STOPCOVID : Itinéraire d’une application controversée

STOPCOVID: Το ταξίδι μιας αμφιλεγόμενης εφαρμογής

STOPCOVID: Το ταξίδι μιας αμφιλεγόμενης εφαρμογήςΔεν περνάει μέρα χωρίς να τεθεί το ζήτημα της «άρσης των περιοριστικών μέτρων» του πληθυσμού, στη Γαλλία όπως και αλλού, σε συνδυασμό με την ιχνηλάτηση του ιού και των ατόμων που τον μεταδίδουν.

Πρόσφατες εξελίξεις αναφέρουν τη δημιουργία ενός αρχείου για την παρακολούθηση μολυσμένων ατόμων, οι λεπτομέρειες του οποίου υποβάλλονται στην CNIL για έλεγχο.

Τα μέσα ενημέρωσης ανέφεραν επίσης μια αντιπαράθεση μεταξύ της GAFAM και της κυβέρνησης για την εφαρμογή της πιο ενάρετης εφαρμογής "stopCovid".

Ενώ οι κοινοβουλευτικές συζητήσεις σχετικά με αυτήν την εφαρμογή έχουν επί του παρόντος ανασταλεί, μπορούμε να έχουμε μια σαφή εικόνα των ζητημάτων και των επιπτώσεων μιας τέτοιας ψηφιακής παρακολούθησης;

Είναι ζήτημα εθνικής κυριαρχίας, ζήτημα ελέγχου δεδομένων ή, πιο πεζά, «απλές» τεχνικές επιλογές;

Το ερώτημα είναι σημαντικό επειδή αφορά όχι μόνο τη Γαλλία, αλλά και τις περισσότερες ευρωπαϊκές χώρες και άλλα κράτη που προσπαθούν να διαχειριστούν την πανδημία.

Πρωτόκολλα και ο αντίκτυπός τους στην επεξεργασία δεδομένων

Το έργο PEPP-PT (Privacy Preserving Proximity Tracing - Ιχνηλάτηση Εγγύτητας με Διατήρηση Ιδιωτικού Απορρήτου) είχε αρχικά ως στόχο να επιτρέψει την ανάπτυξη εφαρμογών στην Ευρώπη σε εναρμονισμένη βάση, σύμφωνα με τη νομοθεσία.

Στόχος είναι να ενημερωθεί ένα άτομο ότι έχει έρθει σε επαφή με ένα μολυσμένο άτομο, με βάση την τεχνολογία Bluetooth του smartphone του, χωρίς να γίνεται γεωγραφικός εντοπισμός του.

Ενώ αρχικά το PEPP-PT φάνηκε να κερδίζει υποστήριξη, αρκετές εκατοντάδες επιστήμονες αποστασιοποιήθηκαν από αυτό και σε μια ανοιχτή επιστολή τάχθηκαν υπέρ ενός πρωτοκόλλου που βασίζεται σε μια αποκεντρωμένη προσέγγιση όπως το DP-3T (αποκεντρωμένη ιχνηλάτηση εγγύτητας με διατήρηση της ιδιωτικότητας), έτσι ώστε τα δεδομένα να παραμένουν αποθηκευμένα τοπικά: αυτό θα προσέφερε καλύτερες εγγυήσεις όσον αφορά την ασφάλεια των δεδομένων και τους κινδύνους υπεξαίρεσης δεδομένων από τρίτους ή χρήσης για διαφορετικούς σκοπούς.

Ας θυμόμαστε ότι η διατήρηση των δεδομένων σε τοπικό επίπεδο αποτελεί αρχή της αναλογικότητας και της προστασίας της ιδιωτικής ζωής εκ σχεδιασμού, η οποία προωθείται και σε άλλα πλαίσια, όπως η επεξεργασία βιομετρικών δεδομένων.

 

Η CNIL έχει σαφή θέση επί του θέματος, η οποία διατυπώνεται ιδίως στην ανακοίνωσή της σχετικά με τη χρήση βιομετρικών δεδομένων από smartphones ή στον χώρο εργασίας. 

Τα εργαλεία που υλοποιούνται από την Google και την Apple αναπτύχθηκαν (ιδιαίτερα) με βάση αυτήν την προοπτική τοπικής αποθήκευσης που συνιστάται στο πρωτόκολλο DP-3T, προκειμένου να αποφευχθεί η υπερβολικά παρεμβατική χρήση δεδομένων από τους φορητούς υπολογιστές των χρηστών.

Το πρόβλημα εντοπίζεται όταν η Γαλλία (και αρχικά η Γερμανία, η οποία έκτοτε άλλαξε γνώμη) αναπτύσσει μια εφαρμογή βασισμένη στο πρωτόκολλο Robert (για ROBust και ιχνηλάτηση εγγύτητας με προστασία της ιδιωτικής ζωής μέσω ERV), η οποία δεν μπορεί να λειτουργήσει με βάση τις λειτουργίες που προτείνουν η Apple και η Google, με συγκεκριμένες απαιτήσεις όσον αφορά το Bluetooth και την κεντρική διαχείριση δεδομένων (οι λεπτομέρειες εξηγούνται με σαφήνεια εδώ).

Αυτό από μόνο του δεν σημαίνει ότι η γαλλική αίτηση παραβιάζει τις αρχές προστασίας δεδομένων: έχουν παρασχεθεί εγγυήσεις (ιδίως όσον αφορά την ψευδωνυμοποίηση) και η CNIL, ενώ εξέδωσε ορισμένες παρατηρήσεις, έχει εκδώσει ευνοϊκή γνώμη.

Αλλά εκεί που η Γαλλία λαμβάνει προφυλάξεις, πόσες άλλες, λίγο πολύ δημοκρατικές χώρες θα εκμεταλλεύονταν τις λειτουργίες «à la carte» που προσφέρουν η Apple και η Google για να διεξάγουν πολύ πιο παρεμβατική επιτήρηση των πληθυσμών τους;

Αυτό εξηγεί – εν μέρει – την απροθυμία των γιγάντων του διαδικτύου και το τρέχον αδιέξοδο στην κατάσταση.

Η Προεδρία του Ευρωπαϊκού Συμβουλίου έχει θέσει αυτό το θέμα στην ημερήσια διάταξη της συνόδου της στις 5 Μαΐου, κατά την οποία οι υπουργοί τηλεπικοινωνιών της ΕΕ θα προσπαθήσουν να υιοθετήσουν μια κοινή προσέγγιση.

Το νομικό πλαίσιο

Πέρα από αυτές τις τεχνικές πτυχές, η διαχείριση των δεδομένων επικοινωνίας μέσω αυτού του τύπου εφαρμογής εγείρει κοινά ζητήματα όσον αφορά το νόμο: ας διευκρινίσουμε εξαρχής ότι τα δεδομένα δεν είναι ανώνυμα αλλά ψευδωνυμοποιημένα, γεγονός που οδηγεί στην εφαρμογή του ΓΚΠΔ και των αρχών προστασίας των τηλεπικοινωνιακών δεδομένων.

Εκτός από τον εθελοντικό χαρακτήρα της χρήσης της εφαρμογής, η κυβέρνηση μπορεί να επεξεργάζεται αυτό το είδος ευαίσθητων δεδομένων μόνο εάν έχει εξουσιοδότηση προς τούτο από συγκεκριμένη νομική βάση.

Επιπλέον, πρέπει να διασφαλίζεται η διαφάνεια της επεξεργασίας, τα δεδομένα πρέπει να προστατεύονται και η διαγραφή τους πρέπει να σχεδιάζεται εντός αυστηρών χρονικών ορίων.

Είτε πρόκειται για την CNIL, την EDPB (ομάδα ευρωπαϊκών «CNIL»), τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (EDPS) στην ακρόασή του στη Γερουσία στις 27 Απριλίου, είτε για το Συμβούλιο της Ευρώπης, οι εποπτικές αρχές επισημαίνουν ότι κανένα σύστημα δεν μπορεί να αποφύγει πλήρως τα τρωτά σημεία και τους κινδύνους επαναταυτοποίησης, είτε πρόκειται για κεντρικό είτε για αποκεντρωμένο σύστημα.

Συμφωνούν ως προς τις προφυλάξεις που πρέπει να λαμβάνονται κατά τον σχεδιασμό και τη χρήση των εφαρμογών, αλλά τονίζουν επίσης πρωτίστως τον μη τετριμμένο χαρακτήρα αυτού του τύπου εργαλείου, επικαλούμενοι τον κίνδυνο παράτασης των καταστάσεων έκτακτης ανάγκης και εξοικείωσης του πληθυσμού με την λανθάνουσα επιτήρηση. 

 

Στο ίδιο πνεύμα, μπορούμε να αναφέρουμε φοιτητές που σήμερα πρέπει να συνηθίσουν σε τακτικά στιγμιότυπα οθόνης του τερματικού τους από τον καθηγητή τους όταν δίνουν εξετάσεις εξ αποστάσεως και οι οποίοι θα μπορούσαν τελικά να βρουν αυτό το είδος παρέμβασης φυσιολογικό σε άλλα πλαίσια.

Επομένως, πρόκειται πάνω απ' όλα για το ζήτημα να μην παρακάμπτεται το θεμελιώδες ζήτημα της αναγκαιότητας του μέτρου, του αντίκτυπού του και της αναλογικότητάς του ενόψει των συνεπειών του στα θεμελιώδη δικαιώματα των ατόμων.

Και επίσης:

  • Στη Γαλλία:

Εκτός από έναν σημαντικό αριθμό πρακτικά φύλλα εργασίας σχετικά με τη διαχείριση πανδημιών στο πλαίσιο της επιστημονικής έρευνας, των εργασιακών σχέσεων και της παρακολούθησης ατόμων, η CNIL μόλις ξεκίνησε ένα δημόσια διαβούλευση σχετικά με τα δικαιώματα των ανηλίκων στο ψηφιακό περιβάλλον. Αυτό είναι ανοιχτό μέχρι την 1η Ιουνίου 2020.

  • Ευρώπη και Διεθνής:

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB)) ενέκρινε διάφορα έγγραφα που αποσκοπούν στην καθοδήγηση των δημόσιων αρχών και των εταιρειών στο πλαίσιο της διαχείρισης δεδομένων στο πλαίσιο της πανδημίας: επικεντρώθηκε ιδιαίτερα στις συνθήκες επεξεργασίας δεδομένων για σκοπούς ιατρικής έρευνας, στις διεθνείς μεταφορές αυτών των δεδομένων και στην παρακολούθηση και τον εντοπισμό μέσω κινητών τερματικών.

Σε διεθνές επίπεδο, έγγραφα από όλες τις αρχές είναι διαθέσιμα στον ιστότοπο της Παγκόσμιας Συνέλευσης για την Προστασία Προσωπικών Δεδομένων.

BEUC (Ευρωπαϊκός Οργανισμός Καταναλωτών) ανακοίνωσε στις 21 Απριλίου μια κοινή δράση με περισσότερους από 40 οργανισμούς για τα δικαιώματα και τις ελευθερίες των καταναλωτών σχετικά με την εκτεταμένη παρακολούθηση από τον κλάδο της τεχνολογίας διαφημίσεων και την ψηφιακή παρακολούθηση.

Βέλγιο Η αρχή προστασίας δεδομένων έχει επιβάλει Πρόστιμο 50.000 € για παραβίαση της αρχής της ανεξαρτησίας του ΥΠΔ Το τμήμα επίλυσης διαφορών έκρινε επομένως ότι η σώρευση αυτής της λειτουργίας με εκείνες του διευθυντή των τμημάτων κινδύνου, ελέγχου και συμμόρφωσης συνιστούσε σύγκρουση συμφερόντων.

Ολλανδία: Η Ολλανδική Εποπτική Αρχή επέβαλε το υψηλότερο πρόστιμο στα τέλη Απριλίου, ύψους 725 000 €, εναντίον μιας εταιρείας που επεξεργάστηκε δακτυλικά αποτυπώματα των υπαλλήλων της χωρίς πραγματική αιτιολόγηση όσον αφορά την ασφάλεια.

Άννα Κριστίν Λακόστ

Δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων, ήταν επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του ΓΚΠΔ στην Ευρωπαϊκή Ένωση.

Στο πλαίσιο της επέκτασης της τηλεργασίας, η αρχή διεξήγαγε επίσης μια πολύ λεπτομερή σύγκριση των κύριων συστημάτων τηλεδιάσκεψης όσον αφορά την προστασία δεδομένων. Μόνο η ολλανδική έκδοση είναι διαθέσιμη στο διαδίκτυο, γι' αυτό και επισυνάπτουμε την ανεπίσημη αγγλική μετάφραση πλήρως (ευχαριστίες στον Christopher Schmidt). Θα πρέπει επίσης να προσθέσουμε σε αυτήν τη λίστα τη λύση Tixeo, την οποία αναφέρει η CNIL στις συστάσεις της για την τηλεδιάσκεψη και έχει πιστοποιηθεί από την ANSSI.

Ανακαλύψτε το Viqtor®
elEL
fr_FRFR en_USEN de_DE_formalDE es_ESES it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL elEL