Sari direct la conținut

Contact tracing apps – Salvare de COVID-19 sau preambulul unei supravegheri orwelliene?

STOICA & Asociatii
Angelica Georgiana Alecu, Foto: STOICA & Asociatii
Angelica Georgiana Alecu, Foto: STOICA & Asociatii

I. Cu pași grăbiți înspre schimbări

În mai puțin de 3 luni, amenințarea COVID-19 a schimbat preocupările și cursul obișnuit al vieții oamenilor de pretutindeni. Restrângerea drepturilor și libertăților în această perioadă de criză suscită multe dispute aprinse. Sunt măsurile justificate? Putem fi și liberi, și în siguranță? Dar mai presus de toate, planează curiozitatea dacă vom putea reveni la stilul de viață obișnuit. Schimbările prin care trecem sunt departe de a se fi terminat. Cum restricțiile de circulație nu pot fi menținute sine die, însă nici pericolul răspândirii virusului nu pare să se fi estompat, oficialitățile caută măsuri alternative. Ne-ar putea salva măștile, mănușile sau… telefonul mobil? Ultima opțiune a intrigat.

II. Debutul contact tracing apps

Promotor a fost statul Singapore care, la finalul lunii martie, a lansat o aplicație de mobil pentru cetățenii săi, numită TraceTogether (1). Aplicația este un pionier al conceptului de “contact tracing and warning app” ce își propune să limiteze lanțul de transmisie al răspândirii coronavirusului. Ideea de bază este ca telefoanele mobile să folosească semnalul Bluetooth pentru a identifica și stoca date privind contactul dintre persoane purtătoare de telefon mobil și utilizatoare ale aceleiași aplicații. În cazul în care o persoană este testată ulterior pozitiv de COVID-19, aplicația trimite notificări persoanelor cu care aceasta a intrat în contact. Urmând modelul, câteva state din Europa au început deja să dezvolte aplicații similare. Spre exemplu, Crucea Roșie din Austria a lansat aplicația Stopp Corona-App (2). La rândul său, Germania propune o abordare transfrontalieră a operațiunii de dezvoltare a aplicațiilor, pentru a reduce riscul unor dificultăți de interoperabilitate între aplicațiile dezvoltate la nivel național, lansând platforma PEPP-PT (3) (“Pan European Privacy-Preserving Proximity Tracing”), ce adună peste 130 de cercetători și specialiști din 8 țări (4).

Mișcări importante se observă și în sectorul privat (5). În acest sens, Apple și Google au anunțat că au realizat un plan pentru crearea unei platforme de urmărire prin Bluetooth și că lucrează la asigurarea interoperabilității semnalului Bluetooth între dispozitivele Android și IOS. La rândul lor, cercetătorii au început să testeze eficiența unor astfel de sisteme de prevenție. Recent, Universitatea Oxford a publicat un raport (6) prin care arată că, pentru ca aplicația să fie eficientă, este nevoie ca un procent de 60% din întreaga populație să o utilizeze.

III. Îngrijorările cu privire la utilizarea contact tracing apps

În acest context, specialiștii în domeniul tehnologiei au câteva rezerve cu privire la rezultatele utilizării acestor aplicații, precum următoarele: (i) nu toți oamenii posedă un dispozitiv inteligent (potrivit unor estimări, 1,5 miliarde de oameni nu au un astfel de dispozitiv (7), (ii) nu toate dispozitivele inteligente sunt compatibile cu tehnologia Bluetooth Low Energy (LE) (potrivit unor estimări 850 de milioane de telefoane inteligente nu sunt compatibile (8), (iii) Bluetooth are o rază de acțiune mai mare decât raza de pericol pentru răspândire a virusului și poate trece prin pereți, ceea ce poate conduce la alerte false, (iv) populația va fi dificil de convins să instaleze voluntar aplicația.

Cu toate acestea, cele mai mari îngrijorări nu sunt ridicate cu privire la eficiența acestor aplicații, ci cu privire la legalitatea utilizării lor. Un gând ne face pe toți să ridicăm o sprânceană și să punem o întrebare legitimă: Sunt aceste aplicații salvarea noastră împotriva COVID-19 sau sunt un instrument la care nu s-a gândit nici Orwell când a scris “1984”?

O listă semnificativă de academicieni din 25 de țări au semnat deja o declarație (9) prin care avertizează că am putea fi în prezența unei forme de supraveghere în masă deghizată sub calul troian al protecției sănătății populației: “Unele dintre propunerile bazate pe tehnologia Bluetooth respectă dreptul la viață privată, în timp ce altele ar permite (via mission creep) o formă de supraveghere guvernamentală sau privată care ar periclita încrederea și acceptarea acestei aplicații la o scară largă a populației.” Din cauza îngrijorărilor, o serie de participanți ai PEPP- PT s-au retras deja (10).

Principalele controverse ridicate de prelucrarea unor date sensibile precum cele privind sănătatea sau datele de localizare prin aceste aplicații privesc (i) tehnologia utilizată, (ii) locul de stocare al datelor și (iii) caracterul obligatoriu al utilizării.

IV. Optica Uniunii Europene cu privire la conformitatea contact tracing apps cu dispozițiile GDPR

În acest context plin de necunoscute și dezbateri, Uniunea Europeană nu putea rămâne imună la aceste inițiative și la amenințările sau îngrijorările care le înconjoară. Astfel, pe 8 aprilie 2020, Comisia Europeană a emis Recomandarea (UE) 2020/508 (11), care stabilește că: “Prima prioritate a setului de instrumente ar trebui să fie o abordare paneuropeană pentru aplicațiile mobile COVID-19, care să fie elaborată împreună de statele membre și de Comisie, până la 15 aprilie 2020”. La finalul documentului, Comisia Europeană fixează și un calendar al următorilor pași.

Până la 31 mai 2020, Statele Membre trebuie să transmită un raport cu primele măsuri întreprinse, iar începând cu iunie 2020, Comisia va evalua progresele înregistrate. Ca urmare a setului de instrumente propus prin aceste recomandări, la 15 aprilie 2020, eHealth Network a publicat Common UE Toolbox for Member States – Mobile Application to support contact tracing in the EU’s fight against COVID-19 (12), pentru a detalia măsurile propuse.

Ulterior, pe 17 aprilie 2020, Comisia Europeană a emis o comunicare privind Orientări în domeniul protecției datelor privind aplicațiile care sprijină combaterea pandemiei de COVID- 19 (13). Prin intermediul acesteia, Comisia tratează direct cele mai delicate probleme privind conformitatea utilizării unor aplicații de contact tracing cu regulile GDPR:

1) Va fi obligatorie utilizarea acestor aplicații de către cetățenii Uniunii Europene? În viziunea Comisiei: “obligația de utilizare a unei aplicații care aduce atingere drepturilor la confidențialitatea comunicațiilor […] nu poate fi impusă decât prin intermediul unei legi care este necesară, adecvată și proporțională pentru a proteja anumite obiective specifice […]. Din aceste motive, Comisia recomandă utilizarea aplicațiilor facultative.”

2)În mâinile cui vor ajunge datele? “Comisia apreciază că aplicațiile ar trebui concepute astfel încât autoritățile sanitare naționale (sau entitățile care îndeplinesc sarcini de interes public în domeniul sănătății) să fie operatorii de date”.

3) Ce fel de date ar trebui stocate? “Nu pare să fie necesar să se stocheze ora exactă a contactului sau locul (dacă este disponibil). Cu toate acestea, ar putea fi utilă stocarea zilei în care a avut loc contactul.”

4) În ce temei vor fi prelucrate datele? “Invocarea legii ca temei juridic ar contribui la securitatea juridică […] Prelucrarea datelor de către autoritățile sanitare pe baza legislației nu schimbă cu nimic faptul că persoanele sunt libere să instaleze aplicația sau nu, precum și să le comunice autorităților sanitare datele care îi privesc”.

5) Ce condiții trebuie să respecte aplicațiile pentru a fi în concordanță cu rigorile GDPR? Comisia consideră că ar trebui îndeplinite în special următoarele condiții: (i) instalarea aplicației să fie voluntară, fără consecințe negative pentru persoana care decide să nu descarce/utilizeze aplicația; (ii) persoana să își poată da consimțământul în mod specific pentru fiecare funcționalitate în parte a aplicației, (iii)datele de proximitate acestea ar trebui să fie stocate pe dispozitivul persoanei, (iv) să fie accesibile toate informațiile necesare referitoare la prelucrarea datelor lor cu caracter personal, (v) să poată fi exercitate drepturile în temeiul RGPD, orice restricție trebuind să fie conformă cu legea și să fie necesară și proporțională , (vi) dezactivarea aplicației ar trebui să aibă loc cel mai târziu când pandemia e declarată sub control.

6) Aplicațiile vor folosi tehnologie Bluetooth sau GPS? “BLE evită posibilitatea urmăririi (spre deosebire de datele de geolocalizare). Prin urmare, pentru a determina proximitatea, Comisia recomandă utilizarea datelor transmise în cadrul comunicațiilor BLE (sau a datelor generate de o tehnologie echivalentă). Datele de localizare nu sunt necesare în scopul funcționalităților de depistare a contactelor, întrucât scopul lor nu este acela de a urmări circulația persoanelor sau de a asigura respectarea dispozițiilor”.

În sprijinul Comisiei vine și Comitetul european pentru protecția datelor prin publicarea pe 21 aprilie 2020 a “EDBP Guidelines 4/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak” (14). Prin acest ghid, Comitetul atrage atenția asupra diferenței dintre anonimizarea și pseudonimizarea datelor, precizând: „ În timp ce anonimizarea permite utilizarea de date fără restricții, datele pseudonimizate intră în sfera de reglementare a GDPR. Într-adevăr, un volum important de cercetări a demonstrat că datele privind locația ce erau considerate anonimizate, ar putea să nu aibă în realitate acest caracter. Urmele de mobilitate ale indivizilor sunt în mod inerent intens corelate și unice. Prin urmare, acestea pot fi vulnerabile în privința încercărilor de reidentificare în anumite circumstanțe […] În cele din urmă, având în vedere complexitatea proceselor de anonimizare, transparența metodologiei de anonimizare este intens încurajată”.

V. În loc de concluziii

Astfel, aplicațiile ce par să ne permită să ieșim din casă sunt privite de către Uniunea Europeană atât cu încurajare, dar și cu avertismentele de rigoare. Când în joc sunt drepturile și libertățile cetățenilor, discuțiile nici nu se pot purta în alți termeni, decât cu multă precauție și responsabilitate. Așa cum corect își încheie EDBP ghidul menționat: “o persoană nu ar trebui să fie pusă să aleagă între un răspuns eficient la criza curentă și protecția drepturilor sale fundamentale: le putem atinge pe amândouă, și, mai mult, principiile protecției datelor personale pot juca un rol foarte important în lupta cu acest virus”.

Prin urmare, provocările prin care trecem sunt departe de a se fi terminat. Rămâne de văzut cum vor putea fi puse în practică măsurile preconizate de autorități și cum va arăta viața fiecăruia dintre noi la reîntoarcerea la normal sau… la ceea se va presupune a fi normal, în noile condiții.

Un articol semnat de Angelica Georgiana Alecu – Junior Lawyer, STOICA & Asociații

Note:

(1) https://www.tracetogether.gov.sg/

(2) https://www.roteskreuz.at/site/meet-the-stopp-corona-app/

(3) https://www.pepp-pt.org/content

(4) https://www.reuters.com/article/us-health-coronavirus-tech-privacy/eu-privacy-watchdog-calls-for-pan- european-mobile-app-for-virus-tracking-idUSKBN21O1KJ

(5) https://venturebeat.com/2020/04/10/apple-and-google-partner-on-bluetooth-interoperability-for-covid-19- tracing-apps/

(6) https://045.medsci.ox.ac.uk/for-media

(7) https://www.forbes.com/sites/zakdoffman/2020/04/20/apple-and-google-major-contact-tracing-surprise-25- billion-users-lose-out/#2995cb68190a

(8) https://www.bbc.com/news/technology-52353720

(9) https://drive.google.com/file/d/1OQg2dxPu-x-RZzETlpV3lFa259Nrpk1J/view

(10) https://www.bbc.com/news/technology-52353720

(11) https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32020H0518&from=EN

(12) https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf

(13) https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:52020XC0417(08)&from=EN

(14) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_anne x_en.pdf

ARHIVĂ COMENTARII