Seg. a Sexta-Feira: 9h00 às 12h30 | 13h30 às 17h00

Notícias

STAYAWAY COVID

Fonte: INESC-TEC

Rastreio digital de contactos

Precisamos de uma aplicação para deteção de potenciais exposições a pessoa com COVID-19?

Uma vez que não há ainda uma experiência consolidada com este tipo de aplicações, não existe uma resposta definitiva a esta questão.

As potenciais vantagens e desvantagens foram avaliadas por painéis científicos a nível internacional (ex. eHealthNetwork) que informaram os decisores políticos de vários países dentro e fora da União Europeia.

As decisões políticas tomadas na grande maioria dos países europeus vão no sentido de adotar este tipo de aplicações, tendo em conta os potenciais benefícios no controlo da pandemia.

Uma decisão neste sentido foi também tomada em Portugal, o que nos leva à próxima pergunta.

Porque foi escolhida a proposta do INESC TEC para a solução adotada por Portugal?

O sistema STAYAWAY COVID adota a solução preconizada pela iniciativa DP^3T, que se rege pelos princípios de proteção da privacidade individual defendidos por um vasto leque de investigadores internacionais, em abril de 2020.

O INESC TEC, desde março, participa na iniciativa DP^3T cuja solução proposta para o rastreio digital de contactos é hoje nuclear nos sistemas de praticamente todos os países europeus e na funcionalidade de “Exposure Notification” dos sistemas operativos móveis Android e iOS.

Enquanto Laboratório Associado do Estado e instituição de utilidade pública, faz parte da missão do INESC TEC contribuir ativamente com soluções para os desafios sociais e económicos do país e para a definição e prossecução de políticas públicas. Foi neste sentido que, para além do envolvimento dos seus investigadores no desenvolvimento do protocolo DP^3T, o INESC TEC assumiu o desenvolvimento de um sistema completo que pudesse ser implantado e operacionalizado como solução nacional de rastreio digital da COVID-19.

Assim surgiu o sistema STAYAWAY COVID, naturalmente assente no protocolo DP^3T, regendo-se pelos princípios de utilização voluntária, proteção da privacidade individual, e sem recolha de informação pessoal por parte das entidades que gerem o sistema.

Colocada a aplicação à disposição do governo português, foi decisão deste órgão de soberania a sua adoção nacional.

Ações a tomar pelos utilizadores

Bastará instalar a aplicação STAYAWAY COVID, disponível nas lojas de aplicações da Apple, para telemóveis com sistemas operativos iOS, e da Google, para telemóveis com sistemas operativos Android.

O que devo fazer se me for diagnosticada COVID-19?

Deve inserir na aplicação STAYAWAY COVID o código que acompanha a confirmação do seu diagnóstico, e que é válido por 24 horas. Só assim a aplicação terá a informação sobre a alteração do seu estado e poderá alertar quem esteve muito próximo de si. A sua identidade nunca será revelada.

Sou obrigado a inserir na aplicação o código que indica que fui diagnosticado com COVID-19?

Não. A inserção na aplicação STAYAWAY COVID do código que acompanha a confirmação do seu diagnóstico é voluntária, contudo é importante realçar que a sua contribuição anónima na luta contra a propagação deste vírus é valiosa para todos nós.

Funcionamento da aplicação

A aplicação não rastreia a localização do utilizador nem usa serviços de geolocalização. No entanto a aplicação indica que tenho de ativar o GPS para funcionar corretamente. Porquê?

A utilização das funcionalidades de “Exposure Notification” (EN) do sistema operativo não requer e não utiliza a interface de GPS. A solicitação feita pelo Android é incorreta e causa de preocupação em todas as aplicações que utilizam a EN. A Google está ciente do problema, mas, nas suas palavras, é “uma limitação do próprio sistema operativo”. O serviço Bluetooth de baixo consumo (BLE) está, no sistema operativo Android, ligado aos “Serviços de localização” pelo que estes têm de estar ligados para o utilizar.

A aplicação requer o Bluetooth sempre ligado? E acesso à Internet?

Sim, para estar ativa a aplicação precisa que o Bluetooth esteja ligado. Ainda assim, a aplicação usa Bluetooth de baixo consumo (BLE) que, como o nome indica, requer menos energia que o Bluetooth tradicional que utilizamos para ligar o telemóvel a altifalantes, auscultadores ou ao sistema de som dos automóveis.

A aplicação necessita periodicamente, uma vez por dia, de aceder a um servidor oficial e público do sistema (ver questão “Há dados que são disponibilizados online?” – secção “Segurança e privacidade dos dados”). Este acesso pode ser realizado por WiFi ou com dados móveis.

A partir do momento em que a aplicação tem a informação de que fui diagnosticado com COVID-19 deixa de monitorizar os meus contactos?

Sim. Finda a sua recuperação, retornando à vida normal, deve instalar de novo a aplicação STAYAWAY COVID para reiniciar o processo de monitorização.

Como é que a aplicação avalia a probabilidade de contágio?

A avaliação toma como base o conhecimento científico em cada momento e recomendado pelas autoridades de saúde. Atualmente, considera-se que a proximidade a menos de 2 metros e durante cerca de 15 minutos com uma pessoa portadora da doença potencia consideravelmente o contágio.
Havendo alterações nesta recomendação, a aplicação STAYAWAY COVID será ajustada de acordo.

Como sou informado de uma exposição de alto risco? Recebo um SMS, uma notificação?

Não, o alerta é feito localmente pela STAYAWAY COVID, ou seja, recebe na sua aplicação um alerta a informar que esteve em contacto com alguém a quem foi diagnosticada COVID-19.
Nenhuma entidade externa tem conhecimento da identidade do utilizador ou do seu telemóvel, pelo que não o poderá notificar, seja por SMS ou outro meio alternativo.
Além disso, nenhuma entidade externa possui a informação necessária, e que se encontra apenas no dispositivo do utilizador, para avaliar a sua probabilidade de contágio.

É necessário que 60% da população utilize a aplicação STAYAWAY COVID para que esta seja útil?

Não. A eficácia da aplicação STAYAWAY COVID é proporcional à sua utilização. Quanto mais pessoas utilizarem a aplicação, maior é a probabilidade de as pessoas portadoras da doença, mas ainda sem sintomas, serem rapidamente diagnosticadas.

Em que versões dos sistemas operativos Android e iOS é suportada a aplicação STAYAWAY COVID?

A aplicação STAYAWAY COVID foi desenvolvida exclusivamente para os sistemas operativos iOS, da Apple, e Android, da Google e depende especificamente da API de “Notificações de Exposição” das duas empresas. Por essa razão, a aplicação STAYAWAY COVID apenas é compatível com versões Android igual ou superior à versão 6.0 (Marshmallow) e iOS igual ou superior à versão 13.5.

Sempre que reinicio o meu telemóvel ou encerro as aplicações, a STAYAWAY COVID deixa de estar ativa?

Não. O comportamento esperado da aplicação é que esteja ativa sempre, mesmo tendo reiniciado o dispositivo. No entanto, é recomendada a abertura da aplicação para garantir que as notificações são recebidas atempadamente.

As notificações são enviadas mesmo quando a aplicação se encontra em segundo plano ou o telemóvel seja reiniciado. No entanto, o reiniciar do dispositivo pode, em alguns casos, não ativar o funcionamento em segundo plano da aplicação. Desta forma, recomendamos que o utilizador abra a aplicação após reiniciar o telemóvel, para garantir que a aplicação está ativa.

A aplicação é suportada em tablets?

Não, apenas em telemóveis.

Segurança e privacidade de dados

A aplicação requer ou acede aos meus dados de identificação?

Não. O sistema utiliza apenas números gerados aleatoriamente pela aplicação no telemóvel. O sistema não lhe solicita e desconhece qualquer dado pessoal constante no seu telemóvel, como sejam, nome, morada, números de identificação, endereços ou nome de utilizador de sistemas digitais, aplicações de redes sociais, entre outros.

A utilização da aplicação traz riscos à nossa privacidade?

Nenhum sistema informático é perfeito, pelo que a pergunta deverá talvez ser: de que forma a aplicação STAYAWAY COVID minimiza os riscos para a nossa privacidade?

A aplicação STAYAWAY COVID adota o protocolo DP^3T que, diferindo concetual e arquiteturalmente dos sistemas desenvolvidos e adotados fora da Europa, tem como objetivo preservar ao máximo a privacidade dos utilizadores e garantir-lhes o controlo sobre a sua informação pessoal.

A sua adoção em diversos países europeus como a Alemanha, Suíça, Itália, Irlanda, Dinamarca, e outros, dá-nos uma boa indicação de que, até este momento, não existem evidências de riscos significativos na sua adoção.

Adicionalmente, a operação do sistema STAYAWAY COVID segue as boas práticas adotadas pelos parceiros da iniciativa DP^3T, e acompanha de perto a evolução das soluções implementadas em outros países, estando a gestão de potenciais problemas de segurança e privacidade em linha com o que é feito a nível internacional.

Foi avaliado o impacto do tratamento dos dados sobre a sua proteção?

Sim, nos termos legais foi realizada uma AIPD que pode ser consultada aqui na sua versão atual.

Como posso ter a certeza que a aplicação não extravasa as funcionalidades descritas?

O sistema foi alvo de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD), revista regularmente, e submetida a consulta prévia da CNPD, cujas recomendações serão seguidas. Todo o código fonte desenvolvido foi auditado pelo Centro Nacional de Cibersegurança e encontra-se publicamente disponível.

Há dados que são disponibilizados online?

Sim. Quando diagnosticada com COVID-19, é solicitado à pessoa que, através da aplicação STAYAWAY COVID, disponibilize online, num servidor oficial e público do sistema – alojado na Imprensa Nacional Casa da Moeda – os identificadores aleatórios que difundiu nos últimos 14 dias. Estes dados são meros identificadores aleatórios sem qualquer afinidade com os telemóveis, nem os seus utilizadores.

Onde são guardados os dados produzidos pelo sistema?

Os únicos dados manipulados pelo sistema são os identificadores aleatórios gerados pelos telemóveis. Estes dados são guardados, por um período máximo de 14 dias nos telemóveis que, por estarem próximos, os recebem. Nenhum dado recebido pelo telemóvel sai, alguma vez, do telemóvel. Os dados recebidos, por conseguinte, não são armazenados em nenhum servidor ou base de dados. Os dados gerados, no caso de um diagnóstico positivo à COVID-19, poderão ser disponibilizados online, num servidor oficial e público do sistema, por, no máximo, 14 dias (pergunta anterior).

Os dados manipulados pelo sistema são anónimos?

O sistema foi desenhado para preservar o anonimato de quem o utiliza. Os dados difundidos e recebidos pelos telemóveis, e que eventualmente são publicitados online, são gerados aleatoriamente pela aplicação STAYAWAY COVID sem qualquer relação com os telemóveis nem os seus utilizadores.

Os dados, nos telemóveis e online, serão eliminados?

Sim. Os dados nos telemóveis são apagados pela própria aplicação STAYAWAY COVID, no máximo, ao fim de 14 dias e todos apagados quando a aplicação é desinstalada. Os dados online, de forma análoga, são removidos, no máximo, ao fim de 14 dias. Todo o sistema será descontinuado quando for declarado em Portugal o fim da pandemia.

Catorze dias correspondem ao tempo atualmente considerado pelas autoridades de saúde como o período máximo de incubação da doença. Este período determina alguns prazos no funcionamento da aplicação. Havendo alterações nesta recomendação, a aplicação será ajustada de acordo.

Posso ser identificado pelo uso da aplicação?

É extremamente improvável, mas possível, apesar de a aplicação STAYAWAY COVID obedecer aos mais elevados padrões de segurança e ter sido desenhada para o evitar.

A aplicação estabelece comunicações e transmite dados em duas ocasiões distintas e, em cada uma, podem ser exploradas formas maliciosas e ilegítimas de identificação do telemóvel ou do utilizador.

Sempre que o rastreio estiver ativado, a aplicação STAYAWAY COVID difunde números aleatórios que, sem qualquer outro contexto, são anónimos. No entanto, se maliciosamente for criado um contexto em que, a par da receção dos dados difundidos por uma aplicação não oficial, a identidade do telemóvel ou do utilizador é simultaneamente registada por outro qualquer meio ou dispositivo, então a associação entre os dados anónimos e o telemóvel ou o seu utilizador pode ser estabelecida.

A segunda ocasião é quando a aplicação STAYAWAY COVID contacta o servidor oficial e público para disponibilizar online os números aleatórios que difundiu nos últimos 14 dias. Como acontece em todos os sistemas informáticos atuais, as comunicações realizadas pela Internet deixam registos, quer nos operadores de rede, quer nos servidores, que, com base em informação adicional externa, podem ser utilizadas para identificar o dispositivo que efetuou a ligação. O servidor oficial estará instalado em Portugal, será operado por uma instituição oficial e segundo as melhores práticas de segurança e privacidade europeias.

Que tipo de processamento poderá ser realizado com os dados que são disponibilizados online?

O único processamento relevante é o que apenas pode ser realizado pela aplicação STAYAWAY COVID em cada telemóvel. Este processamento consiste no cruzamento destes dados online com os números aleatórios que o telemóvel de cada pessoa recebeu nos últimos 14 dias. Os dados online, como de resto todos os dados manipulados pela aplicação, são por si desprovidos de informação. Apenas o cruzamento com dados que residem exclusivamente nos telemóveis fornece a informação que todos desejamos.

Interoperabilidade e compatibilidade

A aplicação STAYAWAY COVID é compatível com as novas API de “contact tracing” da Apple e da Google?

Sim, a aplicação utiliza a API de “Exposure Notification” da Google e da Apple.

Esta aplicação funciona fora de Portugal?

A STAYAWAY COVID tem como objetivo a interoperabilidade com o maior número de iniciativas de rastreio digital da COVID-19, europeias e de fora da Europa. A sua conceção e desenvolvimento está a ser articulada com os diversos países europeus que estão a desenvolver aplicações semelhantes.

Desta forma, deverá ser possível o cruzamento dos dados recolhidos pela aplicação com aqueles disponibilizados online por qualquer um destes países.

A STAYAWAY COVID deve funcionar quando um residente em Portugal se desloca a outro país da Europa e vice-versa, ou seja, a aplicação instalada por qualquer europeu deve funcionar também em Portugal.

Relação da aplicação com a doença

O rastreio de contactos, com a aplicação STAYAWAY COVID, dispensará as outras medidas de distanciamento físico?

Não, de todo. Nenhuma medida de prevenção ou mitigação é totalmente eficaz. É a combinação de todas as precauções (medidas de higiene, etiqueta respiratória, assegurar o afastamento físico, entre outras) que nos permitirá diminuir a propagação da doença. Para tal, precisamos de reduzir a capacidade individual de “reprodução da doença”, isto é, o número de pessoas que em média contagiamos desde que nos tornamos infeciosos até recuperarmos da infeção.

Com a COVID-19, estima-se que estejamos infeciosos em média durante 10 dias. Em parte deste tempo podemos não ter quaisquer sintomas, mas 44% dos contágios ocorrem precisamente quanto ainda estamos assintomáticos. É precisamente neste período, e para reduzir estes 44%, que a utilização do rastreio digital com a aplicação STAYAWAY COVID é importante.

Fonte: INESC-TEC

Descarregue a aplicação STAYAWAY COVID