Per combattere l’epidemia di COVID-19, il governo ha creato i file SI-DEP e Contact Covid, ha distribuito TousAntiCovid e implementato il sistema informativo Vaccine COVID. La CNIL effettua una valutazione intermedia di questi sistemi, alla luce dei pareri espressi e dei 25 controlli effettuati.
L’essenziale
- La CNIL rileva che sono state apportate modifiche ai sistemi messi in atto nel contesto della crisi sanitaria per renderli conformi alla legislazione sulla protezione dei dati personali. Sono, per la maggior parte, rispettosi dei dati personali.
- Tuttavia, ha rilevato nuove pratiche contrarie al GDPR e si è rivolto alle organizzazioni in questione in modo che potessero conformarsi il prima possibile; è stata emessa una diffida nei confronti di un’agenzia sanitaria regionale (ARS) nell’ambito di Contact COVID.
- Per quanto riguarda l’utilità e l’efficacia dell’applicazione TousAntiCovid sulla strategia sanitaria globale, il CNIL ritiene essenziale sviluppare iniziative e indicatori per valutare appieno l’efficacia sanitaria del dispositivo in come parte della lotta contro l’epidemia di COVID-19.
- Una terza fase di controlli inizierà nel gennaio 2021. I loro risultati saranno comunicati nel prossimo avviso pubblico della CNIL sulle operazioni di trattamento interessate.
Il contesto
Nell’ambito della lotta contro la diffusione dell’epidemia COVID-19, sono state implementate quattro operazioni di elaborazione dati: i file SI-DEP e Contact COVID, a cui si aggiungono il deploy dell’applicazione mobile TousAntiCovid e più recentemente l’implementazione del sistema informativo Vaccino COVID per la gestione e il monitoraggio delle vaccinazioni COVID-19.
Il legislatore ha voluto regolamentare questo trattamento, che comprende una grande quantità di dati personali, compresi i dati sanitari. Ha quindi istituito un comitato di monitoraggio e collegamento COVID-19 e ha previsto che il governo invii al Parlamento un rapporto dettagliato sull’applicazione di queste misure ogni tre mesi dall’entrata in vigore della legge, fino alla scomparsa. sistemi di informazione. Viene inoltre emessa un’opinione pubblica della CNIL sulla base dell’articolo 11 della legge dell’11 maggio 2020 che proroga lo stato di emergenza sanitaria.
Una prima opinione della CNIL è stata inviata al Parlamento il 10 settembre 2020. Questa è la seconda opinione della CNIL sul funzionamento di questi sistemi di informazione.
Il parere della CNIL
Riguardo al file SI-DEP
Promemoria : il file SIDEP è un sistema informativo nazionale implementato dal Ministero della Solidarietà e della Salute che consente la centralizzazione dei risultati dei test SARS-CoV-2 effettuati da laboratori pubblici o privati e da alcuni operatori sanitari. potenziato.
La CNIL ha rilevato che sono stati presi in considerazione i commenti formulati alla fine della prima fase di controllo nel settembre 2020. Ha inoltre rilevato un livello soddisfacente di conformità per quanto riguarda il rispetto dei periodi di conservazione dei dati.
Allo stato attuale delle verifiche, la CNIL ritiene che le condizioni per l’attuazione del fascicolo SI-DEP non richiedano alcuna misura particolare da parte sua.
Per quanto riguarda il file di contatto COVID
Promemoria : il trattamento Contact COVID implementato dal National Health Insurance Fund (CNAM) raccoglie informazioni sui casi di contatto e sulle catene di contaminazione. Ha lo scopo di rilevare casi di contatto a tre diversi livelli, medici cittadini / istituti sanitari / centri sanitari (livello 1), personale autorizzato dell’assicurazione sanitaria (livello 2), agenzia sanitaria regionale (ARS) (livello 3 ).
Trattamenti CNAM nell’ambito di Contact COVID
La CNIL ha preso atto del dispiegamento di un piano d’azione che ha migliorato i metodi di attuazione del trattamento e corretto le cattive pratiche che erano state rilevate nel suo precedente parere.
Tuttavia, ha rilevato alcune cattive pratiche residue relative alle condizioni di autenticazione, tracciabilità e trasmissione di dati personali a una terza parte non autorizzata a ospitare dati sanitari.
Il presidente della CNIL ha deciso di inviare una lettera per ricordare alla CNAM i suoi obblighi e delineare le carenze individuate e le misure da adottare per rimediare.
Trattamento di ARS nel contesto del contatto COVID
La CNIL ha rilevato numerose disparità riguardanti le pratiche dell’ARS nell’ambito dell’attività di ricerca dei contatti di livello 3.
Se ha potuto osservare l’implementazione da parte di un ARS di numerose misure per garantire in modo ottimale il rispetto dei dati personali, ha anche rilevato diverse carenze in un altro ARS nella gestione dei dati, in particolare riguardo al loro periodo di conservazione e alla loro sicurezza.
Questi risultati hanno portato il presidente della CNIL a mettere questo ARS su preavviso per conformarsi ai requisiti del RGPD entro un mese.
La CNIL ha inoltre voluto rivolgere raccomandazioni a tutti gli ARS in merito a pratiche contrarie al GDPR individuate durante i controlli e specifica che è stata loro inviata una lettera di sensibilizzazione per ricordare loro le misure necessarie per proteggere i dati. dati degli interessati dallo strumento Contatta COVID.
Infine, è stata inviata una lettera al Ministero della Solidarietà e della Salute per avvisarli dei risultati.
Per quanto riguarda l’applicazione mobile TOUSANTICOVID
Promemoria : TousAntiCovid (ex StopCovid), è un’applicazione di monitoraggio dei contatti mobile, basata su persone che si offrono volontariamente e utilizzano la tecnologia Bluetooth. Fornito dal governo, consente agli utenti di essere avvisati del rischio di contaminazione quando sono stati nelle vicinanze di un altro utente che è stato diagnosticato o è risultato positivo allo screening per COVID-19.
A seguito delle verifiche del giugno 2020 era stata emessa una diffida, resa pubblica, nei confronti del Ministero della Solidarietà e della Salute. Adempimento del ministero entro il termine, il Presidente della CNIL ha dichiarato chiusa la messa in mora in data 3 settembre 2020.
Il 22 ottobre 2020, il Ministero della Solidarietà e della Salute ha pubblicato una nuova versione dell’applicazione StopCovid, chiamata TousAntiCovid. Il CNIL ha effettuato nuove verifiche su tale applicazione che si sono concentrate in particolare sulla sostenibilità delle misure a seguito della diffida e sulla conformità delle nuove funzionalità dell’applicazione.
In effetti, l’applicazione offre ora nuove funzionalità come l’accesso a informazioni fattuali e sanitarie sull’epidemia e un accesso più semplice al certificato di viaggio eccezionale.
È stato rilevato che nessuno dei dati elaborati nell’ambito di queste nuove funzionalità viene elaborato sul server centrale, in un’ottica di minimizzazione dei dati e protezione dei dati dalla progettazione e per impostazione predefinita.
Durante i controlli del novembre 2020, il Ministero della Solidarietà e della Salute ha indicato che lo sviluppo di nuove funzionalità era allo studio. La CNIL ricorda che può effettuare nuovi controlli, se necessario, e che dovrà decidere nuovamente se il trattamento dei dati dovesse subire modifiche sostanziali.
Ha inoltre emesso un parere urgente in data 17 dicembre 2020 su una bozza di decreto di modifica del decreto n. 2021-650 del 29 maggio 2020 relativo al trattamento dei dati denominato “StopCovid”, che potrà essere pubblicato solo previa pubblicazione. del citato decreto.
Per quanto riguarda l’utilità e l’efficacia dell’applicazione TousAntiCovid, la CNIL ricorda di aver richiesto che l’effettivo impatto del sistema sulla strategia sanitaria globale fosse studiato e documentato dal Governo durante tutto il suo periodo di ‘uso.
A suo parere, la CNIL rileva in particolare:
- l’aumento del numero di download dell’applicazione e del numero di persone notificate;
- l’aggiunta di funzionalità utili alla gestione dell’epidemia e un maggiore sostegno da parte della popolazione, suscettibile di partecipare al rafforzamento della sua utilità sanitaria, previa sua attivazione;
- realizzazione di due studi sull’efficacia dell’applicazione nella strategia sanitaria globale.
Il CNIL ritiene che sia essenziale sviluppare iniziative e indicatori per valutare appieno l’efficacia sanitaria del sistema nel contesto della lotta contro l’epidemia di COVID-19.
Altri controlli: taccuini promemoria
La CNIL ricorda di effettuare anche controlli sulle pratiche quotidiane legate al monitoraggio della pandemia. Ha quindi svolto i controlli relativi alla tenuta dei “quaderni di sollecito”, attuati a partire dall’ottobre 2020 da alcuni esercizi di ristorazione e locali per bere situati in zone di forte allerta.
Sono state rilevate diverse violazioni del GDPR, in particolare il riutilizzo dei dati raccolti a fini di prospezione. Avendo indicato le organizzazioni interessate di aver cancellato i dati e di non averli utilizzati a fini commerciali, la CNIL ha deciso di richiamarli all’ordine invitandoli a conformarsi in futuro nel caso in cui l’azienda Sarebbero nuovamente necessari “libri di promemoria”.
Una procedura di controllo continuo
La CNIL sottolinea che i controlli continueranno per tutto il periodo di utilizzo dei file, fino alla fine della loro implementazione e alla cancellazione dei dati in essi contenuti.
Si specifica che nelle prossime settimane verranno effettuati controlli per garantire le condizioni per l’attuazione del trattamento vaccinale COVID e che la terza fase dei controlli inizierà nel gennaio 2021. Il prossimo avviso pubblico della CNIL ne riferirà i risultati.
Si comunica infine che verrà effettuata un’ultima ondata di controlli al termine delle operazioni di trattamento al fine di verificare in particolare l’effettiva cancellazione dei dati.
FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL