Opinii

Raluca Puşcaş şi Cristina Radu, Filip & Company: Aplicaţiile de urmărire în contextul COVID-19, o perspectivă asupra protecţiei datelor cu caracter personal

Raluca Puşcaş, Partener Filip & Company şi Cristina Radu, Associate Filip & Company

Raluca Puşcaş, Partener Filip & Company şi Cristina Radu, Associate Filip & Company

06.05.2020, 13:33 181

După aproape două luni de izolare, tot mai multe state din Uniunea Europeană încep să relaxeze treptat măsurile restrictive luate în contextul pandemiei COVID-19. În acest context, preocuparea autorităţilor din diverse ţări europene se îndreaptă din ce în ce mai mult spre utilizarea noilor tehnologii, pentru a sprijini măsurile adoptate în cadrul planurilor de relaxare şi pentru a preveni reapariţia unui nou val de îmbolnăviri în etapa ieşirii din izolare.

În mod specific, avem în vedere dezvoltarea unor aplicaţii, cunoscute generic drept „contact tracing apps”, care pot fi instalate pe telefoanele mobile şi care ar avea drept scop, în principal, informarea utilizatorilor asupra măsurilor luate de autorităţi, uneori în combinaţie cu un chestionar de autodiagnosticare şi implementare a unor functionalităţi de alertă că utilizatorul s-a aflat recent în proximitatea unei persoane diagnosticate pozitiv cu COVID-19, care utilizează la rândul ei aceeaşi aplicaţie.

Prin urmare, este vorba despre aplicaţii de stabilire a proximităţii dintre persoane, bazate pe utilizarea tehnologiei Bluetooth pentru a determina apropierea dintre device-urile mobile care au instalată aplicaţia, fără a utiliza tehnologii de geolocalizare a persoanelor. Un alt aspect important subliniat de autorităţile care au exprimat recent opinii pe acest subiect este că instalarea şi utilizarea aplicaţiilor de către utilizatori trebuie să se facă exclusiv în mod voluntar din partea acestora (de exemplu, autorităţile de protecţie a datelor din Marea Britanie – 17 aprilie 2020, link; Franta – 24 aprilie 2020, link, Belgia – 30 aprilie 2020, link, Italia – 29 aprilie 2020, link).

În acelaşi timp, utilizarea noilor tehnologii şi a modalităţilor inovatoare de prelucrare a datelor trebuie să respecte întotdeauna drepturile şi libertăţile fundamentale, în special drepturile la viaţă privată şi la protecţia datelor cu caracter personal.

Pentru a adresa aceste aspecte, în continuarea Recomandării (UE) 2020/518 (link) emise de Comisia Europeană pe 8 aprilie 2020, care a evidenţiat necesitatea elaborării unei abordări comune în utilizarea tehnologiei în lupta împotriva coronavirusului la nivelul UE, la data de 15 aprilie 2020, Comisia (prin eHealth Network) a publicat un set de masuri (Toolbox) aplicabile la nivelul statelor member UE privind utilizarea aplicatiilor mobile pentru a sprijini urmărirea contactelor în contextul crizei COVID-19, însoţite la data de 17 aprilie 2020 de o comunicare privind Orientarile în domeniul protecţiei datelor privind aplicaţiile care sprijină combaterea pandemiei de COVID-19. Totodată, în susţinerea adoptării unor abordări comune în dezvoltarea acestor aplicaţii, la 21 aprilie 2020, Comitetul European pentru Protecţia Datelor a emis Ghidul nr. 4/2020 privind utilizarea instrumentelor de urmărire a datelor de localizare şi de contact în contextul izbucnirii COVID-19, subliniind principiile care trebuie avute în vedere în dezvoltarea acestor aplicaţii, astfel încât drepturile persoanelor vizate să fie respectate, iar prelucrarea să fie adecvată, necesară şi proporţională.

Principalele cerinţe care trebuie respectate în dezvoltarea aplicaţiilor de urmărire

   ► Utilizarea voluntară: Setul de instrumente şi orientari elaborate la nivel european se referă exclusiv la aplicaţiile de urmărire care vor fi utilizate în mod voluntar în lupta împotriva coronavirusului, descărcarea, instalarea şi utilizarea acestora fiind făcute în mod volutar de către cetăţeni.


    ► Implicarea autoritatilor naţionale de sănătate publică, care să aibă şi responsabilităţile în calitate de operatori de date: O altă cerinţa esenţială cuprinsă în recomandările la nivel european este ca aplicaţiile să fie dezvoltate cu aprobarea autorităţilor naţionale de sănătate publică. Totodată, recomandările stabilesc mai multe funcţii şi cerinţe pe care aplicaţiile trebuie să le îndeplinească, în special pentru a asigura respectarea Regulamentului general privind protecţia datelor (EU) 2016/679 (GDPR) şi a Directivei privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (în România, transpusă prin Legea nr. 506/2004). Printre altele, aplicaţiile ar trebui proiectate astfel încât autorităţile naţionale de sănătate (sau entităţile care îndeplinesc sarcini în interesul public în domeniul sănătăţii) să fie operatorii de date, cu toate responsabilităţile care decurg din această calitate.


   ► Importanţa implicării şi consultării autorităţilor de protecţie a datelor: Un alt element cheie este implicarea şi consultarea autorităţilor de protecţie a datelor, în timp ce Comisia atrage atenţia şi asupra prevederilor GDPR privind evaluarea impactului asupra protecţiei datelor, care ar trebui efectuată înainte de implementare, având în vedere că prelucrarea datelor prin intermediul aplicaţiei este susceptibilă să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor. Aceeaşi recomandare este reiterată şi de alte autorităţi în domeniul protecţiei datelor, în opiniile mai sus menţionate.


   ► Aplicarea unor măsuri de securitate adecvate şi eficiente: Una dintre priorităţile dezvoltatorilor de aplicaţii trebuie să fie reprezentată de aplicarea unor măsuri şi mecanisme de securitate adecvate, într-o manieră care să asigure toate garanţiile necesare respectării drepturilor si libertăţilor fundamentale. În acest sens, pentru a limita intruziunea funcţionalităţilor aplicaţiei şi pentru a crea cadrul pentru o utilizare de încredere şi responsabilă, aplicaţiile ar trebui să asigure securitatea datelor prin utilizarea tehnicilor criptografice de ultimă generaţie, să limiteze dezvăluirea / accesul la date, să asigure exactitatea datelor pentru a minimiza riscul de a identifica în mod eronat contactele cu o persoană infectată (cu alte cuvinte, pentru a minimiza riscul rezultatelor fals pozitive) şi să permită auditarea arhitecturii aplicaţiei de către experţi tehnici independenţi.


    ► Din perspectiva utilizatorilor: Recomandările elaborate la nivel european conţin şi o serie de măsuri pentru a asigura respectarea drepturilor şi libertăţilor fundamentale şi cerinţa ca aplicatiile să fie folosite doar pentru scopurile specific definite şi în limitele stabilite de aceste recomandări, nefiind folosite în scopuri intruzive, precum supravegherea în masă. Acestea includ măsuri precum:
        Lipsa unor consecinţe negative - Întrucât instalarea aplicaţiei este voluntară, nu ar trebui să existe consecinţe negative pentru persoana care decide să nu descarce sau să nu utilizeze aplicaţia.
        Consimţământ specific – Conform recomandărilor Comisiei, consimţământul ar trebui să fie acordat de utilizator în mod specific pentru fiecare funcţionalitate diferită a aplicaţiei, nu pentru toate „la pachet” (de exemplu, separat pentru primirea informărilor de la autorităţi, faţă de activarea funcionalităţilor privind avertizările de proximitate).
        Asigurarea efectivă a exercitării drepturilor persoanelor vizate reprezintă o altă măsură  esenţială (în special cu privire la dreptul de acces, rectificare, ştergere, prevăzute de GDPR).


   ► Informarea în mod corespunzător a utilizatorilor cu privire la prelucrarea datelor, având drept scop asigurarea conformităţii cu prevederile GDPR. Recomandările la nivel european oferă, de asemenea, mai multe principii pentru strategiile de comunicare, menţionând inclusiv posibilitatea statelor membre de a stabili un singur punct de comunicare la nivel naţional (cum ar fi autorităţile din domeniul sănătăţii) şi de a prezenta informaţiile cheie pentru public cu privire la dezvoltarea şi funcţionalităţile aplicaţiilor, scopurile, mecanismele de control şi garanţii de securitate în vigoare, dar şi avertismente cu privire la utilizarea unor aplicaţii mobile neautorizate. O astfel de comunicare ar trebui făcută regulat, din timp şi cu o frecvenţă larg cunoscută publicului.


   ► Minimizarea datelor prelucrate şi neutilizarea datelor de localizare: Scopul funcţionalităţii aplicaţiilor de urmărire a contactelor este de a notifica cât mai rapid persoanele care s-au aflat în imediata apropiere a unei persoane infectate, ca factor esenţial pentru a întrerupe răspândirea COVID-19 şi, de asemenea, pentru a preveni reapariţia acestuia în faza de ieşire din criză. Pentru a obţine acest lucru, Comisia observă că datele de proximitate ar putea fi necesare, considerând, de asemenea, comunicaţiile Bluetooth Low Energy între dispozitive ca fiind mai precise pentru identificarea contactelor de proximitate şi, prin urmare, mai adecvate decât utilizarea datelor de geolocalizare, care pot fi considerate prea intruzive în viaţa privată a utilizatorilor. Având în vedere că scopul aplicaţiilor de urmărire nu este de a monitoriza mişcarea persoanelor ori de a monitoriza punerea în aplicare a măsurilor impuse de autorităţi, ci de a determina proximitatea cu persoanele infectate şi de a îndruma persoanele să adopte o anumită conduită (spre exemplu autoizolarea), datele de localizare nu apar ca fiind necesare pentru scopul funcţionalităţii acestor aplicaţii.


   ► Utilizarea doar pentru durata strict necesară: Aceste aplicaţii trebuie să fie utilizate numai pentru durata de timp necesară pentru a asigura prevenirea, combaterea şi stoparea răspândirii coronavirusului, fiind dezinstalate şi demontate de către dezvoltatorul aplicaţiei imediat ce nu mai sunt necesare, iar datele cu caracter personal şterse în mod ireversibil.

Există în continuare o serie de aspecte privite cu rezervă sau care sunt subiect de dezbateri, în legatură cu implementarea acestor aplicaţii, legate în special de tehnologia folosită, modalitatea de stocare a datelor (descentralizat, pe dispozitivele individuale sau centralizat, pe un server administrat de autorităţile naţionale de sănătate), utilizarea de date agregate şi anonimizate versus complexitatea tehnicilor de anonimizare pentru ca acestea să fie eficiente, sau temeiul legal adecvat pentru prelucrarea datelor, în special dacă este vorba de date privind sănătatea. Prin urmare, acesta rămâne un subiect de abordat cu atenţie şi responsabilitate, pentru a atinge un echilibru real între beneficiile pe care le poate presupune utilizarea noilor tehnologii şi protecţia drepturilor şi libertăţilor fundamentale ale persoanelor.


Material realizat de Raluca Puşcaş, Partener Filip & Company şi Cristina Radu, Associate Filip & Company




 

Pentru alte știri, analize, articole și informații din business în timp real urmărește Ziarul Financiar pe WhatsApp Channels

AFACERI DE LA ZERO