Aplicațiile de urmărire (contact tracing apps) în contextul COVID-19: o perspectivă asupra protecției datelor cu caracter personal

După aproape două luni de izolare, tot mai multe state din Uniunea Europeană încep să relaxeze treptat măsurile restrictive luate în contextul pandemiei COVID-19. În acest context, preocuparea autorităților din diverse țări europene se îndreaptă din ce în ce mai mult spre utilizarea noilor tehnologii, pentru a sprijini măsurile adoptate în cadrul planurilor de relaxare și pentru a preveni reapariția unui nou val de îmbolnăviri în etapa ieșirii din izolare. În mod specific, avem în vedere dezvoltarea unor aplicații, cunoscute generic drept „contact tracing apps”, care pot fi instalate pe telefoanele mobile și care ar avea drept scop, în principal, informarea utilizatorilor asupra măsurilor luate de autorități, uneori în combinație cu un chestionar de autodiagnosticare și implementare a unor functionalități de alertă că utilizatorul s-a aflat recent în proximitatea unei persoane diagnosticate pozitiv cu COVID-19, care utilizează la rândul ei aceeași aplicație.

Prin urmare, este vorba despre aplicații de stabilire a proximității dintre persoane, bazate pe utilizarea tehnologiei Bluetooth pentru a determina apropierea dintre device-urile mobile care au instalată aplicația, fără a utiliza tehnologii de geolocalizare a persoanelor. Un alt aspect important subliniat de autoritățile care au exprimat recent opinii pe acest subiect este că instalarea și utilizarea aplicațiilor de către utilizatori trebuie să se facă exclusiv în mod voluntar din partea acestora (de exemplu, autoritățile de protecție a datelor din Marea Britanie – 17 aprilie 2020; Franta – 24 aprilie 2020, Belgia – 30 aprilie 2020, Italia – 29 aprilie 2020). 

În același timp, utilizarea noilor tehnologii și a modalităților inovatoare de prelucrare a datelor trebuie să respecte întotdeauna drepturile și libertățile fundamentale, în special drepturile la viață privată și la protecția datelor cu caracter personal.

Pentru a adresa aceste aspecte, în continuarea Recomandării (UE) 2020/518 (link) emise de Comisia Europeană pe 8 aprilie 2020, care a evidențiat necesitatea elaborării unei abordări comune în utilizarea tehnologiei în lupta împotriva coronavirusului la nivelul UE, la data de 15 aprilie 2020, Comisia (prin eHealth Network) a publicat un set de masuri (Toolbox) aplicabile la nivelul statelor member UE privind utilizarea aplicatiilor mobile pentru a sprijini urmărirea contactelor în contextul crizei COVID-19, însoțite la data de 17 aprilie 2020 de o comunicare privind Orientarile în domeniul protecției datelor privind aplicațiile care sprijină combaterea pandemiei de COVID-19. Totodată, în susținerea adoptării unor abordări comune în dezvoltarea acestor aplicații, la 21 aprilie 2020, Comitetul European pentru Protecția Datelor a emis Ghidul nr. 4/2020 privind utilizarea instrumentelor de urmărire a datelor de localizare și de contact în contextul izbucnirii COVID-19, subliniind principiile care trebuie avute în vedere în dezvoltarea acestor aplicații, astfel încât drepturile persoanelor vizate să fie respectate, iar prelucrarea să fie adecvată, necesară și proporțională.

Principalele cerințe care trebuie respectate în dezvoltarea aplicațiilor de urmărire

1.       Utilizarea voluntară: Setul de instrumente și orientari elaborate la nivel european se referă exclusiv la aplicațiile de urmărire care vor fi utilizate în mod voluntar în lupta împotriva coronavirusului, descărcarea, instalarea și utilizarea acestora fiind făcute în mod volutar de către cetățeni.

2.       Implicarea autoritatilor naționale de sănătate publică, care să aibă și responsabilitățile în calitate de operatori de date: O altă cerința esențială cuprinsă în recomandările la nivel european este ca aplicațiile să fie dezvoltate cu aprobarea autorităților naționale de sănătate publică. Totodată, recomandările stabilesc mai multe funcții și cerințe pe care aplicațiile trebuie să le îndeplinească, în special pentru a asigura respectarea Regulamentului general privind protecția datelor (EU) 2016/679 (GDPR) și a Directivei privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (în România, transpusă prin Legea nr. 506/2004). Printre altele, aplicațiile ar trebui proiectate astfel încât autoritățile naționale de sănătate (sau entitățile care îndeplinesc sarcini în interesul public în domeniul sănătății) să fie operatorii de date, cu toate responsabilitățile care decurg din această calitate.

3.       Importanța implicării și consultării autorităților de protecție a datelor: Un alt element cheie este implicarea și consultarea autorităților de protecție a datelor, în timp ce Comisia atrage atenția și asupra prevederilor GDPR privind evaluarea impactului asupra protecției datelor, care ar trebui efectuată înainte de implementare, având în vedere că prelucrarea datelor prin intermediul aplicației este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor. Aceeași recomandare este reiterată și de alte autorități în domeniul protecției datelor, în opiniile mai sus menționate.

4.       Aplicarea unor măsuri de securitate adecvate și eficiente: Una dintre prioritățile dezvoltatorilor de aplicații trebuie să fie reprezentată de aplicarea unor măsuri și mecanisme de securitate adecvate, într-o manieră care să asigure toate garanțiile necesare respectării drepturilor si libertăților fundamentale. În acest sens, pentru a limita intruziunea funcționalităților aplicației și pentru a crea cadrul pentru o utilizare de încredere și responsabilă, aplicațiile ar trebui să asigure securitatea datelor prin utilizarea tehnicilor criptografice de ultimă generație, să limiteze dezvăluirea / accesul la date, să asigure exactitatea datelor pentru a minimiza riscul de a identifica în mod eronat contactele cu o persoană infectată (cu alte cuvinte, pentru a minimiza riscul rezultatelor fals pozitive) și să permită auditarea arhitecturii aplicației de către experți tehnici independenți.

5.       Din perspectiva utilizatorilor: Recomandările elaborate la nivel european conțin și o serie de măsuri pentru a asigura respectarea drepturilor și libertăților fundamentale și cerința ca aplicatiile să fie folosite doar pentru scopurile specific definite și în limitele stabilite de aceste recomandări, nefiind folosite în scopuri intruzive, precum supravegherea în masă. Acestea includ măsuri precum:

5.1.              Lipsa unor consecințe negative - Întrucât instalarea aplicației este voluntară, nu ar trebui să existe consecințe negative pentru persoana care decide să nu descarce sau să nu utilizeze aplicația.

5.2.              Consimțământ specific – Conform recomandărilor Comisiei, consimțământul ar trebui să fie acordat de utilizator în mod specific pentru fiecare funcționalitate diferită a aplicației, nu pentru toate „la pachet” (de exemplu, separat pentru primirea informărilor de la autorități, față de activarea funcionalităților privind avertizările de proximitate).

5.3.              Asigurarea efectivă a exercitării drepturilor persoanelor vizate reprezintă o altă măsură  esențială (în special cu privire la dreptul de acces, rectificare, ștergere, prevăzute de GDPR).

6.       Informarea în mod corespunzător a utilizatorilor cu privire la prelucrarea datelor, având drept scop asigurarea conformității cu prevederile GDPR. Recomandările la nivel european oferă, de asemenea, mai multe principii pentru strategiile de comunicare, menționând inclusiv posibilitatea statelor membre de a stabili un singur punct de comunicare la nivel național (cum ar fi autoritățile din domeniul sănătății) și de a prezenta informațiile cheie pentru public cu privire la dezvoltarea și funcționalitățile aplicațiilor, scopurile, mecanismele de control și garanții de securitate în vigoare, dar și avertismente cu privire la utilizarea unor aplicații mobile neautorizate. O astfel de comunicare ar trebui făcută regulat, din timp și cu o frecvență larg cunoscută publicului.

7.       Minimizarea datelor prelucrate și neutilizarea datelor de localizare: Scopul funcționalității aplicațiilor de urmărire a contactelor este de a notifica cât mai rapid persoanele care s-au aflat în imediata apropiere a unei persoane infectate, ca factor esențial pentru a întrerupe răspândirea COVID-19 și, de asemenea, pentru a preveni reapariția acestuia în faza de ieșire din criză. Pentru a obține acest lucru, Comisia observă că datele de proximitate ar putea fi necesare, considerând, de asemenea, comunicațiile Bluetooth Low Energy între dispozitive ca fiind mai precise pentru identificarea contactelor de proximitate și, prin urmare, mai adecvate decât utilizarea datelor de geolocalizare, care pot fi considerate prea intruzive în viața privată a utilizatorilor. Având în vedere că scopul aplicațiilor de urmărire nu este de a monitoriza mișcarea persoanelor ori de a monitoriza punerea în aplicare a măsurilor impuse de autorități, ci de a determina proximitatea cu persoanele infectate și de a îndruma persoanele să adopte o anumită conduită (spre exemplu autoizolarea), datele de localizare nu apar ca fiind necesare pentru scopul funcționalității acestor aplicații.

8.       Utilizarea doar pentru durata strict necesară: Aceste aplicații trebuie să fie utilizate numai pentru durata de timp necesară pentru a asigura prevenirea, combaterea și stoparea răspândirii coronavirusului, fiind dezinstalate și demontate de către dezvoltatorul aplicației imediat ce nu mai sunt necesare, iar datele cu caracter personal șterse în mod ireversibil.

Există în continuare o serie de aspecte privite cu rezervă sau care sunt subiect de dezbateri, în legatură cu implementarea acestor aplicații, legate în special de tehnologia folosită, modalitatea de stocare a datelor (descentralizat, pe dispozitivele individuale sau centralizat, pe un server administrat de autoritățile naționale de sănătate), utilizarea de date agregate și anonimizate versus complexitatea tehnicilor de anonimizare pentru ca acestea să fie eficiente, sau temeiul legal adecvat pentru prelucrarea datelor, în special dacă este vorba de date privind sănătatea. Prin urmare, acesta rămâne un subiect de abordat cu atenție și responsabilitate, pentru a atinge un echilibru real între beneficiile pe care le poate presupune utilizarea noilor tehnologii și protecția drepturilor și libertăților fundamentale ale persoanelor.