Contact tracing em 5 perguntas e respostas

Contact tracing em 5 perguntas e respostas

18/05/2020 1 Por Rui Andrade

O coronavírus e as suas consequências são, indubitavelmente, tópicos incontornáveis de 2020. Uma pandemia que se espalhou rapidamente pelo mundo, contagiando e matando centenas de milhares de pessoas, não pode ser levada de ânimo leve.

O papel da tecnologia contra o COVID-19

A tecnologia tenta, de várias formas, mitigar os efeitos desta calamidade. Por exemplo, em Portugal temos projectos como o #tech4COVID19, que juntou milhares de voluntários para desenvolver soluções colaborativas, angariações de fundos e até mesmo possibilitar vídeoconsultas. Surgiu, também, o Project Open Air, liderado pelo português João Nascimento que, com colaboradores de todo o mundo, conseguiu projectar um ventilador de código aberto, facilmente replicável por qualquer um.

Entre todos os esforços, um dos mais badalados tem sido o trabalho conjunto da Apple e da Google na criação de uma plataforma para contact tracing (em português, rastreamento pelo contacto). Em termos gerais, a plataforma permitirá saber, de forma anónima, se esteve, ou não, em contacto próximo com alguém que tenha testado positivo para COVID-19. São vários os motivos que geram discussão em torno desta abordagem, mas sublinhamos três que vamos tentar descodificar neste artigo.

  • A surpresa por ver a Apple e a Google a trabalhar juntas
  • Preocupações com a privacidade e com a segurança dos dados
  • Eficácia deste tipo de abordagens de rastreamento

O que é o contact tracing, mesmo?

Como referido anteriormente, o contact tracing permite saber se estivemos em contacto com alguém que tenha contraído COVID-19. Nesta implementação feita pela Apple e pela Google, o sistema funciona de forma automática e anónima, com o processamento dos dados a ocorrer nos próprios dispositivos para evitar algumas questões relacionadas com privacidade.

Um exemplo do contact tracing em acção

Tomemos, como exemplo, duas pessoas, chamadas Alice e Bob. Ambos têm smartphones, e não é importante se são iPhones ou telemóveis com Android. Alice e Bob seguem em viagem num qualquer transporte público, partilhando o mesmo local durante algum período de tempo.

Como ambos aderiram ao contact tracing, os seus equipamentos estão constantemente a gerar chaves aleatórias que os representam – mas que não os identificam. Estas chaves são renovadas regularmente, podendo ser tão depressa como de cinco em cinco minutos, e ficam armazenadas no telemóvel – apenas são partilhadas se os utilizadores testarem positivo para o COVID-19, e se optarem por informar disso mesmo. Os seus equipamentos anunciam as chaves novas sempre que as criam, e registam todas as chaves alheias que captam por Bluetooth.

Mais tarde, ambos regressam a casa e transferem automaticamente uma lista de chaves de pessoas que testaram positivo para o COVID-19. O telemóvel compara as chaves que recolheu durante o dia com as chaves que acaba de transferir, e, havendo alguma correspondência, emite um aviso de que houve proximidade com alguém com COVID-19 – sem saber quem, porque as chaves não o permitem deduzir – e aconselha à realização de um teste.

Vamos, agora, assumir que Alice e Bob partilham aquele transporte público diariamente, como parte das suas rotinas. Certo dia, Bob não se sente tão bem, mas desvaloriza e segue na viagem de sempre. No dia seguinte, sente-se pior e faz o teste ao COVID-19, que dá positivo. Imediatamente acede ao sistema de contact tracing e informa disso mesmo, sendo a informação validada pela autoridade de saúde responsável. Ao fazer isto, as chaves que Bob gerou – não as que recolheu – são carregadas para o sistema central, que as vai difundir para quem utiliza o contact tracing na mesma região.

Alice, acabada de regressar a casa, recebe um alerta no seu telemóvel – esteve perto de alguém que tem COVID-19. Não sabe que é Bob, porque só as suas chaves foram carregadas para o sistema central, sem identificação. A validação de que Alice esteve na proximidade de Bob ocorre totalmente no seu telemóvel, e o sistema central não sabe que essa correspondência surgiu.

O que é que o contact tracing traz de novo?

Já há várias plataformas independentes para tentar entender a disseminação do vírus por regiões, mas todas sofrem de algum (ou vários) dos seguintes problemas:

  • Falta de validação dos dados – não dá para garantir que alguém que diz ter COVID-19 tem, mesmo, COVID-19
  • Falta de garantias quanto à privacidade ou à segurança
  • Falta de dados – sendo esforços individuais desligados das autoridades de saúde, poucas pessoas têm conhecimento ou vontade de aderir
  • Impossibilidade de saber automaticamente se contactamos com alguém com COVID-19

Tratando-se de um esforço conjunto da Apple e da Google, é fácil colmatar o terceiro problema: basta integrar o sistema de contact tracing no próprio sistema operativo, ou permitir que as autoridades de saúde o integrem em soluções próprias. Ambas as possibilidades estão planeadas. Como os departamentos sanitários poderão fazer uso deste sistema, resolvemos também o primeiro problema.

Pela natureza do sistema, também resolvemos o quarto problema: os equipamentos anunciam-se automaticamente aos telemóveis próximos, tomam nota dos seus identificadores, e comparam-nos automaticamente contra uma lista validada de quem contraiu COVID-19. Ou seja, basta o utilizador revelar que tem COVID-19, ter essa informação confirmada pela autoridade de saúde relevante, e os restantes saberão que estiveram perto de um infectado.

Falta apenas atacar um problema, e é o mais delicado e complexo – o da privacidade e segurança.

Como é que o contact tracing respeita o meu direito à privacidade?

E se eu não quiser aderir ao contact tracing, ou não quiser informar que testei positivo para COVID-19? Basta não fazer nada, porque o contact tracing é uma solução opt-in, ou seja, é preciso aderir explicitamente à mesma.

Tudo certo, mas como é que as pessoas sabem que estiveram perto de um infectado, sem saberem quem ele é? Mais uma vez, basta olhar para a natureza do sistema – as chaves geradas por cada um ficam localmente armazenadas até um infectado as decidir partilhar, e nesse momento, a única informação que é partilhada é apenas a lista de chaves criadas – sem qualquer identificador que as associe à pessoa que as gerou. As listas de chaves dos infectados são transferidas por toda a gente, e são comparadas localmente com as chaves que os telemóveis encontraram durante o dia. Como as chaves recolhidas também não têm qualquer identificador, conseguimos encontrar correspondências sem saber quem é responsável por elas.

E como é que eu sei que as chaves não dão para deduzir de onde é que vieram? Porque as chaves geradas têm uma validade curta, sendo constantemente substituídas por novas. E quando falamos em curta, é de poucos minutos. Se o telemóvel se anunciasse sempre com a mesma chave, seria possível perceber a quem pertence – como não é esse o caso, elimina-se essa possibilidade.

Então e a tal lista central, é gerida pelos privados Apple e Google, que já fazem o que querem com os meus dados? Não. A lista central é gerida pela autoridade de saúde relevante, uma vez que só esta é que pode validar se alguém que se diz infectado, está realmente infectado. Desta forma, os privados deram a solução, e o público pode controlá-la de forma segura.

E conseguem fazer isto tudo sem a minha localização? Sim. Não é preciso saber onde alguém esteve para saber com quem esteve. Contudo, poderíamos argumentar que é possível saber onde alguém esteve sabendo com quem esteve, mas recorde-se que o cruzamento de dados é feito localmente – desta forma, a lista central não sabe com quem andamos nem onde andamos. Mais ainda, a Apple e a Google negam expressamente o acesso a esta plataforma por parte de aplicações que utilizem a localização do utilizador. Corta-se o mal pela raíz.

Porque é que a Apple e a Google decidiram desenvolver isto?

É uma excelente questão – temos dois rivais tecnológicos aliados numa solução conjunta, e não é todos os dias que vemos isso.

O esforço começou numa discussão organizada por membros do Parlamento Europeu, focados em ponderar as vantagens e desvantagens de modelos centralizados ou descentralizados para contact tracing. Representantes da Apple e da Google concordaram que a melhor forma de lidar com as questões da privacidade era a de descentralizar o processo pelo qual identificamos o risco de infecção. Concordaram, também, na ideia de utilizar identificadores anónimos que fossem constantemente renovados – algo fulcral para manter a privacidade de todos, infectados ou não. E, no rescaldo da tal discussão, ambas as empresas já estavam a desenvolver as suas soluções, de forma independente.

A ligação entre a Apple e a Google surge depois, ao mais alto nível. Dave Burke, vice-presidente da equipa do Android, entrou em contacto com Myoung Cha, responsável pelo business da divisão que trata dos sistemas relacionados com saúde na Apple. Myoung Cha trabalha directamente com Jeff Williams, COO da Apple, que contacta com Tim Cook, chefe-máximo da empresa da maçã. Tim Cook aceita reunir com Sundar Pichai, CEO da Alphabet (que detêm a Google), e os detalhes são resolvidos antes do anúncio oficial a 10 de abril. A CNBC tem mais detalhes sobre como se deu exactamente a sinergia entre ambas as empresas.

O que há de errado com o contact tracing?

O contact tracing não é a solução para todos os males, nem quer ser. Dave Burke resume bem o objectivo desta abordagem, dizendo que “queremos fornecer algo para acelerar o desenvolvimento de aplicações, e não queremos obrigar ninguém a usar isto como solução”. Ou seja, há potencial, mas não é obrigatório – nem deve ser, se a Apple e a Google forem sérias no que concerne a privacidade – e tem de ser adoptado por quem de direito, nomeadamente as autoridades, para poder ser eficaz.

No entanto, há limitações inerentes ao próprio sistema, e também é preciso reflectir sobre elas.

Primeiro, temos de ter um smartphone para poder participar nisto – excluem-se as pessoas que não os têm, as pessoas que não os querem ter e as pessoas que não os sabem utilizar.

Depois, em termos de sistema em si, é possível haver falsos positivos: imaginemos que estamos num supermercado e alguém que irá ser diagnosticado com COVID-19 está num corredor ao lado do nosso. Não estamos em contacto com essa pessoa, existindo até uma barreira física, mas as chaves dessa pessoa poderão ser sinalizadas pelo nosso equipamento – erradamente. É preciso haver uma definição rigorosa do que é “contacto” – em termos de duração e distância, pelo menos, e mesmo isso pode não chegar para eliminar todas as correspondências incorrectas.

Por fim, haverá sempre uma desconfiança que as tecnológicas – especialmente a Google, neste caso – fizeram por merecer, em relação ao tratamento de dados. Mas quase todas as dúvidas nesse sentido serão desnecessárias, como já deu para perceber.

Todas as considerações deste artigo podem ser validadas nas páginas da Apple e da Google, ou de forma resumida nesta FAQ. Uma versão de teste da plataforma de contact tracing foi disponibilizada recentemente a algumas direcções de saúde, e espera-se que uma versão pública surja até ao fim deste mês.

Se gostou deste artigo, pode acompanhar o TechFive no Google News aqui. Dúvidas ou sugestões? techfive@techfive.pt