Durante a pandemia de Covid-19, a tecnologia esteve na frente e no centro das situações, apresentando alguns problemas e desafios. O uso de aplicativos como comprovante de vacinação e como validação de resultados de testes é a última de uma longa lista de tecnologias que têm levantado dúvidas em relação à privacidade e segurança. O conceito é muito simples: fornecer uma comprovação de identidade, digital e verificável, e um comprovante de vacinação ou um teste para validar um diagnóstico de Covid-19 negativo (ou ambos).
À medida que os países, estados e cidades reabrem e permitem reuniões em massa e eventos em espaços fechados, muitos exigem certificados de vacinação antes da entrada ou que confirmem o resultado negativo de um teste. Embora muitas autoridades tenham evitado ir contra os direitos dos cidadãos implementando que a vacinação é um requisito para levar uma vida normal, como jantar em um restaurante ou assistir a um concerto ou show, a variante Delta está fazendo com que os governos reconsiderem isso. A necessidade de usar passaportes sanitários que comprovem que uma pessoa recebeu a vacina está crescendo e apresenta dois desafios, o primeiro é o direito à privacidade e o segundo é como a tecnologia pode ser usada para oferecer com segurança a funcionalidade requerida.
Medidas
Ter que declarar o recebimento de uma vacina pode ser visto como uma possível violação da privacidade de uma pessoa por ter que compartilhar dados médicos pessoais com a pessoa e organização que precisam verificar essas informações. Antes de entrar no trem da privacidade e contestar essa medida, tenha em mente que as informações sobre as vacinas que uma pessoa recebeu já estão sendo compartilhadas: com razoável certeza, podemos dizer que 99% dos alunos que vão para a escola nos Estados Unidos e em outros países receberam pelo menos uma vacina de algum tipo, incluindo aquelas que protegem contra sarampo, caxumba e rubéola, poliomielite e difteria. Existem algumas exceções para aqueles que se opõem à vacinação por razões médicas, religiosas ou filosóficas, mas a maioria dos alunos foi vacinada. No estado da Califórnia, onde moro atualmente, todas as escolas são obrigadas a verificar os registros de vacinação de todos os novos alunos da pré-escola até o ensino médio. A validação é para cinco vacinas diferentes.
Há outro grupo de residentes nos Estados Unidos que, com ainda mais certeza, pode-se dizer que recebeu as mesmas cinco vacinas que são exigidas aos alunos nas escolas da Califórnia: os portadores de green card. Em 1996, o Congresso aprovou uma legislação que determina que todos os imigrantes que buscam residência permanente devem apresentar comprovante de vacinação e, sem esse comprovante, seu pedido pode ser negado. Quem já passou por esse processo atestará que terá que ser vacinado - no meu caso, lembro perfeitamente que tomei as cinco vacinas em apenas uma tarde.
Estabelecer como requisito obrigatório que crianças e, em alguns casos, adultos, recebam certas vacinas não é algo exclusivo dos Estados Unidos. Na Europa e na América Latina, muitos países, como França, Itália ou Argentina, exigem várias vacinas por idade, enquanto outros países optam por permitir a liberdade de escolha. O argumento de não querer declarar que a vacina contra a Covid-19 ou contra outra doença foi recebida por causa de dados médicos pessoais é significativamente enfraquecido quando temos em conta os cenários destacados acima.
Devido à variante Delta e ao novo aumento nas infecções pela Covid-19, o prefeito da cidade de Nova York (NYC), Bill de Blasio, anunciou recentemente que, para funcionários e clientes de restaurantes e academias que realizam atividades em espaços fechados, será necessário apresentar um certificado de vacinação. A cidade de NYC oferece várias opções para verificar o estado de vacinação: o Cartão de Registro de Imunização do Centro de Controle e Prevenção de Doenças (CDC), o aplicativo Excelsior Pass ou o aplicativo NYC COVID SAFE, sendo este último a opção para visitantes da cidade de Nova York. É incomum, e provavelmente confuso, para uma única autoridade adotar três soluções diferentes. Cada um desses sistemas, ou cartões, oferece diferentes níveis de verificação, mas todos são aceitos para entrar na cidade de Nova York quando necessário. Aqui estão as diferenças:
- Cartão de registro de vacinas do CDC - É um pequeno cartão de papel, ligeiramente maior do que um cartão de crédito, que inclui o nome e o sobrenome, a data de nascimento e os detalhes do tipo de vacina, incluindo a primeira e a segunda dose. Quando recebi a vacina, deram-me o cartão com o campo correspondente à dose pré-carregada, mas o resto do cartão estava em branco para que eu pudesse preenchê-lo. Se isso não fosse um problema o suficiente para aqueles preocupados com a correta identificação do titular do cartão, médicos, bares e restaurantes têm vendido cartões falsos por apenas US$20. Um cartão de papel sem validação de identidade parece ser tão útil quanto um café. Na verdade, um café pode ser mais útil, já que é possível tomá-lo.
- App NYC COVID SAFE - O aplicativo tira uma foto do registro de vacinação dos CDCs ou seu equivalente internacional e a armazena como uma imagem que se torna um certificado de vacinação digital. Um café digital.
- Excelsior Pass, uma solução desenvolvida pela IBM que utiliza o estado de Nova York, usa blockchain e tecnologia de criptografia para garantir que os dados pessoais sejam mantidos em sigilo e segurança. O usuário deve se cadastrar usando as informações fornecidas no momento da vacinação: nome, data de nascimento, CEP e telefone. Isso concede acesso ao status de imunização do usuário no Banco de Dados de Imunizações do Estado de Nova York. O aplicativo então cria um passe que pode ser escaneado e pode ser armazenado na carteira do passe - o documento contém um código QR, nome e data de nascimento. A falha aqui é que o passe não identifica o dono do dispositivo como a pessoa que recebeu a vacina. Para uma verdadeira verificação, o verificador precisaria ver uma prova oficial de identidade com uma foto da pessoa, como uma carteira de motorista ou passaporte. Isso deixa o aplicativo vulnerável para fraudes, seja por meio de uma cópia do código QR e detalhes capturados de outro dispositivo ou o usuário se conecte com informações do registro de vacinação de outra pessoa. Ao entrar em um grande evento esportivo, o passe será escaneado ou a identidade será verificada? Suspeito que só será escaneado.
Muitos governos em todo o mundo adotaram, ou espera-se que adotem, aplicativos e soluções semelhantes aos escolhidos pela cidade de Nova York. Espero que a maioria use algo semelhante ao Excelsior Pass, onde os dados do usuário são verificados para criar o passe e, em seguida, apenas o código QR e os dados mínimos do usuário são armazenados no registro do passaporte de vacinação no dispositivo, como nome, data de nascimento e data de vacinação. O governo canadense anunciou recentemente o uso de um sistema semelhante. A proposta neste momento é incluir os dados mencionados e qual vacina a pessoa recebeu, o que pode ser útil para viagens internacionais, mas em nível nacional não sei por que este ponto de dados é necessário.
Inconvenientes
Curiosamente, e digo isso sarcasticamente, a Califórnia adotou uma abordagem híbrida em que o status da vacinação pode ser examinado usando os dados fornecidos no momento da vacinação. O sistema pede um PIN e, em seguida, envia um link via SMS para verificar o PIN e um registro de vacinação é baixado, um código QR e detalhes limitados são exibidos e se recomenda fazer uma captura de tela para ter um registro. Não existe aplicativo, o código QR só é válido para quem possui um scanner de saúde inteligente e a imagem do aparelho é salva na galeria. Como pode uma das maiores economias do mundo e a casa do Vale do Silício entender isso tão mal?
Quando a equipe do evento ou local lê o código QR, eles recebem a verificação do banco de dados oficial de vacinação associado ao código QR. Em seguida, alguns aplicativos solicitam a validação do titular do passe, solicitando permissão para acessar o seu registro; isso mostra sua foto e o comprovante de vacinação ao solicitante. A autenticação do aplicativo impede a cópia do código QR e o acesso ao registro de vacinação sem a permissão do titular verificado.
Um verificador mal-intencionado pode configurar seu dispositivo para fazer capturas de tela de todos os passes e identidades das pessoas que verifica e obter dados pessoais mínimos, que na maioria dos casos já são públicos, como nome e data de nascimento. No entanto, o status de vacinação não é um registro público. Para que o status de vacinação pode ser utilizado? Talvez para um golpe personalizado? Não havia endereço de e-mail associado aos dados, então seria difícil de criar e exigir dados adicionais. Conforme mencionado, em muitos países as vacinas são obrigatórias e, tanto quanto eu sei, não tem ocorrido casos de ataque a essas informações.
Há algum tempo, a indústria de eventos usa códigos QR para substituir códigos de barras ou ingressos físicos, como o SafeTix. Estes sistemas baseiam-se na criação e atualização do código QR periodicamente e na validação do código lido em tempo real. Se esse cenário fosse usado para registros de vacinas, seria necessário que o detentor e o verificador estivessem on-line. O titular abre o aplicativo e o código QR é criado a partir dos dados previamente cadastrados no aplicativo; o verificador faz a varredura do código e o valida no banco de dados central em tempo real. Se o aplicativo permanecer ativo, o código QR será atualizado periodicamente. Essa solução evita que várias pessoas usem o mesmo código QR que outras, eliminando a possibilidade de fraude. Se este sistema adicionar uma confirmação quando a varredura for realizada e a necessidade de aprovação, conforme mencionado acima, o cenário provável de códigos QR copiados ou falsos sendo usados seria mínimo ou potencialmente inexistente.
Outra falha nesta solução sugerida é que existem pessoas que não possuem um smartphone. Isso poderia ser resolvido permitindo-lhes criar um código QR impresso em uma base diária ou semanal, com o código tendo uma data de validade fixa.
Como proteger seus dados ao escolher um aplicativo como credencial de vacinação
Qualquer que seja a solução oferecida pelo governo, estado ou provedor de saúde, a ferramenta deve oferecer privacidade e segurança por padrão, ao mesmo tempo em que fornece à pessoa que precisa verificar seu status de vacinação dados suficientes para ter certeza de que você é a pessoa que recebeu a vacina ou fez um teste. Separei algumas características que recomendo observar ao fazer uso de um aplicativo como uma credencial de saúde digital são as seguintes:
- A criação do passaporte sanitário deve verificar a solicitação com os registros médicos.
- Utilizam apenas os dados mínimos necessários para a confecção do passaporte: nome, data de nascimento e data de vacinação. Suficiente para validar a vacinação e, se necessário, validar a identidade em outra fonte, como carteira de habilitação.
- A comunicação e todos os dados armazenados devem ser criptografados.
- A política de privacidade deve indicar a finalidade do aplicativo e que as informações pessoais não serão compartilhadas com terceiros.
- Não permita o rastreamento de localização e a coleta desnecessária de dados, além dos dados do dispositivo, com o objetivo de aprimorar a experiência do aplicativo.
- Confirmação pelo titular do passe quando o passaporte é escaneado para verificação.
- Baixe apenas aplicativos de uma fonte oficial, como a App Store ou Google Play.
Em países que adotaram a GDPR ou uma legislação de privacidade semelhante, como a CCPA, os aplicativos devem estar sujeitos à regulamentação de privacidade para garantir que o titular dos dados, o indivíduo, tenha a privacidade e a segurança necessárias.
Olhando para trás, que lições devemos aprender com a pandemia em relação à prontidão tecnológica? Quando os reguladores começaram a aprovar as vacinas, os países com sistemas de saúde centralizados recorreram aos dados existentes dos pacientes para administrar as vacinas; alguns não tinham dados centralizados e não conseguiam colocar as vacinas em funcionamento rapidamente, pois precisavam criar sistemas para implementar programas de vacinação em massa. Eles não entenderam que precisariam disso durante os 9-12 meses que o mundo esperou que as vacinas ficassem prontas? As autoridades agora estão construindo sistemas para implementar passaportes de saúde após o lançamento da vacina. Não era óbvio para os tomadores de decisão que o mundo precisaria saber quem foi vacinado para que a normalidade pudesse retornar? Isso não era ciência espacial, mas de alguma forma falhamos na preparação.