Enquadramento

Lançado o desafio pelo Movimento Sou Sporting venho abordar o tema do voto electrónico ampliado para o contexto i-vote.

Explicando sucintamente, as implementações de voto electrónico têm tido uma base de configuração de hardware e software. Existe um terminal no qual exerço o meu voto, que retém temporariamente a informação, e posteriormente a envia, para um servidor, no qual são agregados os votos e calculado o resultado. A auditoria aos votos envolve um recibo físico (papel), o registo digital, o qual é temporariamente armazenado.

Soluções destas existem, mas na minha humilde opinião, não respondem ao Universo Sporting. E porquê? Exigem uma presença física. Logo por esta situação estou a condicionar o acesso, independentemente do mecanismo de posterior transmissão digital do voto, e agregação dessa informação para decisão de votação.

No i-vote o foco é a utilização da Internet, independentemente da localização do votante, para exercer o voto, por exemplo no conforto da sua casa.

Um sistema de votação digital deverá (pelo menos):

  • conseguir identificar univocamente o votante;
  • conseguir identificar se o votante cumpre com as condições necessárias para votar;
  • facultar confidencialidade ao votante, isto é, associar a identidade do votante com a opção do voto, mas não reter a informação que o identifique posteriormente à votação;
  • o votante deverá conseguir exercer o seu direito de voto, exigindo da sua parte o menos possível de requisitos de software ou hardware, isto é, um sistema inclusivo e desmaterializado;
  • tecnologicamente robusto evitando intromissões e adulterações; e auditável.

De onde partimos?

Queria iniciar esta pequena exposição identificando alguns pressupostos, neste caso esclarecendo de onde partimos.

Em primeiro lugar entendo que uma acção de implementar um sistema, da relevância deste, deve estar integrado num programa de Transformação Digital, visto que aloca recursos financeiros, humanos e materiais relevantes. Estes devem ser partilhados com iniciativas que aportem retorno de investimento (o tal revamping da app que é pedida há muito é um exemplo), de modo a que haja sinergias. E a transformação digital no futebol dá para vários textos e são múltiplos os case studies, veja-se o Bayern de Munique ou a La Liga.

Segundo, não conheço a estrutura do Clube e SAD o suficiente para identificar se este tipo de programa ou plano de transformação digital existe ou não. Adicionalmente desconheço, para além do que vem na comunicação social, quais as restrições além das financeiras, que o Clube tem, e quando falamos de IT, podem ser várias, dinheiro é só uma delas. Não obstante temos parceiros tecnológicos, que são conhecidos e devem ser trabalhados.

Assim, qualquer processo de digitalização deve privilegiar a usabilidade, a ubiquidade, seja de sistemas operativos, seja de plataformas, tentando suportar o mais possível os meios que o utilizador tem, por acesso a tecnologia comercial.

Cartão do Cidadão

É neste contexto que entra a figura do Cartão do Cidadão, focando especificamente a identificação unívoca do votante.

A tecnologia por detrás do Cartão do Cidadão (CC) é madura e tem sido desenvolvida. Para entendermos o que compreende é conveniente caracterizarmos o que é o CC mesmo. Ele não só possui uma identidade física, armazena uma identidade digital também. Essa identidade digital utilizamos, através de certificados, que univocamente nos caracterizam e certificam que somos "aquele" cidadão.

Este meio de autenticação físico-digital, é à data, a forma como nos identificamos perante o Estado Digital. O Estado Digital enquadra todos os serviços financeiros, sociais, educacionais que nos são disponibilizados via Internet.

O que não identificamos por detrás, é a existência de um conjunto de tecnologias que comunicam, de forma segura, e nos identificam univocamente e "gerem" a informação que transmitimos. E neste caso dois componentes são fundamentais: o fornecedor de serviços e o fornecedor de autenticação.

Fonte: Agência de Modernização Administrativa

Simplificadamente, a Agência de Modernização Administrativa (AMA) faculta um serviço de autenticação, do Governo, agindo como um fornecedor de autenticação, que serve como uma forma segura para o fornecedor de serviços a aceder aos nossos dados e validar que sou “eu” quem pretende aceder a esses serviços.

O fornecedor do serviço, neste caso, pode ser uma aplicação e sua infraestrutura de quem presta um serviço, Segurança Social por exemplo, onde o cidadão irá requerer algo. O diagrama acima ilustra o exemplo de uma arquitectura genérica da AMA envolvendo estes componentes.

Há pouco tempo, seria necessário um dispositivo de hardware, que permitisse a leitura do cartão de cidadão e software específico (middleware), para se efectuar a credenciação segura e a identificação unívoca do cidadão. Hoje já não, e existem duas acções fundamentais que mudaram o paradigma: a Chave Móvel Digital e a abertura do serviço de autenticação a entidades fora da alçada do Estado.

A chave móvel digital permite que através de um dispositivo móvel o utilizador se autenticar. Isto é uma forma de ubiquidade. O utilizador não necessite de hardware específico para se autenticar (o smart card reader), ao invés através de um código (PIN do CC) e de um número de telefone, é gerada uma chave, que pode ser utilizada via um navegador da internet, ou numa aplicação desenvolvida para o efeito, seja autenticado o utilizador, pelo serviço de autenticação da AMA.

Vamos fazer uma pausa sobre este tema: significa que conhecendo o PIN do CC e a chave gerada no dispositivo consigo enquanto cidadão e independentemente de onde estiver, ou que computador esteja a utilizar, ou sistema operativo, aceder a serviços, desde que tenha Internet. E já agora, temos exemplos onde, fora da esfera do Estado Digital, isso já acontece, como a EDP, MEO ou Millenium BCP, já utilizam a chave móvel digital como forma de autenticar o Cliente.

Se a plataforma digital, onde pode estar integrado o i-Voting, criada pelo Sporting Clube de Portugal for o fornecedor de serviços, e cumprindo o registo e credenciação exigido pela AMA, pode usufruir do serviço de autenticação do cartão do cidadão, acarretado investimento.

E aqui entramos no próximo tema: retenção de dados de autenticação e como validar que o sócio pode votar e que votos tem.

Confidencialidade do Voto

Todos temos de ter presente que seja um sistema adquirido temporariamente para o efeito, uma aplicação estruturada num conjunto de serviços digitais do Clube (como advogo) ou um sistema à parte, isolado, requer obrigatoriamente um qualquer tipo de integração com o sistema de gestão dos sócios, por 3 razões particulares: não existe uma relação de 1 voto 1 sócio, que simplifique as regras de negócio, no nosso caso particular exige sempre um calculo à data da eleição de quantos votos o votante tem; a validação das quotas, e neste caso qual a ultima quota paga necessária para exercer o voto; o tipo de sócio efectivo A ou B, etc.

Isto significa que para além de me autenticar, tem de existir uma validação se tenho as condições necessárias para votar e quais são os direitos que tenho sobre a votação. E de duas uma: ou faço-o a titulo prévio e exporto uma lista ou permito por integração entre sistema que a validação seja no ato da autenticação. E o segundo caso tem múltiplas vantagens.

As vantagens significam receita e agilidade, como recuperação de quotas pagas por pagamento bancário, antes da eleição ou até no próprio dia, existindo uma boa integração entre SIBS e CRM do Sporting CP. É também uma desmaterialização completa, de tal forma, que compele à participação e elimina motivos de distância e disponibilidade para não participar. Dá também um sentimento inclusão aos sócios expatriados. No entanto o segundo caso faz crescer a complexidade da solução de i-Vote em si.

Vamos agora falar sobre outro conjunto de tecnologias e tomar como referência o caso da República da Estónia.

A Estónia desde 2005 tem em produção um sistema de i-Vote. Em suma qualquer cidadão com identidade digital pode votar nas eleições da república. Não vou entrar nos benefícios específicos mencionados pelo próprio estado sobre o processo de votação, incluindo a questão de medidas especificas contra coerção e segurança, mas sim sublinhar que é um sistema maduro e implementado à mais de uma década, sendo verificável e auditável.

Vamos focar no processo e confidencialidade.

Em síntese o sistema em si utiliza integração e autenticação, que univocamente identifica o votante. O voto é cifrado, de uma forma especifica, que atribui validade ao voto. O sistema centralizado permite integrar vários serviços, incluindo o serviço de autenticação digital e regras que qualificam se o votante pode ou não votar. Como o sistema é integrado, permite conjugar, o voto electrónico em urna, voto em papel e i-Vote, onde por hierarquia de votação, é estabelecido que o voto em papel, presencial, é considerado o voto “final”. Este método e estas regras tornam o sistema em si robusto à fraude.

Um dos aspectos chaves em sistemas digitais, é o registo do votante, e este é um ponto que não existe, na minha percepção, forma de contornar: o registo da identidade do votante e o voto executado. O exemplo é a cadeia de validação do voto no use case que aqui abordamos. O voto electrónico para ser válido obriga a uma validação do votante, portanto dos seus dados pessoais, que são tratados para registo e certificação. No processo de averiguar se não existiram votos duplicados ou fraude, torna-se necessário gerir a credenciação do votante, e respectiva legibilidade de votar, o que confere que temporariamente seja retida informação, mesmo que cifrada, do votante e sua intenção de voto.

Ora, o processo de tornar anónimo o voto, no caso de exemplo que abordamos, é já numa acção de fim de linha, antes de agregação dos votos por região, logo, temporariamente a informação não é anonima.

Comparando com o nosso caso: um sócio autenticando-se com o seu CC irá partilhar a sua identidade e os dados suficientes para que o sistema de gestão de associados do Clube o credencie como um sócio de pleno direito para votar e o caracterize sobre quantos votos tem. Ao executar a sua votação, a informação que envia, a qual é agregada e cifrada, valida até ao fecho do período de votação se não existem votos duplicados, ou inválidos, seguindo um conjunto de regras pré-definidas. Nesta situação, embora a informação esteja cifrada, existem dados que identificam o sócio e a sua votação. O processo de criar anonimato, que significa retirar os dados pessoais cifrados que caracterizam o voto poderia ser executado quando da contagem, por exemplo, por clusters de número de votos. A definição dos clusters que ocorrem comumente nas nossas AG’s para contagem manual dos votos.

RGPD

Com a entrada do Regulamento Geral de Protecção de Dados, têm de ser definidas o responsável pelo tratamento de dados e identificação de medidas de protecção de dados, sobre os quais todos os sistemas informáticos têm de se pautar. Significa que qualquer sistema que tenha tratamento de dados, tem regras a seguir, e tem que pedir autorização para o processamento da informação. E existem várias implicações indirectas, nomeadamente segurança no armazenamento da informação, nos prestadores de serviço e colaboradores que lidem com dados pessoais.

Sendo que este texto vai longo, focando o IT, o que se verifica é que os próprios implementadores de sistemas são por força da regulação obrigados a medidas apertadas na forma como desenvolvem e lidam com dados, de tal forma que contratualmente são obrigados a terem sistemas internos, organizativos e tecnológicos, seguros e auditáveis. Qualquer desenvolvimento ou operação de uma plataforma deste tipo, ou de outro de base tecnológica que lide com dados pessoais, obrigará sempre a consentimento por parte dos seus utilizadores (um termo de utilização) descrevendo o propósito de utilização da informação pessoal.

Conclusão

A principal é que o i-Vote é possível e está já em prática. Não é de hoje, é de ontem. Mas é um meio para atingir um fim: inclusão dos sócios.

A segunda mais importante para mim é que uma iniciativa destas pode e deve ser enquadrada num programa de Transformação Digital do clube, pois o investimento que exige requer que seja dissolvido por escala, exemplo num contexto comercial ou operacional. Porque não incluir estas capacidades numa app? A AMA disponibiliza frameworks para incorporação da autenticação CC em apps (https://svn.gov.pt/projects/ccidadao) e kits de construção de aplicações. A tecnologia existe e está disponível.

Temos de compreender sempre a necessidade de investimento, e complexidade que os sistemas têm na sua concepção, mas também entender o aporte da inclusão pela participação dos sócios em decisões chave do clube é fundamental, quando menos de 5% dos sócios com quotas em dia vota, por exemplo, no orçamento do Clube. O maior envolvimento dos sócios nas decisões do Clube, é um dos eixos principais para a União e Estabilidade que se pretende e não faz sentido apregoar e pedir, sem facultar meios para essa proximidade.

Tiago Carvalho
Business Developer
Sócio do Sporting Clube de Portugal