La Comisión Europea ha respondido a la lucha regional por aplicaciones y datos para ayudar a abordar la crisis del coronavirus al pedir un enfoque común de la UE para aumentar la efectividad de las intervenciones digitales y garantizar que se respeten los derechos y libertades clave.
La Unión Europea El órgano ejecutivo quiere garantizar que los esfuerzos individuales de los Estados miembros para utilizar datos y herramientas tecnológicas para combatir el COVID-19 estén alineados y puedan interoperar a través de las fronteras, y por lo tanto sean más efectivos, dado que el virus no respeta las fronteras nacionales.
Advierte que los esfuerzos actuales de los gobiernos de toda la UE para combatir el virus se ven obstaculizados por la fragmentación de los enfoques.
Al mismo tiempo su recomendación pone un fuerte centrarse en la necesidad de garantizar que los derechos fundamentales de la UE no se anulen en la prisa por mitigar la propagación del virus, con el La Comisión insta a las autoridades de salud pública y a las instituciones de investigación a observar un principio legal clave de minimización de datos de la UE al procesar datos personales para un propósito de coronavirus.
Específicamente, escribe que estos organismos deberían aplicar lo que llama “salvaguardas apropiadas”: enumerar seudonimización, agregación, cifrado y descentralización como ejemplos de mejores prácticas.
El pensamiento de la Comisión es que lograr que los ciudadanos de la UE confíen en los esfuerzos digitales, como la miríada de aplicaciones de rastreo de contactos de COVID-19 ahora en desarrollo, será clave para su éxito al ayudar a impulsar la captación y el uso, lo que significa que los derechos centrales como la privacidad asumen significado adicional en un momento de crisis de salud pública.
Al comentar en un comunicado, el comisionado para el mercado interno de la UE, Thierry Breton dijo: “Las tecnologías digitales, las aplicaciones móviles y los datos de movilidad tienen un enorme potencial para ayudar a comprender cómo se propaga el virus y responder de manera efectiva. Con esta Recomendación, ponemos en marcha un enfoque coordinado europeo para el uso de tales aplicaciones y datos, sin comprometer nuestras normas de privacidad y protección de datos de la UE, y evitando la fragmentación del mercado interior. Europa es más fuerte cuando actúa unida “.
“Las reglas de protección de datos de Europa son las más fuertes del mundo y también son aptas para esta crisis, proporcionando excepciones y flexibilidad. Trabajamos en estrecha colaboración con las autoridades de protección de datos y pronto presentaremos orientación sobre las implicaciones de privacidad ”, agregó Didier Reynders, el comisionado de justicia, en otra declaración de apoyo. “Todos debemos trabajar juntos ahora para superar esta crisis sin precedentes. La Comisión está apoyando a los Estados miembros en sus esfuerzos por combatir el virus y continuaremos haciéndolo cuando se trate de una estrategia de salida y recuperación. En todo esto, continuaremos garantizando el pleno respeto de los derechos fundamentales de los europeos “.
Desde que Europa siguió rápidamente a China para convertirse en un epicentro secundario para el virus SARS-CoV-2, los gobiernos, las instituciones y el sector privado se han apresurado a tomar datos y tecnologías para tratar de mapear la propagación del virus e informar políticas respuestas La propia Comisión se ha apoyado en las empresas de telecomunicaciones para proporcionar datos de ubicación de usuarios anónimos y agregados para fines de seguimiento de COVID-19.
Algunos Estados miembros individuales han ido más allá, pidiendo a las empresas tecnológicas que soliciten directamente recursos y / o datos, con poca claridad pública sobre qué se proporciona exactamente. Algunos gobiernos incluso han apresurado las aplicaciones que aplican el seguimiento de ubicación a nivel individual para hacer cumplir las medidas de cuarentena.
Varios países de la UE también tienen aplicaciones de rastreo de contactos en proceso, inspirándose en la aplicación TraceTogether de Singapur, que utiliza la proximidad Bluetooth como proxy del riesgo de infección.
Con tanta actividad digital en marcha, y una enorme presión económica y social para una “solución de coronavirus”, existen claros riesgos para la privacidad y las libertades civiles. Los gobiernos, las instituciones de investigación y el sector privado se están movilizando para capturar datos relacionados con la salud y rastrear la ubicación de las personas como nunca antes, todo en el contexto urgente de una emergencia de salud pública.
La Comisión advirtió hoy que algunas de las medidas que están tomando algunos países (sin nombre), como el rastreo de ubicación de individuos; el uso de tecnología para calificar el nivel de riesgo para la salud de un individuo; y la centralización de datos confidenciales: el riesgo de ejercer presión sobre los derechos y libertades fundamentales de la UE.
Su recomendación enfatiza que cualquier restricción a los derechos debe ser justificada, proporcionada y temporal.
Cualquier restricción de este tipo debe permanecer “estrictamente limitada” a lo que es necesario para combatir la crisis y no debe continuar existiendo “sin una justificación adecuada” después de que haya pasado la emergencia COVID-19, agrega.
No está solo en expresar tales preocupaciones.
En los últimos días, han surgido esfuerzos ascendentes de las instituciones de investigación de la UE con el objetivo de estandarizar un enfoque de “preservación de la privacidad” para el rastreo de contactos de coronavirus.
Una coalición de tecnólogos y científicos de la UE liderada por instituciones en Alemania, Suiza y Francia, está impulsando un enfoque común que esperan que forme parte de esas aplicaciones para limitar los riesgos. Han llamado el esfuerzo: PEPP-PT (Rastreo de proximidad paneuropeo para preservar la privacidad).
Sin embargo, un grupo diferente de expertos en privacidad está presionando simultáneamente por un método descentralizado para hacer lo mismo (DP-3T), argumentando que encaja mejor con el modelo de protección de datos de la UE, ya que no requiere que las identificaciones seudonimizadas se centralicen en un servidor . En cambio, el almacenamiento de contactos y el procesamiento del riesgo de infección individual se descentralizaría, se realizaría localmente en el dispositivo del usuario, reduciendo así el riesgo de que dicho sistema se reutilice para llevar a cabo la vigilancia a nivel estatal de los ciudadanos.
Aunque los patrocinadores de este protocolo lo aceptan, no borra todos los riesgos; con el potencial para que los piratas informáticos expertos en tecnología intercepten las identificaciones seudonimizadas de personas infectadas en el momento en que se transmiten a dispositivos para procesamiento local, por ejemplo. (Si bien las autoridades sanitarias pueden estar más acostumbradas al concepto de centralizar los datos para protegerlos, en lugar de distribuirlos radicalmente).
A principios de esta semana, uno de los tecnólogos involucrados en el proyecto PEPP-PT nos dijo que tiene la intención de apoyar ambos enfoques, centralizados y descentralizados, para tratar de maximizar la aceptación internacional, permitiendo a los desarrolladores elegir su propia infraestructura preferida.
Aunque quedan dudas sobre el logro de la interoperabilidad entre diferentes modelos.
Según su recomendación, la Comisión parece estar favoreciendo un modelo descentralizado, como el más cercano encaja con el marco de derechos de la UE.
En una sección de su documento de recomendación sobre privacidad y protección de datos para “aplicaciones móviles de prevención y advertencia de COVID-19”, también establece una preferencia por “salvaguardas que garanticen el respeto de los derechos fundamentales y la prevención de la estigmatización”, y por “el menos intrusivo pero efectivo medidas “.
La recomendación de la Comisión también subraya la importancia de mantener informado al público.
“La transparencia y la comunicación clara y regular, y permitir el aporte de las personas y comunidades más afectadas, serán primordiales para garantizar la confianza pública al combatir la crisis COVID-19”, advierte.
La Comisión propone una caja de herramientas conjunta que se desarrollará con los Estados miembros de la UE para alentar un enfoque respetuoso de los derechos, coordinado y común para las aplicaciones de teléfonos inteligentes para rastrear las infecciones por COVID-19, que será consiste en [emphasis its]:
- especificaciones para asegurar el efectividad de la información móvil, aplicaciones de advertencia y rastreo desde un punto de vista médico y técnico;
- medidas para evitar la proliferación de aplicaciones incompatibles, requisitos de soporte para la interoperabilidad y promoción de soluciones comunes;
- mecanismos de gobernanza que deben aplicar las autoridades de salud pública y en cooperación con el Centro Europeo para el Control de Enfermedades;
- el identificación de buenas prácticas y mecanismos para el intercambio de información sobre el funcionamiento de las aplicaciones; y
- compartir datos con organismos públicos epidemiológicos relevantes, incluyendo datos agregados a ECDC.
También dice que proporcionará orientación a los Estados miembros que cubrirá específicamente las implicaciones de protección de datos y privacidad, otra señal clara de preocupación.
“La Comisión está en estrecho contacto con la Junta Europea de Protección de Datos [EDPB] para una visión general del procesamiento de datos personales a nivel nacional en el contexto de la crisis del coronavirus “, agrega.
Ayer, después de una reunión plenaria del organismo de vigilancia de datos de la UE, el EDPB anunció que se le asignaron subgrupos de expertos para trabajar desarrollar orientaciones sobre aspectos clave del procesamiento de datos en la lucha contra COVID-19, incluso para geolocalización y otras herramientas de rastreo en el contexto del brote de COVID-19, con su subgrupo de expertos en tecnología a cargo del trabajo.
Si bien un subgrupo de expertos en cumplimiento, gobierno electrónico y salud también está trabajando en la orientación para el procesamiento de datos de salud con fines de investigación en el contexto del coronavirus.
Estas son las dos áreas que el EDPB dijo que está priorizando en este momento, por ahora, poniendo pautas planificadas para las herramientas y prácticas de teletrabajo durante la crisis actual.
“Creo firmemente que la protección de datos y la salud pública van de la mano”, dijo la presidenta de EDPB, Andrea Jelinek, en un comunicado: “La EDPB se moverá rápidamente para emitir orientación sobre estos temas en el menor tiempo posible para ayudar a garantizar que la tecnología sea utilizado de manera responsable para apoyar y, con suerte, ganar la batalla contra la pandemia de la corona “.
La Comisión también quiere un enfoque común para modelar y predecir la propagación de COVID-19 también, y dice que la caja de herramientas se centrará en desarrollar esto mediante el uso de “datos de ubicación móvil anónimos y agregados” (como ha estado pidiendo a los operadores de la UE que proporcionar).
“El objetivo es analizar los patrones de movilidad, incluido el impacto de las medidas de confinamiento en la intensidad de los contactos y, por lo tanto, los riesgos de contaminación”, escribe. “Este será un aporte importante y proporcionado para las herramientas que modelan la propagación del virus, y proporcionará información para el desarrollo de estrategias para abrir sociedades nuevamente”.
“La Comisión ya inició el debate con los operadores de telefonía móvil el 23 de marzo de 2020 con el objetivo de abarcar a todos los Estados miembros. Los datos serán completamente anonimizados y transmitidos al Centro Común de Investigación para su procesamiento y modelado. No se compartirá con terceros y solo se almacenará mientras la crisis continúe ”, agrega.
El impulso de la Comisión para coordinar los esfuerzos tecnológicos de coronavirus en toda la UE ha sido bien recibido por expertos en privacidad y seguridad.
Michael Veale, un patrocinador del protocolo descentralizado para el rastreo de contactos COVID-19, nos dijo: “Es genial ver que la Comisión recomienda la descentralización como un principio central para los sistemas de información que abordan COVID-19. Como muestra nuestro protocolo DP-3T, la creación de una base de datos centralizada es una parte totalmente innecesaria y extraíble del rastreo de contactos bluetooth ”.
“Esperamos poder colocar el código en línea para su escrutinio y comentarios la próxima semana, por supuesto, de código abierto”, agregó Veale. “Ya hemos recibido excelentes comentarios del público sobre el protocolo que estamos revisando a la luz de eso para hacerlo aún más privado y seguro. Los sistemas centralizados que se están desarrollando en Europa, como en Alemania, no han publicado sus protocolos, ni mucho menos código, ¿tal vez tienen miedo de lo que la gente encontrará?
Mientras Lukasz Olejnik, un asesor de seguridad cibernética e investigador de privacidad con sede en la UE, también acogió con beneplácito la intervención de la Comisión y nos dijo: “Un enfoque coordinado puede ser más fácil de generar confianza. Debemos favorecer los enfoques que respetan la privacidad y dejar en claro que estamos en una situación de crisis. Cualquier sistema de crisis de este tipo debería desmantelarse, y parece que las recomendaciones lo reconocen. Esto es bueno.”
La Comisión pretende que la caja de herramientas para avanzar hacia un enfoque paneuropeo para las aplicaciones móviles COVID-19 se desarrolle antes del 15 de abril.
También quiere que los Estados miembros informen sobre las acciones que han tomado en esta área antes del 31 de mayo, haciendo que sus medidas sean accesibles a otros Estados miembros y a la Comisión para su revisión por pares.
Agrega que evaluará el progreso realizado y publicará informes periódicos a partir de junio de 2020 y durante toda la crisis, recomendando acciones y / o la eliminación gradual de medidas que ya no son necesarias.
