Sábado Aarogya: NITI defende implementação contra críticas a grupos de privacidade de Aayog

NITI Aayog, 2 Em abril, lan√ßou o aplicativo Aarogya Setu, criado como uma solu√ß√£o para aumentar a conscientiza√ß√£o e disseminar o COVID-19 por uma equipe de cidad√£os volunt√°rios e ag√™ncias governamentais. O aplicativo de plataforma cruzada Aarogya Setu excedeu cinco milh√Ķes de downloads em apenas 13 dias. No curto prazo, √© um dos aplicativos mais baixados no pa√≠s, mas isso foi alcan√ßado gra√ßas ao discurso do primeiro-ministro Narendra Modi na ter√ßa-feira, 14 de abril, e seu apelo pessoal ao p√ļblico nos bastidores.

As mensagens do Departamento de Telecomunica√ß√Ķes (DoT) solicitam √†s pessoas que baixem seus aplicativos diariamente. Campanhas nas m√≠dias sociais e promo√ß√Ķes de empresas rec√©m-criadas tamb√©m pediram √†s faculdades, estudantes e pais que baixassem o aplicativo, al√©m de circuitos de institui√ß√Ķes como a CBSE. Gra√ßas a essas medidas, em menos de duas semanas 5 fez um milh√£o de downloads, mas esse n√ļmero tamb√©m gerou muitos alarmes na √ćndia. Especialistas em privacidade est√£o expressando suas preocupa√ß√Ķes sobre o aplicativo Aarogya no s√°bado, com medo de que as pessoas desgastem sua liberdade, e o recurso de triagem ver√° que o governo tamb√©m usar√° marcas de contato comum na epidemia de coronav√≠rus, que tamb√©m est√° discutindo.

Especialistas dizem que o aplicativo Aarogya Setu n√£o atende aos padr√Ķes estabelecidos em Cingapura e em outros pa√≠ses. Este aplicativo captura mais dados do que o necess√°rio para detectar pessoas ou aumentar a conscientiza√ß√£o sobre o COVID-19. O Gadget 360, no entanto, conversou com Arnab Kumar, diretor do programa NITI Aayog da Frontier Technologies, que abordou alguns desses problemas. Segundo Kumar, o trabalho de implementa√ß√£o do Aarogya Setu come√ßou em 16 ou 17 de mar√ßo, poucos dias antes do lan√ßamento oficial do aplicativo TraceTogether do governo de Cingapura, em 20 de mar√ßo.

Embora o recurso de pesquisa de pessoas torne o aplicativo Aarogya Setu semelhante ao TraceTogether, ele tem muitas diferen√ßas e √© um recurso de rastreamento de localiza√ß√£o baseado em GPS, al√©m de usar uma conex√£o Bluetooth entre eles. Kumar disse ao Gadgets 360 que o objetivo de exigir informa√ß√Ķes de GPS √© determinar a localiza√ß√£o exata da pessoa infectada, identificar novos pontos de acesso e a dire√ß√£o da infec√ß√£o.

"N√£o usamos o local individualmente, usamos coletivamente". Ele acrescentou que as informa√ß√Ķes de localiza√ß√£o capturadas pelo aplicativo s√£o direcionadas apenas ao servidor se o usu√°rio estiver em risco de infec√ß√£o positiva ou alta por COVID-19. No entanto, o aplicativo em si n√£o divulga explicitamente quais dados s√£o coletados, onde todas as informa√ß√Ķes s√£o armazenadas ou quais pol√≠ticas est√£o dispon√≠veis para remov√™-los do servidor em nuvem – os termos de servi√ßo iniciais n√£o elaboraram pol√≠ticas de armazenamento ou prote√ß√£o de dados e foram adicionados somente ap√≥s alguns dias. Al√©m disso, a falta de normas claras de prote√ß√£o de dados na √ćndia e o resultado foi uma bomba-rel√≥gio – at√© o Ex√©rcito indiano ordenar que oficiais do Ex√©rcito indiano n√£o usassem os aplicativos m√≥veis de Aarogya Setu em seus escrit√≥rios, locais de trabalho e locais sens√≠veis, de acordo com um relat√≥rio da IANS.

'Risco de discriminação'
Na Internet Freedom Foundation (IFF), Sidharth Deb, Consultor de Pol√≠ticas e Parlamentares n√£o √© uma ag√™ncia governamental que defende os direitos digitais: "Existe o risco de discrimina√ß√£o em termos de uma sociedade √ļnica ou modelo humano de um contexto socioecon√īmico espec√≠fico". Deb avaliou a estrutura do aplicativo Aarogya Setu em termos de privacidade e seguran√ßa de dados em um jornal em desenvolvimento.

O diretor jur√≠dico da India India Software Center, Prasanth Sugathan (SFLC.in), destacou que o aplicativo Aarogya Setu obteve dados individuais porque n√£o apenas captura dados em massa, mas tamb√©m solicita que os usu√°rios forne√ßam seus n√ļmeros de telefone para se registrarem no primeiro est√°gio. "Os dados obtidos de telefones individuais ainda depender√£o de n√ļmeros de telefone individuais e, portanto, da identidade do indiv√≠duo". Disse. Anonimizar dados em massa √© conhecido h√° muito tempo – a reintegra√ß√£o de dados √© uma grande tarefa e estudos mostram que dados "an√īnimos" nunca podem ser completamente an√īnimos.

Kumar, do NITI Aayog, disse ao Gadgets 360 que o sistema possui uma chave de exclusão que limpa os dados do dispositivo do usuário em 30 dias e os exclui do servidor em 45 dias, se o indivíduo não estiver em risco. Em caso de risco, o servidor exclui esses dados dentro de 60 dias. "Estamos trabalhando para desenvolver uma solução temporária para o problema", disse ele.

No entanto, Deb argumenta que existe um escopo opcional que o governo pode usar por um motivo específico para remover o conjunto de dados que recebe do aplicativo. "As promessas do contrato mostram que há espaço para o governo ter certos motivos para não excluir dados". Sugathan disse que a chave kill é incerta se funciona apenas para bancos de dados locais armazenados nos dispositivos do usuário ou para bancos de dados remotos. Também existe o desejo de permitir que os usuários excluam seus dados sem aplicá-los depois que pararem de usá-los ou quando a pandemia terminar. No entanto, Kumar disse que atualmente o governo não tem esse plano.

Não há detalhes concretos sobre o código-fonte aberto
Uma maneira de o governo explicar como o aplicativo Aarogya Setu funciona √© abrir o c√≥digo. O governo de Cingapura fez isso para sua √ļltima aplica√ß√£o. No entanto, Kumar, de Nay Aayog, disse que pretende abrir a fonte do c√≥digo, mas isso levar√° tempo. "N√£o podemos comparar nosso modelo com os de Cingapura, j√° que eles t√™m uma popula√ß√£o de cinco milh√Ķes de pessoas; passaremos o n√ļmero de cinco milh√Ķes de horas logo ap√≥s o lan√ßamento do aplicativo. No entanto, levar√° semanas de Cingapura para abrir a fonte", disse Kumar √† Gadgets 360. no entanto, n√£o explicou o que as pessoas do pa√≠s deveriam fazer publicando seu c√≥digo-fonte.

Ele acrescentou que o foco da equipe é expandir os recursos do aplicativo, em vez de focar no código-fonte aberto.

"Atualizar o c√≥digo-fonte aberto regularmente n√£o √© diferente de continuar o projeto de c√≥digo-fonte fechado", disse Sugathan, do SFLC.in. "Leva apenas um minuto para atualizar o c√≥digo-fonte e, se eles abrirem o aplicativo, a comunidade indiana de desenvolvedores e o resto do mundo ter√£o prazer em ajud√°-lo." A Deb do IFF acrescentou que, embora o c√≥digo-fonte aberto n√£o esteja atualmente dispon√≠vel para a equipe, deve haver pelo menos algum di√°logo aberto em torno da linha do tempo, pois os governos liberar√£o o c√≥digo de acesso p√ļblico. "O c√≥digo-fonte aberto √© uma das muitas maneiras que eles devem fazer para criar transpar√™ncia."

Modelos p√ļblico-privados
A lista de aplicativos de Aarogya Setu indica que foi desenvolvida pelo Centro Nacional de Informa√ß√Ķes (NIC). No entanto, o NITI disse √† Aayog Kumar Gadgets 360 que o aplicativo foi desenvolvido no modelo p√ļblico-privado – um grupo de indiv√≠duos "voluntariamente" se juntou a funcion√°rios do governo. "Embora o modelo p√ļblico-privado seja uma maneira √ļtil de escalar essa tecnologia, voc√™ deve ter cuidado ao usar essa tecnologia", disse Deb IFF. Disse. "Foi criado para ser um sistema tempor√°rio e, se voc√™ deseja responsabiliz√°-lo, precisa de algo como uma estrutura legal subjacente ou algo que torne as organiza√ß√Ķes ou parcerias p√ļblico-privadas respons√°veis".

No entanto, Kumar disse que o processo de desenvolvimento envolve v√°rios ativos, mas os dados s√£o totalmente controlados pela NIC.

"Finalmente, enquanto a NIC mant√©m essa infraestrutura, a mesma infraestrutura pode se conectar a outros bancos de dados do governo", disse Deb. Disse. Al√©m disso, Sugathan, do SFLC.in, poder√° enviar dados do aplicativo, pois o banco de dados est√° hospedado nos servidores do Google. Amazon Usando as solu√ß√Ķes de servi√ßos da Web (AWS) e an√°lise do Google Firebase e banco de dados acima, √© dif√≠cil dizer que os dados do usu√°rio est√£o nas m√£os da NIC. "O uso de uma infraestrutura de servidor de terceiros pode n√£o representar um risco √† seguran√ßa. Mas, idealmente, como uma ag√™ncia governamental, os dados devem estar sob a infraestrutura da NIC." Disse.

At√© o momento, o governo criou um comit√™ para desenvolver o modelo existente. Mas isso n√£o √© apenas para resolver problemas de seguran√ßa – a verifica√ß√£o de recursos, que foi avisada por especialistas em privacidade desde o lan√ßamento do aplicativo, vem em breve com planos de usar "intelig√™ncia artificial" e espalhar informa√ß√Ķes sobre centros de distribui√ß√£o pr√≥ximos usando GPS e fornecer assist√™ncia remota. Kumar acrescentou que a equipe est√° trabalhando para melhorar o aplicativo para dispositivos m√≥veis, foco de resposta interativo (IVR) e para uma vers√£o COSOS para usu√°rios do Jio Phone desenvolvidos para teste.

"Esse desenvolvimento n√£o √© totalmente consistente com o princ√≠pio da restri√ß√£o de alvos, que √© uma constru√ß√£o fundamental da privacidade das informa√ß√Ķes e do direito das pessoas √† privacidade", disse o IFF √† Deb Gadgets 360. Disse.