En los últimos días han aumentado los debates sobre la utilización de datos para combatir la pandemia de la corona
Por lo tanto, hemos escrito un documento ad hoc (PDF, inglés) sobre el cumplimiento de la RPI y quisiéramos aprovechar esta oportunidad para ofrecer una visión general inicial de este proyecto.
Visión general de varias medidas y proyectos
Se habla mucho de varias medidas de corona y proyectos que pretenden contener la propagación del virus mediante el uso de datos Entre ellas figuran, por ejemplo
- Portales de información (como la información para el autodiagnóstico o los mapas de las zonas de riesgo),
- análisis de datos anónimos (especialmente de las redes de telefonía móvil),
- aplicaciones que intentan registrar posibles situaciones de infección (rastreo de contactos),
- aplicaciones para comprobar las medidas de cuarentena hasta,
- intenta rastrear a las personas infectadas a través de diversos datos, como el rastreo de teléfonos móviles o el uso de datos de tarjetas de crédito.
En un artículo en GDPRhub.eu, noyb ha compilado una primera visión general de aplicaciones y proyectos concretos en Europa y más allá, a fin de arrojar algo de luz también sobre esta cuestión.
La gran mayoría de estos enfoques están muy lejos de las formas problemáticas de vigilancia masiva o "enfoques chinos"
El GDPR permite utilizar los datos en caso de epidemias - la pregunta no es si, sino cómo.
Contrariamente a muchos informes iniciales, no existe un conflicto general entre la protección de los datos (especialmente la GDPR) y el uso de los datos personales en la lucha contra una epidemia. Las declaraciones que afirman que se debe "renunciar" a la protección de datos parecen basarse en una falsa comprensión de la ley.
Max Schrems, presidente honorario de Noyb: "El GDPR prevé explícitamente el tratamiento de datos en la lucha contra las epidemias. Por lo tanto, no se debe "renunciar" a las leyes de protección de datos, sino simplemente observado.”
El apartado d) del párrafo 1 del artículo 6 y el apartado i) del párrafo 2 del artículo 9 de la Ley sobre el PIB permiten, según los considerandos de la Ley sobre el PIB, el tratamiento de datos, por ejemplo, para la lucha contra las "amenazas transfronterizas para la salud" o para combatir las "epidemias"
Sin embargo, el GDPR también incluye normas para limitar al mínimo las interferencias con nuestros derechos fundamentales, incluso en la lucha contra el coronavirus
Max Schrems: "Las leyes prevén el uso de datos en la lucha contra la corona, pero sólo de manera razonable. La ley limita el uso de los datos a lo que es absolutamente necesario. Junto con conceptos como "Privacidad por Diseño" es posible desarrollar aplicaciones y sistemas legalmente sólidos que ayuden a combatir esta epidemia. Así que la pregunta no es si es posible utilizar los datos personales, sino cómo hacerlo correctamente"
Hay mucho espacio entre la vigilancia masiva excesiva y la recopilación y el procesamiento específico de cierta información importante. El uso de datos puede, en términos de derechos fundamentales, representar también la "vía menos onerosa" en comparación con las actuales restricciones a la libertad de circulación o la libertad de llevar a cabo un negocio.
Schrems: "Las aplicaciones voluntarias basadas, por ejemplo, en el auto-seguimiento almacenado y encriptado localmente pueden ser útiles. Si esos datos sólo se descifran en caso de que la prueba de la corona sea positiva, esos sistemas pueden proteger de manera verificable la privacidad de los usuarios. Esos enfoques se asemejan más a llevar una baliza de avalancha privada, a diferencia de un sistema de vigilancia gubernamental centralizado. “
Para apoyar los proyectos de aplicación de soluciones conformes con la protección de datos, noyb ha publicado un documento ad hoc sobre aplicaciones de rastreo de contactos.
La confianza es necesaria para el éxito de tales sistemas
La gente debe ser capaz de confiar en la tecnología en la lucha contra el coronavirus, para que participe suficiente gente. Esto puede lograrse con medidas como una buena encriptación de los datos, el almacenamiento de los datos en los teléfonos de los usuarios y la publicación del código fuente ("código abierto").
Schrems: "Estos proyectos sólo funcionan si una gran parte de la sociedad participa. Para ello, necesitamos sistemas que permitan al usuario controlar sus datos. El código fuente debe ser revisable. Si esto se hace correctamente, tales sistemas pueden ser definitivamente recomendados."
Visión realista de las posibilidades técnicas
Lo que sorprende actualmente de algunas afirmaciones es la creencia inquebrantable en la tecnología. Las aplicaciones más complejas, como el "rastreo de contactos" después de una infección, no son viables sin datos muy específicos. Sugerencias, como el cálculo del riesgo de infección entre dos personas utilizando datos de la red móvil, son más bien una ilusión que una posible realidad técnica.
Horst Kapfenberger, informático de Noyb: "Debido a su inexactitud, los datos de localización de los proveedores de telefonía móvil son absolutamente inadecuados, por ejemplo, para determinar posibles infecciones con el coronavirus. No podemos construir modelos significativos con datos brutos inexactos".
Además, todavía hay incertidumbres en cuanto a la propagación del virus de la corona. Actualmente hay información muy diferente y a menudo vaga disponible sobre las formas y el calendario de la propagación del virus. Cuanto más confusos sean los parámetros que rodean la propagación del virus, menos contactos específicos de riesgo pueden ser calculados utilizando soluciones técnicas.
Existe el peligro de que los usuarios se pierdan en una avalancha de advertencias e información irrelevantes ("sobrecarga de información"). Por consiguiente, es importante reunir datos pertinentes con la calidad necesaria, para lograr realmente los objetivos de un proyecto.
Max Schrems: "No se trata de adivinar qué anuncios nos pueden interesar, sino de asegurar la salud de la población. Por lo tanto, necesitamos información específica, precisa y correcta. Para una estadística, los datos aproximados y anónimos son a menudo suficientes. Sin embargo, para los intentos de registrar las cadenas de infección, se necesitan datos muy precisos - que pueden ser almacenados localmente y encriptados en las instalaciones de los usuarios"