A Google a Apple sempre afiançaram que a sua plataforma para desenvolvimento de aplicações móveis de rastreamento de contactos era segura, os dados seriam anonimizados e assim se mantinham privados. Um ano após o lançamento da plataforma usada em Portugal pela Stayaway Covid, investigadores descobriram que as empresas estavam erradas e não foram apenas as entidades de saúde públicas a ter acesso aos dados clínicos.

Centenas de apps pré-instaladas nos smartphones com o sistema operativo Android, da Google, podem aceder a esses dados, descobriu a AppCensus. Esta empresa de análise de privacidade alertou por várias vezes a Google para o problema desde 19 de Fevereiro mas a situação não foi alterada. O iPhone não é afectado por esta falha. [Em Março, foi conhecido como o Android envia 20 vezes mais dados para a Google do que o iPhone para a Apple.]

Questionado pela revista The Markup, um porta-voz da Google, José Castañeda, disse que “o lançamento desta actualização para dispositivos Android começou há várias semanas e será concluído nos próximos dias”.

Para Joel Reardon, co-fundador da AppCensus, “o problema é que centenas de apps pré-instaladas como o browser Samsung e o MotoCare da Motorola em dispositivos Android têm acesso a informações potencialmente confidenciais que as aplicações de rastreamento de contactos armazenam nos registos do sistema – um subproduto de como as apps pré-instaladas recebem informação sobre analítica do utilizador e relatórios de falhas”. E “mais de 400 apps pré-instaladas em dispositivos da Samsung, Motorola, Huawei e outras fabricantes têm permissão para ler esses registos”.

No blogue da empresa, Reardon escreve que “em última análise, sentimos que tornar isto público não está a colocar ainda mais os consumidores em risco e, esperamos que levará a uma solução, responsabilidade e melhores protecções de privacidade para os consumidores. Para ser absolutamente claro: este é um problema solucionável na implementação e não deve ser usado por charlatães e oportunistas para minar ainda mais os esforços de saúde pública”.

Segundo o El País, o European Data Protection Supervisor (EDPS) afirmou que “após analisar as informações da AppCensus, concluímos que se trata de uma vulnerabilidade que expõe dados especialmente protegidos como a saúde e afecta, apenas na União Europeia, milhões de pessoas. O EDPS contribuirá para as acções que sejam decididas no âmbito do Comité Europeu para a Protecção de Dados, mas não tenciona dar início a uma investigação porque só tem competência sobre o tratamento realizado pelas instituições europeias ou por terceiros em seu nome e nenhuma instituição europeia está a tratar os dados pessoais obtidos a partir das aplicações de rastreamento”.

Em Portugal, a Stayaway Covid foi lançada em Setembro de 2020 com várias críticas, nomeadamente da CNPD. Desde então, teve 3,1 milhões de downloads, dos quais “apenas um terço está activo e contacta directamente com os servidores”, disse o coordenador do projecto no INESC TEC, Rui Oliveira, à TSF.

“Em quase oito meses de funcionamento da aplicação, os médicos geraram apenas 14.790 códigos e só 3.136 (17,6%) destes códigos foram inseridos pelos utilizadores nos seus dispositivos móveis”, contabiliza a rádio. “Não havendo pessoas infectadas a colocar a informação no sistema, ter a aplicação no telemóvel é inútil”, referiu.