A tecnologia também se tem mexido para criar soluções e ajudar no combate à propagação da Covid-19, especialmente numa altura em que se tenta voltar a algum nível de normalidade. Uma das grandes preocupações que estão em cima da mesa passa pela forma como é detetada a rede de contactos de uma pessoa infetada com o novo coronavírus nos dias anteriores ao diagnóstico, uma vez que o seu desconhecimento pode aumentar o risco de novos focos de contágio.

Atualmente, este rastreio é feito pelas autoridades de saúde que, de forma manual e através da informação dada pela pessoa infetada, sabem quem esteve em contacto com quem testou positivo para a Covid-19 nas 48 horas antes do aparecimento de sintomas. Só que esta forma de atuação também traz dificuldades, como o facto de ser manual e exigir que o doente se lembre de todos os contactos.

Para ajudar a combater este problema, algumas startups, universidades e ainda gigantes tecnológicas estão a trabalhar em soluções de rastreamento digital de contactos, para que todos sejam automaticamente informados caso tenham tido contacto com alguém que testou positivo. Tudo através dos smartphones com a respetiva app instalada. Mas também aqui surgiram algumas questões: como é que isto tudo vai funcionar? A privacidade dos dados está assegurada?

Em Portugal há dois projetos que foram desenvolvidos para fazer este rastreamento de contactos, não estando ainda nenhum a funcionar no país: a CovidApp — uma solução elaborada pela startup portuense HypeLabs, que tem testado e implementado ao longo dos últimos cinco anos esta tecnologia de rastreamento e que já está a ser utilizada na Colômbia — e a StayAway, uma app desenvolvida pelo Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência (INESC TEC), com o apoio do Instituto de Saúde Pública da Universidade do Porto e que foi apresentada esta semana ao Governo, estimando-se que esteja disponível até ao final de maio.

Lá fora há também a solução que está a ser desenvolvida pela Google e pela Apple, que uniram esforços para criar um software de rastreamento digital, do qual já divulgaram uma primeira versão para análise de especialistas.

Como vai funcionar o software que a Apple e a Google estão a criar para diminuir o contágio por Covid-19?

Apesar de existirem algumas diferenças entre elas, as três soluções baseiam-se numa premissa: não funcionam por geolocalização (ou seja, pelo GPS do telemóvel) mas sim através da tecnologia Bluetooth, que está integrada em grande parte dos dispositivos móveis ou através de Wi-Fi em alguns casos. E a escolha tem um motivo: uma maior segurança dos dados — mas já lá vamos.

No caso da CovidApp, da HypeLabs, o sistema desenvolvido vai detetar a proximidade física entre smartphones (com a app instalada) através da troca de sinais Bluetooth ou Wi-Fi. Já na StayAway e no software desenvolvido pela Google e pela Apple tudo será feito utilizando apenas tecnologia Bluetooth.

Em todos os casos, as aplicações funcionam de forma semelhante: se dois dispositivos com a mesma app instalada estiverem a uma determinada distância um do outro e durante um determinado período de tempo, a tecnologia — Bluetooth ou Wi-Fi — vai detetar esse “encontro” e anota os códigos aleatórios gerados e trocados pelos dispositivos que estiveram em possível contacto, sem nunca saber onde é que cada dispositivo se encontra, uma vez que não utiliza a geolocalização. Há uma troca constante de identificadores que são recebidos e enviados.

Os registos destes encontros detetados entre dispositivos vão ficar armazenados no sistema durante 14 dias. A partir daí, a informação (os IDs aleatórios) é cruzada pelos telemóveis e se algum dos utilizadores teve contacto com alguém que testou positivo à Covid-19 há um “match” e são avisados da situação, sem nunca ser revelado quem é a pessoa que está infetada ou quando e onde se deu o contacto.

No caso da StayAway, por exemplo, os códigos aleatórios trocados e recolhidos pelos telemóveis são consultados diariamente pelos telemóveis que têm a app instalada. “A app, no próprio telemóvel, cruza esses identificadores anónimos com aqueles que viu nos últimos 14 dias e se houver uma coincidência então a app diz à pessoa”, explica ao Observador Rui Oliveira, membro da administração do INESC TEC.

No caso da StayAway, os códigos aleatórios trocados e recolhidos pelos telemóveis são consultados diariamente pelos telemóveis que têm a app instalada

Em todas as aplicações que foram desenvolvidas, o sistema de rastreamento foi desenvolvido para dispositivos Android e iOS. Ao Observador, os responsáveis da HypeLabs, que desenvolveu a CovidApp, explicam que, no caso da sua startup, isto é possível através da tecnologia de redes mesh, que é interoperável e permite também que a app corra “até em segundo plano ou mesmo se o smartphone estiver bloqueado”.

Uma das regras aplicadas em todas estas soluções, e que fazem também parte das regras definidas pela Comissão Europeia, é o facto de a instalação das apps ser voluntária e a introdução de informação sobre o estado de saúde de alguém (se está infetado ou não) partir também da vontade da própria pessoa que é diagnosticada com Covid-19.

Na CovidaApp, por exemplo, há duas formas de a informação sobre um determinado doente infetado ser introduzida, sendo que todas elas necessitam de consentimento do cidadão. Em primeiro lugar, o próprio cidadão, através da app, poderá ler um QR code que está associado ao portal da clínica/hospital no momento em que vai fazer o teste, ficando também ele associado a um teste em específico e, mais tarde, permitindo que o sistema associe o ID a um determinado resultado.

Covid-19. Como funciona a app portuguesa que pode rastrear contactos de forma “privada e anónima”

Ou, em segundo lugar, o utilizador também pode, no momento em que conhece o resultado de um teste, receber um código específico que depois insere na sua app, de forma a atualizar o estado e permitindo, assim, que o ID cruze a informação com outros IDs que tiveram contacto com ele.

Já na StayAway, uma pessoa que for confirmada como infetada com Covid-19 vai ter a hipótese de autorizar que sejam disponibilizados online, “com a legitimação das autoridades de saúde”, os identificadores anónimos que o seu telemóvel esteve a enviar nos últimos 14 dias. “Se alguém é diagnosticado com Covid-19, junto com essa informação que tem de diagnóstico, virá a possibilidade de ela própria na aplicação informar o sistema de que está infetado”, acrescenta Rui Oliveira.

“Com esta informação pública, a aplicação de cada pessoa pode facilmente avaliar autonomamente se nos dias anteriores esteve próximo da pessoa infetada”, refere o comunicado do projeto. Quer isto dizer que, para que haja qualquer tipo de alerta de contacto, tem de ser a pessoa infetada a dar autorização para partilhar essa informação.

No caso da Google e da Apple, também é o próprio utilizador que deverá inserir no software a informação de que está infetado com Covid-19. Só assim é que depois os outros dispositivos poderão ser informados.

Em qualquer uma destas soluções os utilizadores vão receber um alerta no smartphone caso tenha existido um encontro de IDs de uma pessoa infetada com Covid-19 e alguém que esteve em contacto com ela.

“Se alguém tiver testado positivo para a Covid-19, outros que estiveram em contacto próximo com essa pessoa serão alertados para fazer o teste ou iniciar imediatamente uma quarentena preventiva”, refere a HypeLabs sobre a CovidApp, acrescentando que estes alertas tratam-se de informações das autoridades competentes.

Na tecnologia desenvolvida por esta startup há também a possibilidade de criar “um canal de comunicação direto entre o utilizador e a autoridade competente, de forma a diariamente se fazer tracking de desenvolvimento de sintomas”, ainda que esta seja uma funcionalidade adicional que pode ou não ser implementada pela autoridade oficial, dependendo de governo para governo.

Já relativamente à StayAway, depois de a app estar instalada e na eventualidade de ter sido detetado um contacto com alguém infetado nas últimas duas semanas, os utilizadores recebem uma mensagem de aviso no ecrã que indica um risco de contágio e recomenda o contacto com as autoridades de saúde. Mas isto nunca acontece no momento em que o contacto com a pessoa infetada está a acontecer. “Só posteriormente é que terão a capacidade de recolher informação que é disponibilizada online, legitimada por um médico, e de fazer um cruzamento e saber se nos dias anteriores cruzaram-se com alguém que, entretanto, veio a ser diagnosticado”, esclarece ao Observador Rui Oliveira.

Aplicação que segue o rasto da Covid-19 precisa da adesão de metade da população

No caso do software da Google e da Apple, o objetivo é que o utilizador receba uma mensagem no telemóvel com uma mensagem semelhante a esta: “Esteve recentemente em contacto com alguém que testou positivo à Covid-19. Clique para mais informações”.

Em nenhuma das três aplicações abordadas são incluídos dados pessoais de qualquer utilizador, como o nome, a idade e a própria localização. A ideia é que tudo funcione através de códigos: IDs aleatórios, anónimos gerados pelos telemóveis e que não fiquem em qualquer base de dados, mas sim apenas no telemóvel da cada indivíduo, durante os 14 dias em que os contactos são rastreados.

A Google e a Apple, por exemplo, garantem que “não são recolhidas informações de identificação pessoal ou dados de localização do utilizador” e também que “as pessoas que testam positivo não são identificadas por outros utilizadores, pela Google ou pela Apple”. O objetivo das duas empresas é que existam IDs anónimos que mudam de 15 em 15 minutos, mas que sirvam para criar uma rede de contactos anónima e descentralizada.

No caso da CovidApp, Carlos Lei, cofundador e presidente da HypeLabs, assegura que “nunca ninguém verá informações privadas dos utilizadores”. “Apenas o ID exclusivo do dispositivo é visível para as autoridades governamentais”, acrescenta. No site do software, é indicado que este ID do dispositivo “é um número aleatório e diferente do número do telemóvel dos utilizadores”. Também no contacto que possa haver com qualquer clínica, volta a garantir a startup, “o paciente é apenas tratado com ID anónimo, nunca envolvendo dados pessoais”.

O software utiliza IDs aleatórios, anónimos e que não exigem qualquer base de dados ou informação pessoal de qualquer indivíduo

Também na StayAway não será pedido qualquer tipo de informação ao utilizador, uma vez que é o próprio telemóvel que vai criar códigos aleatórios de 15 em 15 minutos e que vai identificar o dispositivo no cruzamento de contactos.

Em todos os casos, os dados ficam apenas e unicamente armazenados no telemóvel de cada utilizador. Na StayAway, refere Rui Oliveira, não existe qualquer tipo de base de dados, sendo que “a informação gerada pelos telemóveis e recolhida por eles nunca sai dos telemóveis das pessoas“, nem mesmo para a Direção-Geral da Saúde. “Não há aqui nenhuma entidade terceira que tem acesso a esta informação de cruzamento”, acrescenta. A Google e Apple também utilizam a mesma estratégia, sublinhando que “a lista de pessoas em contacto nunca sai do telefone”.

“Todos os dados de tracing ficam armazenados no telemóvel do utilizador”, refere também a HypeLabs em resposta ao Observador. Há um servidor central, mas que “serve apenas para definir comunicações e alertas pré-definidos e também para receber dados puramente estatísticos, de forma a permitir às autoridades competentes ter dados úteis para a implementação de medidas: número de infetados, número de contactos de primeiro grau com pessoas infetadas, número de contactos em segundo grau, e ferramentas analíticas para o tratamento desses mesmos dados”.

Ao Observador, a Comissão Nacional de Proteção de Dados (CNPD) afirma que não houve nenhum pedido sobre a utilização de Bluetooth ou Wi-Fi neste tipo de apps. Quanto ao uso destas tecnologias, a CNPD refere que segue a diretriz n.º 4/2020, sobre a utilização de dados de localização e ferramentas de contact tracing no contexto do surto de COVID-19 do Comité Europeu para a Proteção de Dados (CEPD). Em suma, não há oposição, mas é preciso cumprir regras. E há um ponto claro: o uso tem de ser sempre voluntário (ou seja, não se pode impor ao cidadãos) e os dados recolhidos têm de ser mesmo anónimos.

O CEPD sublinha que não se deve escolher entre uma resposta eficaz à atual crise e a proteção dos nossos direitos fundamentais: podemos alcançar ambos e, além disso, os princípios de proteção de dados podem desempenhar um papel muito importante na luta contra o vírus”, diz a CEPD.

Neste documento, que foi publicado a 21 de abril, são explanadas as situações em que se pode utilizar e recolher informação com este tipo de apps. Um dos pontos de conclusão é que, atualmente, já existe um quadro legal que “permite a utilização de dados anónimos ou pessoais para apoiar as autoridades públicas e outros intervenientes a nível nacional e da UE na monitorização e na disseminação do novo coronavírus”, permitindo estas apps.

A afirmação vai ao encontro do que explicou ao Observador Martim Bouza Serrano, advogado, especialista em proteção de dados e sócio na CCA. “Regra geral não há necessidade de pedido de autorização” à CNPD para a criação destes dados, isto porque desde que surgiu o RGPD (Regulamento sobre a Proteção de Dados) a responsabilidade no tratamento dos dados é das entidades. Como explica, são criadores destas apps que têm de seguir as normas vigentes. Tratando-se principalmente de “dados anónimos”, utilizando-se a tecnologia Bluetooth, não se colocam muitas dúvidas, explica ainda o jurista.

Contudo, afirma que é necessário que exista “uma entidade de saúde que valide os dados” para a eficácia destes sistemas e que possa salvaguardar qualquer informação que possa ser “entendida como dado pessoal”. Ou seja, que alguém evite que se possa deturpar a informação da app, como o próprio software.

Além disso, tratando-se de dados de saúde, o jurista explica que tem sempre de “haver consentimento explícito” sobre de cada forma os dados são utilizados. Isto significa que na app terá de constar um pedido de autorização para cada situação, não basta a instalação. “Estou curioso para saber como vai ser esta implementação, não bastará apenas aceitar termos e condições”, assume, mesmo que se trate de dados agregados verdadeiramente anónimos, como teoricamente são através de Bluetooth.

Resposta curta: a Comissão Europeia não se opõe, e até incentiva, o uso da tecnologia Bluetooth nestas apps pela “exatidão” na recolha de dados que podem proporcionar e por, em teoria, poderem permitir o anonimato dos dados, como se lê numa comunicação deste órgão.

Resposta mais longa: como os assuntos europeus tendem a ser, esta já é mais complicada. A Comissão defende o mesmo que o CEPD defende, como revelou na nota a 16 de abril. Ou seja, a instalação deste tipo de apps tem de ser voluntária e a eliminação dos dados tem de ocorrer logo que se tornem desnecessárias. Em suma, pode haver apps se cumprirem as normas vigentes. Contudo, normas à parte, há divergências sobre a forma para fazer isto.

A Comissão refere que é necessário haver “interoperabilidade em toda a UE, para que os cidadãos também sejam protegidos além-fronteiras”. Ou seja, incentiva (não é uma obrigação) a que exista um tratamento a nível europeu da informação. Este ponto ainda não é certo porque levanta questões de segurança e salvaguarda da privacidade. A tecnologia Bluetooth permite, teoricamente, que o processamento dos dados seja só feito entre aparelhos, numa visão descentralizada. No caso alemão, a título de exemplo, como avançou a Reuters, esta visão, que é a disponibilizada pela Google e a Apple, é a que poderá ser tomada. Isto faz com que não exista este teórico servidor central para tratamento de dados europeus. Se os dados forem comprometidos as consequências são imprevisíveis.

Divergências de parte, que ainda não estão decididas a nível europeu, a Comissão refere também um ponto importante que não se pode esquecer no uso desta medida: “Embora a via digital permita um rastreio mais fácil, mais rápido e mais eficiente do que os sistemas tradicionais baseados em entrevistas com os doentes infetados, o rastreio ‘manual’ continuará a cobrir os cidadãos presumivelmente mais vulneráveis à infeção, mas que mais dificilmente terão um telemóvel inteligente [smarphone], como os idosos e pessoas com deficiências”.

Tanto a HypeLabs, com a CovidApp, como a StayAway garante o cumprimento das normas europeias.

É a maior preocupação de quem discute a utilização destas aplicações no combate à propagação da Covid-19. E foi também a pensar nisso que a Comissão Europeia defendeu que a utilização de dados de localização em aplicações móveis de rastreamento “viola” as regras comunitárias, aconselhando antes o recurso às redes Bluetooth.

Isto porque o Bluetooth é uma solução tecnológica que salvaguarda a privacidade, visto que permite a conexão e a troca de informações entre dispositivos através de uma frequência de rádio de curta distância que é mais segura do que, por exemplo, os serviços de geolocalização.

Como as aplicações não pedem qualquer dado pessoal nem têm uma base de dados específica, a única informação que existe são os ID (ou códigos) anónimos que estão constantemente a ser gerados nas apps. Essa é, para os responsáveis da StayAway, a grande vantagem no que diz respeito à privacidade e ao anonimato, evitando também a possibilidade de alguém ter acesso a um número específico associado a um determinado telemóvel e, assim, chegar à identidade da pessoa.

No caso da CovidApp, como faz parte da tecnologia proprietária e patenteada da HypeLabs, assegura a empresa, há também “uma maior proteção nas ligações entre dispositivos, introduzindo mecanismos que impossibilitam ataques às redes e ligações entre telemóveis, ou ataques “man-in-the-middle [forma de ataque em que os dados trocados entre duas partes são intercetados]”.

Como a tecnologia desta startup do Porto pode ser integrada em qualquer app e sistema que esteja a ser desenvolvido pelos governos, a empresa também dá um conselho aos governos para que a segurança seja ainda maior: “De forma preventiva, a HypeLabs sugere aos governos a implementação de uma arquitetura descentralizada do sistema, onde os dados são guardados no telemóvel e nunca partilhados com um servidor central“.

No caso da StayAway, refere Rui Oliveira, “são os potenciais contagiados que se dirigem ao Serviço Nacional de Saúde [SNS] com a informação de que estão em risco potencial de um contágio”, uma vez que a app os alertou para um contacto. A partir daí tudo é feito como a atuação normal: as autoridades de saúde vão depois manter o contacto e vigilância dessas pessoas e fornecer as recomendações necessárias.

“Neste caso, são os potenciais contagiados que se dirigem ao SNS com esta informação e não aquele rastreio que atualmente é feito de contacto pelo SNS de todas as pessoas que eventualmente se terão cruzado com a pessoa infetada”, acrescenta um dos responsáveis pela StayAway.

Os responsáveis da CovidApp explicam também que “a aplicação não está preparada para ‘controlar’ a pessoa” nesse sentido, uma vez que está desenhada apenas para enviar alertas automáticos. “Faz parte das nossas crenças que tal ‘controlo’ poderá mesmo abrir uma porta para invasão de privacidade”, alerta a empresa em resposta ao Observador.

No entanto, e como a app desenvolvida pela HypeLabs tem também um portal para as clínicas, há “formas de controlar estes procedimentos de formas menos evasivas”. Como? “Ao receber a recomendação de que o utilizador necessita de realizar um teste é gerado um código único e privado para esse mesmo teste. Ao chegar à clínica/hospital, e apresentado esse código, é possível saber se o utilizador seguiu ou não essa mesma recomendação. Caso esse ID privado passe dias sem ser registado no portal da clínica, a app tem a possibilidade de continuar a enviar alertas ao utilizador e recomendações a tomar”.

Mas, volta a alertar a empresa, “a app não permite, no entanto, saber quem é o indivíduo, a localização do mesmo, ou obter informação pessoal sobre o mesmo. Esta é uma ferramenta de dever cívico e nunca poderá ser utilizada como ferramenta de controlo”.

Para já, ainda não há nenhuma decisão oficialmente anunciada sobre a app que o Governo poderá recomendar. Mas sabe-se que há essa intenção. O secretário de Estado para a Transição Digital referiu, em entrevista ao Observador, que esta é uma discussão que já está a a acontecer e que “muito brevemente” haverá novidades.

A aplicação em causa, refere André de Aragão Azevedo, será “voluntária”, tal como a Europa já tinha definido.

“Estamos a trabalhar com o Ministério da Ciência, com a comunidade de programadores nacionais no sentido de avaliar as várias aplicações que já estão disponíveis, muitas delas inspiradas em modelos externos com adaptações àquilo que é o quadro europeu e nacional. E diria que vamos ter novidades muito em breve, com a certeza de que serão muito relevantes nesta fase em que vamos entrar, de abertura da nossa economia outra vez à sua fase de normalidade e para a qual é essencial, mesmo do ponto de vista de confiança — quer dos cidadãos quer dos outros países, quando se começar a pensar em abrir fronteiras —, que haja de facto alguma capacidade de monitorização da doença ao nível nacional”, referiu o secretário de Estado.

A StayAway foi apresentada na segunda-feira ao Ministério da Ciência e Tecnologia, mas ainda não foi divulgada qualquer decisão sobre se será esta a solução a utilizar pelo Governo. O Observador tentou obter mais informações junto da tutela, para saber se já existia uma decisão e quando é que seria anunciada, mas não obteve resposta até ao momento da publicação deste explicador.

Tal como as apps são instaladas de forma voluntária, também a sua desinstalação pode ser feita a qualquer momento. No caso da CovidApp, o utilizador pode desinstalar a app e, quando isso acontece, “todos os dados associados são eliminados (pois vivem dentro do telemóvel) e o dispositivo deixa de ser capaz de realizar contact tracing“, garante a empresa.

O mesmo acontece com a StayAway: a app pode ser desinstalada a qualquer momento e, a partir do momento em que isso acontece, tudo o que estava nela é também apagado. Há também outro fator a ter em conta: para que ao objetivo da app seja eficaz é necessário que seja instalada por pelo menos 60% de utilizadores de smartphones em Portugal, estima INESC TEC.

Uma app de rastreamento de contactos não é uma novidade só em Portugal. Há vários países, incluindo na Europa, que já adotaram esta solução, ainda que com níveis de privacidade dos dados bastante diferentes.

Olhando o cenário europeu, é na Polónia que se encontra o primeiro exemplo e também o que se afasta mais do que poderá ser pensado para Portugal: o governo desenvolveu uma aplicação obrigatória para quem está em quarentena por ter contactado com pessoas infetadas ou ter regressado do estrangeiro. Nesta app, os utilizadores são obrigados a enviar uma fotografia sua durante todos os 14 dias de quarentena, no local que foi indicado às autoridades, para provar que estão a cumprir. E têm 20 minutos para o fazer depois de receber uma notificação. Caso isso não aconteça, a polícia pode ir ao local e pode haver multas.

No Reino Unido, o governo está a desenvolver uma aplicação para controlar a pandemia de Covid-19 após o fim do confinamento vai estar pronta dentro de duas a três semanas. Também vai usar o bluetooth para registar anonimamente os utilizadores que estiverem em contacto próximo, mantendo os dados nos telemóveis.

Na República Checa foi criada uma app que utiliza os dados de localização das operadoras para criar uma espécie de mapa dos locais onde alguém passou tempo nos últimos cinco dias. Tudo para que as autoridades consigam fazer um melhor rastreio dos contactos de alguém que foi infetado.

Também na Noruega já existe uma aplicação deste género. A “Smittestopp” utiliza tecnologia de Bluetooth e geolocalização para enviar uma mensagem a quem esteve a dois metros de alguém infetado com Covid-19 e pelo menos durante 15 minutos.

Na Áustria há aplicações que utilizam o Bluetooth para fazer este rastreio e na França a hipótese está a ser pensada. No caso da Austrália também já há apps deste tipo, mas é pedida informação pessoal como o nome, o número de telemóvel e o código postal, gerando depois um código único que será usado pelas autoridades de saúde caso seja necessário.

Singapura lançou, no final de março, a primeira aplicação governamental que permite fazer o rastreio dos contactos com pessoas infetadas através de tecnologia Bluetooth: a “TraceTogether”. Apesar de funcionar de forma semelhante às aplicações que foram abordadas — uma vez que envia uma notificação a quem esteve em contacto com uma pessoa infetada –,  há uma diferença: Singapura coloca online a informação sobre cada doente com Covid-19, incluindo a idade o local de trabalho e o sítio onde se encontra em isolamento.

Também na China é feito um rastreamento de contactos através da tecnologia, mas com menos privacidade. Neste caso, as autoridades atribuíram a cada cidadão um código QR que tem de ser lido em diversos locais públicos e identifica três tipos de situações através de cores: verde significa que a pessoa não precisa de estar em isolamento, amarelo indica a necessidade de isolamento durante sete dias e o vermelho obriga a 14 dias de isolamento.

No caso da Coreia do Sul, foi criada uma aplicação que permite que um utilizador seja informado se estivr perto de uma pessoa infetada com Covid-19. É feita ainda a divulgação de dados do doente, bem como o seu histórico de localização.