Las startups europeas aplauden el plan de la Comisión para repensar las opciones sobre acciones

La captura de metadatos de Telco es para modelar la propagación de COVID-19, no para rastrear a los ciudadanos, dice EC

by

in

Como parte de su respuesta a la emergencia de salud pública provocada por la pandemia de COVID-19, la Comisión Europea se ha apoyado en las empresas de telecomunicaciones de Europa para compartir datos de ubicación agregados de sus usuarios.

La Comisión inició una discusión con los operadores de telefonía móvil sobre la provisión de datos agregados y anónimos de ubicación de teléfonos móviles ”, dijo hoy.

“La idea es analizar los patrones de movilidad, incluido el impacto de las medidas de confinamiento en la intensidad de los contactos y, por lo tanto, los riesgos de contaminación. Esto sería un aporte importante, y proporcionado, para las herramientas que están modelando la propagación del virus, y también permitiría evaluar las medidas actuales adoptadas para contener la pandemia “.

“Queremos trabajar con un operador por Estado miembro para obtener una muestra representativa”, agregó. “Tener un operador por Estado miembro también significa que los datos agregados y anónimos no podrían utilizarse para rastrear a ciudadanos individuales, lo que tampoco es en absoluto la intención. Simplemente porque no todos tienen el mismo operador.

“Los datos solo se conservarán mientras la crisis continúe. Por supuesto, aseguraremos el respeto de la Directiva de privacidad electrónica y el GDPR “.

A principios de esta semana, Politico informó que el comisionado Thierry Breton sostuvo una conferencia con operadores, incluidos Deutsche Telekom y Orange, pidiéndoles que compartan datos para ayudar a predecir la propagación del nuevo coronavirus.

Europa se ha convertido en un centro secundario de la enfermedad, con altas tasas de infección en países como Italia y España, donde ha habido miles de muertes cada uno.

La Unión Europea El ejecutivo está comprensiblemente interesado en reforzar los esfuerzos nacionales para combatir el virus. Aunque está menos claro exactamente cómo pueden ayudar los datos agregados de ubicación móvil, especialmente a medida que más ciudadanos de la UE están confinados en sus hogares bajo órdenes de cuarentena nacionales. (Si bien las patrullas policiales y CCTV ofrecen un medio existente para confirmar si las personas generalmente se están moviendo o no).

No obstante, las empresas de telecomunicaciones de la UE ya han estado compartiendo datos agregados con los gobiernos nacionales.

Como Orange en Francia, que comparte datos de geolocalización de teléfonos móviles “agregados y anónimos” con Inserm, un instituto local de investigación centrado en la salud, para permitirles “anticipar y gestionar mejor la propagación de la epidemia”, como dijo una portavoz. .

“La idea es simplemente identificar dónde se concentran las poblaciones y cómo se mueven antes y después del parto para poder verificar que los servicios de emergencia y el sistema de salud estén tan bien armados como sea posible, donde sea necesario”, agregó. “Por ejemplo, en el momento del encierro, más de 1 millón de personas abandonaron la región de París y, al mismo tiempo, la población de Ile de Ré aumentó en un 30%.

“Otros usos de estos datos son posibles y actualmente estamos en conversaciones con el Estado sobre todos estos puntos. Pero, debe quedar claro, estamos extremadamente atentos con respecto a las preocupaciones y el respeto a la privacidad. Además, estamos en contacto con la CNIL. [France’s data protection watchdog]… para verificar que se aborden todos estos puntos “.

Deutsche Telekom de Alemania también está proporcionando lo que un portavoz denominó “datos de enjambre anonimizados” a las autoridades sanitarias nacionales para combatir el virus de la corona.

“Los operadores móviles europeos también deben poner a disposición de la Comisión de la UE dichos datos masivos anónimos a petición de esta”, nos dijo el portavoz. “De hecho, primero proporcionaremos a la Comisión de la UE una descripción de los datos que hemos enviado a las autoridades sanitarias alemanas”.

No está del todo claro si la intención de la Comisión es agrupar datos de tales esfuerzos locales existentes, o si está pidiendo a los transportistas de la UE que compartan un conjunto de datos universal diferente durante la emergencia COVID-19.

Cuando preguntamos sobre esto, no proporcionó una respuesta. Aunque entendemos que hay conversaciones en curso con los operadores, y que el objetivo de la Comisión es trabajar con un operador por Estado miembro.

La Comisión ha dicho que los metadatos se utilizarán para modelar la propagación del virus y para observar los patrones de movilidad para analizar y evaluar el impacto de las medidas de cuarentena.

Un portavoz enfatizó que el seguimiento a nivel individual de los ciudadanos de la UE no está en las tarjetas.

“La Comisión está en conversaciones con las asociaciones de operadores de telefonía móvil sobre la provisión de datos agregados y anónimos de ubicación de teléfonos móviles”, nos dijo el portavoz de Breton.

“Estos datos permiten analizar patrones de movilidad, incluido el impacto de las medidas de confinamiento en la intensidad de los contactos y, por lo tanto, los riesgos de contaminación. Por lo tanto, son una herramienta importante y proporcionada para alimentar las herramientas de modelado para la propagación del virus y también evaluar las medidas actuales adoptadas para contener la pandemia de Coronavrius son efectivas “.

“Estos datos no permiten el seguimiento de usuarios individuales”, agregó. “La Comisión está en estrecho contacto con el Supervisor Europeo de Protección de Datos (SEPD) para garantizar el respeto de la Directiva sobre privacidad electrónica y el RGPD”.

En este momento, no hay una fecha establecida para que el sistema esté en funcionamiento, aunque entendemos que el objetivo es hacer que los datos fluyan lo antes posible. La intención también es utilizar conjuntos de datos que se remonten al comienzo de la epidemia, con el intercambio de datos en curso hasta que termine la pandemia, momento en el que se nos dice que los datos se eliminarán.

Breton no ha tenido que apoyarse demasiado en las empresas de telecomunicaciones de la UE para compartir datos por una causa de crisis.

A principios de esta semana, Mats Granryd, director general de la asociación de operadores de la GSMA, Tuiteó que sus miembros están “comprometidos a trabajar con la Comisión Europea, las autoridades nacionales y los grupos internacionales para utilizar los datos en la lucha contra la crisis COVID-19”.

Aunque agregó un calificador importante: “mientras cumple con los estándares de privacidad europeos”.

El marco de protección de datos de Europa significa que hay límites sobre cómo se pueden usar los datos personales de las personas, incluso durante una emergencia de salud pública. Y si bien los marcos legales ofrecen flexibilidad para un propósito público urgente, como la pandemia de COVID-19, no significa que los derechos de privacidad de las personas desaparezcan automáticamente.

El seguimiento individual de los usuarios móviles para el seguimiento de contactos, como lo está haciendo el gobierno de Israel, es inimaginable a nivel de la UE. Ciertamente, a menos que la situación regional se deteriore drásticamente.

Un abogado de privacidad con el que hablamos la semana pasada sugirió que ese nivel de seguimiento y monitoreo en toda Europa sería similar a un “último recurso”. Aunque los países individuales de la UE están optando por responder de manera diferente a la crisis, como, por ejemplo, Polonia que da a las personas en cuarentena la opción de realizar controles policiales regulares o subir selfies geoetiquetados para demostrar que no están rompiendo el bloqueo.

Mientras que el ex miembro de la UE, el Reino Unido, ha elegido invitar a la controvertida firma tecnológica de vigilancia como servicio de los Estados Unidos, Palantir, para llevar a cabo el seguimiento de los recursos de su Servicio Nacional de Salud durante la crisis del coronavirus.

Según la ley paneuropea (a la que el Reino Unido sigue sujeto hasta el final del período de transición del Brexit), la regla general es que el intercambio extraordinario de datos, como la Comisión que pide a las empresas de telecomunicaciones que compartan los datos de ubicación de los usuarios durante una pandemia, debe ser “temporal, necesario y proporcionado”, como señaló recientemente el grupo de derechos digitales Privacy International.

Esto explica por qué la solicitud de Breton es para datos de ubicación “anónimos y agregados”. Y por qué, en los comentarios de fondo a los periodistas, la afirmación es que cualquier conjunto de datos compartidos se eliminará al final de la pandemia.

Sin embargo, no todos los legisladores de la UE parecen ser completamente conscientes de todos los límites legales.

Hoy en día, el principal regulador de privacidad del bloque, el supervisor de protección de datos (SEPD) Wojciech Wiewiórowski, podría verse tuiteando consejos de advertencia a un ex comisionado, Andrus Ansip (ahora un eurodiputado) – después de este último analizó públicamente una aplicación de rastreo de contactos con tecnología Bluetooth implementada en Singapur.

“Tenga cuidado al comparar los ejemplos de Singapur con la situación europea. Recuerde que Singapur tiene un régimen legal muy específico sobre la identificación del titular del dispositivo ”, escribió Wiewiórowski.

Por lo tanto, queda por ver si aumentará la presión para una mayor vigilancia de la privacidad de los ciudadanos de la UE si las tasas regionales de infección continúan creciendo.

Como informamos a principios de esta semana, los gobiernos o las instituciones de la UE que deseen utilizar los datos de teléfonos móviles para ayudar con la respuesta al coronavirus deben cumplir con la Directiva de privacidad electrónica de la UE, que cubre el procesamiento de datos de ubicación móvil.

La Directiva sobre privacidad electrónica permite a los Estados miembros restringir el alcance de los derechos y obligaciones relacionados con la privacidad de los metadatos de ubicación y retener dichos datos por un tiempo limitado, cuando dicha restricción constituye “una medida necesaria, apropiada y proporcionada dentro de una sociedad democrática para salvaguardar la seguridad nacional seguridad (es decir, seguridad del Estado), defensa, seguridad pública y la prevención, investigación, detección y enjuiciamiento de delitos o del uso no autorizado del sistema de comunicación electrónica “, y una pandemia parece un claro ejemplo de un problema de seguridad pública.

La cuestión es que la Directiva sobre privacidad electrónica es un marco antiguo. El anterior colegio de comisionados tenía la intención de reemplazarlo junto con una actualización del marco de protección de datos personales más amplio de la UE, el Reglamento General de Protección de Datos (GDPR), pero no llegó a un acuerdo.

Esto significa que hay una posible falta de coincidencia. Por ejemplo, la Directiva de privacidad electrónica no incluye el mismo nivel de requisitos de transparencia que el RGPD.

Tal vez sea comprensible, entonces, ya que las noticias sobre el llamado de la Comisión para metadatos de operadores surgieron preocupaciones sobre el alcance y los límites del intercambio de datos. A principios de esta semana, por ejemplo, la eurodiputada Sophie in Veld escribió a Breton pidiendo más información sobre la captura de datos, incluida la consulta de cómo se anonimizarán los datos.

El SEPD nos confirmó que la Comisión lo consultó sobre el uso propuesto de metadatos de telecomunicaciones.

Un portavoz del regulador señaló una carta enviada por Wiewiórowski a la Comisión, a raíz de la solicitud de orientación de este último sobre el control de la “propagación” de COVID-19.

En la carta, el SEPD impresiona a la Comisión sobre la importancia del anonimato de datos “efectivo”, lo que significa que en realidad dice una técnica que realmente funciona bloquear Se debe volver a identificar los datos. (Hay muchos ejemplos de datos de ubicación “anonimizados” que los investigadores muestran que son trivialmente fáciles de reidentificar, dada la cantidad de información individual que tales datos contienen, como la dirección del hogar y la dirección del lugar de trabajo).

“La anonimización efectiva requiere más que simplemente eliminar identificadores obvios, como números de teléfono y números IMEI”, advierte el SEPD, y agrega que los datos agregados “pueden proporcionar una protección adicional”.

También solicitamos a la Comisión más detalles sobre cómo se anonimizarán los datos y el nivel de agregación que se utilizaría, pero nos dijo que no podía proporcionar más información en esta etapa.

Hasta ahora entendemos que el proceso de anonimización y agregación se llevará a cabo antes de que los operadores transfieran los datos a un organismo asesor de ciencia e investigación de la Comisión, llamado Centro Común de Investigación (CCI), que realizará el análisis y modelado de datos.

Los resultados, en forma de predicciones de propagación, etc., serán compartidos por la Comisión con las autoridades de los Estados miembros de la UE. Los conjuntos de datos que alimentan los modelos se almacenarán en servidores JRC seguros.

El SEPD es igualmente claro sobre los compromisos de la Comisión con respecto a la seguridad de los datos.

“Las obligaciones de seguridad de la información en virtud de la Decisión 2017/464 de la Comisión todavía se aplican [to anonymized data], al igual que las obligaciones de confidencialidad en virtud del Estatuto del personal para cualquier personal de la Comisión que procese la información. Si la Comisión confía en terceros para procesar la información, estos terceros deben aplicar medidas de seguridad equivalentes y estar obligados por estrictas obligaciones de confidencialidad y prohibiciones de uso adicional también “, escribe Wiewiórowski.

“También me gustaría enfatizar la importancia de aplicar medidas adecuadas para garantizar la transmisión segura de datos de los proveedores de telecomunicaciones. También sería preferible limitar el acceso a los datos a expertos autorizados en epidemiología espacial, protección de datos y ciencia de datos “.

La retención de datos, o más bien la necesidad de una destrucción rápida de los conjuntos de datos después de que termine la emergencia, es otra pieza clave de la guía.

“También agradezco que los datos obtenidos de los operadores móviles se eliminen tan pronto como termine la emergencia actual”, escribe Wiewiórowski. “También debería quedar claro que estos servicios especiales se implementan debido a esta crisis específica y son de carácter temporal. El SEPD a menudo hace hincapié en que tales desarrollos generalmente no contienen la posibilidad de dar un paso atrás cuando la emergencia se va. Me gustaría enfatizar que tal solución aún debe ser reconocida como extraordinaria “.

Es interesante señalar que el SEPD es muy claro en cuanto a que la “transparencia total” también es un requisito, tanto de propósito como de “procedimiento”. Por lo tanto, deberíamos esperar que se publiquen más detalles sobre cómo los datos se vuelven efectivamente inidentificables.

“Permítanme recordar la importancia de la total transparencia para el público sobre el propósito y el procedimiento de las medidas que se promulgarán”, escribe Wiewiórowski. “También le animo a que mantenga a su Oficial de Protección de Datos involucrado durante todo el proceso para garantizar que los datos procesados ​​hayan sido efectivamente anonimizados”.

El SEPD también ha solicitado ver una copia del modelo de datos. Al momento de escribir esto, el portavoz nos dijo que todavía está esperando recibir eso.

“La Comisión debe definir claramente el conjunto de datos que desea obtener y garantizar la transparencia hacia el público, para evitar posibles malentendidos”, agregó Wiewiórowski en la carta.




Source link