Γιατί οι αρχές του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων είναι η βάση για την τεχνολογία ανίχνευσης όσων έχουν έρθει σε επαφή με τον κορωνοϊό;

Οι νέες τεχνολογίες  πάντα θα θέτουν ερωτήματα σχετικά με την ιδιωτικότητα των χρηστών.  Οι χρήστες των εφαρμογών, οι οποίες  διατίθενται δωρεάν, παρασύρονται από την άνεση που τους προσφέρουν και ξεχνούν το κρυμμένο κόστος, ότι θυσιάζουν δηλαδή ενδεχομένως την ιδιωτικότητα τους. Όσον αφορά στη νόσο COVID-19, μία εφαρμογή καταγραφής επαφών θα μπορούσε να αποτελέσει ιδιαίτερα σημαντικό εργαλείο για τον έλεγχο της μετάδοσης του ιού.

Ωστόσο, ποιά είναι η σωστή προσέγγιση για το σχεδιασμό μίας τέτοιας εφαρμογής; Ειδικότερα όταν το πρόβλημα συμβαίνει άμεσα;  Κανείς δεν θα μπορούσε να προβλέψει την κλίμακα  μεγέθους  της επιρροής πού έχει ασκήσει ο κορωνοϊός στον κόσμο. Παρόλα αυτά, οι βασικές αρχές του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ), ως από μηχανής θεός, θα μπορούσαν να προσφέρουν αξιοπιστία σε σχέση με την τεχνολογία.

Γιατί οι αρχές του ΓΚΠΔ έχουν σημασία;

Οι αρχές του ΓΚΠΔ ορίζουν τις αποδεκτές πρακτικές τόσο κατά τη συλλογή όσο και την οργάνωση των προσωπικών δεδομένων, ήτοι:

  • Την ποσότητα των πληροφοριών, η οποία απαιτείται να συλλεχθεί κάθε φορά,
  • το διάστημα κατά το οποίο διατηρούνται τα προσωπικά δεδομένα από μία πηγή,
  • καθώς και τον τρόπο συγκέντρωσης των δεδομένων, όταν χρησιμοποιούνται.

Για μία εφαρμογή καταγραφής και παρακολούθησης επαφών, οι προαναφερθέντες αρχές μπορούν να αποτελέσουν το σχεδιάγραμμα για την αρχιτεκτονική της  και τον τρόπο με τον οποίο θα επεξεργάζεται τα ανωνυμοποιημένα δεδομένα. Εφόσον κάποιος έχει έρθει σε επαφή με τον ιό και έχει αναρρώσει, ο ΓΚΠΔ μπορεί επίσης να καθορίσει  τη μέθοδο βάση της οποίας θα αντιμετωπιστούν διαφορετικές υποθέσεις. 

Ο ΓΚΠΔ φαντάζει τόσο περίπλοκος, απλώς και μόνο επειδή δεν τον κατανοούμε. Η αιτία που κρύβεται πίσω από τις ποικίλες αντιδράσεις των ανθρώπων εξακολουθεί να αποτελεί μυστήριο για τους επιστήμονες. Όσο περισσότερα δεδομένα έχουμε, τόσο περισσότερο ξεδιπλώνεται το κουβάρι μέσω της ανάλυσης των διαφορετικών μοτίβων αναμετάδοσης. Ο ΓΚΠΔ μπορεί να χρησιμοποιηθεί ως απάντηση στο ερώτημα  με ποιο τρόπο πρέπει να κατηγοριοποιούνται, να αποθηκεύονται και να διαγράφονται τα δεδομένα.

Όπως είναι φυσικό, οι “Προσωπικές Πληροφορίες Ταυτοποίησης” θα πρέπει τεχνικά να προστατευτούν με  ελέγχους πρόσβασης και πρωτόκολλα κρυπτογράφησης.  Βέβαια, και τα υποκείμενα των προσωπικών δεδομένων οφείλουν από την πλευρά τους να έχουν πρόσβαση και να αιτούνται τροποποιήσεις στα προσωπικά τους δεδομένα, όπου απαιτείται. Με την πάροδο του χρόνου, τα υποκείμενα των δεδομένων θα πρέπει να έχουν την ευκαιρία να ανανεώνουν τις πληροφορίες τους, ώστε να διατηρείται η ποιότητα και η ακεραιότητα των δεδομένων στο φάκελο τους.

Θα πρέπει να ληφθούν υπόψη και όλα τα διαφορετικά τρίτα μέρη πέρα από τους προγραμματιστές της εφαρμογής, για παράδειγμα οι μηχανικοί, οι πολιτικοί, οι επαγγελματίες υγείας, κλπ. Αυτό που μας ενδιαφέρει να εξετάσουμε είναι κυρίως : Με ποιό τρόπο τους κοινοποιούνται τα δεδομένα και με ποιο τρόπο έχουν πρόσβαση σε αυτά;  Ποιος είναι ο έλεγχος που προβλέπεται σε περίπτωση που ένας  εξωτερικός επεξεργαστής έχει παραβιαστεί;

Η ανίχνευση επαφών εφαρμόζεται στις αρχές του ΓΚΠΔ!

  1. Νομιμότητα και Διαφάνεια

Η ανίχνευση επαφών πρέπει να περιορίζει τις Προσωπικές Πληροφορίες Ταυτοποίησης, διασφαλίζοντας με αυτό τον τρόπο, ότι οι επαφές ενός ατόμου που έχει μολυνθεί από τον ιό, ενημερώνονται μόνο σχετικά με τη διάρκεια κατά την οποία εκτέθηκαν στον ιό και τον τόπο όπου αυτό συνέβη. Η Νότια Κορέα ήδη αντιμετωπίζει προβλήματα σχετικά με τον μεγάλο όγκο κοινών πληροφοριών. Κάποιος μπορεί να αναζητήσει  διαδικτυακά ανωνυμοποιημένα στοιχεία και να συλλέξει πληροφορίες με βάση την τοποθεσία του χρήστη.

Προκειμένου να είναι σε συμμόρφωση με το ΓΚΠΔ, οι πληροφορίες πρέπει να συλλέγονται δίκαια και το υποκείμενο θα πρέπει να είναι ενήμερο για τις ιατρικές και προσωπικές του πληροφορίες που πρόκειται να χρησιμοποιηθούν.

  • Περιορισμός Σκοπού

Η βιομηχανία υγείας είναι διχασμένη. Η ανίχνευση επαφών θα μπορούσε να είναι ένας αποτελεσματικός τρόπος, προκειμένου να παγιωθούν δεδομένα, ώστε να κατανοηθεί πιο εμπεριστατωμένα ο τρόπος με το οποίο συγκεκριμένες συνθήκες δρουν μεταξύ τους. Είναι εύκολο να δει κανείς, γιατί οι ερευνητές  θα ήθελαν ενδεχομένως να καταλάβουν, πως ο κορωνοϊός επιδρά με άλλες ασθένειες , από  διαβήτη μέχρι καρδιακά νοσήματα.

Ωστόσο, με το ΓΚΠΔ προσωπικές πληροφορίες θα έπρεπε να συλλέγονται μόνο για συγκεκριμένους σκοπούς. Σε αυτή την περίπτωση, ο σκοπός είναι η μείωση της μετάδοσης του κορωνοϊού. Εάν οι ερευνητές  χρησιμοποιήσουν τα δεδομένα για οποιοδήποτε άλλο σκοπό, αυτά θα πρέπει να ανωνυμοποιηθούν ή θα πρέπει να μεθοδευθεί η  απαιτούμενη συγκατάθεση για την επιπλέον χρήση των δεδομένων με άλλους τρόπους.

  • Ελαχιστοποίηση Δεδομένων

Ελαχιστοποίηση δεδομένων είναι η συγκέντρωση και η επεξεργασία μόνο των απαραίτητων δεδομένων προκειμένου να επιτευχθεί ο σκοπός της τεχνολογίας. Μία εφαρμογή ανίχνευσης της νόσου Covid-19 χρειάζεται να γνωρίζει μόνο αν κάποιος έχει έρθει σε επαφή με τον ιό και που βρισκόταν κατά τη διάρκεια συγκεκριμένου χρονικού πλαισίου πριν από την επαφή (και όχι το συνολικό ιατρικό ιστορικό ή την ταυτότητα).

  • Ακρίβεια

Ανακριβή δεδομένα καθιστούν πολλές εφαρμογές αναποτελεσματικές. Μια εφαρμογή ανίχνευσης επαφών θα μπορούσε να καταλήξει χωρίς καμία απολύτως χρησιμότητα τόσο σε χρήστες όσο και σε αναλυτές, εάν τα δεδομένα είναι ανακριβή. Υπό τον ΓΚΠΔ οι κανόνες πρεσβεύουν τη συλλογή έγκυρων δεδομένων και τη συνεχή ενημέρωση τους, όπως απαιτείται, ώστε να μειωθεί ο κίνδυνος για το υποκείμενο. Η δημιουργία μηχανισμών ελέγχου μέσα στην ίδια την εφαρμογή, έτσι ώστε οι ενδιαφερόμενοι , δηλαδή είτε τα υποκείμενα, των οποίων τα προσωπικά δεδομένα τίθενται σε επεξεργασία, είτε οι δοκιμαστικές εγκαταστάσεις, να είναι σε θέση να διορθώσουν τυχόν ανακρίβειες , θα είναι το κλειδί της επιτυχίας. Εάν τα δεδομένα είναι λανθασμένα ή παρωχημένα, θα πρέπει να ενημερώνονται ή να διαγράφονται. Αυτό θα βοηθούσε να ελεγχθεί η μετάδοση ψευδών πληροφοριών και θα έδινε σε όλους τους χρήστες μία αίσθηση εμπιστοσύνης ως προς τις ληφθείσες ειδοποιήσεις. 

  • Περιορισμός της περιόδου Αποθήκευσης

Ο σκοπός επεξεργασίας είναι ο κύριος παράγοντας πίσω από τον περιορισμό της αποθήκευσης. Τα προσωπικά δεδομένα δεν θα πρέπει να διατηρούνται πέρα από το χρονικό πλαίσιο, το οποίο απαιτείται από τους ερευνητές. Ωστόσο, στην περίπτωση του κορονοϊού, ο περιορισμός της αποθήκευσης ίσως είναι πιο περίπλοκο ζήτημα. Η αξία των δεδομένων για τους ερευνητές θα διατηρείται για χρόνια μετά το πέρας τη αξίας για το υποκείμενο που χρησιμοποίησε την εφαρμογή, ώστε να περιορίσει την πιθανότητα να μολυνθεί από τη νόσο Covid-19.

Προκειμένου να ορίσουμε επιπλέον περιόδους διατήρησης, ο σκοπός πρέπει να είναι ξεκάθαρος. Εάν η εφαρμογή ανίχνευσης χρησιμοποιείται για να περιορίσει τη μετάδοση της νόσου Covid-19, είναι σώφρον τα δεδομένα να διατηρούνται μόνο για μερικές εβδομάδες; Θα έπρεπε να διαγράφονται μετά την απόκτηση ανοσίας κατά 70%; Θα μπορούσαν τα δεδομένα να διατηρηθούν για απροσδιόριστο χρονικό διάστημα για σκοπούς έρευνας, εφόσον είναι ανωνυμοποιημένα και αν ναι, σε ποιο σημείο προκύπτει αυτό;

Ο ΓΚΠΔ προβλέπει μία εξαίρεση διατήρησης των δεδομένων. Οι πληροφορίες μπορούν να διατηρηθούν είτε για επιστημονικούς σκοπούς ή σκοπούς αρχειοθέτησης, εφόσον υπάρχει δημόσιο συμφέρον. Είναι εύκολο να διακριθεί, πώς η νόσος  Covid-19 θα μπορούσε να υπαχθεί σε αυτή την εξαίρεση.

  • Ασφάλεια Δεδομένων

Προσωπικές πληροφορίες θα πρέπει να προστατεύονται από οποιαδήποτε εσωτερική ή εξωτερική μη εγκεκριμένη χρήση. Αυτό σημαίνει τόσο παραβιάσεις εκ προθέσεως , όσο και κάποια απώλεια ή ζημία από αμέλεια. Οι ειδικοί ασφαλείας θα πρέπει να εξετάσουν εκτενώς την εφαρμογή, προκειμένου να διασφαλίσουν την ύπαρξη ελέγχων ασφαλείας. Τα δεδομένα ανίχνευσης επαφών θα πρέπει να κρυπτογραφούνται, ώστε να περιορίζεται η πρόσβαση σε αυτά μόνο σε εγκεκριμένα μέρη.

  • Λογοδοσία

Ένα νομικό πλαίσιο, όπως ο ΓΚΠΔ , διασφαλίζει ότι το υποκείμενο των δεδομένων έχει τη δυνατότητα να κάνει χρήση του νομικού συστήματος, ώστε να προστατεύσει τα δικαιώματα του. Όλα τα ενδιαφερόμενα μέρη σε μία εφαρμογή ανίχνευσης, συμπεριλαμβανομένων των κυβερνήσεων, οφείλουν να λογοδοτούν. Είναι απαραίτητο οι εποπτικές αρχές να ελέγχουν και να παρακολουθούν τον τρόπο με τον οποίο αποθηκεύονται τα δεδομένα.

ΓΚΠΔ ως πλαίσιο

Όσο εξετάζουμε τον τρόπο με τον οποίο η τεχνολογία θα μπορούσε να είναι σύμμαχος στη μάχη της ανθρωπότητας κατά της νόσου Covid-19, χρειάζεται να εξετάσουμε πως τα προσωπικά δεδομένα, τα οποία συλλέγονται από μία εφαρμογή ανίχνευσης μπορούν να επηρεάσουν την ιδιωτικότητα μας. Καθώς εύκολα θυσιάζουμε μέρος της ιδιωτικότητας στο βωμό της υγείας, θα πρέπει ωστόσο να προσέξουμε τον ενδεχόμενο να αποδεχόμαστε μία άκρως παρεμβατική τεχνολογία, η οποία θα μπορούσε να αποτελέσει το διαβατήριο σε ένα Οργουελικό μέλλον.

Ο Ευρωπαϊκός Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ) τέθηκε σε ισχύ, ώστε να καλύψει τέτοιου είδους υποθέσεις. Κατευθύνει ιδιώτες και επιχειρηματίες, ώστε να δημιουργήσουν τεχνολογικές λύσεις, ενώ παράλληλα λαμβάνουν υπόψη τα προσωπικά δεδομένα και την ιδιωτικότητα, εφαρμόζοντας συγκεκριμένα πρότυπα. Τα εν λόγω πρότυπα αφορούν στον τρόπο συλλογής, αποθήκευσης και τελικά διαγραφής των προσωπικών δεδομένων. Οποιαδήποτε λειτουργία της εφαρμογής σχετίζεται με προσωπικά δεδομένα θα πρέπει να είναι διαφανής. Τη στιγμή που ένα υποκείμενο εγκαθιστά την εφαρμογή πρέπει να γνωρίζει τα αποτελέσματα που αυτή έχει σχετικά με τα προσωπικά του δεδομένα. Πώς αυτά θα χρησιμοποιηθούν; Για ποιο χρονικό διάστημα; Και τελικά πότε τα δεδομένα θα διαγραφούν οριστικά; Στην περίπτωση κατά την οποία οι πληροφορίες χρησιμοποιούνται για αθέμιτους σκοπούς ή υπάρχει παραβίαση λόγω έλλειψης μέτρων ασφαλείας, θα πρέπει να υπάρχει δυνατότητα προσφυγής.

Επιλογή αποτελεσματικού Software

Η ιδιωτικότητα και τα προσωπικά δεδομένα, τα οποία χρησιμοποιούνται από μία επιχείρηση θα συνεχίσουν να αποτελούν το καυτό θέμα της εποχής! Οι αρχές του ΓΚΠΔ ίσως να μην λύνουν αυτόματα κάθε πρόβλημα που ανακύπτει,  ωστόσο, προσφέρουν ένα αξιόπιστο νομικό πλαίσιο. Ένα νομικό πλαίσιο προοριζόμενο να δώσει έμπρακτες λύσεις. Το GDPR smart αποτελεί την εξυπνότερη επιλογή που θα λάβει εύκολα και γρήγορα όλα τα απαραίτητα μέτρα σχετικά με την προστασία των προσωπικών δεδομένων για την επιχείρηση σας!

Comments are closed.