e na sociedade civil.

Nas lojas de aplicativos do Google e da Apple nós podemos encontrar tantos aplicativos populares que rastreiam os seus usuários e pisoteiam na proteção de dados. A maioria das pessoas absolutamente não questiona isso e usa esses aplicativos descuidadamente. Diante da pandemia da COVID-19, nós desenvolvemos alguns dos aplicativos mais amigáveis à privacidade e melhor escrutinados, e as pessoas têm os questionado amplamente – o que é uma boa coisa. Na discussão pública resultante revelou-se ser difícil explicar uma solução de privacidade-por-design para o público. Claramente é difícil entender como o rastreamento dos contatos individuais e a anonimidade (ou pseudoanonimidade) podem ser possíveis ao mesmo tempo.

Uma característica particularmente pérfida da SARS-CoV-2 é que uma pessoa infectada já pode infectar outros enquanto ela ainda se sente perfeitamente saudável. Portanto, se Alice foi infectada por Bob, Alice tem de ser informada imediatamente e permanecer em casa tão logo Bob aprenda que ele foi infectado. Portanto, aqueles a quem Alice de outra maneira teria encontrado estão salvos. O rastreamento de contato (contact tracing) é uma medida para realizar tais advertências de pessoas contatadas.

Quase imediatamente depois de termos compreendido que o vírus tinha alcançada a Europa no começo de 2020, iniciaram-se vários projetos em países diferentes para desenvolver um aplicativo que poderia suplementar o rastreamento de contato usual levado a cabo por autoridades de saúde. A partir desses desenvolvimentos, logo surgiu uma ampla e qualificada discussão internacional sobre diferentes conceitos sobre [292]como implementar o rastreamento de contato baseado em aplicativo. Surpreendentemente, revelou-se que esses conceitos, quando otimizados para advertência efetiva, ou quanto otimizados para privacidade, ou quando otimizados para facilidade de implementação,¹ convergiam para o mesmo resultado^.2 Em outras palavras, aplicativos de rastreamento de contato são um caso raro onde há uma solução ótima quando considerados por esses três critérios.³ Essa abordagem é a criação baseada em bluetooth de um diário anônimo de contado mantido localmente no smartphone, posteriormente chamada de a “abordagem descentralizada,” a qual foi particularmente bem elaborada e documentada sob a designação de Decentralized Privacy-Preserving Proximity Tracing (DP-3T).⁴ Após extensa discussão⁵ – a qual, infelizmente, é usualmente qualquer coisa exceto dada – essa solução factualmente melhor prevaleceu na prática na maioria dos países. Isso é oposto a uma “abordagem centralizada,” ou registros pseudônimos de contatos, pelos menos dos usuários infectados, são transmitidos para um servidor. Nessa arquitetura, não pode ser excluído que um operador de servidor malicioso ou atacante possa inferir um grafo social ou mesmo um grafo de interação de pessoas participantes (Troncoso et al. 2020, pp. 43 f). O exemplo mostra quão importantes são decisões arquiteturais fundamentais para a privacidade dos usuários (Hötzendorfer 2020). Há muito mais detalhes de privacidade por design aplicada em DP-3T e conceitos similares. Ver Troncoso et al. (2020) para os detalhes.

Logo depois que os primeiros aplicativos foram desenvolvidos, tornou-se claro que, sem intervenção no nível do sistema operacional, o Bluetooth não poderia ser usado da maneira requerida, especialmente quando o aplicativo deveria executar no segundo plano. Então alguma coisa histórica aconteceu: Google e Apple juntaram-se para implementar um conceito de privacidade-por-design desenvolvido por pesquisadores europeus (entre outros). Eles implementaram um conceito de rastreamento de contato baseado em Bluetooth muito similar ao DP-3T no Androids e iOS, respectivamente.⁶ É claro, é um problema em si mesmo que essas companhias sejam tão [293]dominantes e poderosas que o mundo é praticamente incapaz de implementar um tal sistema sem a boa vontade delas (Veale 2020).

Contudo, Google e Apple podem não ter escolhido a abordagem descentralizada por causa de nobres considerações de privacidade. À luz do potencial poder de informação que vem com a abordagem centralizada, alguém pode levantar a hipótese que eles não querem decidir quais governos são suficientemente dignos de confiança para lhes conceder esses poderes e quais não são. Em qualquer caso, eles implementaram a abordagem descentralizada e assim a solução mais amigável a privacidade prevaleceu na prática.

Como muitos podem não saber, a GDPR, a qual inaugurou uma nova era de proteção de dados quando entrou em vigor em 2018, não alterou significativamente a lei substantiva de proteção de dados na Europa. Em vez disso, o seu impacto fundamental resulta das penalidades que ela impõe para conduta que, pela maior parte, já era ilegal antes, e do impulso e da discussão pública focada que ela criou por toda Europa e além. Contudo, a GDPR introduziu um novo princípio: proteção de dados por design. Esse princípio fundamental quer que nós construamos a privacidade no design de sistemas desde o começo. Apenas lentamente um entendimento está sendo desenvolvido do que esse requerimento significa na prática e como ele pode ser sistematicamente satisfeito. A DP-3T, os conceitos relacionados e as suas implementações pela Apple e pelo Google podem ser vistos como uma das primeiras reais soluções de privacidade-por-design difundidas no sentido de que ela demonstra que, com uma atitude de privacidade em primeiro lugar, os requerimentos funcionais-chave de um software podem ser satisfeitos sem compromisso.

Contudo, isso nos fez compreender que nós ainda não estamos lá. O passo que nós demos aqui, a partir de ter um são corpo de lei de proteção de dados que, teoricamente, deveria proteger os usuários de instalarem um aplicativo para ter o aplicativo implementado como uma proteção de dados por design e tornar isso transparente em cada detalhe, não foi suficiente para ganhar a confiança do usuário.

Isso é particularmente digno de nota uma vez que a qualidade e profundidade da discussão tecnológica pública foi notável. Por exemplo, na Áustria, não apenas a Autoridade para Proteção de Dados, mas também a comunidade mais ampla de proteção de dados estiveram envolvidas no desenvolvimento do aplicativo desde muito cedo, e as ONGs nacional e internacional reconhecidas epicenter.works e NOYB e o centro de pesquisa SBA Research realizaram uma revisão técnica e legal e publicaram um relatório contendo uma lista de recomendações que foram imediatamente implementadas.⁷ A compreensão importante de que nós devemos participar ativamente no processo de dar forma à tecnologia se nós devemos exercer controle político sobre ela, pareceu subitamente ter tido efeito na sociedade civil e na comunidade científica. O Supervisor de Proteção de Dados Europeu declarou: “A discussão pública sobre funcionalidades (features) específicas de privacidade para um novo aplicativo, o qual estava apenas nas fases iniciais de desenvolvimento, foi um fenômeno completamente novo.”⁸

[294]Pelo menos a partir da perspectiva austríaca e alemã, parece que, embora especialistas e ativistas renomados e independentes dessem um bom veredito sobre o aplicativo e publicaram suas razões em detalhe, eles não foram capazes de mudar significativamente a opinião pública. É claro, é quase impossível verificar se o conceito superior foi implementado corretamente em cada detalhe, e bugs nunca podem ser excluídos. Também ainda há alguns argumentos factuais contra aplicativos de rastreamento de contato, tais como dúvidas sobre o cabimento (suitability) de bluetooth.⁹⁹ Contudo, muitas pessoas parecem continuar a recusar o aplicativo primariamente a partir de pressentimento relacionado à privacidade, mesmo se a privacidade do aplicativo já tenha sido testada por especialistas independentes e os resultados estão abertamente disponíveis em detalhe. Portanto, a questão surge, como nós, como especialistas em tecnologia, podemos substituir opiniões baseadas em pressentimento na população por opiniões dirigidas pela ciência e baseadas em fatos, diante da seguinte intuição: muitos mecanismos e medidas que tornam uma tecnologia mais segura ou menos intrusiva da privacidade são complicados. Tome-se a encriptação como o exemplo mais óbvio. Em muitos casos, o exato mesmo mecanismo que nos faz recomendar um software torna difícil explicar para o público geral porque nos podemos fazê-lo.

Infelizmente, esse efeito não pode ser simplesmente explicado pelas diferenças no nível de educação e perícia na sociedade, ou mesmo pela hostilidade crescente em relação à ciência. Dúvidas relativas ao aplicativo baseadas em pressentimento (gut feelings) sem argumentos substantivos tão foram disseminadas publicamente por pesquisadores de outras disciplinas assim como defensores de privacidade que não levaram a cabo uma análise minuciosa eles mesmos do aplicativo. Isso não é argumentar, de uma maneira brusca e perigosa, que qualquer um que tenha dúvidas sobre o aplicativo não tem ideia sobre ele, e, é claro, ceticismo sobre desenvolvimentos tecnológicos e sistemas específicos, em particular, sempre é apropriado. Mas se muita análise detalhada de privacidade baseada em métodos científicos está publicamente disponível, isso não pode ser ignorado na discussão pública. Se intelectuais e especialistas em disciplinas não técnicas escrevem ou falam publicamente sobre aspectos de privacidade de um sistema tecnológico tal como um aplicativo de rastreamento de contato, eles deveriam estar cientes da existência de evidência científica tão difundida e basear sua discussão nela, da mesma maneira que eles baseiam sua discussão no consenso amplo entre os epidemiologistas.

Isso não quer dizer que não quer dizer que a falta de uso difundido dos aplicativos de rastreamento de contato apenas possa ser atribuído a preocupações de privacidade factualmente infundadas. Outro grande problema dos aplicativos de rastreamento de contato é que, obviamente, o seu uso é uma experiência bastante passiva. O aplicativo não fazer nada reconhecível durante o uso normal, o que poderia levar o usuário a acreditar que ele não está funcionando.¹⁰ Mas, em qualquer caso, os especialistas não foram capazes de convencer um público amplo [295]de que, de fato, a abordagem descentralizada e os aplicativos baseados nela são inofensivos em termos de privacidade e proteção de dados. O Supervisor de Proteção de Dados Europeu conclui que: “A partir de todas as reações, parece que o maior inibidor para compreensão ampla e uso de aplicativos de rastreamento é a falta de confiança em sua confidencialidade.”¹¹

O mundo tornou-se tão complicado que uma ampla maioria não pode tomar decisões (democráticas) qualificadas relativas a um número crescente de domínios? Um caminho adiante é fortalecer a confiança em especialistas e na ciência. Mas, para ser honesto, nós temos de compreender que isso não pode suceder completamente na explicação de soluções de privacidade-por-design para um público mais amplo. Isso poderia estar relacionado ao fato de que a privacidade por design é uma maneira de tentar controlar a tecnologia com mais tecnologia. E isso, pelo menos, torna as coisas mais complicadas e, consequentemente, mais complicadas para explicar.

Claramente há domínios onde soluções digitais são conceitualmente completamente inapropriadas, e a solução baseada em papel satisfaz os requerimentos essenciais apropriadamente, por exemplo, uma votação secreta (secret ballot).¹² Mas o domínio de aplicativos de rastreamento de contato é um bom exemplo de onde a tecnologia possibilita uma solução adequada, ou seja, rastreamento e anonimidade ao mesmo tempo, o que é conceitualmente impossível alcançar com qualquer solução baseada em papel.

Em muitos outros domínios, nós poderíamos não sermos capazes de descobrir descobrir soluções de privacidade por design tão elegantes que satisfaçam todos os requerimentos funcionais como a DP-3T faz aqui. Como eu estou escrevendo essas linhas exatamente 1 ano depois que a Austrian Stopp Corona App foi lançada, outra “solução” baseada em aplicativo no contexto da pandemia está logo ali: o passe baseado em aplicativo “verde” para demonstrar o fato de estar testado, vacinado ou imune devido a uma infecção passada. Infelizmente, aqui o perfeito conceito de privacidade-por-design para a implementação de um sistema (ainda) não sugere a si mesmo. Ao mesmo tempo, esse é um domínio muito mais crucial do que o rastreamento de contato, porque as pessoas estarão sob pressão factual muito maior para usar um semelhante sistema se elas quiserem participar novamente da vida pública. Contudo, parece que sempre que o “passe verde (green pass)” é discutido, está muito mais claro do que estava há um ano que uma semelhante solução tem de satisfazer os padrões mais elevados em privacidade e proteção de dados.

Para concluir, eu considero que este é o legado positivo dos aplicativos rastreadores de contato no contexto do humanismo digital: nós podemos esperar que a privacidade aplicada por design tornar-se-á mais comum. Também, o debate público sobre privacidade e proteção de dados foi elevado a um novo nível. A humanidade precisa encontrar maneiras de ativamente dar forma ao progresso tecnológico para o bem maior, e, portanto, a sociedade civil e a comunidade científica têm de se envolverem como aconteceu aqui. Contudo, nós [296]também aprendemos que isso não é suficiente: como o desenvolvimento tecnológico está tornado o mundo mais difícil de ser entendido a cada dia, nós temos de encontrar maneiras de explicar a “boa” tecnologia para as pessoas, incluindo intelectuais e especialistas de outros campos, enquanto mantendo um ceticismo são e produtivo em relação ao desenvolvimento tecnológico que influencia nossas vidas.

Referências

Hötzendorfer, W. (2020) ‘Zum Verhältnis von Recht und Technik: Rechtsdurchsetzung durch Technikgestaltung’ in Hötzendorfer, W., Tschohl, C., Kummer, F. (eds.) International Trends in Legal Informatics, Festschrift for Erich Schweighofer. Bern: Editions Weblaw, 419 – 437.

Troncoso C. et al. (2020) ‘Decentralized Privacy-Preserving Proximity Tracing’, Whitepaper, DP-3T Consortium, 25 May. Disponível em: arXiv:2005.12273

Veale, M. (2020) ‘Privacy is not the problem with the Apple-Google contact-tracing toolkit’, The Guardian, 1 de julho. Disponível em: https://www.theguardian.com/commentisfree/2020/jul/01/apple-google-contact-tracing-app-tech-giant-digital-rights.

Próximo ensaio

ORIGINAL:

HÖTZENDORFER, W. Contact Tracing Apps: A Lesson in Societal Aspects of Technological Development. In: GHEZZI, C. et al. (eds.). Perspective on Digital Humanism. Springer Cham: 2022. p. 291-296. Disponível em: <https://link.springer.com/book/10.1007/978-3-030-86144-5>

TRADUÇÃO:

EderNB do Blog Mathesis

Licença: CC BY 4.0

1[292]Deve ser notado que a facilidade de implementação não apenas encurta o tempo para o mercado, mas ela também é uma importante funcionalidade de segurança. Quando mais complexo é um sistema, mas difícil é torná-lo seguro, e essa relação definitivamente não é linear.

2Por exemplo, uma solução baseada em bluetooth é tanto temporalmente quanto geograficamente mais precisa e mais amigável à privacidade do que uma solução baseada em GPS. Iria além do escopo explicar todas os detalhes aqui; ver Troncoso et al. (2020).

3Admitidamente, há muitos parâmetros adicionais, mas é aparente que esses três parâmetros são essenciais para colocar um aplicativo efetivo, legal e de confiança em campo tão rapidamente quanto possível.

4Ver https://github.com/DP-3T.

5Ver, por exemplo, Contact Tracing Joint Statement (disponível em https://www.esat.kuleuven.be/cosic/sites/contact-tracing-joint-statement/); CCC, “10 Prüfsteine für die Beurteilung von ‘Contact Tracing’-Apps” (disponível em https://www.ccc.de/de/updates/2020/contact-tracing-requirements); European Data Protection Board, “Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak” (disponível em https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042020-use-location-data-and-contact-tracing_en); Bayer et al., “Technical and Legal Review of the Stopp Corona App by the Austrian Red Cross” (disponível em https://epicenter.works/document/2497); e Neumann, “‘Corona-Apps’: Sinn und Unsinn von Tracking” (disponível em https://linus-neumann.de/2020/03/corona-apps-sinn-und-unsinn-von-tracking).

6https://covid19.apple.com/contacttracing

7[293]https://epicenter.works/document/2497

8https://edps.europa.eu/press-publications/press-news/blog/what-does-covid-19-reveal-about-our-privacy-engineering_en

9[294]Ver, por exemplo, Schneier, “Me on COVID-19 Contact Tracing Apps” (disponível em https://www.schneier.com/blog/archives/2020/05/me_on_covad-19_.html).

10Eu estou convencido de que o número de usuários ativos em aplicativos de rastreamento de contato poderia facilmente ter sido aumentado. Uma opção seria integrar outras funcionalidades dentro do aplicativo, tais como extensão da funcionalidade de rastreamento de contato por uma opção de check-in anônima (por exemplo, baseada em QR código) para reuniões, salas de reuniões, restaurantes e outros tipos de localizações. Há desenvolvimento nessa direção em alguns países. Outra opção seria uma loteria, ou seja, anunciar que um usuário aleatório por semana será informado por uma notificação (push) de que ele ganhou 1.000 ou que sejam 10.000 euros – uma medida bastante barata comparada com o custo da pandemia (cf. https://logbuch-netzpolitik.de/lnp385-fuempf-blockchains). [295]A experiência diz-me que fatalmente, para muitas pessoas, isso muito rapidamente varreria suas vagas preocupações com privacidade.

11https://edps.europa.eu/press-publications/press-news/blog/what-does-covid-19-reveal-about-our-privacy-engineering_en

12Entre várias razões isso é devido principalmente à falta de compreensibilidade de um processo de eleição digital que satisfaça os requerimentos de uma eleição secreta e segura. Portanto, a votação eletrônica sofreria enormemente sob o mesmo problema que é identificado como uma questão-chave nessa contribuição, a falta de confiança em soluções tecnológicas e nos especialistas que são capazes de as entender, é por isso que a votação eletrônica é particularmente digna de ser mencionada nesse contexto.