Apesar de aparentemente tudo na tecnologia ser simples, esta aparência esconde um manancial de nuances onde se adensa a sua complexidade, nomeadamente sobre o que fazem em concreto os sistemas que são programados – é neste ponto que emerge a importância do código aberto (open source) e da documentação dos sistemas. São estas estratégias de transparência que permitem aos utilizadores ou participantes nas iniciativas ter acesso ao código e aos documentos necessários a compreendê-lo, e que ajudam a garantir que os direitos dos utilizadores são respeitados e o objectivo da aplicação é cumprido sem ter, por assim dizer, efeitos secundários.
https://twitter.com/marcelsalathe/status/1248898098144972800
Ora, se foi com a promessa de se focar na preservação da privacidade que o Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) surgiu, como mencionámos neste artigo, parece que a sua acção não está a cumprir com o enunciado, o que levou ao afastamento de alguns dos que inicialmente corroboravam a iniciativa. O PEPP-PT propunha-se a funcionar como standard para que, de forma descentralizada, fossem criadas várias aplicações que pudessem ajudar as autoridades de saúde a monitorizar os telemóveis das populações de uma forma que protegesse a privacidade dos utilizadores e permitisse acompanhar as cadeias de transmissão do Covid-19. Contudo, a sua gestão nos últimos dias foi motivo de crítica e polémica e um dos principais projectos que surgira sob a sua alçada, o Decentralized Privacy-Preserving Proximity Tracing (D3PT), acabou por ser removido do site e se dissociar do projecto, bem como Marcel Salathé, um professor da Universidade de Lausanne (EFPL) e um dos que dava publicamente a cara por este projecto. Tudo isto acontece ao mesmo que tempo que a decisão do governo alemão que anunciara que optará por usar os resultados desse mesmo projecto.
https://twitter.com/marcelsalathe/status/1251045211767296002
Como causa de todo este volteface está o tal projecto de que falámos no parágrafo anterior. O DP3T foi proposto ao Consórcio de Gestão do PEPP-PT como forma de garantir que a informação recolhida, para além de ser anonimizada, seria descentralizada, impedindo a concentração dos dados dos utilizadores numa só base de dados, e chegou a figurar no site do PEPP-PT como um standard adoptado. Depois, e segundo consta sem qualquer aviso, desapareceram todas as referências a esta proposta nas plataformas da PEPP-PT e começaram a surgir as vozes dissidentes do projecto reiterando que fora quebrada a promessa de transparência que caracteriza o projecto à partida e que deixou de haver uma noção exacta do que estava a ser desenvolvido. Ouvido pela CoinDesk, Kenneth Paterson, do Departamento de Criptografia Aplicada do Instituto Federal de Tecnologia de Zurique (ETH Zurich), é um dos nomes desta contestação, criticando o facto de o sistema estar fechado tanto ao público como a especialistas externos que possam garantir a sua segurança, anunciando que estas bases podem conduzir perigosamente para um abuso da aplicação ou dos dados por ela gerada por parte dos governos.
Entretanto, o desenvolvimento da DP3T continua e parece que é na sua direção que se viram os anteriores entusiastas do PEPP-PT. Carmela Troncoso, investigadora espanhola, é uma das responsáveis por este projecto e tem activamente partilhado os seus avanços no Twitter. As diferenças entre as iniciativas vão-se agora revelando à medida que o código da aplicação DP3T vai sendo revelado, abertamente, em plataformas comuns como o Github dando a qualquer pessoa a possibilidade de inspecionar o código e sugerir correções ou melhorias.
After releasing the SDKs earlier this week, we're openly releasing our #DP3T prototype applications (with people-friendly UI) for iOS https://t.co/Bc1TBbUOAO and Android https://t.co/zG34zsewmq Get them while they are fresh and test them like crazy! pic.twitter.com/8WdcXfExIp
— Mathias Payer (@gannimo) April 17, 2020
Michael Veale, investigador em leis Digitais do University College of London, também tem utilizado o seu Twitter para fazer críticas sonantes ao projecto que endossara no princípio, dizendo mesmo que se tornou numa espécie de Cavalo de Tróia, que está entregue aos interesses da indústria e tem falhas basilares como a necessidade dos utilizadores de iPhone terem o aparelho desbloqueado para funcionamento da aplicação. Toda esta polémica levou a que outros internautas se dedicassem a investigar a aplicação e agora a refutem. Um desses casos é o de Nadim Kobeissi, investigador de ciências da computação, que resume o projecto como uma organização liderada por alguém dedicado a recolher patrocínios sem qualquer resultado.
Given concerns re. @PeppPt and their exclusion of open #COVID19 contact tracing standards such as #DP3T, I've decided to look into @PeppPt.
TL;DR: looks like a shell org led by one guy focused on collecting sponsors, with zero results. More to follow. https://t.co/lCjb8GWeDw
— Nadim Kobeissi (@kaepora) April 17, 2020
Depois de na fase inicial de lançamento a iniciativa ter contado com o endosso de investigadores e professores, nomeadamente da EFPL, são vários os elementos desta instituição que agora surgem do outro lado da barricada como críticos do projecto. Em causa está a falha no cumprimento das promessas de transparência, nomeadamente por até agora não ter sido publicado qualquer resultado ou amostra do projecto, como aponta Mathias Payer, um dos responsáveis pelo repositório do D3PT. Michael Veale, acima referido, alega mesmo que o que começou como um projecto pan-europeu, aberto e protector da privacidade, se resume agora a um protocolo centralizado sem informação disponibilizada sobre o seu real funcionamento.
#DP3T entered as a candidate to so-called PEPP-PT in good faith, but it is now clear that powerful actors pushing centralised databases of Bluetooth contact tracing do not, and will not, act in good faith.
PEPP-PT is a Trojan horse.
— Michael Veale (@mikarv) April 16, 2020
Segundo Nadim Kobeissi, o investigador acima citado, a PEPP-PT terá, numa reunião interna de Zoom, assegurado que publicaria hoje num respositório online uma parte do seu código fonte. De resto, o Shifter já tinha tentado contactado a organização anteriormente, através do e-mail de contacto disponível no site, sem ter obtido qualquer resposta.
Numa outra relação curiosa, a propósito deste tema, de referir que os investigadores ligados à D3PT, nomeadamente Carmela Troncoso, referem que a iniciativa conjunta de Apple e Google respeitam os parâmetros pelo seu projecto estabelicidos, uma afirmação que não se livrou de alguma discordância, especialmente por parte daqueles que apontam que sem tecnologia de fonte aberta é impossível realmente saber ao certo o que esta faz e que tecnologia deste tipo tem falhas potenciais nomeadamente ao nível dos falsos positivos.
