Hay una línea a menudo citada sobre conocer el pasado para comprender el presente. Me vino a la mente esta semana, mientras miraba el trabajo que habíamos estado haciendo sobre el rastreo de contactos y los datos de ubicación en el contexto de COVID-19.

La ley de protección de datos surgió en el Reino Unido debido a la preocupación de que los beneficios de las nuevas tecnologías podrían perderse si la población no aceptara los avances. La ley de protección de datos fue vista como una forma de apoyar la innovación al asegurar a las personas que se realizaron verificaciones para evitar la acumulación de imágenes intrusivas de sus vidas.

Eso se siente muy relevante hoy, ya que observamos cómo los proyectos de rastreo de contactos y el rastreo de ubicación podrían ayudarnos a combatir la pandemia. Dichas tecnologías podrían ayudarnos a comprender mejor cómo la sociedad responde a las medidas de aislamiento y alertar a las personas que pueden haber estado en contacto con el virus. Es correcto que exploremos tales tecnologías.

¿Es proporcionado?

Pero, como con cualquier tecnología nueva, el público debe tener la confianza de que se está utilizando de manera justa y proporcionada. Nuestra declaración sobre el coronavirus en marzo señaló que las leyes de protección de datos no se interponen en el uso innovador de los datos en una emergencia de salud pública, siempre que se apliquen los principios de la ley (transparencia, equidad y proporcionalidad). El mismo enfoque se aplica al uso de aplicaciones de rastreo de contactos.

Las nuevas tecnologías y el seguimiento para combatir la pandemia es, por supuesto, un problema internacional. La semana pasada, la OIC usó nuestra posición como presidente de la Asamblea Mundial de Privacidad de los reguladores de privacidad y del Grupo de Trabajo de la OCDE sobre Gobernanza y Privacidad de Datos para reunir a más de 250 comisionados, representantes gubernamentales, profesionales de la privacidad y partes interesadas clave para debatir estos temas en Una reunión virtual.

Como resultado de nuestro propio análisis y esta discusión, hemos producido una serie de preguntas simples para aquellos que usan estas nuevas tecnologías que podrían formularse, para garantizar que las implicaciones de privacidad se consideren adecuadamente y que no otorguen confianza pública ni licencia social. en riesgo.

Son:

1.- ¿Ha demostrado cómo se integra la privacidad en la tecnología del procesador?

Los principios de protección de datos por diseño y por defecto son fundamentales para la ley, y nos complace ver que Google y Apple aclaran cómo se están alineando con estos principios en su trabajo conjunto sobre tecnología de rastreo de contactos. Las organizaciones que crean aplicaciones deberán adoptar un enfoque similar. Entendemos que la responsabilidad recae en las organizaciones para moverse rápidamente, pero incluso una evaluación inicial del impacto de la privacidad que luego se desarrolla es un requisito mínimo.

2.- ¿La recopilación y el uso planificados de datos personales son necesarios y proporcionados?

Apoyamos la innovación digital que puede abordar los desafíos provocados por esta emergencia de salud pública, pero el público necesita saber que se está pensando en encontrar las soluciones menos intrusivas para la privacidad.

Esto es especialmente importante cuando los "datos de ubicación" pueden significar muchas cosas. Algunos datos de ubicación proporcionan una ubicación más exacta que otros. Algunos proyectos pueden confiar en datos seudonimizados o anonimizados para reducir el riesgo de reidentificación.

Las conversaciones sobre proporcionalidad deben ser informadas por evidencia, y es genial ver a NHSX involucrar a académicos y otros expertos para explorar estos temas. El contexto también es importante aquí, y como regulador, reflejaremos una sociedad que, por ahora, está aceptando restricciones a la libertad para proteger la salud pública.

3.- ¿Qué control tienen los usuarios sobre sus datos?

¿Y pueden ejercer sus derechos? Esperaríamos que los desarrolladores de aplicaciones brinden a las personas información clara sobre cómo se estaba utilizando su información y sus opciones para evitar el procesamiento, cuando corresponda. Por ejemplo, cuando el rastreo de contactos se está incorporando en un paquete más amplio de medidas, esta información adicional debería ser clara.

4.- ¿Cuántos datos deben recopilarse y procesarse centralmente?

El punto de partida para el seguimiento de contactos debe ser sistemas descentralizados que busquen transferir el procesamiento a los dispositivos de las personas siempre que sea posible. Las salvaguardas y medidas de seguridad deben acompañar esto, así como cualquier transferencia de información.

5.- Cuando está en funcionamiento, ¿cuáles son los procesos de gobernanza y rendición de cuentas en su organización para el monitoreo y la evaluación continuos del procesamiento de datos, para garantizar que siga siendo necesario y efectivo, y para garantizar que las salvaguardas vigentes sean adecuadas?

6.- ¿Qué sucede cuando el procesamiento ya no es necesario?

Esto es especialmente crucial: lo que es apropiado y proporcionado en respuesta a una emergencia internacional de salud pública se ve muy diferente cuando esa emergencia termina. ¿Qué consideración se ha hecho sobre cómo termina la recopilación de datos y qué sucede con los datos recopilados? Apreciamos que la respuesta a eso puede no estar en la evaluación inicial del impacto de la privacidad, por lo que estas evaluaciones deben revisarse y actualizarse cuando sea posible.

El ICO está aquí para ayudar a las organizaciones a través de este proceso, al tiempo que garantiza que las leyes de protección de datos no se dejen de lado. Podemos ofrecer orientación y herramientas para considerar la ley antes de un proyecto, así como proporcionar garantías mediante auditoría una vez que un proyecto esté en funcionamiento.

Un buen ejemplo de dónde hemos podido hacer esto es nuestro aporte a la aplicación propuesta de contacto y rastreo del NHS. Nos complace poder ofrecer nuestro asesoramiento y apoyo a NHSX. En particular, hemos hablado sobre el alto nivel de transparencia y gobernanza que necesitaría esta aplicación, y un enfoque en la revisión continua de que los datos que se recopilan y utilizan son necesarios y proporcionados. Estamos comprometidos a proporcionar supervisión durante la vida de la aplicación.

También hemos publicado una Opinión formal, que expone nuestro pensamiento actual sobre el trabajo conjunto de Google y Apple sobre la tecnología de rastreo de contactos. La Opinión es principalmente para organizaciones involucradas en el proyecto, particularmente desarrolladores de aplicaciones que desean utilizar la API. En él, confirmamos que el proyecto parece alinearse ampliamente con los principios de protección de datos por diseño y por defecto, a la vez que queda claro que los desarrolladores de aplicaciones aún deben tomar sus propias medidas para garantizar que cumplan con la ley de protección de datos.

Mi oficina continuará reflejando estos tiempos excepcionales y ofrecerá nuestra ayuda y orientación a proyectos que busquen formas innovadoras de ayudar a la sociedad. En pocas palabras, queremos ver evidencia de que las iniciativas COVID-19 hacen lo que pretenden hacer: que funcionan en la práctica, que son proporcionadas, que las personas pueden acceder a sus derechos legales y que existe un plan para retirarse medidas cuando ya no sea necesario.


Por Elizabeth Denham, Comisionada de Información del Reino Unido desde el 15 de julio de 2016. aAteriormente ocupó el cargo de Comisionada de Información y Privacidad para Columbia Británica, Canadá.