154733 – 22052020 – Un material publicat recent de The European Science-Media Hub (o rețea între factorii de decizie, oamenii de știință și mass-media care implică știință, mediul academic, entități educaționale și de cercetare, asociații profesionale de jurnaliști și oameni de știință) ridică problema confidențialității datelor personale și a respectării vieții private în contextul în care, din cauza pandemiei de COVID-19, guvernele dezbat oportunitatea folosirii aplicațiilor pentru urmărirea contactelor, iar diferite entități private deja avansează soluții și tehnologii în acest scop. În contetul actualei pandemii, devine urmărirea digitală noua normalitate?
Țările europene adoptă măsuri progresive pentru a slăbi blocajul impus de pandemia Covid-19. Intrăm într-o „nouă normalitate”, vârsta de a trăi cu risc și reorganizare socială. Urmărirea digitală este considerată un instrument promițător pentru a permite revenirea la viața socială normală, contribuind la monitorizarea și reducerea răspândirii contagiunii.
O astfel de cerere se va dovedi eficientă? O astfel de aplicație ar putea compromite conceptul de confidențialitate?
Tehnologie împotriva unei pandemii
În urma evoluțiilor anterioare din unele țări din Asia, ideea adoptării tehnologiei de urmărire a contactelor pentru a reduce răspândirea coronavirusului în Europa a devenit cunoscută publicului. La sfârșitul lunii martie, studiul bazat pe model a unui grup de cercetare condus de profesorul Christophe Fraser, de la Big Data Institute (institut de cercetare interdisciplinar care se concentrează pe analiza seturilor de date mari, complexe, eterogene pentru cercetarea cauzelor și consecințelor, prevenirea și tratamentul bolilor) din cadrul Oxford University, a contribuit la consolidarea acestei posibilități. Cercetătorii au ajuns la concluzia că „epidemia poate fi oprită dacă urmărirea contactului este suficient de rapidă, suficient de eficientă și se întâmplă la scară”. Christophe Fraser a declarat că „modelele arată că putem opri epidemia dacă aproximativ 60% din populație folosesc aplicația, și chiar cu un număr mai mic de utilizatori de aplicații, estimăm în continuare o reducere a numărului de cazuri de coronavirus și decese.”
În contextul european – unde confidențialitatea trebuie garantată și protejată implicit – după o concentrare inițială asupra locației datelor, atenția s-a concentrat asupra Bluetooth, o tehnologie pentru schimbul de informații între diferite dispozitive are folosesc o frecvență radio cu rază mică de acțiune. Bluetooth este utilizat pentru a emite și detecta semnale unidirecționale (balize) care ar putea fi utilizate pentru a determina apropierea dintre utilizatorii de dispozitive mobile (smartphone-uri). Acest sistem nu necesită utilizarea GPS-ului și, în principiu, poate proteja confidențialitatea oamenilor, bazându-se pe urmărirea anonimă a contactelor.
Dezbaterea s-a purtat în legătură cu cele două ”arhitecturi” tehnice pentru stocarea și încrucișarea datelor: un sistem centralizat și unul descentralizat. Care este diferența, pe scurt? În abordarea centralizată, datele sunt colectate într-un „centru” național unic, în timp ce în abordarea descentralizată datele sunt stocate de fiecare dispozitiv. De asemenea, s-a discutat și despre unde să aibă loc corelarea datelor de la diferiți utilizatori? Ambele sisteme folosesc un server backend pentru a schimba informații. O dezbatere la care au participat dezvoltatori, guverne, experți în confidențialitate și epidemiologi.
La începutul lunii aprilie, Comisia Europeană și-a exprimat poziția oficială pe această temă, iar în comunicatul de presă dat publicității a solicitat o abordare comună și coordonată între toate statele membre pentru dezvoltarea unei tehnologii utile de combatere a răspândirii virusului, respectând pe deplin standardele UE de protecție a datelor.
În aceeași zi, a fost lansat oficial Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), primul HUB european pentru urmărirea proximității telefoanelor, a cărui prezentare menționează că protejează confidențialitatea datelor utilizatorilor, și despre care se spune că a fost creat pentru a ajuta inițiativele naționale prin furnizarea de mecanisme și standarde „gata de utilizare”, bine testate și evaluate corect, precum și sprijin pentru interoperabilitate, informare, și funcționarea la nevoie. Consorțiul PEPP-PT a implicat inițial 8 țări europene și aproximativ 130 de cercetători.
Imediat, o echipă de cercetători condusă de profesoara Carmela Troncoso a publicat o propunere de protocol privind confidențialitatea și conservarea proximității (DP-3T), care presupune colectarea descentralizată a datelor, bazată pe o strânsă colaborare între informaticieni și epidemiologi. Referința la DP-Abordarea 3T a dispărut rapid de pe site-ul PEPP-PT, subminând inițiativa.
Christian Boos, fondatorul Arago GmbH, directorul PEPP-PT și membru al Consiliului Digital al guvernului federal german susține că: „De ceva vreme, discutăm despre arhitectura sau sistemul de securitate: dacă ar trebui să fie o arhitectură centralizată sau dacă ar trebui să fie una descentralizată. Însă discuția este atât de concentrată pe securitate, în timp ce obiectivul este de a permite cea mai bună gestionare a pandemiei cu cea mai bună confidențialitate posibilă. Prin urmare, dacă ne uităm la arhitectura de securitate – centralizată sau descentralizată – pe partea tehnică, această discuție se poartă de aproximativ 30 de ani. Și nu a fost niciodată rezolvată deoarece cele două opțiuni prezintă clar avantaje și dezavantaje. Un sistem descentralizat are marele avantaj de a nu avea nevoie de o entitate de încredere. Într-o abordare centralizată sau similară ai nevoie de cineva de încredere. Până la urmă, în ambele sisteme este vorba despre încredere. Ambele sisteme păstrează confidențialitatea. Întrebările reale sunt: Aveți încredere în guvern sau nu aveți încredere în guvern? și Ce sistem servește mai bine în ceea ce privește gestionarea acestei pandemii?”
Pe măsură ce Google și Apple au intrat în scenă și au anunțat o nouă colaborare în adoptarea, pe sistemele de operare mobile, a unei soluții similară cu cea propusă de DP-3T, dezbaterea despre modelul centralizat sau descentralizat a devenit tot mai intensă. În curând a devenit clar că protocolul centralizat – aplicațiile bazate nu ar putea rula continuu pe multe dispozitive, ceea ce le face ineficiente.
Michael Veale, lector în domeniul drepturilor și reglementărilor digitale la University College London, Facultatea de Drept, și membru al grupului DP-3T, afirmă că: „Nu facem afirmații despre cât de eficientă ar putea fi orice aplicație de urmărire a contactelor Bluetooth. Este pentru prima dată când s-a făcut așa ceva în acest context, la această scară, deci înțelegerea noastră este strict limitată de modelele noastre. Sperăm că poate fi utilă, dar va fi nevoie de încrederea absolută a persoanelor că datele lor nu pot fi utilizate greșit – sistemele centralizate de încredere nu pot oferi”.
Confidențialitate și probleme tehnice
Argumentele prezentate de promotorii consorțiului PEPP-PT au relevat probleme tehnice insurmontabile, lipsa transparenței cu partenerii și critici din partea comunității criptografilor.
Acest moment de cotitură a ajutat la readucerea în atenție a unor puncte cheie ale utilizării tehnologiei de urmărire: motivele reale pentru care ar trebui să fie utilizate și consecințele posibile pentru viitorul vieții private a Europei. Există atât de multe necunoscute despre virus și răspândirea acestuia în viitorul apropiat, încât nu putem decât să speculăm că tehnologia de urmărire ar putea fi utilă.
Carmela Troncoso, (EPFL), a spus în timpul unui webinar că „Aplicația are două obiective: unul dintre ele este notificarea faptuui că ai fost în contact cu o persoană pozitivă, iar celălalt – să ofere informațiilor epidemiologilor pentru a aduna mai multe informații despre boala. În principal, în acest caz, vizează modificarea politicii. DP-3T are limitarea scopului prin proiectare. Cele mai agregate date pe care le putem furniza sunt pentru fiecare persoană cu risc – cât timp a fost în jurul persoanelor infectate, cât timp a fost în jurul persoanelor care nu au fost infectate și care este distanța. Acest lucru permite epidemiologilor să înțeleagă efectiv dacă acești „doi metri” sunt, de fapt, arbitrari sau nu, dacă boala se răspândește din cauza contactului sau a apropierii ori nu. Pentru că nu știm cu adevărat».
Incertitudinea noii normalități
În timp ce incertitudinea a devenit parte din viața noastră de zi cu zi, discuții precum cea privind tehnologiile de urmărire a contactelor sunt cruciale pentru a ghida cetățenii în alegerea viitorului lor. În Europa, informaticieni, criptografi, jurnaliști, filozofi și activiști participă la astfel de dezbateri despre ceea ce vrem să fim, lumea în care vrem să trăim. În timp ce la jumătatea lunii aprilie părea evident că multe țări din Europa ar alege să dezvolte o aplicație bazată pe protocoalele oferite de consorțiul PEPP-PT , astăzi ne orientăm într-o direcție complet diferită.
Discuțiile îndelungate și complexe purtate în toată Europa au temperat și mai mult procesul decizional, afectând societatea. Până acum, multe dintre guvernele care erau inițial înclinate către un protocol centralizat și-au îndreptat atenția către o abordare descentralizată. Cu toate acestea, povestea este departe de a se fi sfârșit.
De remarcat că în Italia guvernul desemnase o companie pentru a dezvolta aplicația „Immuni” – Bending Spoons – și care deja era în contact cu Christian Boos de la Arago chiar înainte ca lumea să știe despre existența PEPP-PT, pentru ca după câteva săptămâni să se treacă la modelul descentralizat propus de Apple și Google. În prezent, pentru școli sau plajă este avută în vedere chiar utilizarea „brățărilor electronice pentru copii”, pe care guvernul german a declarat că o va adopta, ca model de abordare descentralizată a urmăririi digitale a contactelor.
În Franța, Apple a fost acuzată că a încercat să influențeze standardele tehnice pentru instrumentele de sănătate publică, iar guvernul insistă să păstreze datele de contact într-o bază de date centrală (pentru ca autoritățile să urmărească cazurile suspecte de coronavirus), în timp ce Apple și Google preferă ca datele să fie stocate chiar și pe telefoane, la îndemâna guvernului, spunând că aceasta ar proteja mai bine confidențialitatea utilizatorilor. În Marea Britanie, după critica primei aplicații bazată pe un protocol centralizat, a existat o speculație intensă asupra necesității de a „trece la un model diferit”, bazat pe experiențele altor state.
Problema rămâne cea a funcționării continue a aplicației pe un sistem precum iOS. La începutul lunii mai, Apple și Google au lansat prima versiune a API pe care dezvoltatorii pot lucra la o aplicație funcțională de urmărire a contactelor. Cele două companii au creat o bază-cadru care oferă un protocol descentralizat pentru urmărirea contactelor. Prin urmare, Propunerea Apple / Google pare să îndeplinească cerințele Comisiei Europene, dar mulți cred că este probabil ca API-ul să rămână și să nu fie demontat în viitor.
Jürgen „Tante” Geuter , un teoretician independent care lucrează la intersecția dintre tehnologie, politică și social, este activ în special în dezbaterea acestor luni: „Dacă construiți infrastructuri, acestea vor fi reutilizate. Această aplicație specifică poate fi întreruptă, dar Google și Apple vor integra o abordare descentralizată. Aceasta este o infrastructură cu care va trebui să trăim. Iar aceasta este o decizie foarte politică”.
Disponibilitatea de a face față răspândirii COVID-19 și de a reveni la viața socială normală cât mai curând posibil se confruntă cu incertitudinea noutății absolute, iar cercetătorii sunt prudenți și se întreabă de ce multe din guvernele europene s-au grabit așa de mult ?
Paolo Attivissimo , jurnalist și consultant IT: „Cred că există două motive de bază. Primul este politic. Tehnologia este ceva ușor de introdus și răspunde nevoii de a fi văzut pentru a face ceva. Există o problemă de securitate, în acest caz de sănătate, iar la nivel politic este necesar să se arate că se face ceva. Al doilea aspect este faptul că aceasta este prima pandemie din epoca smartphone-urilor omniprezente. Acum avem o utilizare atât de răspândită a smartphone-urilor și obișnuința de a le folosi încât cel puțin putem justifica încercarea. Este un experiment. De fapt, neavând un precedent, nimeni dintre noi nu știe dacă acest sistem este eficient și așa încercăm. Presupunerea rezonabilă este: dacă am putea urmări oamenii atunci când intră în contact cu o altă persoană pozitivă, atunci am putea face o urmărire mai automată a contactelor și, astfel, prevenim răspândirea bolii.Există riscul ca întreaga operațiune complexă să fie efectuată fără alt rezultat decât să permită încălcarea vieții private, abuzuri care ar putea fi foarte bine evitate”.
Revenirea la dezbatere a fundamentelor sale pare a fi o necesitate. Pe de o parte, posibila utilitate (care trebuie verificată) a unui instrument fără precedent, pe de altă parte, riscul scenariilor la care ar putea duce o asemenea alegere.
După ce a publicat recomandările privind elaborarea unei aplicații de urmărire, Comisia Europeană a declarat că „cetățenii UE trebuie să poată primi alerte despre o posibilă infecție într-un mod sigur și protejat, oriunde s-ar afla în UE și orice aplicație folosesc”. De asemenea, a reafirmat poziția potrivit căreia europenii nu ar trebui să fie obligați să instaleze și să utilizeze aplicații de urmărire a contractelor. Statele membre ale UE din rețeaua de sănătate electronică, cu sprijinul Comisiei Europene, au adoptat linii directoare de interoperabilitate pentru aplicațiile mobile de identificare a contactelor aprobate în UE , prima acțiune de urmărire prevăzută de instrumentul Uniunii pentru utilizarea aplicațiilor mobile pentru a sprijini urmărirea contactelor ca răspuns la pandemia coronavirusă prezentată în aprilie.
La 17 aprilie, Parlamentul European a adoptat o rezoluție , subliniind că orice măsură digitală împotriva pandemiei trebuie să respecte pe deplin legislația privind protecția datelor și confidențialitatea. Ar trebui să fie clar cum se așteaptă ca aplicațiile să contribuie la reducerea infecțiilor, cum funcționează și ce interese comerciale au dezvoltatorii. Folosirea lor nu ar trebui să fie obligatorie și ar trebui respinsă odată ce pandemia va trece. Riscul potențial de abuz ar trebui să fie clar limitat, iar datele generate – anonimizate – nu ar trebui stocate în baze de date centralizate.
Utilizarea aplicațiilor de urmărire a contactelor a fost discutată în Parlamentul European la 14 mai, în sesiunea plenară. Dezbaterea s-a concentrat pe riscurile legate de posibile abuzuri de urmărire a aplicațiilor atunci când punem în aplicare unele măsuri menite să relaxeze blocarea (de exemplu, controversatele „pașapoarte de imunitate” pentru a vă deplasa la borduri) și căderea cu ușurință într-un fel de „supraveghere”.
După toate aceste săptămâni, unele probleme au rămas încă neclare. Însuși inventatorii tehnologiei Bluetooth – Jaap Haartsen și Sven Mattisson – au avertizat despre eficacitatea unui sistem bazat pe aceasta. Semnalul radio poate fi pierdut în anumite condiții și nu a fost niciodată sinonimul acurateții. Acest lucru ne readuce la punctul de plecare: o aplicație nu poate fi considerată doar un panaceu împotriva coronavirusului. În mod contrar, urmărirea digitală a contactelor nu poate înlocui în mod eficient urmărirea contactelor „umane”, dimpotrivă.
Paolo Attivissimo: „Ar trebui să ne concentrăm pe gestionarea acestei situații de urgență majoră fără a renunța la un atu prețios precum dreptul la confidențialitate”.