STOPCOVID: Pot kontroverzne aplikacije

STOPCOVID: Pot kontroverzne aplikacijeNi dneva, da se v Franciji kot drugod ne bi obravnavalo vprašanje "odprave omejitev gibanja" prebivalstva v povezavi s sledenjem virusa in posameznikov, ki ga prenašajo.

Nedavni dogodki omenjajo vzpostavitev datoteke za sledenje okuženih oseb, katere podrobnosti se predložijo v pregled CNIL.

Mediji so poročali tudi o sporu med GAFAM-om in vlado glede uvedbe najbolj krepostne aplikacije "stopCovid".

Čeprav so parlamentarne razprave o tej vlogi trenutno prekinjene, ali lahko imamo jasno vizijo o vprašanjih in vplivih takšnega digitalnega spremljanja?

Gre za vprašanje nacionalne suverenosti, vprašanje nadzora nad podatki ali, bolj prozaično, za »preproste« tehnične odločitve?

Vprašanje je pomembno, ker ne zadeva le Francije, temveč večino evropskih držav in drugih držav, ki se poskušajo spopasti s pandemijo.

Protokoli in njihov vpliv na obdelavo podatkov

Projekt PEPP-PT (Privacy Preserving Proximity Tracing) je bil prvotno namenjen omogočanju razvoja aplikacij v Evropi na usklajeni osnovi, v skladu z zakonom.

Cilj je osebo obvestiti, da je bila v stiku z okuženo osebo, na podlagi tehnologije Bluetooth njenega pametnega telefona, ne da bi jo pri tem geolokirali.

Čeprav se je sprva zdelo, da je PEPP-PT deležen podpore, se je več sto znanstvenikov od njega distanciralo in v odprtem pismu zavzelo stališče v prid protokolu, ki temelji na decentraliziranem pristopu, kot je DP-3T (decentralizirano sledenje bližine z ohranjanjem zasebnosti), tako da podatki ostanejo shranjeni lokalno: to bi nudilo boljša jamstva glede varnosti podatkov in glede tveganj zlorabe podatkov s strani tretjih oseb ali uporabe podatkov za druge namene.

Ne pozabimo, da je hramba podatkov na lokalni ravni načelo sorazmernosti in vgrajene zasebnosti, ki se uporablja tudi v drugih kontekstih, kot je obdelava biometričnih podatkov.

CNIL ima glede te teme jasno stališče, ki ga je mogoče najti zlasti v njenem sporočilu o uporabi biometričnih podatkov s pametnimi telefoni ali na delovnem mestu. 

Orodja, ki sta jih uvedla Google in Apple, so bila razvita (zlasti) s to perspektivo lokalnega shranjevanja, ki jo priporoča protokol DP-3T, da bi preprečili preveč vsiljivo uporabo podatkov iz uporabnikovih prenosnikov.

Problem nastane, ko Francija (in sprva Nemčija, ki si je nato premislila) razvije aplikacijo, ki temelji na protokolu Robert (za ROBust in sledenje bližine z ohranjanjem zasebnosti), ki ne more delovati na podlagi funkcionalnosti, ki jih predlagata Apple in Google, s posebnimi zahtevami glede Bluetootha in centralizacije podatkov (podrobnosti so jasno pojasnjene tukaj).

To samo po sebi ne pomeni, da francoska vloga krši načela varstva podatkov: zagotovljena so bila jamstva (zlasti glede psevdonimizacije), CNIL pa je sicer izdal nekaj pripomb, vendar je podal ugodno mnenje.

Toda koliko drugih bolj ali manj demokratičnih držav bi izkoristilo funkcije "à la carte", ki jih ponujata Apple in Google, za veliko bolj vsiljiv nadzor nad svojim prebivalstvom, medtem ko Francija sprejema previdnostne ukrepe?

To deloma pojasnjuje zadržanost spletnih velikanov in trenutno zastoj v situaciji.

Predsedstvo Evropskega sveta je to točko uvrstilo na dnevni red svojega zasedanja 5. maja, na katerem bodo ministri EU za telekomunikacije poskušali sprejeti skupni pristop.

Pravni okvir

Poleg teh tehničnih vidikov upravljanje kontaktnih podatkov prek te vrste aplikacije sproža pogosta pravna vprašanja: takoj na začetku naj pojasnimo, da podatki niso anonimni, temveč psevdonimizirani, kar vodi do uporabe GDPR in načel varstva telekomunikacijskih podatkov.

Poleg prostovoljne narave uporabe aplikacije lahko vlada tovrstne občutljive podatke obdeluje le, če jo za to pooblašča posebna pravna podlaga.

Poleg tega je treba zagotoviti preglednost obdelave, podatke zavarovati, njihovo brisanje pa načrtovati v strogih rokih.

Ne glede na to, ali gre za CNIL, EDPB (skupino evropskih "CNIL"), Evropskega nadzornika za varstvo podatkov (EDPS) na njegovem zaslišanju v senatu 27. aprila ali Svet Evrope, nadzorni organi poudarjajo, da se noben sistem ne more popolnoma izogniti ranljivostim in tveganjem ponovne identifikacije, ne glede na to, ali gre za centraliziran ali decentraliziran sistem.

Strinjajo se glede previdnostnih ukrepov, ki jih je treba upoštevati pri zasnovi in uporabi aplikacij, vendar poudarjajo predvsem netrivialno naravo te vrste orodja, pri čemer navajajo tveganje podaljšanja izrednih razmer in navajanja prebivalstva na latentni nadzor. 

V istem duhu lahko navedemo študente, ki se morajo danes navaditi na redne posnetke zaslona svojih terminalov, ki jih izvaja njihov učitelj, ko opravljajo izpit na daljavo, in ki bi lahko tovrstne vdore sčasoma v drugih kontekstih ocenili kot normalne.

Gre torej predvsem za to, da se ne izognemo temeljnemu vprašanju o nujnosti ukrepa, njegovem učinku in sorazmernosti glede na posledice za temeljne pravice posameznikov.

In tudi:

• V Franciji:

Poleg precejšnjega števila praktični listi v zvezi z obvladovanjem pandemije V okviru znanstvenih raziskav, delovnih odnosov in sledenja posameznikom je CNIL pravkar začel javno posvetovanje o pravicah mladoletnikov v digitalnem okolju. To je odprto do 1. junija 2020.

• Evropa in mednarodno:

Evropski odbor za varstvo podatkov (EDPB)) je sprejel več dokumentov, katerih cilj je usmerjati javne organe in podjetja pri upravljanju podatkov v kontekstu pandemije: osredotočil se je zlasti na pogoje za obdelavo podatkov za namene medicinskih raziskav, na mednarodne prenose teh podatkov ter na sledenje in lokalizacijo prek mobilnih terminalov.

Na mednarodni ravni so dokumenti vseh organov na voljo na spletni strani Globalne skupščine o zasebnosti.

BEUC (Evropska potrošniška organizacija) je 21. aprila sporočil skupni ukrep z več kot 40 organizacijami za pravice in svoboščine potrošnikov glede razširjenega nadzora s strani oglaševalske industrije in digitalnega sledenja.

Belgija Organ za varstvo podatkov je uvedel Kazen v višini 50.000 EUR zaradi kršitve načela neodvisnosti pooblaščene osebe za varstvo podatkov : senat za spore je zato menil, da združevanje te funkcije s funkcijami direktorja oddelkov za tveganja, revizijo in skladnost predstavlja navzkrižje interesov.

Nizozemska: Nizozemski nadzorni organ je konec aprila naložil najvišjo kazen v višini 725 000 €, proti podjetju, ki je obdelovalo prstne odtise svojih zaposlenih brez dejanske utemeljitve glede varnosti.

Anne Christine Lacoste

Kot odvetnica, specializirana za pravo podatkov, je bila vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in se je ukvarjala z izvajanjem GDPR v Evropski uniji.

V okviru širitve dela na daljavo je organ izvedel tudi zelo podrobno primerjavo glavnih sistemov za videokonference glede varstva podatkov. Na spletu je na voljo le nizozemska različica, zato prilagamo celoten neuradni angleški prevod (zahvala Christopherju Schmidtu). Na ta seznam je treba dodati še rešitev Tixeo, ki jo je CNIL omenil v svojih priporočilih o videokonferencah in jo je certificiral ANSSI.