Η «Πανευρωπαϊκή πρωτοβουλία παρακολούθησης της εγγύτητας» και η καθοδήγηση από τις εποπτικές αρχές

 Πανευρωπαϊκή Πρωτοβουλία Διατήρησης Προστασίας Προσωπικών Δεδομένων

Σύμφωνα με τις πληροφορίες, μια ευρωπαϊκή κοινοπραξία, με επικεφαλής το Γερμανικό Ινστιτούτο Τηλεπικοινωνιών Fraunhofer Heinrich Hertz (HHI), σύντομα θα κυκλοφορήσει έναν κώδικα λογισμικού που θα μπορεί να χρησιμοποιηθεί για τη δημιουργία εφαρμογών που θα βοηθήσουν στην παρακολούθηση των αλυσίδων μετάδοσης του COVID-19. 

 

Το πανευρωπαϊκό πρόγραμμα προστασίας προσωπικών δεδομένων παρακολούθησης της εγγύτητας (Privacy Preserving Proximity Tracing «PEPP-PT») περιλαμβάνει περισσότερα από 130 μέλη σε οκτώ ευρωπαϊκές χώρες, συμπεριλαμβανομένων επιστημόνων, τεχνολόγων και εμπειρογνωμόνων.
 

Το πρότζεκτ PEPP-PT δημοσίευσε ένα μανιφέστο στο οποίο εξηγεί την πρόθεσή του να δημιουργήσει «καλά δοκιμασμένες τεχνολογίες παρακολούθησης εγγύτητας» που θα μπορούν να χρησιμοποιήσουν οι εθνικές αρχές για να δημιουργήσουν τις δικές τους εφαρμογές COVID-19. 

 

Σύμφωνα με το μανιφέστο, αυτές οι τεχνολογίες εξασφαλίζουν «ασφαλή προστασία προσωπικών δεδομένων» και «διασυνοριακή διαλειτουργικότητα». Οι σχετικές εφαρμογές θα ενημερώνουν τους χρήστες, με βάση τα σήματα Bluetooth του τηλεφώνου, εάν ήταν κοντά σε ένα άτομο που είχε βρεθεί θετικό σε τεστ για το COVID-19.
 

Οι εθνικές δημόσιες αρχές που αναπτύσσουν εφαρμογές βάσει αυτού του λογισμικού είναι ελεύθερες να αποφασίσουν με ποιο τρόπο θα ενημερώσουν τα άτομα που έχουν έρθει σε επαφή με κάποιον που έχει βρεθεί θετικός. Ο ιστότοπος PEPP-PT αναφέρει ότι οι εθνικές υπηρεσίες ασφάλειας στον κυβερνοχώρο και οι εθνικές υπηρεσίες προστασίας δεδομένων θα αξιολογήσουν τις εφαρμογές που δημιουργούνται χρησιμοποιώντας τον κωδικό που εκδίδεται από το PEPP-PT. 

 

Ο Επίτροπος της ΕΕ Thierry Breton ανέφερε ότι η Ευρωπαϊκή Επιτροπή διερευνά επίσης εάν μια εφαρμογή που χρησιμοποιεί το λογισμικό PEPP-PT θα ήταν συμβατή με τις «αξίες της ΕΕ», εκφράζοντας τις ανησυχίες περί απορρήτου που σχετίζονται με τέτοιες εφαρμογές.
 

Αρκετά κράτη μέλη εξετάζουν το ενδεχόμενο χρήσης εφαρμογών για την καταπολέμηση του COVID-19 (π.χ. Ιρλανδία και Γερμανία). Οι πολωνικές αρχές, για παράδειγμα, έχουν αναπτύξει μια εφαρμογή με την οποία τα άτομα που ήταν θετικά στο τεστ COVID-19, και βρίσκονται σε καραντίνα, μπορούν να την χρησιμοποιήσουν εθελοντικά για να αποδείξουν ότι παραμένουν σε καραντίνα (δηλαδή, στέλνοντας selfies με την τοποθεσία τους στις αρχές), ως μια εναλλακτική λύση στο να τους επιβλέπει η αστυνομία.
 

Εφαρμογές και ιστότοποι COVID-19

 

Από την έναρξη της κρίσης COVID-19 στην Ευρώπη, ιδιωτικοί και δημόσιοι φορείς έχουν αρχίσει να κυκλοφορούν εφαρμογές σχετικές με το COVID-19. Σε απάντηση, ορισμένες εποπτικές αρχές της ΕΕ έχουν κάνει δηλώσεις σχετικά με αυτές τις εφαρμογές:

•      Η Βελγική Εποπτική Αρχή παρείχε σύντομη καθοδήγηση στους προγραμματιστές εφαρμογών COVID-19 (και ιστότοπων). Διευκρινίζει το αναμενόμενο επίπεδο ανωνυμίας και, ειδικότερα, δηλώνει ότι οι διευθύνσεις IP πρέπει πάντα να θεωρούνται προσωπικά δεδομένα. Διακρίνει επίσης εφαρμογές που προσφέρονται από παρόχους υγειονομικής περίθαλψης και άλλες εφαρμογές υγείας. Στην τελευταία περίπτωση, οι εφαρμογές πρέπει να παρέχουν κατά τη στιγμή της ρύθμισης και πριν από τη συλλογή ή την κοινή χρήση προσωπικών δεδομένων, όλες οι πληροφορίες που απαιτούνται από το άρθρο 13 του GDPR. Σύμφωνα με τη δήλωση, «στο τέλος της χρήσης της εφαρμογής», όλα τα προσωπικά δεδομένα πρέπει να διαγραφούν.
•     Η Ιταλική Εποπτική Αρχή δηλώνει ότι «δεν θα είχε αντίρρηση» σε μια εφαρμογή που διαχειρίζονται οι δημόσιες αρχές, η οποία παρακολουθεί άτομα που έχουν δοκιμαστεί θετικά με το COVID-19 και άτομα που έχουν έρθει σε επαφή με αυτά, υπό την προϋπόθεση ότι η εφαρμογή συμμορφώνεται με τη νομοθεσία περί προστασίας δεδομένων.
•     Η Γερμανική Εποπτική Αρχή της Ρηνανίας-Παλατινάτου δηλώνει ότι μια εφαρμογή που παρακολουθεί τη μετάδοση του COVID-19 χρησιμοποιώντας τεχνολογία Bluetooth «είναι εφικτή», υπό την προϋπόθεση ότι συμμορφώνεται με τη νομοθεσία περί προστασίας δεδομένων. Η δήλωση απαριθμεί διάφορα κριτήρια τα οποία, κατά τη γνώμη της αρχής, είναι αποφασιστικά για τη συμμόρφωση με τη νομοθεσία περί προστασίας δεδομένων. Συγκεκριμένα, η αρχή σημειώνει ότι η χρήση της εφαρμογής θα πρέπει να είναι εθελοντική, οι σκοποί για την επεξεργασία των δεδομένων να είναι περιορισμένοι, ότι οι τεχνικές ψευδωνυμοποίησης θα εφαρμόζονται στα δεδομένα και ότι τα δεδομένα θα πρέπει να διαγραφούν εάν δεν υπάρχει πλέον κίνδυνος μόλυνσης.
•     Η Εποπτική Αρχή της Σλοβενίας ανακοίνωσε σχετικά με τον ιστότοπο https://covid-19-stats.si/, η οποία επιτρέπει στα άτομα να αναφέρουν και να καταγράφουν τα συμπτώματά τους, να παρέχουν πληροφορίες σχετικά με τα συμπτώματα, να αναφέρουν τον αριθμό των μελών της οικογένειας στο νοικοκυριό του ατόμου, να καταγράφουν τα συμπτώματα την ημερομηνία που εντοπίστηκαν για πρώτη φορά και τον αριθμό τηλεφώνου και τις πληροφορίες κατοικίας του ατόμου. Παρόλο που ισχυρίστηκε ότι συνέλεξε μόνο ανώνυμα δεδομένα, η έρευνα της αρχής αποκάλυψε ότι τα δεδομένα ήταν μόνο κρυπτογραφημένα και όχι ανώνυμα και ως εκ τούτου δεν συμμορφώθηκε με τον GDPR. Ως αποτέλεσμα, ο ιστότοπος ανακοίνωσε ότι έχει διαγράψει τη βάση δεδομένων του και εξετάζει τον τρόπο παροχής αυτής της υπηρεσίας με τρόπο συμβατό με το GDPR. Η ίδια αρχή ανακοίνωσε σχετικά με τη χρήση δεδομένων γεωγραφικού εντοπισμού για την καταπολέμηση του COVID-19, η οποία αναφέρει ότι αυτό επιτρέπεται μόνο σε εξαιρετικές περιστάσεις και εφόσον υπάρχουν κατάλληλες διασφαλίσεις.
•     Η Ισπανική Εποπτική Αρχή δηλώνει ότι μόνο οι δημόσιες αρχές έχουν την εξουσία να επεξεργάζονται προσωπικά δεδομένα για τον έλεγχο της επιδημίας. Αυτό περιλαμβάνει τη συλλογή δεδομένων προκειμένου να προσφέρει εργαλεία αυτοαξιολόγησης και τη συλλογή δεδομένων γεωγραφικού εντοπισμού για τη δημιουργία χαρτών περιοχών υψηλού / χαμηλού κινδύνου ή για τον έλεγχο κατά πόσον τα άτομα που έχουν βρεθεί θετικά συμμορφώνονται με τους περιορισμούς καραντίνας. Οι ιδιωτικοί φορείς μπορούν να επεξεργάζονται προσωπικά δεδομένα μόνο σύμφωνα με τις οδηγίες των αρχών δημόσιας υγείας.

 

Σε γενικές γραμμές, οι ανακοινώσεις των Εποπτικών Αρχών της ΕΕ μέχρι στιγμής υποδηλώνουν ότι θα επιτρέπεται η χρήση εφαρμογών ή ιστότοπων από δημόσιες αρχές για την παρακολούθηση της εξάπλωσης του COVID-19, υπό την προϋπόθεση ότι συμμορφώνονται με τις αρχές της νομοθεσίας περί προστασίας προσωπικών δεδομένων της ΕΕ. Αντίθετα, οι ρυθμιστικές αρχές φαίνεται να αντιμετωπίζουν με μεγαλύτερο σκεπτικισμό το αν οι φορείς του ιδιωτικού τομέα πρέπει να αναπτύσσουν και να χρησιμοποιούν τέτοιες εφαρμογές ή ιστότοπους.

By Dan Cooper, Kristof Van Quathem and Anna Oberschelp de Meneses

 
insideprivacy.com