Como parte de su respuesta a la emergencia de salud pública provocada por la pandemia COVID-19, la Comisión Europea se ha apoyado en las empresas de telecomunicaciones europeas para compartir datos agregados de ubicación sobre sus usuarios.
“La Comisión inició un debate con los operadores de telefonía móvil sobre el suministro de datos agregados y anónimos de la ubicación de losteléfonos móviles”, dijo hoy.
“La idea es analizar los patrones de movilidad, incluido el impacto de las medidas de confinamiento en la intensidad de los contactos y, por lo tanto, los riesgos de contaminación. Este sería un insumo importante —y proporcionado— para las herramientas que están modelando la propagación del virus, y también permitiría evaluar las medidas actuales adoptadas para contener la pandemia.”
“Queremos trabajar con un operador por Estado miembro para tener una muestra representativa”, añadió. “Tener un operador por Estado miembro también significa que los datos agregados y anónimos no pueden utilizarse para realizar un seguimiento de los ciudadanos individuales, esa tampoco es en absoluto la intención. Simplemente porque no todos tienen el mismo operador.
“Los datos sólo se conservarán mientras la crisis esté en curso. Por supuesto, garantizaremos el respeto de la Directiva sobre privacidad electrónica y el RGPD”.
A principios de esta semana Politico informó que el comisionado Thierry Breton celebró una conferencia con transportistas, incluyendo Deutsche Telekom y Orange, pidiéndoles que compartieran datos para ayudar a predecir la propagación del nuevo coronavirus.
Europa se ha convertido en un centro secundario de la enfermedad, con altas tasas de infección en países como Italia y España, donde ha habido miles de muertes cada una.
Es comprensible que el ejecutivo de la Unión Europea esté dispuesto a reforzar los esfuerzos nacionales para combatir el virus. Aunque, es menos claro exactamente cómo pueden ayudar los datos agregados de ubicaciones móviles, especialmente a medida que más ciudadanos de la UE se limitan a sus hogares bajo órdenes nacionales de cuarentena. (Mientras que las patrullas de policía y CCTV ofrecen un medio existente para confirmar si la gente generalmente se está moviendo alrededor.)
No obstante, las compañías de telco de la UE ya han compartido datos agregados con los gobiernos nacionales.
Orange en Francia está compartiendo datos de geolocalización de teléfonos móviles “agregados y anónimos” con Inserm, un instituto local de investigación centrado en la salud, para permitirles “anticipar mejor y gestionar mejor la propagación de la epidemia”, como dijo una portavoz.
“La idea es simplemente identificar dónde se concentran las poblaciones y cómo se mueven antes y después del confinamiento para poder verificar que los servicios de emergencia y el sistema de salud están tan bien armados como sea posible, cuando sea necesario”, agregó. “Por ejemplo, en el momento del parto, más de un millón de personas abandonaron la región de París y al mismo tiempo la población de Ile de Ré aumentó un 30%.
“Otros usos de estos datos son posibles y actualmente estamos en conversaciones con el Estado sobre todos estos puntos. Pero, debe ser claro, estamos extremadamente vigilantes con respecto a las preocupaciones y el respeto a la privacidad. Además, estamos en contacto con el CNIL [el guardián de la protección de datos de Francia]… para verificar que todos estos puntos están abordados.”
La compañía de Alemania Deutsche Telekom también está proporcionando a las autoridades sanitarias nacionales lo que un portavoz apodó “datos de enjambre anónimos” para combatir el virus corona.
“Los operadores móviles europeos también deberán poner estos datos masivos anónimos a disposición de la Comisión de la UE a petición suya”, nos dijo el portavoz. “De hecho, primero proporcionaremos a la Comisión de la UE una descripción de los datos que hemos enviado a las autoridades sanitarias alemanas”.
No está del todo claro si la intención de la Comisión es agrupar los datos de dichos esfuerzos locales existentes, o si está pidiendo a los transportistas de la UE un conjunto de datos universal diferente que se comparta con él durante la emergencia COVID-19.
Cuando nos preguntó acerca de este no proporcionó una respuesta. Aunque entendemos que las discusiones están en curso con los operadores, y que el objetivo de la Comisión es trabajar con un operador por Estado miembro.
La Comisión ha dicho que los metadatos se utilizarán para modelar la propagación del virus y para examinar los patrones de movilidad para analizar y evaluar el impacto de las medidas de cuarentena.
Un portavoz hizo hincapié en que el seguimiento individual de los ciudadanos de la UE no está en las cartas.
“La Comisión está en conversaciones con las asociaciones de operadores móviles sobre el suministro de datos agregados y anónimos de la ubicación de los teléfonos móviles”, nos dijo el portavoz de Bretón.
“Estos datos permiten analizar los patrones de movilidad, incluido el impacto de las medidas de confinamiento en la intensidad de los contactos y, por lo tanto, en los riesgos de contaminación. Por lo tanto, son una herramienta importante y proporcionada para alimentar las herramientas de modelado para la propagación del virus y también evaluar las medidas actuales adoptadas para contener la pandemia de Coronavrius son eficaces.”
“Estos datos no permiten el seguimiento de usuarios individuales”, agregó. “La Comisión está en estrecho contacto con el Supervisor Europeo de Protección de Datos (EDPS) para garantizar el respeto de la Directiva sobre privacidad electrónica y el RGPD.”
En este punto no hay una fecha establecida para que el sistema esté en funcionamiento, aunque entendemos que el objetivo es que los datos fluyan lo antes posible. La intención también es utilizar conjuntos de datos que se remontan al comienzo de la epidemia, con el intercambio de datos en curso hasta que la pandemia haya terminado, momento en el que se nos dice que los datos se eliminarán.
Breton no ha tenido que apoyarse mucho en las compañías de telecomunicaciones de la UE para compartir datos sobre una causa de crisis.
A principios de esta semana Mats Granryd, director general de la asociación de operadores de la GSMA, tuiteó que sus miembros están “comprometidos a trabajar con la Comisión Europea, las autoridades nacionales y los grupos internacionales para utilizar los datos en la lucha contra la crisis COVID-19”.
Aunque añadió un importante calificativo: “al cumplir con las normas europeas de privacidad”.
fied Account” role “img” aria-label”Verified Account”>
El marco europeo de protección de datos significa que hay límites en la forma en que se pueden utilizar los datos personales de las personas, incluso durante una emergencia de salud pública. Y si bien los marcos jurídicos hornean con toda razón con flexibilidad para un propósito público apremiante, como la pandemia COVID-19, esto no significa que los derechos de privacidad de las personas salgan automáticamente por la ventana.
El seguimiento individual de los usuarios móviles para el rastreo de contactos, como lo está haciendo el gobierno de Israel, es inimaginable a nivel pan-UE. Ciertamente, a menos que la situación regional se deteriore drásticamente.
Un abogado de privacidad con el que hablamos la semana pasada sugirió que tal nivel de seguimiento y monitoreo en toda Europa sería similar a un “último recurso”. Aunque los países individuales de la UE están optando por responder de manera diferente a la crisis, como, por ejemplo, dar a las personas en cuarentena la opción entre chequeos policiales regulares o subir selfies geoetiquetados para demostrar que no están rompiendo el bloqueo.
Mientras que el ex miembro de la UE, el Reino Unido, ha optado por invitar a la controvertida empresa tecnológica de vigilancia como servicio de los Estados Unidos Palantir a llevar a cabo el seguimiento de los recursos de su Servicio Nacional de Salud durante la crisis del coronavirus.
En virtud del Derecho pancomunitario (al que el Reino Unido sigue sujeto, hasta el final del período de transición del Brexit), la regla general es que el intercambio extraordinario de datos ,como la Comisión que pide a las compañías de telque que compartan los datos de ubicación de los usuarios durante una pandemia— debe ser “temporal, necesario y proporcionado”, como señaló recientemente el grupo de derechos digitales Privacy International.
Esto explica por qué la solicitud de Breton es para datos de ubicación “anónimos y agregados”. Y por qué, en los comentarios de fondo a los periodistas, la afirmación es que cualquier conjunto de datos compartidos se eliminará al final de la pandemia.
https://techcrunch.com/2020/03/20/what-are-the-rules-wrapping-privacy-during-covid-19/
Sin embargo, no todos los legisladores de la UE parecen plenamente conscientes de todos los límites legales.
Hoy en día, el supervisor principal de privacidad del bloque, el supervisor de protección de datos (EDPS) Wojciech Wiewiórowski, pudo ser visto tuiteando consejos cautelosos contra un ex comisionado, Andrus Ansip (ahora meta) — después de que este último aplicación de seguimiento implementada en Singapur.
“Por favor, tenga cuidado al comparar los ejemplos de Singapur con la situación europea. Recuerde que Singapur tiene un régimen jurídico muy específico sobre la identificación del titular del dispositivo”, escribió Wiewiórowski.
Por lo tanto, queda por ver si aumentará la presión para una vigilancia más intrusiva de la privacidad de los ciudadanos de la UE si las tasas regionales de infección siguen creciendo.
436315926056960″ data-tweet-id-“1243436315926056960”>
Como informamos a principiosde esta semana, los gobiernos o las instituciones de la UE que deseen hacer uso de los datos del teléfono móvil para ayudar con la respuesta al coronavirus deben cumplir con la Directiva de privacidad electrónica de la UE, que cubre el procesamiento de datos de ubicación móvil.
La Directiva sobre privacidad electrónica permite a los Estados miembros restringir el alcance de los derechos y obligaciones relacionados con la privacidad de los metadatos de ubicación, y conservar dichos datos durante un tiempo limitado, cuando dicha restricción constituya “una restricción necesaria, apropiada y proporcionada medidas dentro de una sociedad democrática para salvaguardar la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública y la prevención, investigación, detección y enjuiciamiento de delitos penales o de uso no autorizado de la comunicación electrónica sistema” — y una pandemia parece un claro ejemplo de un problema de seguridad pública.
La cuestión es que la Directiva sobre privacidad electrónica es un marco antiguo. El anterior colegio de comisarios tenía la intención de sustituirlo junto con una actualización del marco más amplio de protección de datos personales de la UE, el Reglamento General de Protección de Datos (RGPD), pero no llegó a un acuerdo.
Esto significa que hay un posible desajuste. Por ejemplo, la Directiva sobre privacidad electrónica no incluye el mismo nivel de requisitos de transparencia que el RGPD.
Tal vez, entonces, desde entonces, desde que surgieron las preocupaciones de la Comisión para que surgieran metadatos de los transportistas, se han planteado preocupaciones sobre el alcance y los límites del intercambio de datos. A principios de esta semana, por ejemplo, la diferente Sophie in’t Veld escribió a Breton pidiendo más información sobre la captura de datos, incluida la consulta de exactamente cómo se anonimizarán los datos.
El SEPD nos confirmó que la Comisión la consultó sobre el uso propuesto de metadatos de telecomunicaciones.
Un portavoz del regulador señaló una carta enviada por Wiewiórowski a la Comisión, a raíz de la solicitud de este último de orientación sobre el seguimiento de la “difusión” de COVID-19.
En la carta, el SEPD impresiona a la Comisión de la importancia de la anonimización de datos “eficaz”, lo que significa que, en efecto, se dice que debe utilizarse una técnica que bloquee realmente la reidentificación de los datos. (Hay muchos ejemplos de datos “anónimos” que los investigadores muestran que son trivialmente fáciles de reidentificar; mientras que los datos de ubicación normalmente incluyen muchas indicaciones individuales fácilmente identificadas, como una dirección de casa y una dirección del lugar de trabajo.)
“La anonimización efectiva requiere algo más que eliminar identificadores obvios como números de teléfono y números IMEI”, advierte el SEPD, agregando también que los datos agregados “pueden proporcionar una salvaguardia adicional”.
También pedimos a la Comisión más detalles sobre cómo se anonimizarán los datos y el nivel de agregación que se utilizaría, pero nos dijo que no podía proporcionar más información en esta etapa.
Hasta ahora entendemos que el proceso de anonimización y agregación se llevará a cabo antes de que los operadores transfieran los datos a un órgano consultivo de ciencia e investigación de la Comisión, denominado Centro Común de Investigación (CCI), que realizará el análisis y análisis de datos y Modelado.
Los resultados —en forma de predicciones de propagación, etc.— serán compartidos por la Comisión con las autoridades de los Estados miembros de la UE. Los conjuntos de datos que alimentan los modelos se almacenarán en servidores JRC seguros.
El SEPD es igualmente claro en cuanto a los compromisos de la Comisión con respecto a la protección de los datos.
“Las obligaciones de seguridad de la información en virtud de la Decisión 2017/464 de la Comisión siguen aplicándose [a los datos anónimos], al igual que las obligaciones de confidencialidad en virtud del Estatuto para cualquier personal de la Comisión que procese la información. En caso de que la comunicación
ission se basa en terceros para procesar la información, estos terceros tienen que aplicar medidas de seguridad equivalentes y estar vinculados por estrictas obligaciones de confidencialidad y prohibiciones de uso posterior también”, escribe Wiewiórowski.
“También quisiera subrayar la importancia de aplicar medidas adecuadas para garantizar la transmisión segura de datos por parte de los proveedores de telecomunicaciones. También sería preferible limitar el acceso a los datos a expertos autorizados en epidemiología espacial, protección de datos y ciencia de datos.”
La retención de datos, o más bien la necesidad de destrucción rápida de conjuntos de datos después de que la emergencia haya terminado, es otra parte clave de la guía.
“También acojo con beneplácito que los datos obtenidos de los operadores móviles se eliminen tan pronto como la emergencia actual llegue a su fin”, escribe Wiewiórowski. “También debe quedar claro que estos servicios especiales se despliegan debido a esta crisis específica y son de carácter temporal. El SEPD a menudo enfatiza que tales desarrollos generalmente no contienen la posibilidad de dar un paso atrás cuando la emergencia ha desaparecido. Quisiera subrayar que esa solución debe seguir siendo reconocida como extraordinaria”.
cabe señalar que el SEPD es muy claro en cuanto a la “transparencia plena” es también un requisito, tanto de propósito como de “procedimiento”. Por lo tanto, debemos esperar que se publiquen más detalles sobre cómo se están haciendo que los datos no se inidentifiquen de manera efectiva.
“Permítanme recordar la importancia de la transparencia total para el público sobre el propósito y el procedimiento de las medidas a promulgar”, escribe Wiewiórowski. “También le animo a mantener a su responsable de protección de datos involucrado durante todo el proceso para garantizar que los datos procesados han sido efectivamente anonimizados.”
El SEPD también ha solicitado ver una copia del modelo de datos. En el momento de escribir el portavoz nos dijo que todavía está esperando para recibir eso.
“La Comisión debe definir claramente el conjunto de datos que desea obtener y garantizar la transparencia hacia el público, para evitar posibles malentendidos”, añadió Wiewiórowski en la carta.
Contact Information:
Natasha Lomas
Keywords: afds, afdsafds
sobre los planes de 
