STOPCOVID : Itinéraire d’une application controversée

STOPCOVID: Putovanje kontroverzne aplikacije

STOPCOVID: Putovanje kontroverzne aplikacijeNe prođe dan, a da se u Francuskoj kao i drugdje ne pozabavi pitanjem "dekonfinacije" stanovništva u vezi s praćenjem virusa i osoba koje ga prenose.

U nedavnim događajima spominje se stvaranje datoteke za praćenje zaraženih osoba, čiji se detalji dostavljaju CNIL-u na pregled.

Mediji su također izvijestili o zastoju između GAFAM-a i vlade oko implementacije najkreposnije aplikacije "stopCovid".

Iako su parlamentarne rasprave o ovoj prijavi trenutno obustavljene, možemo li imati jasnu viziju problema i utjecaja takvog digitalnog praćenja?

Je li to pitanje nacionalnog suvereniteta, pitanje kontrole podataka ili, prozaičnije, „jednostavnih“ tehničkih izbora?

Pitanje je važno jer se ne tiče samo Francuske, već većine europskih zemalja i drugih država koje pokušavaju upravljati pandemijom.

Protokoli i njihov utjecaj na obradu podataka

Projekt PEPP-PT (Privacy Preserving Proximity Tracing) izvorno je bio namijenjen omogućavanju razvoja aplikacija u Europi na usklađenoj osnovi, u skladu sa zakonom.

Cilj je obavijestiti osobu da je bila u kontaktu sa zaraženom osobom, na temelju Bluetooth tehnologije njihovog pametnog telefona, bez geolokacije.

Iako se u početku činilo da PEPP-PT dobiva podršku, nekoliko stotina znanstvenika distanciralo se od njega i zauzelo stav u otvorenom pismu u korist protokola temeljenog na decentraliziranom pristupu kao što je DP-3T (decentralizirano praćenje blizine uz očuvanje privatnosti), tako da podaci ostanu pohranjeni lokalno: to bi ponudilo bolja jamstva u pogledu sigurnosti podataka i rizika od zlouporabe podataka od strane trećih strana ili korištenja u druge svrhe.

Podsjetimo se da je očuvanje podataka na lokalnoj razini načelo proporcionalnosti i privatnosti već u dizajnu koje se ističe u drugim kontekstima kao što je obrada biometrijskih podataka.

 

CNIL ima jasan stav o ovoj temi, što se posebno može pronaći u njegovoj komunikaciji o korištenju biometrijskih podataka putem pametnih telefona ili na radnom mjestu. 

Alati koje su implementirali Google i Apple razvijeni su (posebno) s ovom perspektivom lokalne pohrane preporučenom u DP-3T protokolu, kako bi se spriječilo pretjerano nametljivo korištenje podataka s korisničkih prijenosnih računala.

Problem nastaje kada Francuska (a u početku i Njemačka, koja je u međuvremenu promijenila mišljenje) razvije aplikaciju temeljenu na Robertovom protokolu (za ROBust i praćenje blizine koje čuva privatnost), koja ne može raditi na temelju funkcionalnosti koje predlažu Apple i Google, sa specifičnim zahtjevima u pogledu Bluetootha i centralizacije podataka (detalji su jasno objašnjeni ovdje).

To samo po sebi ne znači da francuska prijava krši načela zaštite podataka: jamstva (posebno u pogledu pseudonimizacije) su pružena, a CNIL je, iako je izdao neke primjedbe, dao povoljno mišljenje.

Ali dok Francuska poduzima mjere opreza, koliko bi drugih manje-više demokratskih zemalja iskoristilo "à la carte" značajke koje nude Apple i Google kako bi provodile puno nametljiviji nadzor svog stanovništva?

To djelomično objašnjava oklijevanje web divova i trenutnu blokadu situacije.

Predsjedništvo Europskog vijeća stavilo je ovu točku na dnevni red svog sastanka 5. svibnja, tijekom kojeg će ministri telekomunikacija EU-a pokušati usvojiti zajednički pristup.

Pravni okvir

Osim ovih tehničkih aspekata, upravljanje kontaktnim podacima putem ove vrste aplikacije postavlja uobičajena pitanja u pogledu zakona: odmah naznačimo da podaci nisu anonimni, već pseudonimizirani, što dovodi do primjene GDPR-a i načela zaštite telekomunikacijskih podataka.

Osim dobrovoljne prirode korištenja aplikacije, vlada može obrađivati ovu vrstu osjetljivih podataka samo ako je za to ovlaštena određenom pravnom osnovom.

Nadalje, mora se osigurati transparentnost obrade, podaci moraju biti zaštićeni, a njihovo brisanje mora se planirati unutar strogih vremenskih ograničenja.

Bilo da se radi o CNIL-u, EDPB-u (grupi europskih "CNIL-ova"), Europskom nadzorniku za zaštitu podataka (EDPS) na njegovom saslušanju u Senatu 27. travnja ili Vijeću Europe, nadzorna tijela ističu da nijedan sustav ne može u potpunosti izbjeći ranjivosti i rizike ponovne identifikacije, bilo da se radi o centraliziranom ili decentraliziranom sustavu.

Slažu se oko mjera opreza koje treba poduzeti pri dizajniranju i korištenju aplikacija, ali također prije svega naglašavaju netrivijalnu prirodu ove vrste alata, navodeći rizik od produljenja izvanrednih situacija i navikavanja stanovništva na latentni nadzor. 

 

U istom duhu, možemo navesti studente koji se danas moraju naviknuti na redovite snimke zaslona svojih terminala koje im nastavnik snima kada polažu ispit na daljinu i koji bi s vremenom mogli smatrati ovu vrstu upada normalnom u drugim kontekstima.

Stoga se prije svega radi o tome da se ne izbjegava temeljno pitanje o nužnosti mjere, njezinom utjecaju i proporcionalnosti s obzirom na posljedice za temeljna prava pojedinaca.

I također:

  • U Francuskoj:

Pored značajnog broja praktični listovi vezani uz upravljanje pandemijom U kontekstu znanstvenih istraživanja, radnih odnosa i praćenja pojedinaca, CNIL je upravo pokrenuo javne konzultacije o pravima maloljetnika u digitalnom okruženju. Ovo je otvoreno do 1. lipnja 2020.

  • Europa i međunarodno:

Europski odbor za zaštitu podataka (EDPB)) usvojila je nekoliko dokumenata usmjerenih na usmjeravanje javnih tijela i tvrtki u kontekstu upravljanja podacima u kontekstu pandemije: posebno se usredotočila na uvjete obrade podataka u svrhu medicinskih istraživanja, na međunarodni prijenos tih podataka te na praćenje i lokalizaciju putem mobilnih terminala.

Na međunarodnoj razini, dokumenti svih tijela dostupni su na web stranici Globalne skupštine o privatnosti.

BEUC (Europska organizacija potrošača) 21. travnja priopćio je zajedničku akciju s više od 40 organizacija za prava i slobode potrošača u vezi s raširenim nadzorom od strane adtech industrije i digitalnim praćenjem.

Belgija Tijelo za zaštitu podataka nametnulo je Kazna od 50.000 eura za kršenje načela neovisnosti službenika za zaštitu podataka Vijeće za rješavanje sporova stoga je smatralo da kumulacija ove funkcije s funkcijama direktora odjela za rizike, reviziju i usklađenost predstavlja sukob interesa.

Nizozemska: Nizozemsko nadzorno tijelo izreklo je svoju najvišu kaznu krajem travnja, u iznosu od 725 000 €, protiv tvrtke koja je obrađivala otiske prstiju svojih zaposlenika bez stvarnog opravdanja u smislu sigurnosti.

Anne Christine Lacoste

Kao odvjetnica specijalizirana za pravo podataka, bila je voditeljica međunarodnih odnosa pri Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.

Kao dio širenja rada na daljinu, tijelo je također provelo vrlo detaljnu usporedbu glavnih sustava za videokonferencije s obzirom na zaštitu podataka. Na internetu je dostupna samo nizozemska verzija, zbog čega prilažemo neslužbeni engleski prijevod u cijelosti (zahvaljujući Christopheru Schmidtu). Ovom popisu treba dodati i Tixeo rješenje, koje je CNIL spomenuo u svojim preporukama o videokonferencijama, a certificirao ga je ANSSI.

Otkrijte Viqtor®
hrHR
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL hrHR