Aplicacions mòbils: Utilització de les nostres dades en situacions excepcionals - Recomanació UE 2020/518

Notícies relacionades

La informació sobre nosaltres i el seu tractament tecnològic és de gran valor per a la lluita contra les crisis, com ho seria per la del COVID-19, tant per a entitats públiques com per als empresaris privats. Per què?

1. Estem connectats diàriament a la xarxa (Internet) i per això és més fàcil saber sobre nosaltres - Seguiment de l'estat de salut i mobilitat per exemple.
2. Alguna informació sobre nosaltres és una eina útil per a les autoritats per poder prendre conseqüents mesures a partir de l’anàlisi d'aquestes dades – mesures de contenció: Limitar la propagació de la malaltia i interrompre les cadenes de transmissió.
3. Permet tenir millor informació o major qualitat de dades sobre l'estat de salut de forma actualitzada.
4. Permet afrontar de forma organitzada i solidària a tot Europa mesures per a: modelitzar i predir evolució de la malaltia, assistència sanitària, orientació ciutadana, avaluar l'eficàcia de mesures, estratègies coordinades, estabilitat econòmica, gestió de la forma de vida, etc.

Arran de l'estat d'alarma del COVID-19 s'han desenvolupat diferents aplicacions mòbils, públiques i privades, que tracten informació altament sensible sobre nosaltres, com les dades de salut o geolocalització. La Comissió Europea ha publicat la Recomanació UE 2020/518 destinada a regular i fomentar l'intercanvi de dades entre empreses i administracions per a l'interès públic, que tot i això, s'han de complementar amb mesures addicionals, en especial de seguretat tècnica.

Però no tota acció de tractament d'aquestes dades és lícita i legal.

Un estat d'alarma no pot servir per saltar-se els drets i llibertats fonamentals, en particular el dret a la intimitat i a la protecció de les dades personals dels ciutadans; i això ha estat reiterat tant per la Comissió Europea, com per diferents organismes internacionals, com, l'European Data Protection Board (EDPB), i la mateixa Agència Espanyola de protecció de Dades. Què és el més important, llavors? Que els Estats garanteixin un alt grau de confiança i seguretat en l'adopció d'aquestes mesures excepcionals d'ús de les nostres dades: CIBERSEGURETAT i PRIVACITAT.

L'ús d'aquestes tecnologies i l'ús de la nostra informació afecta l'exercici dels nostres drets fonamentals, i per ells és necessari regular-ho molt bé. No ha de ser una porta del darrere que permeti als Estats o  a tercers  controlar-nos més del que ja ho estan fent i volen al S. XXI.

Abans del COVID-19, ja existia una regulació que impulsa la col·laboració i treball coordinat dels Estats, en situacions excepcionals contra amenaces a la salut pública, com són:

(1). Decisió N. ° 1082/2013 / UE, sobre normes específiques en matèria de vigilància epidemiològica, seguiment, alerta precoç i lluita contra les amenaces transfrontereres greus per a la salut.

(2). Directiva 2011/24 / UE, relativa a l'aplicació dels drets dels pacients en l'assistència sanitària transfronterera. Aquesta Directiva, entre altres objectius, té el de la cooperació i intercanvi d'informació entre els estats membres, i la interoperabilitat dels sistemes i serveis europeus de sanitat electrònica, que permetin assolir confiança i seguretat, millorar la continuïtat de les cures, i garantir l'accés a una assistència sanitària segura i de qualitat.

(3). Decisió d'Execució (UE) 2019/1765, sobre normes per a l'establiment, la gestió i el funcionament transparent de la xarxa de sanitat electrònica, en l'àmbit de la investigació.

I més concretament: 

(4). Reglament (UE) 2016/679, relatiu a la protecció de les persones físiques (RGPD); establint que l'ús o tractament de dades sanitàries de les persones només serà vàlid (entre altres circumstàncies), quan:

a) L'interessat doni el seu consentiment explícit;

b) El tractament resulti en interès públic, en particular amb fins de supervisió i d'alerta o de prevenció i control de malalties transmissibles i altres amenaces greus per a la salut.

c) I en qualsevol dels casos, havent d'establir de forma clara i específica:

• El propòsit
• Els mitjans del tractament
• Quines dades han de tractar-se
• Per qui

5). Directiva 2002/58 / CE, relativa a la protecció de la intimitat en el sector de les comunicacions electròniques (Directiva sobre la privacitat i les comunicacions electròniques); que estableix les normes aplicables a les dades de trànsit i de localització, així com, a l'emmagatzematge d'informació i a l'obtenció d'accés a la informació emmagatzemada al PC terminal (exemple. Un mòbil). En aquesta directiva es reitera la necessitat que l'individu rebi informació clara i completa d'acord amb el RGPD, només permetent-se la recollida d'aquesta informació del dispositiu electrònic:

1) En circumstàncies estrictament definides

2) En virtut del consentiment atorgat per l'usuari o abonat

3) Pel mateix Estat, quan necessiti limitar els drets de l'individu per assolir determinats objectius d'interès general, quan aquesta mesura sigui:

• Necessària
• Proporcionada
• Apropiada en una societat democràtica.

Com he comentat, les aplicacions mòbils que s'han desenvolupat a partir del COVID-19 han estat tant per part dels Estats com per entitats privades, i algunes d'elles d'ús general i altres per a grups tancats d'usuaris, com empreses o llocs de treball. Quines són les funcionalitats d'aquestes aplicacions mòbils?

1. Informar i assessorar / advertir els ciutadans (sovint amb qüestionaris d'autodiagnosi, però només com a mesura sensibilitzadora). Els experts diuen que és la mesura més idònia per a la prevenció, a més de la més limitada en l'impacte a la intimitat de les persones.
2. Seguiment mèdic de les persones amb símptomes (sovint amb qüestionaris d'autodiagnosi). En alguns casos i segons el Reglament (UE) 2017/745 o la Directiva 93/42 / CEE podria considerar-se que són productes sanitaris pel fet de diagnòstics, pronòstics mèdics, etc.
3. Interrompre les cadenes de contagi advertint a les persones que han estat a prop d'una persona infectada (sovint amb geolocalització).
4. Control de compliment de la quarantena de les persones infectades (sovint amb qüestionaris d'autodiagnosi i geolocalització).

Però l'eficàcia i utilitat d'aquestes aplicacions, no només depèn que estiguin ben fetes, i que siguin segures tècnicament i jurídicament, sinó del percentatge de la població o grup de persones que l'utilitzen, és a dir, que un factor essencial per a l´ èxit d'aquestes aplicacions és que les persones donin el consentiment, perquè, en molt rars casos es pot imposar el seu ús com a obligatori; en principi, sempre s'ha de requerir el consentiment individual, i la possibilitat de retirar-ho en qualsevol moment, així com, el posterior esborrat o bloqueig de les dades facilitades, independentment que aquestes aplicacions informàtiques tractin dades personals, o dades anonimitzades i agregades (estadístiques). I tampoc hem de menystenir que, l'ús d'aquestes aplicacions pot provocar un efecte negatiu en la societat, com el de l'estigmatització de persones, fet que influirà decisivament en l'operativa final dels sistemes.

A més, perquè l'aplicació s'accepti pel ciutadà i tingui abast a escala transfronterera i global, cal que la seva política i gestió siguin aplicats de forma coordinada per les autoritats sanitàries nacionals responsables, no només en l'àmbit de l'EU sinó internacional. Com és sabut, el mercat sempre produeix moltes alternatives de productes amb serveis similars; però per a la lluita contra el COVID-19 i altres pandèmies és convenient preveure la interoperabilitat entre totes les aplicacions (enfocament paneuropeu o internacional), perquè: hem pensat en les transmissions transfrontereres de ciutadans de diferents nacionalitats? Seria lícit intercanviar informació de diferents estats, regions, o diferents aplicacions? Com? Sempre se m'ha de demanar el consentiment? Des de fa temps, algunes empreses de telefonia mòbil ja han posat a disposició dels Estats dades de la geolocalització dels nostres dispositius mòbils (bàsicament a través de  les targetes SIM), que han estat molt útils per controlar el compliment de les mesures de distanciament social i confinament, és a dir, quan ens movem amb aquests dispositius, l'Estat pot saber si som bons i obedients, i en el cas de compliment per part de la ciutadania, si és una mesura efectiva (sempre comparant amb altres dades a disposició de l'administració pública, com el nombre d'infectats). No obstant això, cal tenir present que aquest intercanvi d'informació només ha estat possible, sense un consentiment directe nostre, per la declaració d'estat d'alarma i per tractar-se de dades anonimitzades o agregades, de manera que, l'Estat no sap a qui pertany aquesta informació de moviments al no poder creuar fitxers de titularitat de les targetes SIM; això sí, no oblidem que des de sempre el proveïdor de serveis de telecomunicació i les grans plataformes tecnològiques saben la nostra identitat i moviments.

Però què passa en l'actualitat i quina és la tendència dels governs; els Estats necessiten i volen més informació individualitzada i identificativa nostra, de salut o de costums, perquè la informació és poder i la informació permet prendre mesures més ajustades a la realitat de cada individu. Com s'ha comentat més amunt, això suposaria clarament una limitació de l'exercici dels drets i llibertats reconeguts en la Carta dels Drets Fonamentals, de manera que aquest tractament d'informació només serà lícit si es compleix totes i cadascuna de les següents condicions, per a cada mesura a adoptar:

1. Ha de ser temporal, revisada periòdicament durant el seu funcionament i garantint la destrucció de les dades en tots els llocs de tractament o accés de la informació (s'han de conservar com a màxim 90 dies o en el període de durada de la pandèmia);

2. Enfocar estrictament al que és necessari per combatre la crisi sanitària, i no mantenir-se en vigor amb posterioritat;

3. Ha de ser justificada;

4. Ha de ser proporcional;

5. Ha de ser el menys intrusiva a la privacitat;

6. No ha d'existir una altra alternativa;

7. Adequada tecnològicament en relació a usos i finalitats;

8. Minimitzar les dades tractades (adequades i pertinents, limitant-se al necessari per combatre la crisi sanitària), en la recollida, tractament i en el possible arxiu per interès científic-estadístic; i anonimitzar de forma real i irreversible les dades;

9. Sempre ha d’informar-se de forma clara, directa i transparent al ciutadà. Les dades han de ser proporcionades només per majors de 16 anys.

10. Ciberseguretat: garantint la disponibilitat, autenticitat, integritat i confidencialitat de les dades; i altres mesures de seguretat, com les avaluacions d'impacte, anàlisi continus de riscos, o la restricció dels que accedeixen a la informació.

Potser tot sona molt abstracte, però l'imperatiu legal existeix: tots els Estats membres té aquesta obligació de treballar conjuntament i crear mecanismes urgents de governança, per garantir:

• L'efectivitat i legalitat de les aplicacions mòbils que tractin dades de salut, i evitar les males pràctiques o la proliferació d'altres aplicacions no compatibles amb el nostre Dret;
• L'intercanvi anonimitzat i agregat  de dades entre ells per, modelitzar, cartografiar, programar i optimitzar l'eficàcia de les mesures a adoptar.

Aquest passat 16 d'abril la mateixa Comissió Europea ha estat la primera a publicar una toolbox de mesures tècniques i una guia de protecció de dades per al desenvolupament d'aplicacions mòbils per controlar pandèmies o virus, que seran molt útils per als dissenyadors de programari (us deixem l'enllaç de tots dos documents).

Alguns van més enllà d'aquestes utilitats de les app’s i proposen no només autodiagnosi, sinó l'emissió de certificats i autocertificats de salut, el discutit passaport d'immunitat viral? Un altre tema àmpliament debatible, però una aberració legal des de qualsevol punt de vista.