Dupa aproape doua luni de izolare, tot mai multe state din Uniunea Europeana incep sa relaxeze treptat masurile restrictive luate in contextul pandemiei COVID-19. In acest context, preocuparea autoritatilor din diverse tari europene se indreapta din ce in ce mai mult spre utilizarea noilor tehnologii, pentru a sprijini masurile adoptate in cadrul planurilor de relaxare si pentru a preveni reaparitia unui nou val de imbolnaviri in etapa iesirii din izolare. In mod specific, avem in vedere dezvoltarea unor aplicatii, cunoscute generic drept „contact tracing apps”, care pot fi instalate pe telefoanele mobile si care ar avea drept scop, in principal, informarea utilizatorilor asupra masurilor luate de autoritati, uneori in combinatie cu un chestionar de autodiagnosticare si implementare a unor functionalitati de alerta ca utilizatorul s-a aflat recent in proximitatea unei persoane diagnosticate pozitiv cu COVID-19, care utilizeaza la randul ei aceeasi aplicatie.
Prin urmare, este vorba despre aplicatii de stabilire a proximitatii dintre persoane, bazate pe utilizarea tehnologiei Bluetooth pentru a determina apropierea dintre device-urile mobile care au instalata aplicatia, fara a utiliza tehnologii de geolocalizare a persoanelor. Un alt aspect important subliniat de autoritatile care au exprimat recent opinii pe acest subiect este ca instalarea si utilizarea aplicatiilor de catre utilizatori trebuie sa se faca exclusiv in mod voluntar din partea acestora (de exemplu, autoritatile de protectie a datelor din Marea Britanie - 17 aprilie 2020, link; Franta - 24 aprilie 2020, link, Belgia - 30 aprilie 2020, link, Italia - 29 aprilie 2020, link).
In acelasi timp, utilizarea noilor tehnologii si a modalitatilor inovatoare de prelucrare a datelor trebuie sa respecte intotdeauna drepturile si libertatile fundamentale, in special drepturile la viata privata si la protectia datelor cu caracter personal.
Pentru a adresa aceste aspecte, in continuarea Recomandarii (UE) 2020/518 (link) emise de Comisia Europeana pe 8 aprilie 2020, care a evidentiat necesitatea elaborarii unei abordari comune in utilizarea tehnologiei in lupta impotriva coronavirusului la nivelul UE, la data de 15 aprilie 2020, Comisia (prin eHealth Network) a publicat un set de masuri (Toolbox) aplicabile la nivelul statelor member UE privind utilizarea aplicatiilor mobile pentru a sprijini urmarirea contactelor in contextul crizei COVID-19, insotite la data de 17 aprilie 2020 de o comunicare privind Orientarile in domeniul protectiei datelor privind aplicatiile care sprijina combaterea pandemiei de COVID-19. Totodata, in sustinerea adoptarii unor abordari comune in dezvoltarea acestor aplicatii, la 21 aprilie 2020, Comitetul European pentru Protectia Datelor a emis Ghidul nr. 4/2020 privind utilizarea instrumentelor de urmarire a datelor de localizare si de contact in contextul izbucnirii COVID-19, subliniind principiile care trebuie avute in vedere in dezvoltarea acestor aplicatii, astfel incat drepturile persoanelor vizate sa fie respectate, iar prelucrarea sa fie adecvata, necesara si proportionala.
Principalele cerinte care trebuie respectate in dezvoltarea aplicatiilor de urmarire
1. Utilizarea voluntara: Setul de instrumente si orientari elaborate la nivel european se refera exclusiv la aplicatiile de urmarire care vor fi utilizate in mod voluntar in lupta impotriva coronavirusului, descarcarea, instalarea si utilizarea acestora fiind facute in mod volutar de catre cetateni.
2. Implicarea autoritatilor nationale de sanatate publica, care sa aiba si responsabilitatile in calitate de operatori de date: O alta cerinta esentiala cuprinsa in recomandarile la nivel european este ca aplicatiile sa fie dezvoltate cu aprobarea autoritatilor nationale de sanatate publica. Totodata, recomandarile stabilesc mai multe functii si cerinte pe care aplicatiile trebuie sa le indeplineasca, in special pentru a asigura respectarea Regulamentului general privind protectia datelor (EU) 2016/679 (GDPR) si a Directivei privind prelucrarea datelor personale si protejarea confidentialitatii in sectorul comunicatiilor publice (in Romania, transpusa prin Legea nr. 506/2004). Printre altele, aplicatiile ar trebui proiectate astfel incat autoritatile nationale de sanatate (sau entitatile care indeplinesc sarcini in interesul public in domeniul sanatatii) sa fie operatorii de date, cu toate responsabilitatile care decurg din aceasta calitate.
3. Importanta implicarii si consultarii autoritatilor de protectie a datelor: Un alt element cheie este implicarea si consultarea autoritatilor de protectie a datelor, in timp ce Comisia atrage atentia si asupra prevederilor GDPR privind evaluarea impactului asupra protectiei datelor, care ar trebui efectuata inainte de implementare, avand in vedere ca prelucrarea datelor prin intermediul aplicatiei este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanelor. Aceeasi recomandare este reiterata si de alte autoritati in domeniul protectiei datelor, in opiniile mai sus mentionate.
4. Aplicarea unor masuri de securitate adecvate si eficiente: Una dintre prioritatile dezvoltatorilor de aplicatii trebuie sa fie reprezentata de aplicarea unor masuri si mecanisme de securitate adecvate, intr-o maniera care sa asigure toate garantiile necesare respectarii drepturilor si libertatilor fundamentale. In acest sens, pentru a limita intruziunea functionalitatilor aplicatiei si pentru a crea cadrul pentru o utilizare de incredere si responsabila, aplicatiile ar trebui sa asigure securitatea datelor prin utilizarea tehnicilor criptografice de ultima generatie, sa limiteze dezvaluirea / accesul la date, sa asigure exactitatea datelor pentru a minimiza riscul de a identifica in mod eronat contactele cu o persoana infectata (cu alte cuvinte, pentru a minimiza riscul rezultatelor fals pozitive) si sa permita auditarea arhitecturii aplicatiei de catre experti tehnici independenti.
5. Din perspectiva utilizatorilor: Recomandarile elaborate la nivel european contin si o serie de masuri pentru a asigura respectarea drepturilor si libertatilor fundamentale si cerinta ca aplicatiile sa fie folosite doar pentru scopurile specific definite si in limitele stabilite de aceste recomandari, nefiind folosite in scopuri intruzive, precum supravegherea in masa. Acestea includ masuri precum:
5.1. Lipsa unor consecinte negative - Intrucat instalarea aplicatiei este voluntara, nu ar trebui sa existe consecinte negative pentru persoana care decide sa nu descarce sau sa nu utilizeze aplicatia.
5.2. Consimtamant specific - Conform recomandarilor Comisiei, consimtamantul ar trebui sa fie acordat de utilizator in mod specific pentru fiecare functionalitate diferita a aplicatiei, nu pentru toate „la pachet” (de exemplu, separat pentru primirea informarilor de la autoritati, fata de activarea funcionalitatilor privind avertizarile de proximitate).
5.3. Asigurarea efectiva a exercitarii drepturilor persoanelor vizate reprezinta o alta masura esentiala (in special cu privire la dreptul de acces, rectificare, stergere, prevazute de GDPR).
6. Informarea in mod corespunzator a utilizatorilor cu privire la prelucrarea datelor, avand drept scop asigurarea conformitatii cu prevederile GDPR. Recomandarile la nivel european ofera, de asemenea, mai multe principii pentru strategiile de comunicare, mentionand inclusiv posibilitatea statelor membre de a stabili un singur punct de comunicare la nivel national (cum ar fi autoritatile din domeniul sanatatii) si de a prezenta informatiile cheie pentru public cu privire la dezvoltarea si functionalitatile aplicatiilor, scopurile, mecanismele de control si garantii de securitate in vigoare, dar si avertismente cu privire la utilizarea unor aplicatii mobile neautorizate. O astfel de comunicare ar trebui facuta regulat, din timp si cu o frecventa larg cunoscuta publicului.
7. Minimizarea datelor prelucrate si neutilizarea datelor de localizare: Scopul functionalitatii aplicatiilor de urmarire a contactelor este de a notifica cat mai rapid persoanele care s-au aflat in imediata apropiere a unei persoane infectate, ca factor esential pentru a intrerupe raspandirea COVID-19 si, de asemenea, pentru a preveni reaparitia acestuia in faza de iesire din criza. Pentru a obtine acest lucru, Comisia observa ca datele de proximitate ar putea fi necesare, considerand, de asemenea, comunicatiile Bluetooth Low Energy intre dispozitive ca fiind mai precise pentru identificarea contactelor de proximitate si, prin urmare, mai adecvate decat utilizarea datelor de geolocalizare, care pot fi considerate prea intruzive in viata privata a utilizatorilor. Avand in vedere ca scopul aplicatiilor de urmarire nu este de a monitoriza miscarea persoanelor ori de a monitoriza punerea in aplicare a masurilor impuse de autoritati, ci de a determina proximitatea cu persoanele infectate si de a indruma persoanele sa adopte o anumita conduita (spre exemplu autoizolarea), datele de localizare nu apar ca fiind necesare pentru scopul functionalitatii acestor aplicatii.
8. Utilizarea doar pentru durata strict necesara: Aceste aplicatii trebuie sa fie utilizate numai pentru durata de timp necesara pentru a asigura prevenirea, combaterea si stoparea raspandirii coronavirusului, fiind dezinstalate si demontate de catre dezvoltatorul aplicatiei imediat ce nu mai sunt necesare, iar datele cu caracter personal sterse in mod ireversibil.
Exista in continuare o serie de aspecte privite cu rezerva sau care sunt subiect de dezbateri, in legatura cu implementarea acestor aplicatii, legate in special de tehnologia folosita, modalitatea de stocare a datelor (descentralizat, pe dispozitivele individuale sau centralizat, pe un server administrat de autoritatile nationale de sanatate), utilizarea de date agregate si anonimizate versus complexitatea tehnicilor de anonimizare pentru ca acestea sa fie eficiente, sau temeiul legal adecvat pentru prelucrarea datelor, in special daca este vorba de date privind sanatatea. Prin urmare, acesta ramane un subiect de abordat cu atentie si responsabilitate, pentru a atinge un echilibru real intre beneficiile pe care le poate presupune utilizarea noilor tehnologii si protectia drepturilor si libertatilor fundamentale ale persoanelor.
Un material de Raluca Puscas, Partener Filip & Company si Cristina Radu (foto), Associate Filip & Company