COVID-19, utilizarea datelor de geo-localizare și obligațiile în materia datelor cu caracter personal

[Madalin]

 

Potrivit unui proiect al Comisiei Europene, cei mai mari operatori telecom ar trebui să transmită autorităților UE datele de localizare înregistrate de telefoanele clienților în scopul monitorizării răspândirii COVID-19. Deși scopul urmărit este legitim, o astfel de activitate vine în contextul unei legislații mai puțin permisive, urmare a aplicării Regulamentului General privind Protecția Datelor. Astfel, deși inițiativa monitorizării aparține chiar Comisiei Europene, legalitatea demersului din perspectiva protecției datelor cu caracter personal ridică multe semne de întrebare.

 

Pentru a adresa aceste îngrijorări, Comisia Europeană a precizat că, prin colectarea acestor informații ar urma să acționeze în calitate de operator, iar scopul urmărit este reprezentat de nevoia de a anticipa evoluția virusului la nivelul fiecărui stat membru și de a planifica eficient necesarul de echipamente medicale. Totodată, a evidențiat faptul că datele astfel colectate vor fi anonimizate și agregate, fiind imposibilă localizarea individuală a utilizatorilor de servicii de telecomunicații. În plus, Comisia a subliniat că utilizarea datelor se va face doar în scopurile inițiale, urmând să fie distruse imediat ce starea de pericol cauzată de COVID-19 este depășită.

De altfel, pentru a se asigura că prelucrarea respectă legislația europeană, Comisia a solicitat Autorității Europene pentru Protecția Datelor (AEPD) un punct de vedere referitor la implicațiile acestui tip de monitorizare asupra dreptului la viață privată. AEPD a răspuns că, în situația în care datele transmise de către operatorii telecom sunt anonimizate (prin eliminarea identificatorilor, respectiv a numărului de telefon și a numărului IMEI) și agregate, această prelucrare nu intră în sfera de aplicare a regulilor din materia protecției datelor, iar Comisia nu va avea obligațiile impuse de Regulamentul General privind Protecția Datelor în sarcina operatorilor de date cu caracter personal. Chiar și în această situație, AEPD a subliniat că, pentru respectarea drepturilor utilizatorilor de servicii mobile, Comisia va trebui să comunice obiectivele urmărite și, mai ales, datele utilizate pentru efectuarea analizelor și studiilor. Același punct de vedere a fost exprimat și de Comitetul European pentru Protecția Datelor, care a adăugat că, în situația în care autoritățile ajung la concluzia ca datele anonimizate nu sunt suficiente pentru atingerea scopurilor urmărite și va fi nevoie de date suplimentare, prelucrarea va trebui însoțită de garanții suplimentare corespunzătoare.

 

Ce măsuri au luat statele membre?

 

În susținerea eforturilor de limitare a răspândirii COVID-19, în Franța și Germania, două dintre cele mai afectate state din Europa, operatorii telecom transmit deja date de geo-localizare autorităților competente. În Franța, cel mai mare operator telecom lucrează cu Institutul Național de Cercetare Medicală (Inserm), căruia îi transmite date pentru a ajuta la identificarea regiunilor cu risc și a acelor zone către care s-a observat o migrație a populației după instaurarea carantinei.

 

Ce măsuri a luat România?

 

Din informațiile disponibile, în România nu există la acest moment asemenea parteneriate între operatorii telecom și autoritățile publice. Pe de altă parte, însă, Guvernul României a anunțat că dorește să implementeze, împreună cu Serviciul de Telecomunicații Speciale, o aplicație prin care să fie monitorizate persoanele aflate în izolare sau carantină.

 

Așadar, intenția autorităților române urmărește mult mai mult decât monitorizarea evoluției geografice a virusului, având în vedere persoanele individuale despre care se știe că sunt în izolare sau carantină. Prin urmare, în acest caz datele anonimizate nu sunt suficiente, astfel încât ar trebui avute în vedere garanții suplimentare, conform celor indicate de Comitetul European pentru Protecția Datelor.

 

Trebuie precizat însă că, funcționalitățile aplicației ce urmează a fi folosită vor determina cadrul legal aplicabil. Prelucrarea unor date agregate și anonimizate privind geo-locația conduce la aplicarea dispozițiilor legislației aplicabile în sectorul comunicațiilor electronice, dar nu atrage aplicabilitatea legislației specifice în materia datelor cu caracter personal.

 

Situația se schimbă cu totul, în schimb, în cazul în care scopul stabilit de autorități va fi acela de combatere a infracțiunilor, menținere a ordinii publice sau alte scopuri în domeniul dreptului penal. Astfel, dacă aplicația ar urma, de exemplu, să îi monitorizeze pe cei care au obligația legală de a sta în carantină și să identifice acele persoane care săvârșesc infracțiunea de zădărnicire a combaterii bolilor, atunci funcționarea aplicației și prelucrarea prin intermediul său a datelor cu caracter personal ar intra sub incidența dispozițiilor legale aplicabile în materia datelor cu caracter personal, fapt ce impune îndeplinirea unor obligații specifice.

În lipsa unor informații suplimentare cu privire la scopul și activitățile de prelucrare ce ar urma să fie efectiv realizate prin aplicația avută în vedere de Guvern, arătăm că o soluție practică la îndemâna autorităților ar putea fi aplicarea restricțiilor prevăzute în mod expres de Regulamentul General privind Protecția Datelor care oferă statelor membre dreptul de a limita aplicarea prevederilor specifice domeniului protecției datelor atunci când o astfel de măsură este necesară și proporțională pentru a asigura obiective de interes public general în domeniul sănătății publice și a securității sociale.

 

Deși o astfel de posibilitate a fost invocată chiar de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal într-un comunicat de presă, trebuie precizat că limitarea trebuie să respecte esența drepturilor și libertăților persoanelor fizice. Prin urmare, chiar și în cazul aplicării limitărilor indicate anterior, monitorizarea celor aflați în izolare sau carantină prin aplicația anunțată de Guvernul României ar trebuie să se facă exclusiv cu respectarea obligațiilor specifice impuse operatorilor de legislația incidentă prelucrărilor de date cu caracter personal.

 

Așadar, chiar dacă aplicația de monitorizare ar putea juca un rol important în prevenirea răspândirii Covid 19, utilizarea ei ar putea ridica o serie de probleme suplimentare pentru cei implicați în această activitate de prelucrare, motiv pentru care implementarea ar trebui să se facă cu prudență.

 

Sursa

[Madalin]

Topic închis.