|
17.4.2020 |
RO |
Jurnalul Oficial al Uniunii Europene |
CI 124/1 |
COMUNICARE A COMISIEI
Orientări în domeniul protecției datelor privind aplicațiile care sprijină combaterea pandemiei de COVID-19
(2020/C 124 I/01)
1 CONTEXTUL
Pandemia de COVID-19 constituie o încercare fără precedent pentru Uniune și statele membre, pentru sistemele lor de sănătate, pentru modul de viață, stabilitatea economică și valorile lor. Tehnologiile și datele digitale îndeplinesc un rol important în combaterea crizei cauzate de pandemia de COVID-19. Aplicațiile mobile instalate în general pe telefoanele inteligente (denumite în continuare „aplicațiile”) pot ajuta autoritățile din domeniul sănătății publice de la nivelul național și de la nivelul UE să monitorizeze și să mențină sub control pandemia de COVID-19 și sunt deosebit de utile în faza de ridicare a măsurilor de izolare. Aceste aplicații le pot furniza îndrumări directe cetățenilor și pot sprijini eforturile de depistare a contactelor. Într-o serie de țări, atât din UE, cât și din celelalte zone ale lumii, autoritățile naționale sau regionale ori dezvoltatorii au anunțat lansarea unor aplicații care oferă diferite funcționalități menite să sprijine eforturile de combatere a virusului.
La data de 8 aprilie 2020, Comisia a adoptat o Recomandare privind un set comun de instrumente la nivelul Uniunii pentru utilizarea tehnologiei și a datelor în scopul de a combate criza provocată de pandemia de COVID-19 și de a ieși din această criză, în special în ceea ce privește aplicațiile mobile și utilizarea datelor anonimizate privind mobilitatea (denumită în continuare „recomandarea”) (1). Recomandarea are drept scop, printre altele, să dezvolte o abordare paneuropeană (un „set de instrumente”) a utilizării aplicațiilor mobile, coordonată la nivelul UE, pentru a le permite cetățenilor să ia măsuri eficace de distanțare socială, precum și pentru avertizare, prevenire și depistarea contactelor pentru a contribui la limitarea răspândirii COVID-19. Recomandarea stabilește principiile generale care ar trebui să orienteze elaborarea unui astfel de set de instrumente și anunță că vor fi publicate orientări suplimentare ale Comisiei, inclusiv orientări privind implicațiile în materie de protecție a datelor cu caracter personal și de confidențialitate ale utilizării aplicațiilor în acest domeniu.
Prin Foaia de parcurs europeană comună pentru ridicarea măsurilor de izolare legate de COVID-19, Comisia, în cooperare cu președintele Consiliului European, a stabilit o serie de principii menite să orienteze ridicarea treptată a măsurilor de izolare luate pentru a răspunde pandemiei de COVID-19. Aplicațiile mobile, inclusiv funcționalitățile de depistare a contactelor, pot îndeplini un rol important în acest context. În funcție de elementele aplicațiilor și de măsura în care populația le utilizează, acestea pot avea un impact semnificativ asupra diagnosticării, tratării și gestionării cazurilor de COVID-19 atât în mediul spitalicesc, cât și în afara acestuia. Aplicațiile sunt deosebit de utile în faza de ridicare a măsurilor de izolare, atunci când crește riscul de infecție ca urmare a măririi numărului de persoane aflate în contact. Acestea pot contribui la întreruperea lanțurilor de infectare mai rapid și mai eficient decât măsurile generale de izolare și pot reduce semnificativ riscul răspândirii virusului. Astfel, aplicațiile ar trebui să constituie un element important al strategiei de ieșire, venind în completarea altor măsuri precum sporirea capacităților de testare (2). O condiție prealabilă importantă pentru dezvoltarea acestor aplicații și pentru acceptarea și adoptarea lor de către populație este încrederea. Cetățenii trebuie să aibă certitudinea că se asigură respectarea drepturilor fundamentale și că aplicațiile vor fi utilizate numai în scopurile definite în mod expres, că acestea nu vor fi utilizate pentru supravegherea în masă și că persoanele fizice își vor păstra controlul asupra datelor lor. Aceste elemente sunt determinante pentru precizia și eficacitatea unor astfel de aplicații în ceea ce privește limitarea răspândirii virusului. Prin urmare, este esențial să se identifice soluțiile care sunt cel mai puțin intruzive și respectă pe deplin cerințele în materie de protecție a datelor cu caracter personal și de confidențialitate prevăzute în legislația UE. Mai mult, aplicațiile ar trebui să fie dezactivate cel târziu în momentul în care pandemia este declarată ca fiind sub control. Aplicațiile ar trebui să includă, de asemenea, măsuri de protecție a securității informațiilor bazate pe stadiul actual al tehnologiei.
Prezentele orientări țin seama de contribuția Comitetului european pentru protecția datelor (CEPD) (3) și de discuțiile din cadrul rețelei de e-sănătate. CEPD are în vedere, în următoarele zile, publicarea propriilor orientări privind instrumentele de geolocalizare și alte instrumente de depistare în contextul pandemiei de COVID-19.
Domeniul de aplicare a orientărilor
Pentru a asigura o abordare coerentă la nivelul UE și pentru a le furniza orientări statelor membre și dezvoltatorilor de aplicații, prezentul document stabilește caracteristicile și cerințele pe care aplicațiile ar trebui să le îndeplinească pentru a asigura conformitatea cu legislația UE privind protecția vieții private și a datelor cu caracter personal, în special cu Regulamentul general privind protecția datelor (4) (RGPD) și cu Directiva asupra confidențialității și comunicațiilor electronice (5). Prezentele orientări nu abordează și eventualele condiții suplimentare, cum ar fi restricțiile pe care statele membre le-ar putea include în dreptul intern în ceea ce privește prelucrarea datelor privind sănătatea.
Orientările nu au forță juridică obligatorie. Aceasta nu aduc atingere rolului Curții de Justiție a UE, singura instituție care poate oferi o interpretare cu valoare de autoritate a dreptului UE.
Prezentele orientări se referă numai la aplicațiile facultative care sprijină combaterea pandemiei de COVID-19 (aplicațiile descărcate, instalate și utilizate în mod voluntar de către persoane fizice) cu una sau mai multe dintre următoarele funcționalități:
|
— |
furnizarea de informații exacte populației cu privire la pandemia de COVID-19; |
|
— |
furnizarea de chestionare pentru autoevaluare și îndrumare destinate populației (funcționalitatea de verificare a simptomelor) (6); |
|
— |
alertarea persoanelor care s-au aflat în apropierea unei persoane infectate pe o anumită durată, pentru a le furniza informații precum necesitatea de a intra în autocarantină și locurile în care se efectuează teste de depistare (funcționalitatea de depistare a contactelor și de avertizare); |
|
— |
asigurarea unui forum de comunicare între pacienți și medici în situațiile de autoizolare sau pentru furnizarea de consiliere suplimentară în scopuri de diagnosticare și tratament (utilizarea sporită a telemedicinei). |
În conformitate cu Directiva asupra confidențialității și comunicațiilor electronice, obligația de utilizare a unei aplicații care aduce atingere drepturilor la confidențialitatea comunicațiilor prevăzute la articolul 5 nu poate fi impusă decât prin intermediul unei legi care este necesară, adecvată și proporțională pentru a proteja anumite obiective specifice. Dat fiind că această abordare prezintă un grad ridicat de intruziune și creează probleme, inclusiv în ceea ce privește instituirea unor garanții adecvate, Comisia apreciază că este necesară o analiză atentă înainte de utilizarea acestei opțiuni. Din aceste motive, Comisia recomandă utilizarea aplicațiilor facultative.
Prezentele orientări nu abordează aplicațiile care vizează asigurarea respectării cerințelor privind carantina (inclusiv a celor obligatorii).
2 CONTRIBUȚIA APLICAȚIILOR LA COMBATEREA COVID-19
Funcționalitatea de verificare a simptomelor este un instrument care le permite autorităților din domeniul sănătății publice să le ofere îndrumări cetățenilor cu privire la efectuarea testelor de depistare pentru COVID-19 și să le furnizeze informații cu privire la autoizolare, la modul de a evita transmiterea către alte persoane și la momentul în care trebuie să solicite asistență medicală. Această funcționalitate poate, de asemenea, să completeze supravegherea în cadrul asistenței medicale primare și să ofere informații mai bune privind ratele de infectare cu COVID-19 în rândul populației.
Funcționalitatea de depistare a contactelor și de avertizare este un instrument de identificare a persoanelor care s-au aflat în contact cu o persoană infectată cu COVID-19 și de informare a acestora cu privire la măsurile adecvate care vor trebui urmate, cum ar fi autocarantina, testarea sau obținerea de consiliere cu privire la ceea ce trebuie făcut în cazul apariției simptomelor. Această funcționalitate este, astfel, utilă atât pentru persoanele fizice, cât și pentru autoritățile din domeniul sănătății publice. Funcționalitatea respectivă poate îndeplini un rol important și în gestionarea măsurilor de izolare pe durata scenariilor de relaxare a măsurilor. Impactul acestei funcționalități poate fi amplificat printr-o strategie menită să sprijine testarea la scară mai largă a persoanelor care prezintă simptome ușoare.
Ambele funcționalități pot constitui, de asemenea, o sursă utilă de date pentru autoritățile din domeniul sănătății publice și pot facilita transmiterea acestor date autorităților epidemiologice naționale și Centrului European de Prevenire și Control al Bolilor (ECDC). Acest lucru ar contribui la înțelegerea modelelor de transmitere și, dacă datele menționate sunt combinate cu rezultatele testelor, s-ar obține o estimare a valorii predictive pozitive a simptomelor respiratorii într-o comunitate dată și informații cu privire la nivelul de circulație a virusului.
Gradul de fiabilitate a estimărilor depinde în mod direct de numărul și fiabilitatea datelor transmise.
Prin urmare, dacă sunt folosite în combinație cu strategii de testare corespunzătoare, atât funcționalitățile de verificare a simptomelor, cât și cele de depistare a contactelor pot furniza informații cu privire la nivelul de circulație a virusului și pot contribui la evaluarea impactului distanțării fizice și al măsurilor de izolare. Astfel cum se prevede în recomandare, pentru a permite colaborarea transfrontalieră și pentru a asigura detectarea contactelor între utilizatorii diferitelor aplicații (ceea ce este deosebit de important în deplasările transfrontaliere ale cetățenilor), ar trebui asigurată interoperabilitatea dintre soluțiile IT ale diferitelor state membre. În cazul în care o persoană infectată se află în contact cu un utilizator al unei aplicații dintr-un alt stat membru, transmiterea transfrontalieră a datelor cu caracter personal ale respectivului utilizator către autoritățile sanitare din statul său membru ar trebui să fie posibilă în măsura strict necesară. Acest aspect va fi abordat în cadrul lucrărilor care se vor desfășura ca parte a setului de instrumente anunțat în recomandare. Interoperabilitatea ar trebui asigurată atât prin intermediul cerințelor tehnice, cât și prin îmbunătățirea comunicării și a cooperării între autoritățile naționale din domeniul sănătății. Ca model de guvernanță pentru aplicațiile de depistare a contactelor pe durata pandemiei COVID-19, s-ar putea utiliza, de asemenea, un model de cooperare specifică (7).
3 ELEMENTE PENTRU O UTILIZARE FIABILĂ ȘI RESPONSABILĂ A APLICAȚIILOR
Funcționalitățile incluse în aplicații pot avea impact în diferite moduri asupra unei game largi de drepturi consacrate în Carta drepturilor fundamentale a UE, cum ar fi demnitatea umană, respectarea vieții private și de familie, protecția datelor cu caracter personal, libertatea de circulație, nediscriminarea, libertatea de a desfășura o activitate comercială și libertatea de întrunire și de asociere. Imixtiunea în viața privată și ingerința în dreptul la protecția datelor cu caracter personal pot fi deosebit de semnificative, dat fiind că unele funcționalități pornesc de la un model bazat pe utilizarea intensivă a datelor.
Elementele prezentate mai jos au scopul de a oferi orientări cu privire la modul de limitare a caracterului intruziv al funcționalităților aplicației pentru a asigura conformitatea cu legislația UE privind protecția datelor cu caracter personal și viața privată.
3.1 Autoritățile sanitare naționale (sau entitățile care îndeplinesc sarcini de interes public în domeniul sănătății) în calitate de operator de date
Este esențial să se stabilească cine decide cu privire la mijloacele și scopurile prelucrării datelor (și anume, cine este operatorul de date) pentru a stabili cine este responsabil cu respectarea normelor UE privind protecția datelor cu caracter personal și în special: cine ar trebui să informeze persoanele care descarcă aplicația cu privire la ceea ce va întâmpla cu datele lor personale (deja existente sau care urmează să fie generate prin intermediul dispozitivului, cum ar fi un telefon inteligent, pe care se instalează aplicația), drepturile pe care le vor avea, cine va fi responsabil în cazul încălcării securității datelor etc.
Având în vedere caracterul sensibil al datelor cu caracter personal în cauză și scopul prelucrării datelor descrise mai jos, Comisia apreciază că aplicațiile ar trebui concepute astfel încât autoritățile sanitare naționale (sau entitățile care îndeplinesc sarcini de interes public în domeniul sănătății) să fie operatorii de date (8). Operatorii de date sunt responsabili cu respectarea RGPD (principiul responsabilității). Acest acces ar trebui limitat pe baza principiilor descrise în secțiunea 3.5 de mai jos.
Acest lucru va contribui, de asemenea, la creșterea gradului de încredere în rândul populației și, astfel, a gradului de acceptare a aplicațiilor (și a sistemelor de informații subiacente privind lanțurilor de transmitere a infecțiilor) și va asigura îndeplinirea de către aplicații a scopului urmărit de protejare a sănătății publice. Politicile, cerințele și controalele subiacente ar trebui să fie aliniate și puse în aplicare într-un mod coordonat de către autoritățile naționale responsabile din domeniul sănătății.
3.2 Asigurarea faptului că persoana deține în continuare controlul
Un factor determinant al încrederii oamenilor în aplicații este capacitatea de a demonstra că aceștia dețin în continuare controlul asupra datelor lor cu caracter personal. În acest scop, Comisia consideră că ar trebui îndeplinite în special următoarele condiții:
|
— |
instalarea aplicației pe dispozitivul unei persoane ar trebui să fie voluntară și să nu aibă consecințe negative pentru persoana care decide să nu descarce/utilizeze aplicația; |
|
— |
diferitele funcționalități ale aplicațiilor (de exemplu, funcționalitățile de informare, de verificare a simptomelor, de depistare a contactelor și de avertizare) nu ar trebui să fie grupate, astfel încât persoana să își poată da consimțământul în mod specific pentru fiecare funcționalitate în parte. Acest lucru nu ar trebui să împiedice utilizatorul să combine diferite funcționalități ale aplicațiilor dacă furnizorul oferă opțiunea respectivă; |
|
— |
în cazul în care se utilizează date de proximitate [date generate de schimbul de semnale între dispozitive prin Bluetooth cu consum redus de energie (BLE) într-un perimetru relevant din punct de vedere epidemiologic și într-un interval de timp relevant din punct de vedere epidemiologic], acestea ar trebui să fie stocate pe dispozitivul persoanei. Dacă trebuie să fie puse la dispoziția autorităților sanitare, datele respective ar trebui să fie comunicate numai după confirmarea faptului că persoana în cauză este infectată cu COVID-19 și cu condiția ca persoana respectivă să aleagă să facă acest lucru; |
|
— |
autoritățile sanitare ar trebui să le furnizeze persoanelor în cauză toate informațiile necesare referitoare la prelucrarea datelor lor cu caracter personal (în concordanță cu articolele 12 și 13 din RGPD și cu articolul 5 din Directiva asupra confidențialității și comunicațiilor electronice); |
|
— |
persoana ar trebui să își poată exercita drepturile în temeiul RGPD (în special, accesul la date, rectificarea și ștergerea datelor). Orice restricție a drepturilor în temeiul RGPD și al Directivei asupra confidențialității și comunicațiilor electronice ar trebui să fie conformă cu aceste acte legislative și să fie necesară, proporțională și prevăzută în legislație; |
|
— |
aplicațiile ar trebui să fie dezactivate cel târziu în momentul în care pandemia este declarată ca fiind sub control; dezactivarea nu ar trebui să depindă de dezinstalarea aplicației de către utilizator. |
3.3 Temeiul juridic pentru prelucrare
Instalarea aplicațiilor și stocarea informațiilor pe dispozitivul utilizatorului
Astfel cum s-a menționat mai sus, în temeiul Directivei asupra confidențialității și comunicațiilor electronice (articolul 5), stocarea informațiilor pe dispozitivul utilizatorului sau obținerea accesului la informațiile deja stocate este permisă numai dacă (i) utilizatorul și-a dat consimțământul sau dacă (ii) stocarea și/sau accesul sunt strict necesare pentru serviciul societății informaționale (de exemplu, aplicația) care a fost solicitat în mod explicit (adică instalat și activat) de către utilizator.
Stocarea informațiilor pe dispozitivul persoanei și obținerea accesului la informațiile deja stocate pe dispozitivul respectiv sunt necesare, de regulă, pentru ca aplicațiile să poată funcționa. În plus, funcționalitatea de depistare a contactelor și de avertizare necesită stocarea altor informații pe dispozitivul utilizatorului (cum ar fi pseudonimele efemere, schimbate periodic, ale utilizatorilor acestei funcționalități în proximitate). Mai mult, această funcționalitate i-ar putea impune utilizatorului (infectat sau probabil infectat) să încarce date de proximitate. O astfel de procedură de încărcare nu este necesară pentru funcționarea aplicației ca atare. Prin urmare, cerințele opțiunii (ii) menționate la punctul anterior nu sunt îndeplinite. Așadar, consimțământul [opțiunea (i) de mai sus] devine temeiul cel mai adecvat pentru activitățile pertinente. Acest consimțământ ar trebui să fie „acordat în mod liber”, să fie „specific”, „explicit” și „informat”, în sensul RGPD. Acesta ar trebui să fie exprimat printr-o acțiune afirmativă clară a persoanei, fiind excluse formele de exprimare tacită a consimțământului (de exemplu, tăcerea; inactivitatea) (9).
Temeiul juridic pentru prelucrarea datelor de către autoritățile sanitare naționale – legislația Uniunii sau a statelor membre
Autoritățile sanitare naționale prelucrează, de regulă, date cu caracter personal atunci când există o obligație legală prevăzută în legislația UE sau a statelor membre care prevede o astfel de prelucrare și care îndeplinește condițiile prevăzute la articolul 6 alineatul (1) litera (c) și la articolul 9 alineatul (2) litera (i) din RGPD ori atunci când o astfel de prelucrare este necesară pentru îndeplinirea unei sarcini efectuate în interesul public recunoscut de legislația UE sau a statelor membre (10).
Orice legislație națională trebuie să prevadă măsuri specifice și adecvate pentru garantarea drepturilor și a libertăților persoanelor vizate. Ca regulă generală, cu cât impactul asupra libertăților persoanelor este mai puternic, cu atât ar trebui să fie mai puternice garanțiile corespunzătoare prevăzute în legislația relevantă.
Legislația UE și a statelor membre care există deja cu privire la pandemia de COVID-19 și actele legislative pe care statele membre le adoptă în mod specific pentru a combate răspândirea epidemiei pot fi utilizate, în principiu, ca temei juridic pentru prelucrarea datelor persoanelor fizice dacă acestea prevăd măsuri care să permită monitorizarea epidemiei și dacă legislația respectivă îndeplinește cerințele suplimentare prevăzute la articolul 6 alineatul (3) din RGPD.
Având în vedere natura datelor cu caracter personal vizate (în special datele privind sănătatea ca o categorie aparte de date cu caracter personal), precum și circumstanțele actualei pandemii de COVID-19, invocarea legii ca temei juridic ar contribui la securitatea juridică, întrucât ar (i) impune în mod detaliat prelucrarea datelor specifice privind sănătatea și ar preciza în mod clar scopurile prelucrării; (ii) ar enunța clar cine este operatorul, și anume entitatea care prelucrează datele și cine, în afară de operator, poate avea acces la astfel de date; (iii) ar exclude posibilitatea de a prelucra astfel de date în scopuri diferite de cele enumerate în legislație și (iv) ar prevedea garanții specifice. Pentru a nu submina utilitatea publică și acceptarea aplicațiilor, legiuitorul de la nivel național ar trebui să acorde o atenție deosebită faptului că soluția aleasă este cât se poate de cuprinzătoare pentru cetățeni.
Prelucrarea datelor de către autoritățile sanitare pe baza legislației nu schimbă cu nimic faptul că persoanele sunt libere să instaleze aplicația sau nu, precum și să le comunice autorităților sanitare datele care îi privesc. Prin urmare, nu ar trebui să existe consecințe negative pentru utilizatori ori de câte ori se dezinstalează aplicația.
Aplicațiile de depistare a contactelor și de avertizare au drept scop avertizarea persoanelor. Atunci când aplicația însăși este cea care furnizează această avertizare, Comisia atrage atenția asupra interdicției de a supune persoanele fizice unei decizii bazate exclusiv pe prelucrarea automată care produce efecte juridice sau care, în mod similar, afectează considerabil persoanele respective (articolul 22 din RGPD).
3.4 Minimizarea datelor
Datele produse prin intermediul dispozitivelor și deja stocate în aceste dispozitive sunt protejate după cum urmează:
|
— |
Ca „date cu caracter personal”, și anume orice informație referitoare la o persoană fizică identificată sau identificabilă [articolul 4 alineatul (1) din RGPD], sunt protejate în temeiul RGPD. Datele privind sănătatea beneficiază de o protecție suplimentară (articolul 9 din RGPD). |
|
— |
Ca „date de localizare”, și anume date prelucrate într-o rețea de comunicații electronice sau de către un serviciu de comunicații electronice, care indică poziția geografică a echipamentului terminal al utilizatorului, sunt protejate în temeiul Directivei asupra confidențialității și comunicațiilor electronice [articolul 5 alineatul (1) și articolele 6 și 9] (11). |
|
— |
Orice informații stocate în echipamentele terminale ale utilizatorului și accesate de pe acestea sunt protejate în temeiul articolului 5 alineatul (3) din Directiva asupra confidențialității și comunicațiilor electronice. |
Datele fără caracter personal (cum ar fi datele anonimizate în mod ireversibil) nu sunt protejate în temeiul RGPD.
Comisia reamintește faptul că principiul minimizării datelor impune ca numai datele cu caracter personal care sunt adecvate, pertinente și limitate la ceea ce este necesar în raport cu scopul (12) să poată fi prelucrate. O evaluare a necesității de a prelucra datele cu caracter personal și relevanța unor astfel de date ar trebui să fie efectuată din perspectiva scopului (scopurilor) urmărit(e).
Comisia observă, de exemplu, că în cazul în care scopul funcționalității este verificarea simptomelor sau telemedicina, aceste scopuri nu necesită accesul la lista de contacte a persoanei care deține dispozitivul.
Generarea și prelucrarea unui volum mai mic de date limitează riscurile în materie de securitate. Prin urmare, respectarea măsurilor de minimizare a datelor furnizează și garanții în materie de securitate.
— Funcționalitatea de informare
O aplicație care nu are decât această funcționalitate nu va trebui să prelucreze niciun fel de date ale persoanelor privind sănătatea, ci le va furniza doar informații. Pentru a îndeplini acest scop, nu pot fi prelucrate alte informații stocate în echipamentele terminale și accesate de pe acestea, cu excepția a ceea ce este necesar pentru furnizarea informațiilor respective.
— Funcționalitățile de verificare a simptomelor și de telemedicină
În cazul în care include una sau două dintre aceste funcționalități, aplicația va prelucra date cu caracter personal privind sănătatea. Prin urmare, o listă de date care pot fi prelucrate ar trebui să fie specificată în legislația subiacentă aplicabilă autorităților sanitare.
În plus, este posibil ca autoritățile sanitare să aibă nevoie de numerele de telefon ale persoanelor care au folosit funcționalitatea de verificare a simptomelor și au încărcat rezultatele. Informațiile stocate în echipamentele terminale și accesate de pe acestea pot fi prelucrate numai în măsura în care acest lucru este necesar pentru ca aplicația să poată să își îndeplinească scopul și să funcționeze.
— Funcționalitatea de depistare a contactelor și de avertizare
Majoritatea infectărilor cu COVID-19 au loc prin intermediul picăturilor de salivă care circulă doar pe o distanță limitată. Identificarea cât mai repede cu putință a persoanelor care s-au aflat în apropierea unei persoane infectate este un factor-cheie pentru întreruperea lanțului de infectare. Stabilirea proximității depinde de distanța și de durata contactului și ar trebui să fie efectuată din punct de vedere epidemiologic. Întreruperea lanțului de infectare este deosebit de relevantă pentru a evita reapariția infecțiilor în faza de ieșire din criză.
În acest scop ar putea fi necesare date de proximitate. Pentru contorizarea proximității și a contactelor apropiate, comunicarea între dispozitive prin Bluetooth cu consum redus de energie (BLE) pare mai precisă și, prin urmare, mai adecvată decât utilizarea datelor de geolocalizare (GNSS/GPS sau datele de localizare celulară). BLE evită posibilitatea urmăririi (spre deosebire de datele de geolocalizare). Prin urmare, pentru a determina proximitatea, Comisia recomandă utilizarea datelor transmise în cadrul comunicațiilor BLE (sau a datelor generate de o tehnologie echivalentă).
Datele de localizare nu sunt necesare în scopul funcționalităților de depistare a contactelor, întrucât scopul lor nu este acela de a urmări circulația persoanelor sau de a asigura respectarea dispozițiilor. În plus, ar fi dificil să se justifice prelucrarea datelor de localizare în contextul depistării contactelor din perspectiva principiului minimizării datelor, ceea ce ar putea crea probleme de securitate și de confidențialitate. Din acest motiv, Comisia nu recomandă utilizarea datelor de localizare în acest context.
Indiferent de mijloacele tehnice utilizate pentru a determina proximitatea, nu pare să fie necesar să se stocheze ora exactă a contactului sau locul (dacă este disponibil). Cu toate acestea, ar putea fi utilă stocarea zilei în care a avut loc contactul pentru a afla dacă respectivul contact s-a produs atunci când persoana a început să aibă simptome (sau cu 48 de ore înainte (13)) și pentru a orienta mesajul subsecvent cu sfaturi privind, de exemplu, durata autocarantinei.
Datele de proximitate ar trebui să fie generate și prelucrate numai dacă există un risc real de infecție (în funcție de gradul de apropiere și de durata contactului).
Ar trebui remarcat faptul că necesitatea și proporționalitatea colectării de date vor depinde, așadar, de factori precum măsura în care facilitățile de testare sunt disponibile, în special în situația în care au fost deja dispuse măsuri precum izolarea. Avertizarea persoanelor care au fost în contact strâns cu o persoană infectată se poate face în două moduri:
În cadrul primei abordări, cu ajutorul aplicației se transmite automat o alertă tuturor contactelor apropiate atunci când un utilizator notifică aplicația – cu aprobarea sau confirmarea autorității sanitare, de exemplu prin intermediul unui cod QR sau TAN – specificându-se faptul că utilizatorul a avut un rezultat pozitiv la testul pentru SARS-CoV-2 (prelucrare descentralizată). Conținutul mesajului de alertă ar trebui să fie stabilit, de preferință, de către autoritatea sanitară. În cadrul celei de a doua abordări, identificatorii temporari arbitrari sunt stocați pe un server de rezervă (back-end) deținut de autoritatea sanitară (soluția pe bază de server de rezervă). Utilizatorii nu pot fi identificați direct cu ajutorul acestor date. Prin intermediul identificatorilor, utilizatorii care au fost în contact strâns cu un utilizator cu rezultat pozitiv la testul pentru SARS-CoV-2 primesc o alertă pe dispozitivul lor. În cazul în care autoritățile sanitare doresc să contacteze și prin telefon sau prin SMS utilizatorii care au fost în contact strâns cu o persoană infectată, acestea au nevoie de consimțământul utilizatorilor respectivi care să le furnizeze numerele de telefon.
3.5 Limitarea divulgării datelor/accesului la date
— Funcționalitatea de informare
Nicio informație stocată în echipamentele terminale și accesată de pe acestea nu poate fi pusă la dispoziția altor autorități sanitare decât în măsura necesară funcționalității de informare. Întrucât această funcționalitate nu prevede decât mijloace de comunicare, autoritățile sanitare nu vor avea acces la alte date.
— Funcționalitățile de verificare a simptomelor și de telemedicină
Statele membre pot utiliza funcționalitatea de verificare a simptomelor pentru a le oferi cetățenilor îndrumări cu privire la oportunitatea efectuării unui test și informații referitoare la izolare și despre când și cum pot avea acces la asistență medicală, în special în cazul grupurilor de risc. Această funcționalitate poate, de asemenea, să completeze supravegherea medicală primară și să ofere informații privind ratele de infectare cu COVID-19 în rândul populației. Prin urmare, se poate decide ca autoritățile sanitare și autoritățile epidemiologice naționale competente să aibă acces la informațiile furnizate de pacient. ECDC ar putea primi date agregate de la autoritățile naționale de supraveghere epidemiologică.
Dacă se optează pentru varianta în care se permite un contact cu funcționari din domeniul sănătății – și nu folosirea exclusivă a aplicației – atunci autoritățile sanitare naționale trebuie să divulge și numărul de telefon al utilizatorilor aplicației.
— Funcționalitatea de depistare a contactelor și de avertizare
|
— |
Datele persoanei infectate |
Aplicațiile generează în mod pseudo-aleatoriu identificatori efemeri, care se schimbă periodic ai telefoanelor care intră în contact cu utilizatorul. O opțiune este aceea ca identificatorii să fie stocați pe dispozitivul utilizatorului (așa-numita „prelucrare descentralizată”). O altă opțiune poate fi ca acești identificatori arbitrari să fie stocați pe serverul la care au acces autoritățile sanitare (așa-numita „soluție pe bază de server de rezervă”). Soluția descentralizată are un grad mai mare de concordanță cu principiul minimizării. Autoritățile sanitare ar trebui să aibă acces numai la datele de proximitate ale dispozitivului unei persoane infectate, astfel încât să poată contacta persoanele expuse riscului de infecție.
Aceste date vor fi puse la dispoziția autorităților sanitare numai după ce persoana infectată (după ce a fost testată) pune în mod proactiv datele respective la dispoziția autorităților din domeniu.
Persoana infectată nu ar trebui să fie informată cu privire la identitatea persoanelor cu care a fost în contact potențial relevant din punct de vedere epidemiologic și care vor fi alertate.
|
— |
Datele persoanelor care au intrat în contact (epidemiologic) cu persoana infectată |
Identitatea persoanei infectate nu ar trebui dezvăluită persoanelor cu care a fost în contact epidemiologic. Este suficient să li se comunice faptul că au fost în contact epidemiologic cu o persoană infectată în ultimele 16 zile. După cum s-a menționat anterior, datele privind momentul și locul în care au avut loc aceste contacte nu ar trebui stocate. Prin urmare, nu este nici necesar, nici posibil să se comunice aceste date.
Pentru a depista contactele epidemiologice ale unui utilizator al aplicației atunci când se constată că acesta este infectat, autoritățile sanitare naționale ar trebui să fie informate numai cu privire la identificatorul persoanei cu care persoana infectată a fost în contact epidemiologic începând cu 48 de ore înainte de debutul simptomelor și până la 14 zile după apariția simptomelor, pe baza proximității și a duratei contactului.
ECDC ar putea primi date agregate referitoare la depistarea contactelor de la autoritățile naționale de supraveghere epidemiologică în ceea ce privește indicatorii definiți în colaborare cu statele membre.
3.6 Furnizarea unor scopuri precise în ceea ce privește prelucrarea datelor
Temeiul juridic (dreptul Uniunii sau al statului membru) ar trebui să prevadă scopul prelucrării datelor. Scopul ar trebui să fie specific – astfel încât să nu existe nicio îndoială cu privire la tipul de date cu caracter personal care trebuie prelucrate pentru a se atinge obiectivul dorit – și explicit.
Scopul (scopurile) precis(e) va (vor) depinde de funcționalitățile aplicației. Fiecare funcționalitate a unei aplicații poate fi utilizată în mai multe scopuri. Pentru ca persoanele să își păstreze controlul deplin asupra datelor lor, Comisia recomandă să nu se grupeze diferitele funcționalități. În orice caz, persoanele ar trebui să aibă posibilitatea de a alege între diferite funcționalități care urmăresc, fiecare, un scop separat.
Comisia recomandă ca datele colectate în condițiile menționate mai sus să nu fie utilizate în alte scopuri decât combaterea COVID-19. Dacă se ivesc scopuri precum cercetarea științifică și statisticile, acestea ar trebui incluse în lista inițială de scopuri și ar trebui comunicate în mod clar utilizatorilor.
— Funcționalitatea de informare
Scopul acestei funcționalități este furnizarea de informații relevante din punctul de vedere al autorităților sanitare în contextul crizei.
— Funcționalitățile de verificare a simptomelor și de telemedicină
Funcționalitatea de verificare a simptomelor poate indica proporția de persoane efectiv infectate din totalul celor care raportează simptome compatibile cu COVID-19 (de exemplu, prin prelevarea de probe și testarea tuturor persoanelor sau a unui număr aleatoriu de persoane cu astfel de simptome, dacă există capacitatea de a face acest lucru). Prin această identificare a scopului ar trebui să se clarifice faptul că datele cu caracter personal privind sănătatea vor fi prelucrate pentru (i) a-i oferi persoanei în cauză posibilitatea de a autoevalua, pe baza unui număr de întrebări, dacă are simptome ale infecției cu COVID-19 sau pentru (ii) a obține consiliere medicală în cazul în care are simptome ale infecției cu COVID-19.
— Funcționalitatea de depistare a contactelor și de avertizare
Simpla indicare a unui scop precum cel de „prevenire a unor noi infecții cu CODVID-19” nu este suficient de specifică. În acest caz, Comisia recomandă ca scopul (scopurile) să fie precizat(e) în detaliu, de exemplu: „reținerea contactelor persoanelor care utilizează aplicația și care ar fi putut fi expuse infecției cu COVID-19, pentru a avertiza acele persoane care ar fi putut fi infectate”.
3.7 Stabilirea unor limite stricte pentru stocarea datelor
Principiul limitării stocării impune ca datele cu caracter personal să nu fie păstrate mai mult decât este necesar. Termenele ar trebui să fie corelate cu relevanța din punct de vedere medical (în funcție de scopul aplicației: perioada de incubație etc.), precum și cu durata realistă a pașilor administrativi care trebuie parcurși.
— Funcționalitatea de informare
În cazul în care se colectează date în timpul instalării acestei funcționalități, datele respective trebuie șterse imediat. Nu există nicio justificare pentru păstrarea acestor date.
— Funcționalitățile de verificare a simptomelor și de telemedicină
Aceste date ar trebui șterse de către autoritățile sanitare în maximum o lună (perioada de incubație plus o marjă) sau după ce persoana a fost testată, iar rezultatul este negativ. Autoritățile sanitare pot păstra datele pentru o perioadă mai lungă, în scopuri de raportare a supravegherii și cercetare, cu condiția ca acestea să fie într-o formă anonimizată.
— Funcționalitatea de depistare a contactelor și de avertizare
Datele de proximitate ar trebui șterse de îndată ce nu mai sunt necesare pentru alertarea persoanelor. De exemplu în maximum o lună (perioada de incubație plus o marjă) sau după ce persoana a fost testată, iar rezultatul este negativ. Autoritățile sanitare pot păstra datele de proximitate pentru o perioadă mai lungă, în scopuri de raportare a supravegherii și cercetare, cu condiția ca acestea să fie într-o formă anonimizată.
Datele ar trebui să fie stocate pe dispozitivul utilizatorului, iar pe server ar trebui încărcate și puse la dispoziția autorităților sanitare numai datele care au fost comunicate de către utilizatori și care sunt necesare scopului declarat, în cazul în care se optează pentru această variantă (și anume, ar trebui să se încarce pe server doar datele privind „contactele apropiate” ale unei persoane cu rezultat pozitiv la testul pentru SARS-CoV-2).
3.8 Asigurarea securității datelor
Comisia recomandă ca datele să fie stocate pe un dispozitiv terminal al unei persoane într-o formă criptată, pe baza unor tehnici criptografice de ultimă generație. În cazul în care datele sunt stocate într-un server central, accesul la un astfel de server, inclusiv accesul administrativ, ar trebui înregistrat.
Datele de proximitate ar trebui generate și stocate numai pe dispozitivul terminal al persoanei, în format criptat și pseudonimizat. Pentru a se asigura faptul că este exclusă depistarea de către terți, tehnologia Bluetooth ar trebui să poată fi activată fără a fi necesară activarea altor servicii de localizare.
Pe parcursul colectării de date de proximitate prin BLE, este de preferat să se creeze și să se stocheze identificatori de utilizator temporari, care se schimbă periodic, în loc să se stocheze identificatorul efectiv al dispozitivului. Această măsură oferă o protecție suplimentară împotriva interceptării și a urmăririi de către hackeri și, prin urmare, face mai dificilă identificarea persoanelor.
Comisia recomandă să fie făcut public codul sursă al aplicației, pentru a putea fi supus examinării.
Pot fi avute în vedere măsuri suplimentare de securizare a datelor prelucrate, în special prin ștergerea sau anonimizarea automată a datelor după un anumit moment. În general, gradul de securitate ar trebui să corespundă volumului și caracterului sensibil al datelor cu caracter personal prelucrate.
Toate transmisiile de la dispozitivul personal către autoritățile sanitare naționale ar trebui criptate.
În cazul în care legislația națională prevede că datele cu caracter personal colectate pot fi prelucrate și în scopuri de cercetare științifică, în principiu ar trebui folosită pseudonimizarea.
3.9 Asigurarea acurateței datelor
Asigurarea acurateței datelor cu caracter personal prelucrate nu este doar o condiție prealabilă pentru eficiența aplicației, ci și o cerință în temeiul legislației privind protecția datelor cu caracter personal.
În acest context, este esențial să se asigure acuratețea informațiilor care indică dacă o persoană infectată a intrat în contact cu alte persoane (distanță epidemiologică și durată), pentru a se minimiza riscul de a avea rezultate fals pozitive. Ar trebui luate în considerare scenarii precum cele în care doi utilizatori ai aplicației sunt în contact pe stradă, într-un mijloc de transport public sau într-o clădire. Este puțin probabil ca utilizarea datelor de localizare bazate pe rețele de telefonie mobilă să fie suficient de precisă în acest scop.
Prin urmare, este recomandabil să se recurgă la tehnologiile care permit o evaluare mai precisă a contactului (cum ar fi Bluetooth).
3.10 Implicarea autorităților pentru protecția datelor
Autoritățile pentru protecția datelor ar trebui să fie pe deplin implicate și consultate în contextul dezvoltării aplicației și ar trebui să urmărească îndeaproape implementarea acesteia. Având în vedere că prelucrarea datelor în cadrul aplicației va fi considerată o prelucrare pe scară largă a unor categorii speciale de date (date privind sănătatea), Comisia atrage atenția asupra articolului 35 din RGPD privind evaluarea impactului asupra protecției datelor.
(1) Recomandarea C(2020) 2296 final din 8 aprilie 2020 https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf.
(2) https://ec.europa.eu/info/sites/info/files/communication_-_a_european_roadmap_to_lifting_coronavirus_containment_measures_0.pdf
(3) https://edpb.europa.eu/sites/edpb/files/files/file1/edpbletterecadvisecodiv-appguidance_final.pdf
(4) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), JO L 119, 4.5.2016, p. 1.
(5) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), JO L 201, 31.7.2002, p. 37.
(6) În cazul în care aplicațiile furnizează informații referitoare la diagnosticare, prevenire, monitorizare, prevedere sau prognozare, ar trebui evaluată posibila lor calificare drept dispozitive medicale în conformitate cu cadrul de reglementare a dispozitivelor medicale. În ceea ce privește cadrul menționat, a se vedea Directiva 93/42/CEE a Consiliului din 14 iunie 1993 privind dispozitivele medicale (JO L 169, 12.7.1993, p. 1) și Regulamentul (UE) 2017/745 al Parlamentului European și al Consiliului din 5 aprilie 2017 privind dispozitivele medicale (JO L 117, 5.5.2017, p. 1).
(7) O astfel de cooperare are loc deja în ceea ce privește proiectul MyHealth@EU pentru schimbul de fișe ale pacienților și de prescripții electronice. A se vedea, de asemenea, articolul 5 alineatul (5) și considerentul 17 din Decizia de punere în aplicare 2019/1765 a Comisiei.
(8) A se vedea considerentul 45 din RGPD.
(9) A se vedea orientările cu privire la consimțământ formulate de Comitetul european pentru protecția datelor: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
(10) Articolul 6 alineatul (1) litera (e) din RGPD.
(11) Codul european al comunicațiilor electronice prevede că sunt incluse în domeniul de aplicare al directivei și serviciile care sunt echivalente din punct de vedere funcțional cu serviciile de comunicații electronice.
(12) Principiul minimizării datelor.
(13) Persoana infectată este contagioasă cu 48 de ore înainte de debutul simptomelor.