Selectați pagina

Aplicațiile COVID-19 de urmărire și localizare: Big Brother sau siguranță?

Aplicațiile COVID-19 de urmărire și localizare: Big Brother sau siguranță?

Introducere

Pandemia COVID-19 generează noi provocări pentru protecția datelor cu caracter personal. Avantajul utilizării datelor cu caracter personal pentru limitarea răspândirii pandemiei este incontestabil, însă prezintă riscuri pentru viața privată și celelalte drepturi fundamentale.[1] Cheia este echilibrul. În timp ce în China, Israel, Singapore și Coreea de sud, supravegherea digitală joacă un rol masiv[2], Europa are un regim de protecția a datelor cu caracter personal mai sever, iar cetățenii europeni sunt mai reticenți în utilizarea acestor tehnologii. De exemplu, în Franța, aplicația StopCovid a fost descărcată de mai puțin de 3% din populație[3].

covid-card

Aplicațiile COVID-19 de urmărire și localizare sunt aplicații mobile (software) concepute pentru a ajuta la combaterea expansiunii pandemiei COVID-19.[4] Aplicațiile de urmărire a contactelor sunt create și implementate pentru a servi trei scopuri principale în lupta pentru combaterea pandemiei. În primul rând, acestea sunt destinate informării și sfătuirii cetățenilor, de regulă printr-un chestionar de autodiagnosticare, urmat de un control medical al celor care prezintă simptome asociate virusului. În al doilea rând, aceste aplicații sunt menite să urmărească și să avertizeze persoanele care sunt detectate că ar fi intrat în contact cu o persoană infectată, cu scopul de a întrerupe lanțul infectării. În al treilea rând, aplicațiile servesc funcția de a monitoriza respectarea măsurilor de carantinare de către persoanele infectate[5].

Cum putem asigura o prelucrare rezonabilă a datelor cu caracter personal prin intermediul aplicațiilor COVID-19 pentru a spori încrederea publicului în utilizarea acestor aplicații? Ar putea fi utilizate aceste aplicații astfel încât riscurile asupra vieții private să fie reduse la minimum?

Comitetul European pentru Protecția Datelor (CEPD) are o viziune optimistă. Ulterior aducerii în discuție a riscului unei ireversibilități ale unor măsuri[6], CEPD subliniază că „nu ar trebui să fim nevoiți să alegem între un răspuns eficace la criza actuală și protecția drepturilor noastre fundamentale: le putem asigura pe ambele și, în plus, principiile de protecție a datelor pot juca un rol foarte important în lupta împotriva virusului. Legislația europeană privind protecția datelor permite utilizarea în mod responsabil a datelor cu caracter personal în scopul gestionării sănătății, asigurând în același timp că nu se restrâng drepturile și libertățile individuale în cursul acestui proces”[7].

RGPD[8] și Directiva 2002/58/CE[9] sunt aplicabile în toate elementele sale pe perioada pandemiei, iar principiile legislației privind protecția datelor ar putea inspira la proiectarea unor sisteme și aplicații compatibile cu drepturile fundamentale.[10]

2. Riscuri ale aplicațiilor COVID-19

Principalul risc identificat de către Comisia Europeană vizează lipsa unei evaluări privind eficacitatea acestor aplicații. Comisia atrage atenția că datele colectate cu prilejul implementării acestor aplicații ar putea fi utilizate în alte scopuri[11] decât acela de a combate pandemia, cum ar fi asigurarea respectării legii sau scopurile comerciale. De exemplu, autoritățile publice ar putea fi tentate să utilizeze datele în scopul înfăptuirii justiției, prin localizarea unor persoane care trebuie trase la răspundere penală. De asemenea, datele ar putea fi utilizate în scopuri comerciale, cum ar fi publicitatea de medicamente specifice direcționată către persoanele infectate sau posibil infectate[12]. Acest risc este reiterat și de către Comitetul European pentru Protecția Datelor (CEPD)[13]:

„În plus, în ceea ce privește principiul colectării datelor cu caracter personal numai în scopurile prevăzute, scopurile trebuie să fie suficient de specifice pentru a exclude prelucrarea ulterioară în scopuri care nu au legătură cu gestionarea crizei sanitare generate de COVID-19 (de exemplu, în scopuri comerciale sau de asigurare a respectării legii). Odată ce obiectivul a fost clar definit, va fi necesar să se asigure că utilizarea datelor cu caracter personal este adecvată, necesară și proporțională[14].”

Riscurile identificate de CEPD sunt, în principiu, următoarele (i) aplicațiile ar putea fi lipsite de eficiență dacă nu vor fi implementate corect[15]; (ii) caracterul ireversibil al unor măsuri de supraveghere asupra drepturilor și libertăților fundamentale[16]; (iii) restrângerea nejustificată a drepturilor și libertăților fundamentale[17]; (iv) riscul ca persoanele să utilizeze aplicații neoficiale dezvoltate de terți[18]; (v) prelucrarea mai multor date decât sunt necesare pentru combaterea pandemiei și stocarea pe o perioadă mai lungă de timp decât cea strict necesară[19]; (vi) eșuarea anonimizării; (vii) utilizarea datelor în alte scopuri; (viii) inexactitatea aplicațiilor care poate genera rezultate fals negative sau fals pozitive[20].

3. Elemente pentru o utilizare responsabilă a datelor

Comisia și CEPD prezintă mai multe elemente care trebuie luate în considerare înainte de lansarea aplicațiilor COVID-19, printre care (1) stabilirea calității de operator[21]; (2) asigurarea faptului că persoana fizică rămâne în control; (3) identificarea corectă a temeiului juridic pentru prelucrare; (4) asigurarea principiului minimizării datelor; (5) limitarea divulgării datelor/accesului la date; (6) asigurarea unui scopuri precise a prelucrării datelor; (7) limitarea duratei de stocare a datelor; (8) asigurarea securității datelor; (9) asigurarea exactității datelor; (10) implicarea autorităților pentru protecția datelor.

Concluzii

Și Comisia și CEPD recomandă o abordare echilibrată a implementării noilor tehnologii în combaterea pandemiei cu luarea în calcul a integrării unor elemente tehnice, juridice și organizatorice care să conducă la respectarea tuturor drepturilor și libertăților fundamentale. Orientările europene recomandă a nu se alege între drepturi, ci a se integra aceste drepturi într-un context al universalității drepturilor și libertăților fundamentale. Protecția datelor nu ar trebui privită ca o piedică în combaterea pandemiei, ci dimpotrivă, ca un set de principii care pot conduce, în cele din urmă, la încrederea cetățenilor în astfel de sisteme. În prezent, cetățenii devin tot mai conștienți de importanța protecției datelor, iar astăzi, afirmația „nu colectăm date” ridică semne de întrebare. Operatorii acestor aplicații ar trebui să se îndepărteze de la clasicul „nu colectăm date” către o abordare mai transparentă și mai aproape de utilizator. Atât Comisia, cât și CEPD recomandă ca autoritățile să pună la dispoziție codul sursă al acestor aplicații pentru a putea fi verificat de toate persoanele interesate.

Societatea se află într-un proces de schimbare profundă, proces care este dificil de înțeles, însă, este important să nu ne abatem de la principiile și valorile care stau la baza unor societăți democratice. Protecția datelor este un drept fundamental, în conexiune cu dreptul la viață privată care protejează persoana vizată de ingerințele nejustificate din partea terților, fie într-un raport orizontal (alte persoane fizice sau operatori privați), fie într-un raport vertical (în raport cu instituțiile statului). Protecția datelor cu caracter personal este un drept interdisciplinar și o premisă esențială pentru protecția altor drepturi și libertăți fundamentale.

Noile sisteme și tehnologii trebuie configurate să integreze respectarea drepturilor și libertăților fundamentale încă din faza de concept, pentru a nu se ajunge la efecte nedorite ireversibile asupra persoanelor și asupra societății în ansamblu.

Surse:

[1] Curtea de Justiție a Uniunii Europene (CJUE) a arătat că accesul unor instituții publice la datele cu caracter personal ale unor persoane fizice constituie o ingerință în dreptul fundamental la respectarea vieții private, consacrat la articolul 7 din cartă, inclusiv în situația în care această ingerință nu poate fi calificată drept „gravă”. Mai departe Curtea arată că, pentru a se stabili existența unei ingerințe, nu este relevant dacă respectivele date au caracter sensibil sau dacă persoanele interesate au suferit eventuale inconveniente ca urmare a acestei ingerințe. A se vedea CJUE, Cauza C-207/16, Ministerio Fiscal, hotărârea din 2 octombrie 2018, ECLI:EU:C:2018:788, pct. 51.

[2] Laura R. Bradford, Mateo Aboy, Kathleen Liddell, COVID-19 Contact Tracing Apps: A Stress Test for Privacy, the GDPR and Data Protection Regimes (3 iunie 2020), Journal of Law and the Biosciences (2020), University of Cambridge Faculty of Law Research Paper No. 23/2020.

[3] Ian Ayres, Alessandro Romano, Chiara Sotis, How to Make COVID-19 Contact Tracing Apps Work: Insights From Behavioral Economics (9 septembrie 2020). Yale Law School, Public Law Research Paper Forthcoming.

[4] Wikipedia, disponibil aici, link accesat 08.05.2020.

[5] Ibidem.

[6] „Cu toate acestea, apreciem că măsurile excepționale care permit o astfel de supraveghere ar trebui să înceteze la momentul încetării situației excepționale care le-au generat”, Daniel-Mihail ȘANDRU, Tipologia protecției datelor cu caracter personal în situații de criză medicală: Coronavirus COVID-19, Pandectele Române nr. 1/2020, p. 34.

[7] CEPD, Orientările 4/2020 privind utilizarea datelor de localizare și a instrumentelor de urmărire a contactelor în contextul pandemiei de COVID-19, Adoptate la 21 aprilie 2020, Bruxelles, p. 12, disponibil la la următorul link accesat 17.11.2020.

[8] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (Text cu relevanță pentru SEE), JO L 119, 4.5.2016, p. 1–88.

[9] Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), JO L 201, 31.7.2002, p. 37–47.

[10] Laura R. Bradford, Mateo Aboy, Kathleen Liddell, op. cit., p. 18.

[11] Principiul limitării legate de scop este un principiu esențial al RGPD. Potrivit art. 5 alin. (1) lit. b datele trebuie „colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri”.

[12] „Transmiterea datelor cu privire la aceste persoane este ilegală către operatori privați, care nu au legătură cu sistemul medical”, Daniel-Mihail ȘANDRU, op. cit., p. 36.

[13] CEPD, op. cit. supra n. 5, p. 8.

[14] „Publicarea unor liste cu persoanele carantinate, izolate sau infectate, de către autoritățile administrației publice locale, pe rețele de socializare, fie pe site-ul primăriei, pe pagina de rețea socială a primăriei sau pe pagina primarului, ori a listei doctorilor infectați, publicată de un consilier local sau județean – toate constituind exemple din România, dar exemple negative întrucât nu există nicio proporționalitate în aceste măsuri, care nu ar putea fi justificate nici măcar de frica persoanelor care au trecut la asemenea divulgări de date cu caracter personal”, Daniel-Mihail ȘANDRU, op. cit., p. 36.

[15] „Eficiența pe care o pot avea aplicațiile de urmărire a contactelor în gestionarea pandemiei depinde de mulți factori (de exemplu, procentul de persoane care își vor instala o astfel de aplicație, definirea termenului „contact” din perspectiva proximității și a duratei.) În plus, astfel de aplicații trebuie să facă parte dintr-o strategie cuprinzătoare în domeniul sănătății publice pentru combaterea pandemiei, care să includă, printre altele, testarea persoanelor și urmărirea manuală ulterioară a contactelor acestora, cu scopul de a se elimina orice îndoială. Punerea la dispoziție a acestor aplicații ar trebui să fie însoțită de măsuri de sprijin pentru a se asigura faptul că informațiile care le sunt furnizate utilizatorilor sunt contextualizate și că alertele generate pot fi utile pentru sistemul de sănătate publică. În caz contrar, este posibil ca aceste aplicații să nu poată avea impactul scontat”, CEPD, op. cit. supra n. 5, p. 5.

[16] Idem, p. 12.

[17] Ibidem.

[18] CEPD, op. cit. supra n. 5, p. 11.

[19] Idem, p. 6-8.

[20] Idem, p. 9-10.

[21] „ Este esențial să se stabilească cine decide cu privire la mijloacele și scopurile prelucrării datelor (și anume, cine este operatorul de date) pentru a stabili cine este responsabil cu respectarea normelor UE privind protecția datelor cu caracter personal și în special: cine ar trebui să informeze persoanele care descarcă aplicația cu privire la ceea ce va întâmpla cu datele lor personale (deja existente sau care urmează să fie generate prin intermediul dispozitivului, cum ar fi un telefon inteligent, pe care se instalează aplicația), drepturile pe care le vor avea, cine va fi responsabil în cazul încălcării securității datelor etc”, Comisia Europeană, Orientări în domeniul protecției datelor privind aplicațiile care sprijină combaterea pandemiei de COVID-19, JO C 124I , 17.4.2020.

Avocat Ruxandra Sava

Abonați-vă la canalul nostru Telegram!

Lasa un raspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *