Relatório Público Stayaway

Muitos sistemas tecnológicos, olhando para o seu contexto e a sua arquitetura, são essencialmente anti-pessoas. As pessoas são vistas como fontes de problemas, enquanto que a tecnologia é vista como uma fonte de soluções.

—Ursula M. Franklin, The real world of technology, 1992

Introdução

Este relatório é o resultado de um esforço levado a cabo pela D3, a associação de defesa dos direitos digitais em Portugal. A sua concretização foi possível graças a uma bolsa atribuída pela Liberties.eu para a elaboração de um relatório sobre o tema a nível europeu, que tratámos seguidamente de adaptar e desenvolver para o contexto nacional, tendo como resultado o presente testemunho.

Este é o fruto de centenas de horas investidas em pesquisa, debate interno e conclusões encontradas ao longo de todo o tempo de vida da Stayaway, que optámos por cristalizar num documento público para contrariar o preocupante silêncio que se instalou à volta do tema, sem qualquer discussão pública subsequente à saída de cena da aplicação.

Sentimos que é um debate fundamental para informar futuras decisões e dilemas à volta do uso de tecnologias digitais experimentais como mecanismos de saúde pública, e temos a esperança que a publicação deste relato possa reavivar a consciência coletiva à volta das ramificações desta experiência bio-tecno-política. Aguardámos que surgisse algo nesse sentido por parte das entidades que estiveram mais próximas do processo mas, na ausência disso, sentimos o dever de avançar com o debate desta forma.

Esforçámo-nos para concretizar uma análise séria dos eventos e suas consequências, abstendo-nos do slogan pomposo, da indignação juvenil ou de justificações conspiratórias. Não estamos na posse de todos os dados, e prometemos o esforço de identificar ambiguidades sempre que delas estivermos conscientes.

Este documento reparte-se em três secções:

  • O que se passou, onde é recordada a história da Stayaway desde o seu lançamento, os episódios-chave que marcaram o seu ciclo de vida até ao seu final. Nesta secção, incluímos também uma análise de dados, em forma de timeline, a ilustrar visualmente a evolução da aplicação.
  • O que correu mal, onde são desenvolvidas constatações e análises de várias facetas do assunto, de forma a levantar o véu sobre pormenores importantes que ficaram por discutir.
  • Como fazer melhor da próxima?, onde expomos as conclusões a que chegamos face ao exposto nos dois pontos anteriores, concretizando um contributo para o necessário debate sobre o que foi a experiência Stayaway, para melhor informar as abordagens a tecnologias experimentais nas próximas crises.

O que se passou?

A preparação e o choque com as tecnológicas

No dia 1 de setembro de 2020, foi lançada publicamente a app Stayaway Covid, dedicada ao rastreio automático de contactos entre pessoas. A tecnologia era nova e por testar, mas um consórcio europeu de investigação chegou a um protocolo respeitador da privacidade que passou a integrar as aplicações de rastreio de contactos (ARCs) pela Europa fora, incluindo Portugal.

Uma vez que este protocolo, baseado em Bluetooth, revelou provocar enormes perdas de bateria, a Google e a Apple juntaram-se ao esforço: enquanto responsáveis pelos dois sistemas operativos móveis mais usados (iOS e Android), propuseram-se a afinar a arquitetura dos sistemas que dão vida aos nossos telemóveis para que a operação do protocolo de rastreio fosse otimizada para poupar bateria.

No entanto, as duas gigantes também impuseram outra funcionalidade: não só tornaram impossível que os dados que circulam pela app pudessem ser desanonimizados e centralizados pelos Estados, como recusam qualquer contributo ou imposição dos Estados na concepção e implementação desta funcionalidade nos seus sistemas operativos móveis. Um grupo de Ministros e Secretários de Estado de 5 Estados-Membros da UE, incluindo o Secretário de Estado para a Transição Digital português, publicou uma carta aberta a clamar por uma revisão dessa postura:

O uso de tecnologias digitais deve ser projetado de uma forma que nós, como Governos eleitos democraticamente, as possamos avaliar e julgar como aceitáveis para os nossos cidadãos e compatíveis com os nossos valores europeus. Consideramos que a tentativa de questionar este direito, impondo normas técnicas, representa um passo em falso e uma oportunidade perdida de aprofundar e promover uma colaboração aberta entre governos e o setor privado.

As tecnológicas foram irredutíveis, e deixaram assim claro que o seu controlo dos dispositivos significa que detêm de facto todo o poder de determinar o formato de qualquer sistema que se quisesse implementar.

Em Portugal, a aplicação foi orientada por um consórcio liderado pelo Inesc Tec, aliado à Keyruptive e Ubirider, duas startups tecnológicas, com a assessoria ética e de saúde por parte do Prof. Henrique Barros do Instituto de Saúde Pública da Univ. do Porto. A implementação do sistema de códigos que forma o alicerce de todo o aparato que dá forma à Stayaway foi levada a cabo pelos Serviços Partilhados do Ministério da Saúde.

Os primeiros momentos

Embora a adesão inicial à app tenha sido notável, rapidamente surgiram os primeiros números a indicar um baixo número de contactos positivos registados na app.

No dia 14 de outubro, um mês e meio após o lançamento da Stayaway, o Governo anunciou que o uso da app seria obrigatório em vários contextos, incluindo todas as escolas e função pública. Houve reações imediatas a apontar a eventual inconstitucionalidade da medida (um coro que incluiu o próprio Presidente da República), a falta de clareza sobre a sua aplicação (estar sem bateria passaria a ser ilícito?), e a existência de ramificações perigosas para a privacidade dos cidadãos. Também as próprias forças da autoridade expressaram fortes reservas.

Seguiu-se um blitz mediático provocado pelo assunto, com o tema a ser assunto principal de colunas, comentários, debates, cartoons e hashtags trocistas, proporcionando uma irremediável politização da Stayaway, que veio colá-la a debates periféricos e que contribuiu para a sua inclusão em discursos críticos da ação do Governo na gestão da pandemia.

Graças à exposição mediática da Stayaway motivada por este episódio, o número de downloads da aplicação disparou. Ao mesmo tempo, talvez devido à súbita adoção da app por uma parte significativa da população, surgiram múltiplos relatos com duas queixas centrais:

  1. que não puderam obter o código para inserir na app junto do médico – não lhes foi dado o código, mesmo quando especificamente pedido ao médico
  2. que a app não havia denunciado após um contacto que as pessoas sabiam ter ocorrido – por exemplo, quando uma pessoa mora com outra que introduziu o seu código, e a app da primeira não "acende", embora os telemóveis tenham estado próximos boa parte do tempo.

Boa parte das críticas dos proponentes da app foram direcionadas não só aos serviços (SPMS) que implementaram o sistema de emissão de códigos, mas particularmente aos próprios médicos.

A queda

Quando surgiu a terceira vaga em dezembro de 2020, o uso da app era diminuto, longe até dos já baixos números dos primeiros dias de operação. Três meses depois, em março, o Governo apresenta uma revisão da lei que regulamenta a Stayaway. A CNPD apresentou pontos que necessitavam de definição antes de dar parecer positivo à lei, e rapidamente a CNPD se viu como outro dos alvos de quem insistia na eficácia da Stayaway – que já na altura estava moribunda, com relatos de grandes números de pessoas a desinstalá-la já desde janeiro.

Em maio, foi revelada a existência de uma falha de segurança grave nos dispositivos Android que colocou em risco os dados das pessoas, podendo ser extraídos por parte de quem descobrisse e explorasse essa falha. Soube-se também que a Google sabia da existência dessa falha desde fevereiro. Não se sabe se e até que ponto essa falha foi explorada, mas esteve presente durante a maior parte do ciclo de vida da Stayaway, desde o seu lançamento. O assunto teve pouquíssima exposição mediática em Portugal; a Google nunca explicitou se sabia de algum caso em que os dados das pessoas tenham sido acedidos indevidamente, e não se ouviu falar de qualquer auditoria ou investigação por parte do Estado.

Uma das promessas iniciais foi a interoperabilidade com outras apps europeias, um desígnio que silenciosamente foi colocado na gaveta pelos proponentes da Stayaway à medida que o otimismo foi sendo refreado pelas evidências no terreno. Minimizou-se a grande complexidade que tal interoperabilidade implicaria, como foi destacado num estudo da Université Paris-Saclay.

O fim da terceira vaga veio provocar um alívio social que acalmou as polémicas em volta da app, voltando a um certo silêncio mediático apenas pontuado pela admissão que a app falhou, por parte do diretor do Inesc Tec, numa entrevista ao Expresso. Mais tarde, foi ao ministro Manuel Heitor que coube fazer a admissão oficial (mesmo que telegráfica e pouco densa) de que a app não havia funcionado.

Visualização no tempo

Este gráfico representa a evolução dos códigos introduzidos (vermelho) ao longo do tempo, com os novos casos diários (beige) como referência e os eventos-chave que marcaram a evolução.

Linha temporal da Stayaway

É importante notar que a proporção de ambos não é a mesma, e a linha dos códigos está multiplicada para melhor se perceber a evolução; por exemplo, no dia com mais códigos introduzidos (5 de novembro), foram 69 os códigos introduzidos face a 7947 casos de infeção nesse dia.

Estamos conscientes da armadilha de tirar demasiadas conclusões a partir de números sem o devido contexto, mas apontamos algumas evidências que esta visualização ajuda a compreender:

  • A app foi lançada pouco antes do início da segunda vaga
  • Ao longo da segunda vaga a adoção aumenta, sobretudo após o anúncio do Governo de que pretendia torná-la de uso obrigatório
  • Ainda no pico da segunda vaga, o número de códigos introduzidos não mantém um crescimento sustentado
  • À medida que a segunda vaga decai, também o número dos códigos introduzidos desce, mas após o início da terceira vaga no final de dezembro, não voltam a subir
  • A app não teve expressão significativa durante toda a terceira vaga
  • Em fevereiro encontramos o primeiro dia em que não houve qualquer código introduzido

Existem dois indicadores importantes que faltam neste gráfico:

  • O número de códigos gerados pelo sistema de saúde, que tentámos obter junto dos SPMS mas não obtivemos resposta.
  • O número de aplicações ativas, contabilizando o número de instalações e desinstalações; tentámos obter esses números junto do Inesc Tec, que nos indicou que não era possível partilhar esses dados.

O que correu mal?

A app funcionava?

A Stayaway funcionou? A pergunta é ambígua: como é que determinamos se funcionou ou não? Qual é o critério para estipular que acima de X foi um sucesso?

Começou-se com um objetivo ambicioso: as apps só funcionariam com adesão de 60% da população. Foi um critério mais tarde clarificado: não seria fundamental uma taxa de adesão significativa para a app ser eficaz. Também era firme o objetivo das apps serem compatíveis entre países da UE, um objetivo que se ficou pelo papel. A adesão foi forte mas a eficácia prática foi residual. As promessas foram bastantes, e a realidade providenciou desilusões sucessivas que fizeram baixar mais e mais a fasquia do que significa a app "ter funcionado".

Mas voltamos à pergunta: a app funcionou? Aqui também encontramos uma confusão semântica, porque depende se estamos a falar: - do sistema de rastreio digital de contactos, que é composto por uma app de telemóvel e pela funcionalidade de emitir códigos de ativação da app por parte de entidades de saúde - ou apenas da app de telemóvel.

Recorrendo à analogia automóvel: quando ouvimos que a app funcionou, mas o sistema dos códigos não, é algo equivalente a dizer que a embraiagem e os travões do carro funcionam, mas o motor não. No final, o carro não funciona, e é pouco relevante salientar as componentes do carro que funcionam quando o bólide nem sequer liga. Com a app, mesmo aceitando o questionável argumento que a app Stayaway funcionava (já lá chegaremos), pouco consolo dá a quem esperava um sistema funcional.

Como tal, apenas com uma séria contorção se pode afirmar que a app funcionou, como fizeram ainda recentemente investigadores e deputados. O próprio ministro Manuel Heitor, na brevíssima menção que fez no rescaldo da experiência, afirmou que a app não funcionou. Encontramos, mesmo com a maior boa-vontade, muito pouca margem para considerar que a experiência Stayaway funcionou.

Também é discutível se a app Stayaway, por si, funcionava de facto.

O público percebeu que a app não funcionava

A comunicação pública à volta da app minimizou as explicações sobre o seu funcionamento técnico, e a estratégia de comunicações concentrou-se à volta de um otimismo projetado à volta da Stayaway. Uma grande campanha publicitária foi lançada na televisão, meios impressos e online, destacando a necessidade de instalar a app e seguir as suas orientações. A direção de arte desses anúncios era limpa e glossy, mostrando cidadãos aliviados rodeados de escudos flutuantes. O slogan "Fique longe do covid com um clique" reforça a promessa de que a app seria eficaz; sugere também que a app ajuda as pessoas a "ficar longe" da doença, quando na verdade apenas serve para detetar (e não afastar) eventuais contactos.

Além disso, declarações triunfantes a anunciar a futura adaptação do sistema para outras doenças, ou usar a app para evitar quarentenas escolares de larga escala, transmitiram uma convicção férrea na completa eficácia da app. Tal otimismo manteve-se mesmo quando os números da app já eram mínimos, ao mesmo tempo que eram publicadas perspetivas críticas por parte de quem inicialmente a defendeu, surgindo também análises a perguntar o que correu mal.

Está agora claro que foi errada a estratégia de minimizar as referências às limitações técnicas da app, que existem e eram bem conhecidas:

  • a Stayaway e apps semelhantes não funcionam dentro de elétricos, metros e outras formas de transporte público
  • é inevitável o surgimento de muitos falsos positivos e negativos, já que a app tem muitas dificuldades em funcionar entre multidões, e o próprio sinal Bluetooth penetra facilmente barreiras físicas e é facilmente bloqueado por certos materiais, como carteiras com elementos metálicos. O protocolo Bluetooth por si não é inteiramente fiável, tal como qualquer pessoa com uma coluna de som ou outro periférico Bluetooth sabe, pela experiência por vezes enfurecedora de estabelecer ligações com esses dispositivos.
  • mesmo com uma utilização ideal, pode não haver deteção de contactos: manter um telemóvel "positivo" a centímetros de um "negativo" poderá não detetar a proximidade entre ambos, devido a fatores externos altamente variáveis, como a composição das paredes ou interferência de sinal provocada por outros aparelhos próximos.

Este último ponto foi claramente descoberto pelo público. Apareceram vários relatos nas redes sociais com casos idênticos: um membro da família descobre que está infetado e introduz o código dado pelo seu médico, mas os outros membros da família (que sabem ter estado em contacto próximo com a pessoa infetada) não vêem os seus aparelhos acender com um alerta de contacto. Entretanto, a campanha mediática insistiu em apresentar um cenário positivo e idealista, passando culpas de eventuais falhas para outros, em lugar de preparar as pessoas para uma experiência por vezes imperfeita de uma app com claras e evidentes limitações.

O escudo e a luz verde: comunicação, interface e transparência

Já abordámos como a comunicação à volta da app contribuiu para uma noção irrealista da sua verdadeira eficácia. Mas além da projeção mediática, encontramos outras evidências de uma comunicação excessivamente otimista no próprio interface da aplicação.

No desenho da Stayaway, optou-se pela metáfora das cores do semáforo para sinalizar os dois estados possíveis da aplicação: a cor verde para assinalar a ausência de contacto detetado, e a cor amarela para o alerta de possível contacto. O uso da cor verde, associada diretamente à segurança, poderia comportar o risco de esse estado ser interpretado como estando tudo bem, embora o máximo que a app possa assegurar seja a deteção de contactos entre smartphones, e nada pode dizer sobre outros potenciais contactos ocorridos. Este risco veio ser comprovado nas declarações do próprio Primeiro-Ministro em setembro de 2020: "Eu uso [a Stayaway], e é com muita satisfação que, todos os dias de manhã, tenho verificado até agora que ainda não estive próximo de alguém que era um contacto de risco”. Ora, aqui manifesta-se o equívoco de confundir a luz verde da app com não ter tido qualquer contacto de risco – uma conclusão que reforça uma falsa e perigosa ilusão de segurança.

O uso de um escudo como símbolo da app também merece referência. O escudo sugere proteção pessoal, mas o princípio do rastreio de contactos é a proteção comunitária. O rastreio serve para permitir a análise das cadeias de transmissão, e trata-se de um mecanismo de deteção, não de proteção – esse é o papel das vacinas e sistemas de saúde funcionais. É reforçada uma imagem de segurança na medida que a app assume a forma de um objecto de defesa pessoal, contribuindo para a imagem da app como um mecanismo de proteção que permite a cada pessoa "ficar longe com um clique", que já articulámos como sendo potenciador de mal-entendidos e, novamente, de falsas sensações de segurança. A confusão é reforçada pelas palavras do Ministro da Ciência, Tecnologia e Ensino Superior quando afirmou que "a aplicação não cura mas previne".

No anúncio, as pessoas surgem envolvidas por barreiras protetoras, num cenário clínico e estéril. Uma analogia visual mais apta seria representar os telemóveis das pessoas formando uma densa rede, traçando caminhos que depois são "ativados", avisando as pessoas de potenciais contactos perigosos. Assim, evitar-se-ia a associação confusa à proteção individual, retratar-se-ia mais fielmente o processo de funcionamento do ecossistema de apps interconectadas, e manter-se-ia o espaço para informar que o mecanismo de deteção pode não funcionar 100% das vezes.

Tornou-se também confuso entender sob quem recaía a responsabilidade sobre a app e quem a operava efetivamente – se o Inesc Tec, o Governo ou o Ministério da Saúde. Muitos dos anúncios públicos relativos à app foram feitos por diretores do Inesc Tec ou pelo próprio Primeiro-Ministro, em vez da Ministra da Saúde ou da Diretora-Geral da Saúde, cujas declarações sobre o assunto se focaram na divulgação de números e de incentivo à adoção. Esta confusão foi exacerbada pelo anúncio da eventual obrigatoriedade da app. O Primeiro-Ministro foi o rosto público desta medida, e os diretores do Inesc Tec foram rápidos a distanciar a instituição, descrevendo a medida como uma "decisão política" e declarando terem sido "apanhados de surpresa", com o conselheiro de ética e saúde da Stayaway a juntar-se aos protestos. Finalmente, na página da app na Google Play Store, encontramos uma conta chamada "FCT FCCN" a responder oficialmente aos muitos comentários de utilizadores, juntando-se à mistura de entidades com papéis públicos no projeto.

Todos estes elementos contribuem para a conclusão de que a comunicação da app esteve empenhada somente em proporcionar uma fachada de auto-confiança e fé no sucesso da aplicação, negligenciando princípios de transparência elementar e de franqueza na altura de endereçar a eficácia do sistema. A título de exemplo, não sabemos ainda o custo real desta experiência. Foram gastos 400 mil euros de dinheiros públicos (providenciados pela FCT) no desenvolvimento da aplicação, somados aos ainda não revelados custos de manutenção e de implementação do sistema de emissão de códigos. Não temos acesso às fontes que permitiriam estimar melhor quanto, realmente, a Stayaway nos custou em dinheiro e tempo. As organizações que poderiam trazer alguma luz ainda não o fizeram.

O jogo das culpas não serviu ninguém

Houve queixas persistentes por parte dos proponentes da app sobre a responsabilidade dos médicos pelo baixo volume de códigos introduzidos na app; a CNPD também foi alvo de críticas por supostamente estar a bloquear medidas para assegurar a eficácia da app. Até ao momento, nenhuma parte assumiu responsabilidade explícita no insucesso da aplicação. A admissão do governo limitou-se a reconhecer que a app não funcionou como planeado; o Inesc Tec admite também que a app falhou, mas dilui a responsabilidade distribuindo-a por uma massa indefinida, dizendo que "falhámos todos".

Quanto à responsabilidade dos médicos, parece-nos evidente que o tiro foi ao lado, pois o aparente bloqueio veio de lacunas na implementação do sistema de emissão dos códigos dentro do SNS. Eventualmente os proponentes da app refrearam os ataques à classe médica, apontando o dedo à implementação do sistema de códigos. Tal, no entanto, não explica tudo nem providencia um bode expiatório confortável. Contactámos médicos e associações do setor para melhor compreender o que se passou, e os esclarecimentos que obtivemos apontam para alguns fatores que foram pouco explorados no debate mediático sobre o problema dos códigos:

  • Outras tarefas tinham necessariamente maior prioridade, tal como o cuidado dos pacientes, supervisão e medicação, num contexto de sobrecarga de esforços
  • Criou-se aversão à app na sequência do anúncio da eventual obrigatoriedade da Stayaway
  • Não se promoveu adequadamente a app junto dos profissionais, sem apoio das associações médicas e uma fraca formação por parte do ministério, com alguns webinars para lembrar os médicos que a app existia
  • Ao contrário de outras funcionalidades da TraceCovid (o sistema geral de resposta à pandemia), a Stayaway não apresentava nenhum benefício operacional para o setor médico – tal como a possibilidade de automaticamente mapear cadeias de transmissão – o que a tornou uma prioridade menor face a outras tarefas e processos
  • A existência de falhas e indisponibilidades do sistema, junto com insuficiências como a incapacidade de consultar os códigos mais tarde para pacientes que se haviam esquecido de os pedir na consulta.

Na entrevista onde afirmou que "falhámos todos", Rui Oliveira justificou o fracasso com dois fatores que abordam o baixo número de códigos gerados: uma mobilização insuficiente dentro do SNS à volta da app, e preocupações excessivas com a privacidade, que terão posto em causa o envolvimento de laboratórios privados na emissão de códigos, e impedido a geração automática de códigos sem intervenção de um médico. Na mesma entrevista, Oliveira refere que apenas um terço dos códigos emitidos pelos médicos foram efetivamente introduzidos pelos pacientes – uma proporção que os números oficiais revelam ser de menos de um quarto. Uma vez que a crítica do Inesc Tec se foca na geração dos códigos pelos médicos (e não na introdução pelas pessoas), a baixíssima adesão por parte dos cidadãos fica por explicar.

Não encontrámos instâncias em que os proponentes da app tenham endereçado os outros problemas encontrados – a falta de fiabilidade da própria app na altura de detetar contactos, ou os diminutos números de códigos introduzidos. O Inesc Tec assumiu um forte protagonismo mediático nas acusações que fez à classe médica e à burocracia do SNS no falhanço da Stayaway, mas deixou completamente de fora o óbvio impacto que a medida da obrigatoriedade por parte do governo provocou na confiança das pessoas. Importa mencionar que o CEO da Ubirider, parte do consórcio que desenvolveu a aplicação, classificou a medida do governo como a "machadada final" no percurso da Stayaway, mas os representantes do Inesc Tec (que tiveram uma presença mediática maior e mais persistente) nunca apontaram esse fator. O Governo também não assumiu publicamente qualquer responsabilidade pelo efeito da sua controversa medida.

Nenhuma análise póstuma da experiência Stayaway pode ignorar o papel das limitações técnicas óbvias da app e da medida do governo de tornar a app obrigatória, como causas significativas de uma crescente desconfiança na aplicação, evidenciada pela baixa proporção de códigos introduzidos pelas pessoas depois de os obterem, e também pelos números irrisórios de adoção ao longo da terceira vaga de janeiro a março de 2021. Sem a confiança pública para sustentar a adoção massiva, até uma app funcional encontraria o mesmo fracasso.

A CNPD e as insuficiências do processo legislativo

A Stayaway exigia um enquadramento legal específico, e como tal foi aprovado em Conselho de Ministros um decreto-lei para a enquadrar. Tal como qualquer proposta que envolva tratamento dos dados pessoais dos cidadãos, foi chamada a autoridade nacional de proteção de dados (CNPD) a dar o seu parecer. Note-se que o parecer da CNPD foi pedido no próprio dia da aprovação na generalidade do diploma, o que é irregular. Mesmo assim, o parecer limitou-se a apontar a necessidade de esclarecimentos formais e concretização de ambiguidades fundamentais motivadas por lacunas no texto original.

Meses mais tarde, a CNPD foi frequentemente alvo de críticas por ter impedido a inclusão do setor privado e/ou profissionais de saúde que não médicos no universo de entidades emissoras de códigos. No entanto, no parecer da CNPD encontramos uma postura bem diferente da que foi denunciada:

"...considera-se que a obtenção de um código de legitimação de diagnóstico (...) só poderá ser concretizada por um médico e não por outro profissional de saúde. Consequentemente, não se entende porque não fica esta questão definida na lei, desde já, em vez de deixar em aberto a possibilidade de o responsável pelo tratamento decidir noutro sentido."

E continua:

"Mais, não é definido – como deveria ser no plano legislativo – qual o universo de profissionais de saúde (médicos) que se prevê que intervenham no sistema, se apenas os do setor público ou se também os do setor privado, o que poderá resultar num alcance bastante diferenciado da aplicação, comprometendo desde logo a sua finalidade e eficácia."

Ou seja, a própria CNPD destaca que não envolver o setor privado poderia ser limitativo da eficácia do sistema, para mais tarde se ver acusada de ter bloqueado o acesso aos privados – bloqueio esse que foi proporcionado apenas e só pelo legislador que entendeu colocar essa restrição.

Mais tarde, depois de toda a polémica à volta da obrigatoriedade da app e da constatação geral que havia problemas técnicos, começou a ser apontado publicamente pelos proponentes da app que eram necessárias alterações legislativas para permitir um alargamento da esfera de ação do sistema Stayaway. É assinalável que a proposta de alteração legislativa para responder a essas insuficiências só surge em março de 2021, mais de meio ano depois do projeto-lei original, e meses depois da evidência que a Stayaway tinha problemas de implementação e adesão. Na verdade, em março de 2021 o uso da aplicação já era praticamente inexistente, quando em fevereiro já se havia registado vários dias em que nenhum código foi introduzido pelas pessoas, sinalizando o abandono generalizado.

Ou seja, a iniciativa de melhorar o enquadramento legal da Stayaway para responder às preocupações dos proponentes da app foi tomada inexplicavelmente tarde, quando já não poderia ter qualquer efeito. Vale a pena repetir a visualização no tempo para perceber a magnitude do atraso:

Linha temporal da Stayaway

No entanto, não se viram críticas a esta lentidão, regressando as acusações à CNPD por alegadamente ser a responsável pelo atraso na aprovação da alteração. Efetivamente, a CNPD voltou a apontar insuficiências na nova formulação do projeto-lei, sendo uma delas a indefinição (novamente) da figura do "profissional de saúde", um reparo que já tinha sido feito aquando do projeto-lei original e que inexplicavelmente volta a surgir – não há aqui, claramente, mérito por parte do legislador em assegurar um processo expedito de aprovação, ao repetir lacunas anteriores que inevitavelmente resultariam na repetição da anterior crítica da CNPD.

Não encontrámos, na nossa extensa análise de imprensa, qualquer menção a este grande atraso na legislação, ou sequer às insuficiências do projeto-lei e da subsequente proposta de alteração, que poderiam ter sido evitadas com uma maior diligência por parte do poder legislativo, bem como com uma melhor articulação entre este e a CNPD. A clara disfuncionalidade do processo legislativo para enquadrar uma nova medida de saúde pública mereceria um escrutínio mais próximo, para melhor se saber reagir à próxima crise.

O rastreio manual foi negligenciado

A Stayaway foi sempre apresentada como uma medida secundária para reforçar o rastreio manual de contactos – o esforço de contactar as pessoas infetadas e tentar determinar os possíveis contactos que tiveram recentemente, de forma a mapear redes de transmisão. Tal caracterização foi regularmente mencionada em resposta a críticas sobre lacunas e problemas na aplicação, defendendo-a apenas como um meio secundário e não uma medida de saúde pública por si.

No entanto, desde o início da pandemia que o rastreio manual se caracterizou por enormes défices de orçamento e recursos humanos: em novembro, durante a segunda vaga, o Exército juntou-se aos esforços de rastreio manual, junto com medidas de emergência para integrar estudantes de enfermagem e professores sem horário (e sem formação especializada na área da saúde). Houve momentos de desfalque agudo, como a revelação de que apenas duas em cada dez pessoas estavam a ser efetivamente acompanhadas pelo sistema de rastreio manual. Permanecerá a dúvida se esta situação poderia ter sido aliviada se parte dos orçamentos disponíveis e da atenção pública não estivessem desviados para uma medida de rastreio secundária e experimental.

Esta situação é ainda mais incompreensível na medida que o rastreio manual e a testagem massiva foram sempre apresentados (e reforçados por evidência académica) como sendo os meios mais eficazes de mapeamento de cadeias e prevenção de transmissão. A prioridade dada a uma aplicação experimental deve ser destacada face a este contínuo défice de recursos para meios de eficácia comprovada, défice que ainda hoje persiste.

Como fazer melhor da próxima?

A noção de que talvez a tecnologia constitua uma fonte de problemas e injustiças, e que as pessoas possam ser vistas como uma fonte de soluções, muito raramente entrou nas políticas públicas, ou sequer na consciência pública.

—Ursula M. Franklin, The real world of technology, 1992

Não funcionou e teve consequências

Como articulámos antes, mesmo com a maior generosidade temos de concluir que a experiência Stayaway não funcionou.

Durante esta experiência, o rastreio manual – a medida de combate à pandemia que a app supostamente iria apenas complementar – teve falhas gravíssimas. As notícias sobre estes problemas ficaram sempre em segundo plano face ao mediatismo da Stayaway, e a campanha publicitária da app foi muito mais visível do que qualquer esforço de informação pública sobre a importância do rastreio manual.

Uma consequência clara foi um desgaste da confiança da população em apps de saúde pública, algo que vai complicar esforços futuros. Outras apps futuras, mesmo que funcionais e promissoras, passarão a ser alvo de desconfiança à partida por parte de quem viu as suas esperanças na Stayaway desaparecerem numa notificação não recebida.

Outro efeito negativo, difícil de quantificar, é o desgaste provocado junto da classe médica, que se viu alvo de culpas do fracasso de um sistema que não foi devidamente desenhado para corresponder às necessidades no terreno. Chegar a casa, depois de turnos contínuos a segurar a unidade de cuidados intensivos, e deparar-se com declarações acusatórias – não é a forma de tratar os profissionais envolvidos ativamente no esforço de resposta à crise pandémica. Acrescentemos também o igualmente inquantificável stress causado a quem recebeu notificações erróneas e seguiu os conselhos da app para se isolar desnecessariamente.

E mesmo que a app funcionasse? É aceitável, em nome de uma tecnologia experimental e de eficácia não comprovada, apressar parcerias de saúde pública com grandes empresas tecnológicas que recebem dados de saúde identificáveis, sem qualquer auditoria ou supervisão? Mesmo quando se tornou claro que nem elas podem garantir que os nossos dados permanecem seguros, como demonstrado pela falha de segurança revelada em maio de 2021?

O fracasso do tecno-deslumbramento

Concluímos que a Stayaway foi apresentada como um recurso suplementar que se pode lançar sem grandes receios, que no pior dos casos simplesmente não terá efeitos negativos; esta postura está patente na repetição, nas mais altas instâncias, que "se a app salvar uma vida, já valeu a pena". Em alternativa, defendemos que a aplicação devia ter sido tratada como um recurso de potencial eficácia, mas que pode comportar efeitos prejudiciais se não devidamente estudada e testada, e como tal requer particulares cuidados na sua análise e estratégia de adoção.

Embora conscientes do pânico e instabilidade vividos na altura de considerar as possíveis medidas de combate à pandemia – recordemos que começou a ser equacionada um mês depois do início da primeira vaga em Portugal –, tivemos o cuidado de não tomar como premissa os factos que apenas conhecemos hoje como devendo ter sido considerados na altura. No entanto, meses antes do lançamento da app já existiam estudos e perspetivas que punham em questão o otimismo e fé nesta solução tecnológica e moderna baseada em Bluetooth.

Apelidamos de "tecno-deslumbramento" a doutrina que exalta a supremacia de "soluções" digitais inovadoras, contemplável apenas segundo a sua dimensão técnica, desprezando qualquer influência de outra ordem que não a técnica, encarando os direitos humanos e a legislação como indesejáveis obstáculos que devem ser ultrapassados em nome da inovação. O mantra de Silicon Valley "Move fast and break things" ajuda a caracterizar essa postura de implementação rápida de "soluções" inovadoras, mesmo consciente de que pode haver riscos e efeitos negativos dessa corrida para pôr novas tecnologias no terreno.

Como constatamos agora, tal princípio não se traduz nada bem para iniciativas de saúde pública, que exigem uma análise e debate bem mais profundos do que o modelo de negócio de uma startup. Reconhecemos no discurso oficial de apologia da app, com a ênfase na inovação, tecnologia de ponta e engenharia de excelência, uma manifestação evidente desta doutrina, e afirmamos a insuficiência da postura tecno-deslumbrada em responder eficazmente a contextos sociais que extravasam a simples engenharia.

A arrogância do sector tecno-deslumbrado também está visível na primazia da engenharia em detrimento de qualquer outra área de estudo, como as ciências sociais. Vários dos problemas que foram constatados no terreno, apresentados como imprevisíveis pelos proponentes da Stayaway, poderiam ter sido facilmente identificados se a equipa de desenvolvimento pudesse contar com o contributo de especialistas em sociologia (para compreender a recepção pública), direito e ciência política (para formular devidamente a legislação necessária), proteção de dados (para antecipar potenciais problemas que possam causar atrasos na implementação) ou design de interfaces (para identificar as metáforas de comunicação adequadas). Não deixamos de expressar algum estarrecimento ao ler, recentemente, académicos e deputados a absolver a aplicação de qualquer defeito, apontando o dedo à opinião pública, defensores da privacidade ou (mesmo agora) aos médicos, validando a perspetiva tecno-deslumbrada mesmo quando esta não tem qualquer vitória para apresentar depois da experiência.

Agora que estamos na fase de tirar conclusões, torna-se claro que as novas tecnologias, sobretudo as de carácter experimental, devem ser profundamente escrutinadas e encaradas com reserva face às promessas exaltadas de quem as avança. Encontramos outra evidência desta necessidade de algum ceticismo numa análise recente do MIT que demonstra a ineficácia de todas as novas soluções baseadas em inteligência artificial para abordar a pandemia. Não deve haver lugar para o tecno-deslumbramento na formulação de políticas de saúde pública.

De quem é a responsabilidade?

Dentro de qualquer noção de responsabilidade democrática, é imperativo identificar o que correu mal e a cadeia de responsabilidades que levou a tal desfecho. A publicação deste relatório responde à clara insuficiência, por parte das entidades envolvidas, em realizar qualquer tipo de esclarecimento pós-facto.

Na sequência do que articulámos na secção anterior, identificamos responsabilidades evidentes por parte de algumas entidades no cenário que agora constatamos:

  • o poder legislativo e o Governo, pela lentidão na adequação das suas propostas às necessidades reais, pela persistente hostilização da CNPD como entrave a um trabalho que, como expusemos, podia ter sido muito melhor executado, e pela desnecessária politização da app que se revelou um fator incontornável no seu insucesso
  • os proponentes da app, pela desnecessária comunicação pública centrada no desvio de responsabilidades e acusação de terceiros (dedicando particular atenção aos médicos), e pela falta de clareza e transparência no desenvolvimento e desenrolar da aplicação
  • toda a estrutura responsável pelo sistema Stayaway (tanto a app como o sistema de códigos), pelas claras falhas em gestão de projeto, trabalho em conjunto e incapacidade de implementar um sistema eficaz em tempo útil

Existiu um grave défice de transparência. Em algum momento o Governo ou os promotores da Stayaway veicularam que o grau de fiabilidade da app era impreciso; algo que já tinha sido sugerido por estudos prévios ao lançamento (e confirmado por estudos posteriores), e a baixa eficácia da app foi facilmente comprovada pelo público ao não receber notificações quando sabia que deveria. Se tivesse existido outro grau de modéstia na comunicação, repensando a sua caracterização mediática como um imaculado escudo flutuante, e um pouco menos de destaque a slogans e mais à informação, talvez a confiança nesta app (e em apps futuras) não tivesse sido posta em causa da forma como foi.

A CNPD é das poucas entidades que pode reclamar mérito em todo este episódio, não só pela postura vigilante e pró-ativa face aos dilemas que a nova legislação trouxe, como soube identificar (sob críticas) os riscos de depender das grandes tecnológicas para implementar esta medida de saúde pública. A grave falha de segurança no Android revelada em maio (e cuja existência a Google já conhecia desde fevereiro, mas não transmitiu) veio demonstrar como a CNPD tinha razão ao apontar esse risco ainda antes do lançamento da app, e como é merecedora da confiança que não teve e que foi, em vez disso, concedida às grandes tecnológicas que não souberam estar à altura da responsabilidade de serem parte de um esforço de saúde pública. A aparente barreira e hostilidade expressa face à CNPD por parte do poder legislativo parece ser também um obstáculo que permanecerá na altura de reagir rapidamente à próxima crise.

Notas finais

Esperamos que este documento possa ressuscitar o necessário debate sobre mecanismos digitais de saúde pública, até onde podemos esticar os direitos das pessoas, e em nome de quê será legítimo questionar esses direitos. Ainda hoje encontramos anúncios nos transportes públicos a instalar a aplicação, bem como posturas revisionistas que culpam a "opinião pública" pelo insucesso desta experiência. Temos a esperança que este documento possa ajudar a re-erguer a necessária seriedade no discurso que, como tristemente constatamos, também parece ter sido posta de parte por quem tem a obrigação de abordar o assunto de forma séria.

Os autores deste relatório também partilham da ansiedade que a pandemia veio provocar, e também mantêm o desejo honesto de que haja contributos para o seu combate na forma de apps ou outras soluções digitais -- é sem cinismo que afirmamos que gostávamos que a aplicação tivesse funcionado, e que esperamos que novas tentativas possam ter melhores desfechos.

Mas, para isso, é urgente elevar o debate sobre o digital, compreendendo a forma como molda e afecta a nossa estrutura social e a nossa integridade mais íntima, para evitar ingenuidades que motivaram boa parte dos erros identificados em todo este processo, e que ainda alimentam análises irresponsavelmente superficiais por parte de quem tem obrigação de fazer melhor. Uma abordagem mais sensata e experiente saberia também evitar os problemas que já surgiram com o certificado digital.

Com a publicação deste relatório, esperamos que outras análises possam surgir e complementar a necessária compreensão sobre como poderemos fazer melhor da próxima, enquanto cidadãos que acreditam -- mas não cegamente -- no potencial do digital.

Cólofon

  • Coordenação, edição e dados: Ricardo Lafuente
  • Website: Ana Isabel Carvalho
  • Contributos: Eduardo Santos, Hugo Peixoto, Marcos Marado, Paula Simões, Tiago Epifânio

Este projeto foi apoiado pelo European AI Fund, uma iniciativa conjunta da Network of European Foundations (NEF). A responsabilidade pelo projeto recai sob os organizadores e o seu conteúdo poderá não refletir as posições do European AI Fund, NEF ou as Fundações Parceiras do European AI Fund.

Agradecimentos

  • à Liberties.eu e ao European AI Fund, pela atribuição de uma bolsa para desenvolver um capítulo sobre Portugal para um relatório sobre as ARCs na Europa, que serviu de base para este documento.
  • a todos os membros e simpatizantes da D3 que, num momento ou noutro, participaram no animado debate interno que mantivemos durante meses à medida que tentávamos compreender toda a situação e formular argumentários à volta dela
  • ao Rui Cavaco, por nos ter apontado os datasets do Trinity College Dublin
  • ao Inesc Tec, por ter facultado os datasets dos códigos introduzidos e número de downloads