Pela defesa dos direitos digitais em Portugal




O Governo anunciou as medidas de contenção que os banhistas devem adoptar nas praias, a partir de 6 de junho.  Segundo a Sapo Tek, "o Primeiro Ministro disse que os portugueses devem instalar a app Info Praia, da Agência Portuguesa do Ambiente, onde podem verificar, através de um código de cores - verde, amarelo ou vermelho - se a praia onde se pretendem deslocar está livre, ocupada ou cheia".

Contudo, basta uma pequena visita à página desta aplicação na Google Play para verificar que esta app é na verdade um exemplo a não seguir.

info praia

As autorizações pedidas por todas as versões desta aplicação são as seguintes:

- Localização
localização aproximada (baseada na rede)
localização precisa (GPS e baseada na rede)

- Microfone
gravar áudio

- ID do dispositivo e informações de chamadas
ler o estado e a identidade do telefone

- Telefone
ler o estado e a identidade do telefone

- Armazenamento
ler o conteúdo do seu armazenamento USB
modificar ou apagar o conteúdo do seu armazenamento USB

- Fotos/multimédia/ficheiros
ler o conteúdo do seu armazenamento USB
modificar ou apagar o conteúdo do seu armazenamento USB

- Outro
ver ligações de rede
acesso total à rede
alterar as suas definições de áudio

Numa primeira análise, as autorizações pedidas pela app parecem claramente excessivas. No entanto, algumas funcionalidades podem obrigar a requerer este tipo de autorização ao utilizador. Infelizmente, não podemos saber que dados são recolhidos por esta aplicação e de que forma são utilizados, pois a política de privacidade listada na Google Play remete para o seguinte endereço: https://snirh.apambiente.pt/index.php?idMain=1&idItem=2.1, o qual não é uma política de privacidade.

Por não ter o seu código aberto e disponível, por pedir permissões excessivas, e por não fornecer sequer uma política de privacidade, a app Info Praia merece desde já uma grande bandeira vermelha em relação à sua utilização.

 Nota: no site Rastreamento.pt, a D3 irá acompanhar de perto o tema das apps de rastreamento de contactos.

 

Actualização: Algumas pessoas reportam que a app já não pede todas estas permissões. Duas situações a distinguir: Em primeiro lugar, quando se visita a página da Google Play através da própria aplicação no telemóvel, esta apenas apresenta as permissões correspondentes à versão da app apropriada para o telemóvel em causa. Para verificar as autorizações "para todas as versões desta aplicação", conforme aparece na imagem, é necessário abrir a ligação num browser. Em segundo lugar, vários membros da D3 confirmaram que todas estas permissões eram listadas ao consultar a página da app através de browser aquando da publicação do texto, conforme aliás temos documentado através de screenshots e video. Desconhecemos a razão para esta divergência, talvez a app tenha sido entretanto actualizada ou talvez tenham sido removidas versões antigas. É uma questão à qual não podemos responder com certezas, apenas os responsáveis pela app saberão responder.

 

app info praia2

 

[18 de Maio, 14h05] Actualização:

Em declarações ao Observador, e também através de comunicado no seu site, a Agência Portuguesa do Ambiente veio declarar, na sequência do nosso artigo, que a origem das permissões supra identificadas estaria numa versão beta da aplicação, que não chegou a ser disponibilizada ao público. Comunicou também que essa versão foi entretanto removida, e que portanto a página da aplicação da Google Play lista agora somente as autorizações que a app efectivamente utiliza, nomeadamente de localização e de acesso à rede. Cabe salientar que a ideia realçada no comunicado, nomeadamente quando este refere que "a aplicação não requer registo de utilizador, não recolhendo assim qualquer dado pessoal", é uma ideia em si mesma errada. Efectivamente, podem ser recolhidos dados pessoais sem que haja um mecanismo de registo de utilizadores. No entanto tal é apenas um detalhe, que não podíamos deixar de apontar, mas consideramos muito positivo que a A.P.A. tenha explicado a origem das permissões listadas, e que a versão da aplicação que as utilizava não tenha chegado a estar disponível ao público. A A.P.A. não comentou a ausência de política de privacidade ou o facto de o código da aplicação não estar aberto e disponível ao público (o que por si só teria desde logo evitado que esta questão tivesse sido levantada - consultar a campanha Dinheiro Público, Código Público). Justifica-se assim a troca da bandeira vermelha por uma amarela.