quinta-feira, 1 de julho de 2010

DEM, o chip da discórdia

Nos últimos tempos tem havido uma intensa discussão sobre a questão dos chips das matrículas (Dispositivo Electrónico de Matrícula, DEM) e sobre a perda de privacidade que o mesmo poderia criar. Afinal, o que está em causa?

Antes de mais, algumas questões técnicas. O tão falado DEM, tanto quanto me é dado saber, seria um simples marcador RFID (Radio Frequency IDentifier tag). Um marcador deste tipo emite um identificador numérico quando energizado (activado) por uma fonte rádio com uma determinada frequência. Sistemas similares são actualmente usados em bilhética, como no cartão Andante (Metro do Porto) e no cartão Lisboa Viva (transportes públicos de Lisboa), e no pagamento de portagens (Via Verde). Nos dois primeiros casos o marcador é puramente passivo (não possui fonte de energia própria, i.e., bateria) e no último o marcador é activo (possui uma bateria). Esta diferença existe por causa da distância a que o marcador tem de emitir o seu identificador, que tem de ser maior na Via Verde (vários metros) e menor nos cartões Andante e Lisboa Viva (alguns centímetros). Mas, em ambos os casos, os marcadores nada emitem se não forem energizados, e isso implica a existência de uma fonte rádio próxima. Não são, portanto, similares a outros marcadores, como os seguidores GPS (GPS trackers), que enviam dados da localização geográfica do marcador através de meios de comunicação ubíquos (e.g. GSM).


Existem outros chips que usam activação por rádio-frequência mas que emitem sinais diferentes. Por exemplo, os marcadores anti-roubo inseridos nos produtos e que não são removidos (apenas "mortos") no acto da compra não emitem um identificador mas um simples bit que sinaliza que o produto não foi correctamente adquirido. Os passaportes electrónicos, pelo contrário, quando activados emitem um conjunto de informações sobre o titular do passaporte, mas para isso precisam de receber uma chave de leitura dessa informação.


Admitindo que o tão falado DEM é apenas um marcador que emite um identificador (e, note-se, não tenho a certeza absoluta deste facto, porque não estou a par dos pormenores do projecto da sua implantação, mas nada do que li aponta noutro sentido), que problemas para a privacidade dos donos de veículos advêm da sua utilização?


O identificador emitido por um RFID não reflecte nenhum atributo do seu dono, tal como o número de BI não reflecte nenhum atributo de uma pessoa. É meramente um número único. Portanto, a perda de privacidade depende da associação desse número a dados relativos ao objecto (pessoa, carro, etc.) a que é atribuído. Ou seja, se através desse número se conseguir facilmente pesquisar uma base de dados e obter informação privada da pessoa associada ao mesmo, então ele poderá representar uma ameaça à privacidade dessa pessoa.


No caso da bilhética, o normal é associar um crédito a um cartão (ao identificador desse cartão). Não é necessário conhecer dados do dono do cartão (ele não é pessoal e é transmissível), portanto não cria problemas de privacidade directos. No caso da Via Verde, por outro lado, o identificador é associado a uma matrícula, a informação pessoal de uma pessoa e a um cartão multibanco, sendo este último usado sempre que o identificador for lido numa portagem. Neste caso existe uma potencial perda de privacidade de uma pessoa, face à empresa Via Verde, se admitirmos que existe uma relação directa entre a pessoa que está associada ao marcador e a pessoa que conduz a viatura quando a mesma passa numa portagem. No entanto, esta relação não é obrigatória (a pessoa associada a um marcador pode mesmo não ser dona da viatura em que o mesmo é usado), portanto a perda de privacidade é relativa.


Porque razão, então, se pretendia criar um DEM e não usar simplesmente um marcador Via Verde para taxar a passagem nas SCUT? Pelo que li, a questão está relacionada com o controlo de acesso às entidades que têm acesso a mapeamentos entre o identificador do DEM e informação relacionada com o veículo ou com o seu dono. Este controlo passaria a ser feito pela SIEV, SA, que facultaria o acesso a informação a clientes devidamente autenticados e autorizados. Por exemplo, se a polícia tivesse acesso a atributos críticos de um veículo mediante consulta pelo seu identificador via SIEV (e.g. veículo roubado, seguro em dia, inspecção em dia), poderia agir de forma mais célere e eficaz em operações de monitorização local. Ou seja, um carro de uma brigada de trânsito estacionado perto da via de circulação poderia monitorizar todos os veículos que por ele passassem de forma a detectar algo de irregular. E isso não pode ser feito actualmente com a Via Verde.


Sem acesso a bases de dados de mapeamento de identificadores para outros atributos, os problemas de privacidade dos DEM seriam reduzidos, uma vez que apenas permitiriam registar passagens repetidas de um mesmo veículo por um determinado local (onde estaria montado um leitor de RFID). Considerando o nosso modo de vida actual, este seria um problema de privacidade menor: os operadores de comunicações celulares sabem onde estamos, a SIBS sabe onde estamos (admitindo que os cartões multibanco são usados de forma efectivamente pessoal e intransmissível), o Google sabe que sítios visitamos na Internet, etc. Notem, no entanto, que a perda de privacidade (neste caso, de localização geográfica) pode ser benéfica para nos proteger (e.g. detecção de uso de cartões multibanco clonados em instantes temporais próximos mas em locais geograficamente muito distantes).


Há, no entanto, um problema de segurança pessoal inerente aos DEM e à Via Verde: o accionamento de um determinado comportamento à passagem de um veículo bem identificado num determinado ponto. Por exemplo, uma bomba inteligente que deflagrasse à passagem de um determinado veículo pelo local onde ela se encontra colocada. A meu ver, este é um problema bem mais delicado e difícil de resolver do que o da privacidade dos cidadãos, mas que precisa de ser acautelado. E não é paranóia minha, este problema está bem identificado há anos (vejam, por exemplo, este artigo de 2006).

3 comentários:

  1. Em primeiro lugar, os meus parabéns para o André pelo brilhante artigo! Explicou algo que Ministros e Secretários de Estado não conseguiram explicar aos portugueses, apesar das várias questões que lhes foram levantadas.

    Quanto à minha opinião e tentando abstrair-me do facto de estarmos a falar de impostos extra camuflados em portagens, penso que o DEM até seria benéfico, se não fosse obrigatório e se não fosse utilizado apenas para o pagamento de portagens.
    Levanto algumas questões, relativas ao problema da privacidade: As nossas auto-estradas já estão equipadas com câmaras (de trânsito) capazes de identificar qualquer veículo que por elas passe. Mas as empresas concessionárias estão proibidas por lei de realizar tal identificação, então porque havíamos de agora permitir essa identificação através do DEM?
    Depois de permitirmos a identificação dos veículos através do DEM, o que faltará para permitir a identificação dos telefones, telemóveis, computadores e outros dispositivos?
    Quem irá ter acesso a essa informação? Não estaremos a criar um big brother descontrolado, visto até agora em filmes e séries? Não estaremos a permitir o surgimento de novas formas de terrorismo até agora distantes de Portugal?
    Parece-me evidente que a decisão de permitir ou não a sua identificação terá que ser de cada utilizador e não tornada obrigatória por Despacho do Conselho de Ministros!

    ResponderExcluir
  2. Obrigado, Betxu! Talvez seja a minha "veia" de professor, mas aflige-me a quantidade de baboseiras que se diz e que são amplificadas/distorcidas pelos media, de tal forma que no final já ninguém sabe ao certo do que se está a falar.

    Nota, no entanto, uma coisa. Nunca, como hoje, a nossa privacidade esteve em causa. Tudo o que hoje se faz que use meios electrónicos de alguma forma compromete a nossa privacidade. No caso do DEM, a questão prende-se com a localização do veículo no instante em que atravessa um pórtico. No entanto, o concessionário da via, que irá receber o pagamento, pode não saber nada sobre o veículo (para além da sua matrícula, que fotografa sempre) e do seu dono, ou da pessoa que paga a portagem, porque essa informação pode ficar no controlo estrito da empresa que gere o DEM, a SEIV.

    Ou seja, o concessionário pode facturar à SEIV, indicando o identificador do DEM, e a SEIV facturar ao dono do DEM. No entanto, a SEIV não precisa de saber onde o veículo passou para o seu DEM ser cobrado. Portanto, o concessionário sabe onde o veículo passou, mas não conhece nada sobre o seu dono, e a SEIV sabe quem pagou aos concessionários, mas não sabe por onde andou o seu veículo. Indo até mais longe, a SEIV poderia saber quem tinha pago, mas não saber a que concessionário tinha pago; tudo o que sabia é que tinha pago a um deles.

    Isto é muito mais do que se tem actualmente com a Via Verde, onde uma única entidade conhece todos os dados acima referidos (apenas não conhece o dono do veículo, apenas quem paga a sua Via Verde, mas normalmente existe uma relação de um-para-um).

    Pessoalmente, creio que a questão da privacidade é, nesta matéria, uma falsa questão. E até poderia haver melhorias em relação à Via Verde. A questão crítica é mesmo a questão da detecção de proximidade de alvos concretos. Mas não vejo ninguém preocupado com esse assunto.

    ResponderExcluir
  3. Eu também penso que a questão de privacidade no que toca ao DEM não se põe com uma intensidade superior à utilização de telemóvel ou cartão multibanco. Há uma questão diferente, contudo: é que nenhum destes é obrigatório. Ou seja, se fores um maníaco por privacidade, podes sempre optar por soluções que não impliquem perda de privacidade. Com o DEM, a situação é já algo diferente, porque o tal maníaco teria agora de abdicar de um serviço que até então se tinha habituado.

    Mas claro, estas manifestações pro-privacidade parecem uma atitude de virgens ofendidas. Porque o DEM é o menor dos nossos problemas no que toca à privacidade, e disso poucos falam. Além disso, como apontas, é possível ter DEM e privacidade.

    ResponderExcluir

Atire a sua pedra, vá!