En una emergencia de salud pública que depende de que las personas mantengan una distancia antisocial entre sí para evitar la propagación de un virus altamente contagioso para el cual los humanos no tienen inmunidad preexistente, los gobiernos de todo el mundo han acudido rápidamente a las empresas de tecnología para obtener ayuda.
Después de todo, el seguimiento de antecedentes es de lo que dependen muchos modelos comerciales de orientación de anuncios de gigantes de Internet. Mientras que en los EE. UU., Las empresas de telecomunicaciones recientemente estuvieron expuestas compartiendo datos de ubicación altamente granulares para fines comerciales.
Algunas de estas prácticas hostiles a la privacidad enfrentan desafíos continuos bajo las leyes de protección de datos existentes en Europa, y / o al menos han atraído la atención del regulador en los Estados Unidos, que carece de un marco integral de privacidad digital, pero una pandemia es claramente una circunstancia excepcional. Así que estamos viendo que los gobiernos recurren al sector tecnológico en busca de ayuda.
La semana pasada, se informó que el presidente de los Estados Unidos, Donald Trump, convocó a varias compañías tecnológicas a la Casa Blanca para analizar cómo podrían usarse los datos de ubicación móvil para rastrear a los ciudadanos.
En otro desarrollo este mes, anunció que Google estaba trabajando en un sitio de detección de coronavirus en todo el país; de hecho, es Verily, una división diferente de Alphabet. Pero rápidamente surgieron preocupaciones de que el sitio requiere que los usuarios inicien sesión con una cuenta de Google, lo que sugiere que las consultas relacionadas con la salud de los usuarios podrían vincularse a otra actividad en línea que el gigante tecnológico monetiza a través de anuncios. (Verily ha dicho que los datos se almacenan por separado y no están vinculados a otros productos de Google, aunque la política de privacidad sí permite que los datos se compartan con terceros, incluido Salesforce para fines de servicio al cliente).
En el Reino Unido también se ha informado que el gobierno está en conversaciones con las empresas de telecomunicaciones sobre el mapeo de los movimientos de los usuarios de dispositivos móviles durante la crisis, aunque no a nivel individual. Se informó que sostuvo una reunión temprana con compañías tecnológicas para preguntar qué recursos podrían contribuir a la lucha contra COVID-19.
En otras partes de Europa, Italia, que sigue siendo la nación europea más afectada por el virus, ha buscado datos anónimos de Facebook y compañías de telecomunicaciones locales que agregan el movimiento de los usuarios para ayudar con el rastreo de contactos u otras formas de monitoreo.
Si bien existen claros imperativos de salud pública para garantizar que las poblaciones sigan las instrucciones para reducir el contacto social, la perspectiva de que las democracias occidentales hagan como China y supervisen activamente los movimientos de los ciudadanos plantea preguntas incómodas sobre el impacto a largo plazo de tales medidas en las libertades civiles.
Además, si los gobiernos buscan expandir los poderes de vigilancia del estado apoyándose directamente en el sector privado para vigilar a los ciudadanos, corre el riesgo de consolidar una explotación comercial de la privacidad, en un momento en que ha habido un retroceso sustancial en los perfiles de fondo de los usuarios de la web para el comportamiento anuncios.
“Se están probando niveles sin precedentes de vigilancia, explotación de datos y desinformación en todo el mundo”, advierte el grupo de campaña de derechos civiles Privacy International, que rastrea lo que denomina las “medidas extraordinarias” que se tomaron durante la pandemia.
Un par de ejemplos incluyen empresas de telecomunicaciones en Israel que comparten datos de ubicación con agencias estatales para el rastreo de contactos de COVID-19 y el gobierno del Reino Unido que presenta una legislación de emergencia que relaja las reglas sobre órdenes de intercepción.
“Muchas de esas medidas se basan en poderes extraordinarios, solo para ser utilizados temporalmente en emergencias. Otros usan exenciones en las leyes de protección de datos para compartir datos. Algunos pueden ser efectivos y estar basados en el asesoramiento de epidemiólogos, otros no lo serán. Pero todos deben ser temporales, necesarios y proporcionados ”, agrega. “Es esencial hacer un seguimiento de ellos. Cuando termine la pandemia, tales medidas extraordinarias deben ponerse fin y rendir cuentas “.
Al mismo tiempo, los empleadores pueden sentirse presionados para monitorear a su propio personal para tratar de reducir los riesgos de COVID-19 en este momento, lo que plantea preguntas sobre cómo pueden contribuir a una causa vital de salud pública sin sobrepasar los límites legales.
Hablamos con dos abogados de Linklaters para obtener su perspectiva sobre las reglas que envuelven pasos extraordinarios, como el seguimiento de los movimientos de los ciudadanos y sus datos de salud, y cómo los reguladores de datos europeos y estadounidenses están respondiendo hasta ahora a la crisis del coronavirus.
Tenga en cuenta que es una situación de rápido movimiento, con algunos gobiernos (incluidos el Reino Unido e Israel) que legislan para ampliar los poderes de vigilancia del estado durante la pandemia.
Las entrevistas a continuación se han editado con luz para mayor duración y claridad.
Europa y el Reino Unido
Dr. Daniel Pauly, socio de tecnología, medios y telecomunicaciones en Linklaters en Frankfurt
La ley de protección de datos no ha sido suspendida. Al menos cuando se trata de Europa. Por lo tanto, la ley de protección de datos aún se aplica, sin restricciones. Esta es la línea de base sobre la cual debemos trabajar y para la cual debemos comenzar. Entonces necesitamos diferenciar entre lo que el gobierno puede hacer y lo que los empleadores pueden hacer en particular.
Es muy importante comprender que cuando miramos a los gobiernos, ellos tienen los medios para permitirse un cierto uso de los datos. Debido a que hay cláusulas de apertura, cláusulas de flexibilidad, en particular en el GDPR, cuando se trata de problemas de salud pública, amenazas transfronterizas.
Al utilizar el proceso legislativo pueden introducir más poderes. Para darle un ejemplo, lo que hizo el gobierno de Alemania para responder es que crearon una ley especial, la regulación de notificación de coronavirus, ya tenemos una ley que rige el uso de datos personales con respecto a ciertas infecciones graves. Y lo que hicieron fue simplemente agregar la infección por coronavirus a esa lista, lo que ahora significa que los hospitales y los médicos deben notificar a la autoridad competente sobre cualquier infección por COVID-19.
Esto es bastante amplio. Deben transmitir nombres, datos de contacto, sexo, fecha de nacimiento y muchos otros detalles para permitir que la autoridad competente recopile esos datos y los analice.
Otro tema importante en ese campo es el uso de datos de telecomunicaciones, en particular datos de teléfonos móviles. El uso eficiente de esos datos podría ser una de las razones por las cuales obviamente tuvieron bastante éxito en China al reducir la amenaza del virus.
En Europa, el gobierno no solo puede usar datos de teléfonos móviles y datos de movimiento, sino que deben anonimizarlos primero y esto es lo que sucedió en Alemania y otras jurisdicciones europeas, incluido el Reino Unido, que los datos anónimos de teléfonos móviles se entregaron a las organizaciones quienes comienzan a analizar esos datos para obtener una mejor visión de cómo se comportan las personas, cómo se mueven las personas y qué necesitan hacer para restringir el movimiento adicional. O para restringir la vida pública. Esta es la opinión del gobierno al menos en Europa y el Reino Unido.
Obligaciones de transparencia [related to government use of personal data] se derivan del GDPR [General Data Protection Regulation]. Cuando les gustaría hacer uso de los datos del teléfono móvil, esta es la directiva ePrivacy. Esto no es tan transparente como lo es el RGPD y no lograron reemplazar esa legislación por una nueva regulación. Por lo tanto, la directiva ePrivacy brinda nuevamente a los diversos Estados miembros, incluido el Reino Unido, la posibilidad de introducir leyes más restrictivas. [for public health reasons].
[If Internet companies such as Google were to be asked by European governments to pass data on users for a coronavirus tracking purpose] debe tenerse en cuenta que no lo han incluido en sus registros de actividades de procesamiento, en sus notificaciones e información de protección de datos.Por lo tanto, sería al menos desde una perspectiva legal pura, sería un gran paso, y me pregunto si sería factible sin que los gobiernos introduzcan leyes especiales para eso.
Si [EU] los gobiernos harían uso de empresas privadas para proporcionarles datos que no se hayan recopilado para tales fines, por lo que sería un gran paso desde la perspectiva del GDPR al menos. No estoy al tanto de algo como esto. Ciertamente, he leído que hay discusiones en curso con Netflix para reducir el tráfico de la red, pero no he escuchado nada sobre el uso de los datos que Google tiene.
No lo esperaría en Europa, y particularmente en Alemania. Rastrear a las personas, rastrear y monitorear lo que están haciendo es casi el último recurso, por lo que no esperaría eso en las próximas semanas. Y espero que haya terminado.
[So far], desde mi perspectiva, los reguladores europeos han respondido [to the coronavirus crisis] de manera bastante razonable al decir que, en particular, cualquier respuesta al virus debe ser proporcionada.Todavía tenemos esa ley vigente y debemos tener en cuenta que los datos de los que estamos hablando son datos de salud: son los datos más protegidos de todos. Habiendo dicho eso, hay algunas maneras en que al menos el GDPR está permitiendo que el gobierno y los empleadores hagan uso de esos datos. En particular cuando se trata de procesar por un interés público sustancial. O si se requiere para fines de medicina preventiva o si es necesario por razones de interés público.
Por lo tanto, el legislador fue lo suficientemente sabio como para incluir cláusulas que permitieran el uso de dichos datos en ciertas circunstancias y hay varias autoridades de supervisión que ya hicieron directrices públicas sobre cómo hacer uso de estos permisos legales. Y lo que dijeron básicamente fue que siempre es necesario determinar caso por caso si los datos son realmente necesarios en el caso específico.
Para darle un ejemplo, se dejó en claro que un empleador no puede preguntarle a un empleado dónde ha estado durante sus vacaciones, pero puede preguntarle si ha estado en alguna de las áreas de riesgo. Y entonces la respuesta suficiente es sí o no. No necesitan más datos. Entonces siempre es [about approaching this] de manera inteligente: al ser inteligente obtienes la información que necesitas; no es que la puerta de inundación se abrió de repente.
Realmente necesita mirar el caso específico y ver cómo obtener los datos que necesita. Por lo general, es un sí o un no, lo cual es suficiente en el caso particular.
Los Estados Unidos
Caitlin Potratz Metcalf, asociada senior de EE. UU. En Linklaters y profesional certificada en privacidad de la información (CIPP / EE. UU.)
Aunque no tiene un marco de privacidad estructurado en los EE. UU., O un regulador específico que cubra la privacidad, tiene algunos de los mismos problemas. La FCC [Federal Communications Commission] perseguirá a las compañías que tomen cualquier acción que sea inconsistente con sus políticas de privacidad. Y eso sería engañoso para los consumidores. Su enfoque inicial es la protección del consumidor, no la privacidad, pero en los últimos años han estado usando dos sombreros. Por lo tanto, hay un enfoque en la privacidad a pesar de que no tenemos una ley nacional de privacidad [equivalent in scope to the EU’s GDPR] pero proviene del punto de vista de la protección del consumidor.
Entonces, por ejemplo, la FCC en febrero en realidad anunció posibles sanciones contra cuatro grandes compañías de telecomunicaciones en los EE. UU. Con respecto a compartir datos relacionados con el rastreo de teléfonos celulares, no fue la geolocalización en una aplicación, sino en realidad hacer estallar las torres de celulares, y compartir esos datos con terceros sin las garantías adecuadas. Porque eso no fue revelado en sus políticas de privacidad.
En realidad, no han emitido esas multas, pero se anunció que podrían perseguir un multa total de $ 208 millones contra estas cuatro compañías: AT&T, Verizon *, T-Mobile, Sprint … Entonces se toman muy en serio la forma en que se protegen esos datos , cómo se comparte. Y el hecho de que tengamos un estado de emergencia no cambia ese énfasis en la protección del consumidor.
Verá que lo mismo es cierto para el Departamento de Salud y Servicios Humanos (HHS), que es responsable de cualquier información médica o de salud.
Eso está realmente limitado hacia entidades que están cubiertas por HIPAA [Health Insurance Portability and Accountability Act] o sus socios comerciales. Por lo tanto, no se aplica a todos en todos los ámbitos. Pero si usted es un proveedor de planes de salud hospitalarios, ya sea que sea un empleador y tenga un plan de salud grupal, una aseguradora o un socio comercial que respalde a una de esas entidades cubiertas, entonces debe cumplir con HIPAA en la medida en que manejo de información de salud protegida. Y eso es un poco más limitado que la definición de datos personales que tendría bajo GDPR.
Entonces, realmente está buscando información de identificación para ese paciente: su estado médico, su fecha de nacimiento, dirección, cosas así que podrían ser muy identificables y relacionadas con la persona. Pero podrías compartir cosas que son más generales. Por ejemplo, usted tiene un hombre de mediana edad de este condado que dio positivo por COVID y está en un centro de tratamiento XYZ y su condición es estable. O su condición es crítica. Entonces podría compartir ese tipo de nivel de detalle, pero no más.
Y, por lo tanto, el HHS emitió en febrero una bala que subrayaba que no se pueden dejar de lado las salvaguardas de privacidad y seguridad bajo HIPAA durante una emergencia. Destacaron a todas las entidades cubiertas que aún debe cumplir con la ley: las sanciones aún están vigentes. Y en la medida en que tenga que divulgar parte de la información de salud protegida, debe ser en la medida mínima necesaria. Y eso puede divulgarse a otros hospitales, a un regulador para ayudar a detener la propagación de COVID y también para proporcionar tratamiento a un paciente. Entonces, enumeraron un par de excepciones diferentes sobre cómo puede compartir esa información pero realmente enfatizando el mínimo necesario.
Lo mismo sería cierto para un empleador, como un plan de salud grupal, si intentan compartir información sobre los empleados, pero será muy limitado en lo que realmente pueden compartir. Y no pueden simplemente citar como una excepción que es por el interés de la salud pública. No necesariamente tiene que revelar a qué país han ido, simplemente han estado en una región que está en una lista restringida para viajar. Por lo tanto, está buscando formas creativas de transmitir la información necesaria que necesita y, si hay algo menos intrusivo, debe seguir esa ruta.
Dicho esto, la semana pasada, el HHS también emitió otra bala que decía que renunciaría a las sanciones y sanciones de HIPAA durante la emergencia de salud pública en todo el país. Pero solo se dirigió a hospitales, por lo que no se aplica a todas las entidades cubiertas.
También emitieron otro boletín que decía que iban a restringir las restricciones para compartir básicamente datos sobre el uso de medios electrónicos. Por lo tanto, existen restricciones muy elevadas sobre cómo puede compartir datos electrónicamente cuando se relaciona con información médica y de salud. Y así, esto permitía a los médicos comunicarse por FaceTime o video chat y otros métodos que pueden no estar encriptados o seguros. O comuníquese con los pacientes, etc. Por lo tanto, otorgan una exención o simplemente suavizan algunas de las restricciones relacionadas con la transferencia electrónica de datos de salud.
Entonces puede ver que es una situación en evolución, pero aún así han adoptado un enfoque muy reservado y conservador, enfatizando realmente que debe cumplir con su obligación de proteger los datos de salud. Ahí es donde ves las implementaciones más fuertes. Y luego la FCC viene desde el punto de vista de la protección del consumidor.
Volviendo al punto que hizo anteriormente sobre el intercambio de datos de Google [with governments] – podría llegar allí, solo depende de cómo estén estructuradas sus políticas de privacidad.
En términos de seguimiento de personas, no tenemos un estatuto nacional como GDPR que lo impida, pero también sería muy difícil anonimizar esos datos porque están tan vinculados a las personas, es como su ADN; puedes mapear a una persona que sale de casa, que va al trabajo o a la escuela, que va al consultorio de un médico, que regresa a casa, y realmente tiene información muy confidencial y, debido a todos los puntos de datos específicos, significa que es muy difícil anonimizarla y proporcionarla en un formato que no viole la privacidad de alguien sin su consentimiento. Y así, si bien es posible que no necesite el consentimiento total en los EE. UU., Aún deberá tener aviso y transparencia sobre las políticas.
Entonces sería un poco diferente si es residente de California: el título que necesita según la nueva ley de California [CCPA] para proporcionar divulgaciones y dar a las personas la oportunidad de optar por no participar si compartiera su información. Entonces, en ese caso, donde las compañías de telecomunicaciones posiblemente serán demandadas por la FCC por compartir datos con terceros, eso en particular también violaría la nueva ley de California si los consumidores no tuvieran la oportunidad de optar por no tener su información vendido.
Por lo tanto, hay muchas piezas de rompecabezas diferentes que encajan entre sí, ya que tenemos una colcha de retazos de protección de datos, dependiendo de las diferentes leyes estatales y federales.
El gobierno, supongo, podría emitir otros mandatos o regulaciones [to requisition telco tracking data for a COVID-related public health purpose] – No sé si lo harán. Imaginaría más una llamada a las armas solicitando apoyo y asistencia del sector privado. No es un mandato que deba compartir sus datos, dada la forma en que está estructurado nuestro gobierno. A menos que las cosas se pongan increíblemente terribles, realmente no veo un mandato para las empresas de que tengan que compartir ciertos datos para poder rastrear a los pacientes.
[If Google makes use of health-related searches/queries to enrich user profiles it uses for commercial purposes] eso en sí mismo no sería información de salud protegida.Google no es un [HIPAA] entidad cubierta Y dependiendo del tipo de soporte que esté brindando a las entidades cubiertas, en circunstancias limitadas podría considerarse un socio comercial que podría estar sujeto a HIPAA, pero en el contexto de solo recopilar datos sobre los consumidores no se regiría por eso.
Entonces, siempre que no esté haciendo nada fuera del alcance de lo que ya está en sus políticas de privacidad, entonces está bien, por lo que el hecho de que esté recopilando datos basados en búsquedas que ejecuta en Google debería estar en la política de privacidad de todos modos. No es necesario que sea específico para el tipo de búsqueda que está ejecutando. Entonces, el hecho de que esté buscando cómo hacerse la prueba o el tratamiento de COVID o cuáles son los síntomas de COVID, cosas así, todo eso puede estar relacionado con los datos [it holds on users] y enriquecido Y eso también se puede compartir y vender a terceros, a menos que sea residente de California. Tienen una política de privacidad separada para los residentes de California … Solo tienen que ser consistentes con su política de privacidad.
Lo interesante para mí es quizás el enfoque que ha adoptado Asia, donde tienen mucha más influencia sobre el sector comercial y el seguimiento de datos, y por lo tanto, usted tiene el regulador interviniendo y haciendo más seguimiento, no solo las empresas privadas. Pero las empresas privadas pueden proporcionar información de seguimiento.
Lo ves en realidad con Uber. Han emitido avisos de privacidad adicionales a los consumidores, diciendo que, en la medida en que tengamos conocimiento de un pasajero que haya tenido COVID o un conductor, notificaremos a las personas que hayan estado en contacto con ese Uber durante un período de tiempo determinado. Están tratando de tomar la iniciativa de hacer su propio seguimiento para proteger a los trabajadores y consumidores.
Y pueden hacerlo, solo tienen que tener cuidado con la cantidad de detalles que comparten sobre la información personal. No nombrar los nombres de los afectados [but rather saying something like] ‘En las últimas 24 horas puede haber viajado en un Uber que fue afectado o se sabe que tiene un individuo infectado en el Uber’.
[When it comes to telehealth platforms and privacy protections] depende si se los considera socios comerciales de una entidad cubierta. Por lo tanto, es posible que no sean una entidad cubierta, pero si son un socio comercial que respalda a una entidad cubierta, por ejemplo, un hospital o una clínica o aseguradoras que comparten esos datos y confían en una plataforma de telesalud. En ese contexto, se regirían por algunas de las mismas regulaciones de privacidad y seguridad bajo HIPAA.Algunos de ellos son ligeramente diferentes para un socio comercial en comparación con una entidad cubierta, pero generalmente usted se pone en el lugar de la entidad cubierta si está manejando los datos de la entidad cubierta y si se aplican las mismas restricciones.
Los datos agregados no se considerarían información de salud protegida, por lo que podrían [for example] comparte un mapa de calor de síntomas que no identifica a individuos o pacientes específicos y sus datos de salud.
[But] HIPAA no cubre las aplicaciones de telesalud independientes que recopilan datos directamente del consumidor.Eso es en realidad un gran vacío en términos de protección del consumidor, protecciones de privacidad relacionadas con los datos de salud. Tiene el mismo problema para todas las aplicaciones de salud física, ya sea su fitbit u otras aplicaciones de salud o si está embarazada y tiene una aplicación que rastrea su maternidad o su período o cosas por el estilo. Cualquiera de los datos que se recopilan no está protegido.
Las únicas protecciones que tiene son las divulgaciones que figuran en las políticas de privacidad. Y en ellos tener que ser transparentes y actuar dentro de esa política de privacidad. Si no lo hacen, pueden enfrentar una acción de cumplimiento por parte de la FCC, pero eso no está regulado por el Departamento de Salud y Servicios Humanos bajo HIPAA.
Por lo tanto, es un enfoque muy diferente al de GDPR, que es mucho más completo.
Eso no quiere decir que en el futuro podríamos ver un endurecimiento de las restricciones al respecto, pero las personas están dando esa información libremente, y en teoría deberían leer la política de privacidad que se proporciona al iniciar sesión en la aplicación. Pero la mayoría de los usuarios probablemente no leen eso y luego esos datos se pueden compartir con otros terceros.
Podrían compartirlo con un regulador, podrían venderlo a otros terceros siempre que tengan la divulgación adecuada de que pueden vender su información personal o compartirla con terceros. Depende de cómo se elabora la política de privacidad. Siempre que cubra esas acciones específicas. Y para los residentes de California es una prueba más específica: se requieren más divulgaciones.
Por ejemplo, el tipo de datos que está recopilando, el propósito para el que los está recopilando, cómo tiene la intención de procesar esos datos, con quién desea compartirlos y por qué. Por lo tanto, es más estricto para los residentes de California, pero para el resto de los EE. UU. Solo tiene que ser coherente con su política de privacidad y no es necesario que tenga el mismo nivel de divulgación.
Sin embargo, las compañías más grandes y más sofisticadas definitivamente ya están cumpliendo con el RGPD, o se esfuerzan por cumplir con la ley de California, por lo que tienen avisos de privacidad más sofisticados y detallados que los exigidos por la ley en los EE. UU. Pero operan en una plataforma global e intentan tener una política de privacidad global.
* Divulgación: Verizon es la empresa matriz de TechCrunch