COVID-19, GDPR, aplicațiile mobile de combatere a coronavirsului și datele tale personale. Care sunt limitele?
9 minute • Ana-Maria Udriste • 21 aprilie 2020
În contextul pandemiei COVID-19, persoanele sunt dornice să transmită datele lor personale în cadrul unor aplicații pentru a ajuta la prevenirea, combaterea și stoparea răspândirii coronavirusului. Au apărut foarte multe aplicații cu această ocazie: de la telemedicină, la aplicații de localizare a persoanelor infestate cu coronavirus. Care sunt totuși limitele utilizării și implementării unor astfel de tehnologii și cât de multe date personale pot să ne ceară sub pretextul COVID-19?
Pe 17 aprilie 2020, Comisia Europeană a publicat îndrumări privind dezvoltarea de noi aplicații care sprijină lupta împotriva coronavirusului în legătură cu protecția datelor. Dezvoltarea unor astfel de aplicații și folosirea lor de către cetățeni pot avea un impact semnificativ asupra stopării răspândirii virusului și pot juca un rol important în strategia de ridicare a măsurilor de izolare, alături de alte măsuri precum o testare continuă și sporită.
Oricât de mult am îmbrățișa progresul tehnologic, este important să ne asigurăm că datele noastre personale sunt prelucrate în siguranță și în scopuri legitime, chiar și în vremuri tulburi precum cea prin care traversăm.
O metodă de lucru la nivel european va permite o mai bună trasabilitate a virusului și o implementare eficientă a unor măsuri de prevenire și eradicare, dar nu trebuie făcută cu costul unei ilegitimități a prelucrării datelor.
Ce aplicații sunt vizate?
Orientările vizează aplicații care au una sau mai multe din următoarele funcționalități:
- oferă informații exacte utilizatorilor despre pandemia COVID-19;
- au chestionare pentru o autoanaliză și oferă îndrumări persoanelor (funcționalitate de verificare a simptomelor);
- alertează persoanele care au fost în preajma altor persoane infestate cu COVID-19 să se testeze și, eventual, să se autoizoleze (funcționalitate de urmărire a contactelor și alertare);
- o platformă de comunicare în persoanele care se află în izolare și medici pentru diagnostic și tratament, acolo unde este necesar (telemedicină).
De ce aspecte trebuie să ții cont când vrei să dezvolți o asemenea aplicație?
- rolul autorităților naționale de sănătate ca operatori de date: trebuie să se stabilească clar din start cine este responsabil pentru respectarea normelor UE de protecție a datelor cu caracter personal. Având în vedere sensibilitatea ridicată a datelor și scopul final al aplicațiilor, Comisia Europeană consideră că rolul acesta ar trebui să aparțină autorităților naționale de sănătate, care, la rândul lor, sunt responsabile pentru asigurarea respectării GDPR în utilizarea datelor colectate, inclusiv furnizării tuturor persoanelor necesare informații legate de prelucrarea datelor lor personale.
- utilizatorii au în permanență controlul datelor lor personale: instalarea unei aplicații pe dispozitivul utilizatorului ar trebui să fie voluntară si să nu aibă repercursiuni negative dacă nu este instalată; un utilizator ar trebui să fie capabil să își dea consimțământul separat pentru fiecare funcționalitate a unei aplicații. Dacă se utilizează date de proximitate (localizare), acestea ar trebui stocate pe dispozitivul unei persoane și împărtășite numai cu acordul utilizatorului și doar în cazul în care persoana respectivă este confirmată ca având COVID-19; utilizatorii ar trebui să poată exercita drepturile lor în cadrul GDPR.
- limitarea prelucrării datelor personale (principiul minimizării): o aplicație ar trebui să respecte principiul minimizării datelor, care impune ca doar datele personale relevante și limitate la scopul în cauză să poată fi prelucrate. Spre exemplu, Comisia consideră că verificarea simptomelor sau telemedicina, nu necesită accesul la lista de contacte sau la locația persoanei care deține dispozitivul.
- limitări stricte asupra perioadei de stocare: datele cu caracter personal nu trebuie păstrate mai mult decât este necesar. Perioadele ar trebui să se bazeze pe relevanța medicală, precum și pe durata realistă a măsurilor administrative necesare.
- securitatea datelor: datele trebuie stocate și protejate prin criptare pe dispozitivul persoanei. Dacă datele sunt stocate într-un server central, accesul la un astfel de server, inclusiv accesul administrativ, ar trebui înregistrat. Orice fel de transmitere a datelor către autorități trebuie să se facă în mod criptat.
- acuratețea datelor prelucrate: în conformitate cu GDPR, este necesar ca orice date cu caracter personal prelucrate de o terță parte să fie corecte și exacte. Pentru a asigura o acuratețe cât mai ridicată, care este esențială și pentru eficiența aplicațiilor de urmărire a contactelor, tehnologia precum Bluetooth ar trebui utilizată pentru a oferi o evaluare mai precisă a contactului persoanelor între ele.
- implicarea autorității privind prelucrare datelor cu caracter personal: aceste autorități trebuie consultate anterior începerii dezvoltării aplicației și trebuie ținute la curent pe tot parcursul implementării.
Ascultă și podcastul nostru cu Tiberiu Anghel privind securitatea datelor de sănătate în cadrul spitalelor din România în contextul COVID-19:
Care este temeiul legal pentru prelucrarea datelor personale?
Următoarele temeiuri legale pentru prelucrarea datelor vor fi avute în vedere:
- obligația legală la nivel național sau la nivelul UE – articolul 6 alineatul (1) litera c) GDPR: prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului
- interese publice în domeniul sănătății – articolul 9 alineatul (2) litera (i) GDPR: prelucrarea este necesară din motive de interes public în domeniul sănătății publice
De asemenea, Comisia Europeană reamintește de interdicția de a supune persoanele fizice unei decizii bazate exclusiv pe prelucrarea automată care produce efecte juridice sau care, în mod similar, afectează considerabil persoanele respective.
Prin urmare, persoanele respective nu vor putea fi izolate sau carantinate exclusiv pe baza geolocalizării sau a simptomelor pe care le introduce în aplicație, ci trebuie să poată beneficia de intervenție manuală.
Specificități în funcție de scopul aplicației
Aplicații care informează persoanele
- scopul acestei funcționalități este furnizarea de informații relevante din punctul de vedere al autorităților sanitare în contextul crizei
- o asemenea aplicație nu va trebui să prelucreze niciun fel de date ale persoanelor privind sănătatea
- nicio informație stocată în echipamentele terminale și accesată de pe acestea nu poate fi pusă la dispoziția altor autorități sanitare decât în măsura necesară funcționalității de informare, acestea din urmă neavând acces la alte date
- în cazul în care se colectează date în timpul instalării acestei funcționalități, datele respective trebuie șterse imediat. Nu există nicio justificare pentru păstrarea acestor date.
Aplicații care verifică simptomele și au telemedicină
- scopul acestei funcționalități este de verificare a simptomelor care poate indica proporția de persoane efectiv infectate din totalul celor care raportează simptome compatibile cu COVID-19
- aplicația va prelucra date cu caracter personal privind sănătatea. Prin urmare, o listă de date care pot fi prelucrate ar trebui să fie specificată în legislația subiacentă aplicabilă autorităților sanitare. Dacă autoritățile sanitare vor avea nevoie de numărul de telefon al persoanei pentru a-și atinge scopurile, este posibil ca și aceste date să fie prelucrate.
- se poate decide ca autoritățile sanitare și autoritățile epidemiologice naționale competente să aibă acces la informațiile furnizate de pacient. Dacă se optează pentru varianta în care se permite un contact cu funcționari din domeniul sănătății – și nu folosirea exclusivă a aplicației – atunci autoritățile sanitare naționale trebuie să divulge și numărul de telefon al utilizatorilor aplicației.
- datele ar trebui șterse de către autoritățile sanitare în maximum o lună (perioada de incubație plus o marjă) sau după ce persoana a fost testată, iar rezultatul este negativ.
Abonează-te la newsletter pentru a fi la curent cu ultimele noutăți:
Aplicații care depistează persoanele infectate și avertizează
- datele de localizare nu sunt necesare în scopul funcționalităților de depistare a contactelor, întrucât scopul lor nu este acela de a urmări circulația persoanelor sau de a asigura respectarea dispozițiilor.
- nu pare să fie necesar să se stocheze ora exactă a contactului sau locul (dacă este disponibil), dar ziua ar putea fi necesară pentru a se stabili perioada incidentă de incubare.
- datele de proximitate ar trebui să fie generate și prelucrate numai dacă există un risc real de infecție (în funcție de gradul de apropiere și de durata contactului).
- datele vor fi puse la dispoziția autorităților sanitare numai după ce persoana infectată (după ce a fost testată) pune în mod proactiv datele respective la dispoziția autorităților din domeniu.
- persoana infectată nu ar trebui să fie informată cu privire la identitatea persoanelor cu care a fost în contact potențial relevant din punct de vedere epidemiologic și care vor fi alertate.
- identitatea persoanei infectate nu ar trebui dezvăluită persoanelor cu care a fost în contact epidemiologic.
- persoanelor li se va comunica doar că au intrat în contact posibil cu o persoană infectată în ultimele 16 zile
- datele de proximitate ar trebui șterse de îndată ce nu mai sunt necesare pentru alertarea persoanelor. De exemplu în maximum o lună (perioada de incubație plus o marjă) sau după ce persoana a fost testată, iar rezultatul este negativ.
La avocatoo.ro suntem specializați în dreptul tehnologiei, GDPR și securitate. Colaborăm cu profesioniști recunoscuți internațional și oferim consultanță companiilor pentru o implementare corectă. Scrie-ne.
Recomandările Comisiei Europene pot fi accesate aici.
Poză de Gustavo Fring de pe Pexels
