Având în vederea rolul tot mai important pe care tehnologiile și datele digitale le jocă în combaterea crizei provocate de pandemia de COVID-19, precum și apariția crescândă a aplicațiilor mobile care vin să susțină autoritățile din domeniul sănătății de la nivel național și al Uniunii Europene, în data de 14 aprilie, Comisia Europeană a publicat
Recomandarea nr. 518/2020 privind un set comun de instrumente la nivelul Uniunii pentru utilizarea tehnologiei și a datelor în scopul de a combate criza provocată de pandemia de COVID-19 și de a ieși din această criză, în special în ceea ce privește aplicațiile mobile și utilizarea datelor anonimizate privind mobilitatea.
Scopul primar prevăzut de Comisia Europeană prin aceste recomandări este, așadar, identificarea unor măsuri practice aplicabile la nivel european pentru aplicațiile mobile COVID-19,
cu respectarea securității, a vieții private și a protecției datelor, și pentru utilizarea de date privind mobilitatea în scopul modelării și al anticipării evoluției virusului.
Comisia recomandă implicarea Comitetului european pentru protecția datelor și Autorității Europene pentru Protecția Datelor pentru a se asigura că setul de instrumente integrează principiile protecției datelor și protejării vieții private din faza de proiectare. Comisia subliniază, în același timp, faptul că este esențial ca pe parcursul întregului proces să se asigure respectarea tuturor drepturilor fundamentale, în special a confidențialității și a protecției datelor, și să se prevină supravegherea și stigmatizarea.
În ceea ce privește respectărea vieții private și protecției datelor, Comisia recomandă ca aplicațiile mobile de avertizare și de prevenire privind COVID-19 să respecte următoarele principii:
- să prevadă garanții privind respectarea drepturilor fundamentale și prevenirea stigmatizării;
- să se acorde preferință pentru măsurile cel mai puțin intruzive și, în același timp, eficace, inclusiv utilizarea datelor de proximitate și evitarea prelucrării datelor privind localizarea sau deplasările persoanelor, precum și utilizarea datelor anonimizate și agregate, atunci când este posibil;
- să implementeze cerințe tehnice privind tehnologiile adecvate (de exemplu Bluetooth de energie redusă) pentru a stabili proximitatea dispozitivelor, criptarea, securitatea datelor, stocarea datelor pe dispozitivul mobil, accesul posibil al autorităților din domeniul sănătății și stocarea datelor;
- să implementeze cerințe eficace în materie de securitate cibernetică pentru a proteja disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor;
- să asigure expirarea măsurilor luate și ștergerea datelor cu caracter personal obținute prin aceste măsuri, cel târziu atunci când pandemia va fi declarată sub control;
- să asigure încărcarea datelor de proximitate în cazul unei infecții confirmate și să prevadă metode adecvate de avertizare a persoanelor care au fost în contact strâns cu persoana infectată, care ar trebui să rămână anonimă;
- să implementeze cerințe în materie de transparență cu privire la setările de confidențialitate pentru a asigura încrederea în aplicații.
Referitor la cea de-a doua prioritate a setului de intrumente propus de către Comisie, respectiv utilizarea datelor anonimizate și agregate privind mobilitatea în vederea stabilirii de măsuri viitoare preventive și a unei strategii de ieșire din această criză, se recomandă ca abordarea comună să prevadă măsuri privitoare la:
- utilizarea adecvată a datelor anonime și agregate privind mobilitatea în scopul de a înțelege modul în care virusul se va răspândi și pentru modelarea efectelor economice ale crizei;
- recomandările adresate autorităților publice pentru ca acestea să le ceară furnizorilor de date informații privind metodologia de anonimizare a datelor aplicată, precum și să efectueze un test privind plauzibilitatea metodologiei aplicate;
- garanțiile care să fie instituite pentru a preveni dezanonimizarea și pentru a evita reidentificarea persoanelor inclusiv garanții privind nivelul adecvat de securitate a datelor și de securitate informatică, precum și evaluarea riscurilor de reidentificare în cazul în care datele anonimizate sunt corelate cu alte date;
- ștergerea imediată și ireversibilă a tuturor datelor prelucrate în mod accidental care ar permite identificarea persoanelor și informarea furnizorilor de date și a autorităților competente cu privire la prelucrarea accidentală și la ștergerea acestor date;
- ștergerea datelor, în principiu, după 90 de zile sau, în orice caz, nu mai târziu de momentul în care pandemia este declarată sub control; și
- limitarea prelucrării datelor exclusiv la scopurile menționate anterior și excluderea schimbului de date cu orice parte terță.
Până astăzi, 15 aprilie 2020, Comisia Europeană a prevăzut elaborarea împreună cu statele membre, cu participarea Autorității Europeane pentru Protecția Datelor, a abordării ce se dorește a fi implementată la nivel european pentru aplicațiile mobile COVID-19, putând fi completată utlerior prin orientări ale Comisiei cu privire la respectarea vieții private și protecția datelor.