De ce nu m-aș înscrie pentru testarea gratuită de COVID-19 oferită de Primăria București
16 minute • Ana-Maria Udriste • 25 mai 2020
În data de 22 mai 2020, Primăria București a anunțat că s-au deschis înscrierile în cadrul programului ”Testăm pentru București” prin care 11.000 (atenție, 11.000 de persoane dintr-un număr de 4 milioane de ”bucureșteni”) vor putea beneficia gratuit de testare pentru a vedea dacă sunt sau infectați cu COVID-19. Însă testarea presupune parcurgerea unei proceduri cel puțin interesante.
Problema 1: 11.000 de oameni?
La nivelul Municipiului București, conform datelor INSSE, la finalul anului 2018 în București existau înregistrate 1.828.900 persoane. Adică acele persoane care au domiciliul în acte în București. Nu stăm să defalcăm acum pe grupe de vârstă, pentru că există cifrele respective în tabel.
Conform informațiilor oficiale ale primarului Gabriela Firea la finalul anului 2019, în București am fi peste 4 milioane de oameni care locuiesc efectiv. Nu neapărat care au și domiciliul aici, pentru că mulți suntem ”mutați în fapt” în București, dar ”în drept” avem domiciliul în alt oraș, de unde am migrat.
11.000 din 1.828.900 persoane înseamnă 0.6%. Dacă suntem 100 de persoane în aceeași încăpere (deși nu avem voie acum) o jumătate de om va fi testată. Un fel de 1/2 și o mână.
11.000 din 4.000.000 persoane înseamnă 0.27%. Dacă suntem 100 de persoane în aceeași încăpere (deși tot nu avem voie acum), aproape o treime de om va fi testată. Vizual ar fi testate doar picioarele unei persoane, care sper să nu fie foarte lungi.
Prin urmare, oricum aș decide să raportez acest număr, este complet irelevant pentru orice.
Potrivit datelor din 23 martie 2020 ale Grupului de Comunicare Strategică, la nivelul Municipiul București sunt confirmate 1.728 cazuri cu COVID-19.
1.728 cazuri din 1.828.900 persoane înseamnă 0.09%.
1.728 cazuri din 4.000.000 persoane înseamnă 0.04%.
Nu intru în discuția cu asimptomatici, simptomatici, numărul de testări etc., pentru că iarăși nu are importanță pentru această analiză.
În plus, tocmai s-a declarat că putem circula fără declarație în zonele metropolitane:
”Sunt considerate zone metropolitane, în interiorul cărora nu este nevoie de prezentarea declarației pe proprie răspundere pentru circulația cetățenilor între localități, teritoriul administrativ al Bucureștiului și al județului Ilfov, respectiv teritoriul administrativ al municipiilor din România și o zonă de 30 de kilometri în jurul acestor municipii, dar nu mai mult de limita județului din care fac parte municipiile. ”, se arată conform comunicatului MAI.
În aceste condiții, ar fi trebuit ca testarea să se poată adresa și celor care au domiciliul în județul Ilfov, mai ales că majoritatea celor care locuiesc în Ilfov lucrează / tranzitează zonele din București. De aceea ar fi trebuit ca zona București – Ilfov să fie tratată și în acest caz ca o zonă unică, exact cum promovează cei de la AMBI (Alianța Metropolitană București – Ilfov).
Că tot suntem profesioniști ai dreptului. Avocatul Viviana Botoacă, împreună cu Dr. Arhitect Adrian Arendt și Șerban Georgescu – Director Catedra de Studii Asiatice – Universitatea Româno Americană au pus pe picioare alături de Asociația Zi de Bine, Colegiul Medicilor din România și Universitatea Româno-Americană proiectul ”Împreună testăm cadrele medicale din România”. Până acum, acest proiect a donat deja către Spitalul Colțea, Institutul de Pneumologie Marius Nasta, Spitalul județean Drobeta Turnu Severin și Institutul de boli cronice Sfântul Luca 1236 teste rt pcr și igm/igg.
Practic, 3 oameni și 3 instituții, prin intermediul donațiilor și sponsorizărilor, au trimis 1236 teste. Iar Primăria anunță marea testare de 11.000 persoane.
Problema 2: persoanele vor primi 200 lei dacă se testează
Ei bine, aici trebuie să recunosc că mi-a plăcut cronologia evenimentelor.
La începutul lunii mai (08 mai 2020), pentru voluntarii care se înscriau în acest proiect, Primăria urma să ofere suma de 200 lei. Exact ca atunci când te duci să donezi sânge: primești tichete de masă, o lună de RATB și Metrorex gratuit și o zi liberă de la locul de muncă. Tot așa și aici, doar că ar fi trebuit să primești suma de 200 lei.
Imediat după, pe 9 și 11 mai 2020, s-a făcut precizarea că de fapt suma respectivă nu va fi plătită ”în mână” voluntarilor, ci este vorba de o decontare a sumei de 200 lei pentru suportarea efectuării acestor teste.
Mai pe românește:
Tocmai când mă pregăteam să verific dacă intră pe legislația jocurilor de noroc (OUG nr. 77/2009), mi-au fost spulberate visele de cercetător. Deci nu e cu alba-neagra și extragere, ci cu decontare. Meh.
Am lămurit-o însă: nu primește fiecare voluntar care se testează 200 lei, ci Primăria Capitalei va deconta această sumă către laboratoarele de stat și private afiliate proiectului.
Așadar, afiliat al proiectului va primi 200 lei pentru fiecare test efectuat din cele 11.000.
Problema 3: ce se întâmplă atunci când sunt infectată cu SARS CoV-2?
Procedura e așa: mă duc la un laborator afiliat programului, mă testez, iar apoi mă duc acasă.
Vine rezultatul pe e-mail. Dacă rezultatul este pozitiv, unitatea medicală care a efectuat testarea va trimite datele către INSP și apoi va începe procedura de ”carantinare” cu ”isoleta” (niciunul din cele două cuvinte anterioare nu există în DEX, dar sunt în dicționarul urban).
Dacă cumva rezultatul e incert, pot să cer retestarea, însă va trebui să o achit eu.
Problema 4: pe unde îmi ajung mie datele personale și de ce?
Recunosc că asta mi-a plăcut cel mai mult.
Intri pe site și ajungi la etapa 1. Și vezi niște căsuțe pre-bifate. Vorba aia, nu putem să avem căsuțe pre-bifate la cookie-uri, cu atât mai puțin la prelucrarea datelor cu regim special, cum este CNP-ul, despre care vorbim mai jos.
Numele și prenume, de acord.
Apoi îmi ceri CNP-ul și vârsta și sexul. Pentru cei care nu știu, din CNP se află și vârsta și sexul, pentru că în spate este un algoritm matematic. Nici măcar nu trebuia scris un validator de la zero, pentru că există open-source pe github, de unde puteau extrage aceste date. Și cu ocazia asta să valideze dacă CNP-u meu este valid sau nu.
Pentru ce mi se cere CNP-ul în faza acesta? Ar fi trebuit să mi-l ceară unitatea spitalicească, eventual, ca să mă asocieze cu proba respectivă. Deși la fel ar fi putut să fie folosit un ”cod de pacient” sau ”cod de voluntar” sau „cod de cobai”.
Încercând să mă lămuresc totuși, dau click pe link-ul de RGPD (UE) nr. 676/2016, crezând că mă duce către politica de prelucrare a datelor special făcută pentru acest proiect (și obligatorie de altfel). Când colo, ajung fix pe pagina asta:
Este pagina Regulamentului privind protecția datelor cu caracter personal, urcată pe site, dintr-un program legislativ național. Măcar de puneau link-ul de la documentul oficial, din Jurnalul Oficial al Uniunii Europene.
Pentru că totuși perseverez și nu mă dau bătută, mă duc la ”Regulamentul privind implementarea Proiectului TESTĂM PENTRU BUCUREȘTI”.
De ce atât de mare tam-tam?
Sunt o susținătoare a ideii că la un moment dat trebuie să faci lucrurile foarte repede și că poate nu ies toate bine, dar important este ca scopul urmărit să fie îndeplinit.
Un fel de ”scopul scuză mijloacele”. Totuși, la nivelul anului 2020, luna mai, este greu de înțeles cum în România încă nu avem un site dedicat datelor deschise ca să putem avea niște statistici asupra acțiunilor de impact.
Dacă ne uităm pe site-ul INSP-ului, zici că suntem în epoca Windows 95, pentru că deja la Windows 98 am avut un upgrade. Nu mai spun de Windows 2000.
Cam la fel stă treaba și cu platforma ”Testăm pentru București”. Totuși, la nivel instituțional și revenind la cazul datelor deschise, dacă în implementarea unui asemenea proiect se generează un haos, nu pot decât să mă întreb cum funcționează, în practică, raportarea cazurilor suspecte și / sau confirmate de unități sanitare către INSP.
Nota de informare
Indiferent de motivul pentru care îmi prelucrezi aceste date, trebuie să mă informezi că o faci, în conformitate cu prevederile art. 13 și 14 din GDPR și să îmi zici, pe scurt ce date prelucrezi, de ce, care e scopul, ce faci cu ele, cui le transmiți mai departe, cât le ții etc.
Nota asta de informare trebuie să fie separată de alte documente, adică nu să mi-o integrezi într-un loc unde eu să nu pot ajunge la ea decât dacă mă chinui, cum e în cazul de față Regulamentul proiectului, unde sunt menționate succint niște prevederi și doar din punct de vedere procedural.
Și tot nu am înțeles de ce mi se cere aici CNP-ul, dar mă lămuresc în Regulament:
Deci îmi folosești CNP-ul ca să verifici că nu am mai aplicat pentru acest proiect? Chiar nu se putea găsi niciun alt identificator?
Oricum mă pui să încarc documentul cu semnătură mea electronică. Nu puteai să îmi iei identificatorul unic de acolo?
Stai că apar și alte proiecte și informări
Păi nu mă înscriu să mă testezi? De ce mă pui să fiu de acord să primesc informări de la tine și despre alte proiecte pe care le derulezi?
Problema 5: Securitate și siguranță
Nu doar că cer asta, dar mi se și spune expres că datele mele vor fi prelucrate, stocate, portate etc. în condiții de siguranță:
Și mai și bifez că sunt de acord cu asta.
Apropos de siguranță, mi-ar fi plăcut măcar să fie un Google Recaptcha acolo sau vreun cod de introdus pe undeva că poate sunt un robot care vreau să floodez sau să fac DOS (denial of service).
Cui transmite datele mele? Și de ce mă interesează?
Știu că Primăria Capitalei are datele mele, inclusiv CNP-ul, să fim serioși. De la starea civilă, taxe & impozite și toate cele. Nu aici e problema mea (deși poate ar trebui să fie la un moment dat).
Dar, cui le transmiți? Către terți. Care?
1. UIP
Nu m-am lămurit cine este UIP, dar cineva care verifică dosarele. Cine?
2. Call-center
Al cui este acest call-center? Al Primăriei? Al ASSMB? E externalizat? Habar nu am.
Dar știu că acest call-center se va ocupa de dosarul meu și de intermedierea relației între mine, unitatea unde eventual voi face testul și platforma.
3. Unitățile sanitare partenere
Laboratoarele de stat și private care îmi fac testul, depinde unde voi fi repartizată.
Bănuiesc că există un acord bun privind prelucrarea datelor încheiat între ASSMB și Afiliat.
Oh, wait for it că nu e chiar așa …
4. Autoritățile competente
Precum INSP în cazul în care există un caz confirmat pozitiv de COVID-19.
Dar și asta aflăm doar din Regulament, desigur.
5. Alte persoane?
Bănuiesc că da, doar că nu știu încă.
De ce mă interesează?
Pentru că nu vreau să mă trezesc cu reclamă targetată pe Facebook / Instagram / Google sau cu e-mailuri și telefoane din partea companiilor pentru nu-știu-ce medicament minune sau protecție sau sfaturi împotriva COVID-19 sau orice altceva.
Mi-aș dori să știu că doar sunt testată și atât. Iar dacă sunt confirmată pozitiv, să urmez procedurile legale.
Scopul prelucrării acestor date
Serios, care este scopul prelucrării acestor date? O să facem 11.000 de teste în București, care, din punctul meu de vedere, au două scopuri:
Scopul 1: identificarea persoanelor asimptomatice care sunt infectate cu SARS CoV-2.
Scopul 2: în urma acestor analize, pe baza informațiilor obținute, să se poate crea un algoritm de identificare a unor potențiale puncte de izbucnire, focare, să se adopte măsuri de prevenire și eventual să avem implementate politici graduale de relaxare și să preîntâmpinam un nou val.
Asta presupune seturi de date care urmează să fie analizate de către anumite echipe de specialiști, nu? Sau cel puțin așa m-aș gândi.
Potrivit GDPR, unul din principiile prelucrării datelor este limitarea la scop. Scop despre care trebuie să fiu informat. Nu să mă gândesc eu că ar putea exista sau că ar fi incident.
Dacă mergem la punctul (33) din preambulul GDPR, vedem că:
” Adesea nu este posibil, în momentul colectării datelor cu caracter personal, să se identifice pe deplin scopul prelucrării datelor în scopuri de cercetare științifică. Din acest motiv, persoanelor vizate ar trebui să li se permită să își exprime consimțământul pentru anumite domenii ale cercetării științifice atunci când sunt respectate standardele etice recunoscute pentru cercetarea științifică. Persoanele vizate ar trebui să aibă posibilitatea de a-și exprima consimțământul doar pentru anumite domenii de cercetare sau părți ale proiectelor de cercetare în măsura permisă de scopul preconizat. ”
Așadar, dacă vei folosi datele mele în scopuri de cercetare științifică, ceea ce sigur vei face, ar trebui să mă lași să îmi exprim consimțământul cu privire la această parte.
Putem merge inclusiv pe ideea că nu aș avea nevoie de un nou consimțământ atâta timp cât scopul ulterior este compatibili cu scopul inițial, conform punctului (50) din preambulul GDPR:
”Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cu caracter personal au fost inițial colectate ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile respective pentru care datele cu caracter personal au fost inițial colectate. În acest caz nu este necesar un temei juridic separat de cel pe baza căruia a fost permisă colectarea datelor cu caracter personal. ”
Doar că ar fi trebuit să mă informezi despre acest aspect, pentru că ”În orice caz, aplicarea principiilor stabilite de prezentul regulament și, în special, informarea persoanei vizate cu privire la aceste alte scopuri și la drepturile sale, inclusiv dreptul la opoziție, ar trebui să fie garantate.”
Dar tu nici măcar nu m-ai informat de la bun început care sunt scopurile pentru care îmi prelucrezi aceste date.
Varia
Niște legi abrogate
În anexa 3 la procedurile de selecție a unităților partenere, regăsesc și următoarea mențiune:
Numai că Legea 677/2001 e abrogată de aproape 2 ani, mai exact prin Legea nr. 129/2018, când a început să se aplice GDPR.
Iar mențiune se referă la reprezentanții unităților partenere, adică la datele lor, nu la datele care ajung la ei.
Confuzie între date confidențiale și date cu caracter personal
În contractul de afiliere între ASSMB și Unitatea Afiliată, unde întâlnesc veșnica confuzie între date confidențiale și date cu caracter personal.
Datele cu caracter personal trebuie să fie protejate de confidențialitate. Dar nu orice dată confidențială este și un element de date cu caracter personal.
Spre exemplu, datele privind bugetul sau planurile de marketing sau know-how sunt date confidențiale, dar nu sunt date personale.
Unele fac obiectul unui contract / acord de confidențialitate, iar celelalte cad în sfera GDPR.
Ajungem și la PARAGRAFUL despre prelucrarea datelor cu caracter personal
Da, pentru că este unul singur. Nu vorbim despre măsuri de securitate și siguranță, anonimizare, perioadă de stocare, ștergere, transfer, nimic.
Greșita calificare a părților?
Cum se arată mai sus, ASSMB este persoană împuternicită, iar AFILIATUL operator.
Operatorul este „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.” – art. art. (4) pct. 7 din GDPR.
Păi laboratorul definește ASSMB scopul și mijloacele de prelucrare? Nu e un pic cam invers? ASSMB a definit scopul (prevenirea răspândirii coronavirsului prin identificarea persoanelor confirmate sau suspecte că sunt infectate cu SARS CoV-2) și mijloacele (prin testare), iar laboratoarele prelucrează datele de la ASSMB, pe baza unor instrucțiuni.
Nu laboratorul definește scopul acestei testări. Laboratorul doar prelucrează datele și le transmite înapoi către ASSMB și către autoritățile competente în cazul identificării unui caz infectat cu COVID-19. Cel mult am putea merge pe ideea că ar fi putea fi operatori asociați conform art. 26 alin. (1) GDPR, potrivit căruia:
”În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați. Ei stabilesc într-un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și îndatoririle fiecăruia de furnizare a informațiilor prevăzute la articolele 13 și 14, prin intermediul unui acord între ei, cu excepția cazului și în măsura în care responsabilitățile operatorilor sunt stabilite în dreptul Uniunii sau în dreptul intern care se aplică acestora. Acordul poate să desemneze un punct de contact pentru persoanele vizate.”
În cazul în care Afiliatul ar fi operator, acesta ar trebui să se asigure ca partenerul pentru prestarea serviciilor care îl alege îndeplinește cerințele privind prelucrarea datelor cu caracter personal, inclusiv cele de securitate și siguranță.
Mai mult, ca operator, eu dau persoanei împuternicite instrucțiuni despre cum să prelucreze mai departe datele personale. Spitalul este cel care dă ASSMB instrucțiuni privind modalitatea de prelucrare a datelor persoane? Sau invers?
În loc de concluzie
Pe fondul pandemiei de COVID-19, multe din activitățile noastre curente s-au mutat în mediul on-line, iar digitalizarea instituțiilor și autorităților publice este un demers mai mult decât binevenit și încurajat.
Cu toate acestea, chiar și constrânși de timp, actorii implicați ar trebui să se asigure că respectă cadrul legal sau că măcar depun eforturi pentru a se conforma acestuia, în special când vorbim de operațiuni inter-instituționale, între actori publici și privați.
Datele personale ar trebui să fie privite cu un pic mai multă seriozitate de autoritățile publice, în special când vorbim de date privind sănătatea și mai ales în contextul în care ne aflăm astăzi.
