El regulador de protección de datos del Reino Unido confirmó hoy que el gobierno aún no le ha dado a conocer un documento legal clave adjunto a la aplicación de rastreo de contactos de coronavirus que está desarrollando el NHSX, la rama de transformación digital del Servicio Nacional de Salud del país. .
Según las leyes del Reino Unido y de la UE, una Evaluación de Impacto de Protección de Datos (DPIA) puede ser un requisito legal en casos en los que existen riesgos de derechos altos relacionados con el procesamiento de la información de las personas.
El mes pasado, la Junta Europea de Protección de Datos recomendó encarecidamente la publicación de DPIA en el contexto de las aplicaciones de rastreo de contactos de coronavirus. “El EDPB considera que se debe llevar a cabo una evaluación de impacto de protección de datos (DPIA) antes de implementar dicha herramienta, ya que el procesamiento se considera de alto riesgo (los datos de salud prevén la adopción a gran escala, el monitoreo sistemático, el uso de una nueva solución tecnológica). La EDPB recomienda encarecidamente la publicación de las DPIA ”, escribió el organismo de protección de datos paneuropeo en la guía.
Al presentar pruebas al comité de derechos humanos hoy, la comisionada de información del Reino Unido, Elizabeth Denham, confirmó que su departamento, el ICO, está involucrado en asesorar al gobierno sobre los elementos de protección de datos del diseño de la aplicación. Ella dijo que la agencia ha recibido algunos documentos técnicos para su revisión hasta el momento. Pero, bajo las preguntas del comité, se reservó cualquier evaluación más firme de los impactos en los derechos de la elección del gobierno de diseño y arquitectura de aplicaciones, diciendo que el ICO aún no ha visto el DPIA.
“Creo que está a punto de suceder”, dijo cuando se le preguntó si tenía alguna idea de cuándo se publicaría el documento o se lo entregaría a la ICO para su revisión.
“Tener ese documento clave, y el requisito para que el NHXS lo haga, y proporcionarlo a mí y al público, es una protección realmente importante”, agregó Denham. “Especialmente cuando todo está sucediendo a un ritmo y queremos que el público utilice una aplicación de este tipo, para ayudar con la proximidad y la notificación.
“El aviso de privacidad y el DPIA deberán compartirse con nosotros y sé que NHSX también planea publicar eso para que puedan mostrar al público: ser transparentes y responsables de lo que están haciendo”.
El NHSX ha dado luz verde para que el ICO audite la aplicación en el futuro, también le dijo al comité.
Las aplicaciones de rastreo de contactos de Coronavirus son una nueva tecnología que, en el caso del Reino Unido, implica la reutilización de las señales de Bluetooth emitidas por los teléfonos inteligentes para medir la proximidad del dispositivo como un proxy para calcular el riesgo de infección. El proceso de rastreo digital abre una verdadera caja de riesgos de derechos de Pandora, con datos de salud, gráficos sociales y potencialmente información de ubicación, todo junto con preguntas generales sobre cuán efectiva será esa tecnología para combatir el coronavirus.
Ayer, la BBC informó que el NHSX probará la aplicación de rastreo en la Isla de Wight esta semana.
“A medida que veamos la prueba en la Isla de Wight, todos estaremos muy interesados en ver los resultados de esa prueba y ver si está funcionando de la manera que los desarrolladores pretendieron”, agregó Denham.
En una audiencia del comité parlamentario por separado la semana pasada, el CEO de NHSX, Matthew Gould, dijo a los parlamentarios que la aplicación podría estar “técnicamente” lista para implementarse a nivel nacional dentro de dos o tres semanas, luego del limitado ensayo geográfico.
También dijo que la aplicación iterará, con versiones futuras que posiblemente soliciten a los usuarios que compartan datos de ubicación. Entonces, aunque el NHSX ha mantenido que solo los datos seudonimizados se recopilarán y mantendrán centralmente, donde podrían usarse para fines de “investigación” de salud pública, sigue existiendo la posibilidad de que los datos se puedan vincular a identidades individuales, como si diferentes datos son combinadas por agencias estatales y / o si el almacén centralizado de datos es pirateado y / o accedido de manera incorrecta.
Los expertos en privacidad también han advertido sobre el riesgo de “arrastre de misión” en la línea de rastreo.
Hoy, The Guardian informó que el gobierno está en conversaciones con nuevas empresas de identidad digital sobre la creación de tecnología para impulsar los llamados “pasaportes de inmunidad”, como otro elemento de su respuesta digital al coronavirus. Según el informe, dicho sistema podría combinar la tecnología de reconocimiento facial con los resultados de las pruebas de coronavirus individuales para que un trabajador pueda verificar su estado COVID-19 antes de ingresar a un lugar de trabajo, por ejemplo. (Una portavoz de Onfido confirmó a TechCrunch que está en conversaciones con el gobierno, pero agregó: “Como era de esperar, esto es confidencial hasta que se comparta públicamente”).
Volviendo a la aplicación de rastreo de coronavirus, el punto clave es que el gobierno ha optado por un diseño de sistema que centraliza los eventos de proximidad en un servidor controlado por NHSX, cuando o si un usuario elige autoinformarse a sí mismo con síntomas de COVID-19 (o lo hace después de obtener un diagnóstico confirmado).
Esta opción para centralizar el procesamiento de eventos de proximidad eleva no solo las cuestiones de privacidad y seguridad, sino también los riesgos de derechos humanos más amplios, como destacó el comité en una serie de preguntas a Denham y Gould hoy, señalando, por ejemplo, que Denham y la OIC han sugerido previamente que las arquitecturas descentralizadas serían preferibles para una tecnología de riesgo de derechos tan altos.
Sobre eso, Denham dijo: “Porque soy el comisionado de información, si tuviera que comenzar con una hoja de papel en blanco [it] comenzaría con un sistema descentralizado, y usted puede entender, desde una perspectiva de privacidad y seguridad, por qué sería así. Pero eso no significa, de ninguna manera, que un sistema centralizado no pueda tener el mismo tipo de protección de privacidad y seguridad. Y depende del gobierno, depende de NHSX, determinar qué tipo de especificaciones de diseño necesita el sistema.
“Depende del gobierno identificar cuáles son esas funciones y necesidades y si eso conduce a un sistema centralizado, entonces la pregunta que el DPIA tiene que responder es ¿por qué centralizado? Y mi próxima pregunta sería ¿cómo se abordan las preocupaciones de privacidad y seguridad? Eso es lo que es un DPIA. Se trata de mitigar las preocupaciones “.
manzana y Google también están colaborando en una API multiplataforma que admitirá el funcionamiento técnico de las aplicaciones de rastreo nacionales descentralizadas, así como también en el rastreo de contactos descentralizados y opcionales en todo el sistema en sus propias plataformas.
El respaldo de los gigantes tecnológicos a las aplicaciones de rastreo descentralizadas plantea preguntas de interoperabilidad y preocupaciones técnicas para los gobiernos que optan por el otro lado y agrupan los datos.
En detalles adicionales para la próxima API de Notificación de Exposición, lanzada hoy, los gigantes tecnológicos estipulan que las aplicaciones deben obtener el consentimiento del usuario para obtener acceso a la API; solo debe recopilar la información mínima necesaria para fines de notificación de exposición, y solo usarla para una respuesta COVID-19; y no puede acceder o incluso pedir permiso para acceder a los Servicios de ubicación de un dispositivo, lo que significa que no debe cargar datos de ubicación (algo que la aplicación NHSX puede pedir a los usuarios que hagan en el futuro, según el testimonio de Gould ante un comité parlamentario diferente la semana pasada. También confirmó hoy que se pedirá a los usuarios que ingresen las primeras tres letras de su código postal).
Varios gobiernos europeos han dicho que utilizarán sistemas descentralizados para el seguimiento de contactos digitales, incluidos Alemania, Suiza y la República de Irlanda.
La Comisión Europea También ha instado al uso de tecnologías de preservación de la privacidad, como la descentralización, en un contexto de rastreo de contactos COVID-19.
Actualmente, Francia y el Reino Unido siguen siendo los patrocinadores de más alto perfil de los sistemas centralizados en Europa.
Pero, curiosamente, Gould dio la primera señal hoy de un “bamboleo” del gobierno del Reino Unido, diciendo que no está “bloqueado” a una arquitectura de aplicación de centralización y que podría cambiar de opinión si surgiera evidencia de que una elección diferente tendría más sentido.
Aunque también se propuso exponer una serie de razones que, según dijo, explicaban la elección del diseño y, en respuesta a una pregunta del comité, negó que la decisión haya sido influenciada por la participación de un brazo de seguridad cibernética del país del Reino Unido. agencia de inteligencia, GCHQ .
“Estamos trabajando fenomenalmente estrechamente con ambos [Apple and Google]” él dijo. “Estamos tratando muy duro en el contexto de una situación en la que todos estamos lidiando con una nueva tecnología y una nueva situación para tratar de determinar cuál es el enfoque correcto, por lo que no estamos en competencia, todos lo estamos intentando para hacer esto bien. Estamos constantemente reevaluando qué enfoque es el correcto, y si queda claro que el equilibrio de ventajas radica en un enfoque diferente, entonces adoptaremos ese enfoque diferente. No estamos irremediablemente casados con un enfoque; si necesitamos cambiar, lo haremos … Es una decisión muy pragmática sobre qué enfoque es probable que obtenga los resultados que necesitamos obtener “.
Gould afirmó que la elección (actual) de una arquitectura centralizada se tomó porque el NHSX está equilibrando las necesidades de privacidad con la necesidad de que las autoridades de salud pública “obtengan información”, como por ejemplo qué síntomas conducen posteriormente a que las personas den positivo; o qué contactos son más riesgosos (“cuáles son los cambios entre un contacto, por ejemplo, tres días antes de que se desarrollen los síntomas y un día antes de que se presenten los síntomas”).
“Consideramos que nos proporcionó un enfoque centralizado … incluso sobre la base del sistema que expliqué en el que no se entregan datos personales, para recopilar algunos datos muy importantes que brinden una visión seria del virus que nos ayudará”. él dijo. “Así que pensamos que en ese contexto, tener un sistema que proporcionara ese potencial de conocimiento, pero que también creemos que brindaba protecciones serias en el frente de la privacidad … era un equilibrio apropiado. Y como ha dicho el comisionado de información, es realmente una pregunta para nosotros determinar dónde está ese equilibrio, pero ser capaces de demostrar que tenemos mitigaciones y también hemos pensado realmente en el lado de la privacidad, lo que realmente creo que tenemos . “
“No nos encerraremos. Puede ser que, si queremos adoptar un enfoque diferente, tenemos que hacer un trabajo de ingeniería pesado para adoptar el enfoque diferente, pero lo que quería hacer era proporcionar cierta tranquilidad solo porque nosotros” hemos comenzado por una ruta no significa que estemos encerrados en ella ”, agregó Gould, en respuesta a la preocupación de la presidenta del comité, Harriet Harman, de que solo podría haber una pequeña ventana de tiempo para ejecutar cualquier cambio de arquitectura.
En los últimos días, el Reino Unido se ha enfrentado a las críticas de expertos académicos relacionados con la elección de la arquitectura de la aplicación, y el gobierno corre el riesgo de verse cada vez más aislado al elegir un sistema a medida, lo que incluye permitir a los usuarios autoinformar que tienen síntomas de COVID-19; algo que el sistema francés no permitirá, según una publicación de blog del ministro digital.
También se han planteado preocupaciones sobre qué tan bien funcionará técnicamente la aplicación del Reino Unido, ya que no podrá conectarse directamente a la API de Apple-Google.
Mientras yoLa interoperabilidad internacional se está convirtiendo en un tema prioritario para el Reino Unido, a la luz de la elección de la República de Irlanda de elegir un sistema descentralizado.
La diputada del comité Joanna Cherry presionó a Gould sobre este último punto hoy. “Va a ser un problema particular en la isla de Irlanda, ¿no?” ella dijo.
“Plantea una nueva cuestión de interoperabilidad que tendremos que resolver”, admitió Gould.
Cherry también presionó a Denham sobre si debería haber una legislación específica y un cuerpo de supervisión y un comisionado dedicados, para enfocarse en el rastreo de contactos de coronavirus digital, para establecer límites legales y salvaguardas claros y garantizar que se consideren impactos más amplios en los derechos humanos junto con los problemas de privacidad y seguridad.
Denham dijo: “Ese es uno para los parlamentarios y otro para el gobierno. Mi enfoque ahora es asegurarme de hacer un trabajo completo en lo que respecta a la protección de datos y la seguridad de los datos “.
Volviendo al punto DPIA, el gobierno puede no tener un requisito legal para proporcionar el documento a la ICO antes de iniciar la aplicación, según un experto en protección de datos con sede en el Reino Unido con el que hablamos. Aunque estuvo de acuerdo en que existe el riesgo de que los ministros parezcan hipócritas si, por un lado, afirman ser muy “abiertos y transparentes” en el desarrollo de la aplicación, un reclamo que Gould repitió hoy en su evidencia ante el comité, pero, al mismo tiempo, no involucran completamente al ICO (dado que no ha tenido acceso al DPIA); y también dado lo que llamó el registro “sombrío” más amplio del gobierno sobre transparencia.
Cuando se le preguntó si esperaría que se compartiera un DPIA con el ICO en este contexto y en este punto, Tim Turner, un entrenador y consultor de protección de datos con sede en el Reino Unido, nos dijo: “Es complicado”. NHSX no tiene la obligación de compartir el DPIA con el ICO a menos que esté bajo consulta previa donde hayan identificado un alto riesgo y no puedan manejarlo o prevenirlo adecuadamente. Si NHSX confía en que han evaluado y gestionado los riesgos de manera efectiva, a pesar de que es un juicio subjetivo, ICO no tiene derecho a exigirlo. Tampoco hay obligación de publicar DPIA en ninguna circunstancia. Por lo tanto, se trata de cuestiones de correcto e incorrecto en lugar de legalidad.
“Honestamente, no esperaría que NHSX lo publicara porque no tienen que hacerlo”, agregó. “Si creen que lo han hecho correctamente, han hecho lo que se requiere. Eso no quiere decir que no lo hayan hecho correctamente, no tengo idea. Creo que es un ejemplo de dónde el concepto de ética de datos se convierte en realidad: sería una violación del GDPR [General Data Protection Regulation] no para hacer un DPIA, pero mientras eso haya sucedido y no tengamos una violación evidente de datos personales, ICO no tiene nada de qué quejarse. Denham podría esperar que las organizaciones se comporten de cierta manera o le brinden la información que quiere ver, pero si el liderazgo de una organización quiere apegarse rígidamente a lo que dice la ley, sus expectativas no tienen poder para respaldarlas “.
Sobre el reclamo del gobierno de apertura y transparencia, Turner agregó: “Este no es un gobierno transparente. Su récord en FOI [Freedom of Information] es pésimo (y el historial de ICO en exigir hacer algo al respecto también es pésimo). Definitivamente es hipócrita de su parte afirmar ser transparentes en este u otros asuntos importantes. Solo digo que NHSX puede recurrir a no tener la obligación de hacerlo. Deberían ser más honestos sobre el hecho de que ICO no está involucrado y no usarlos como un escudo “.
