L’Autorità Australiana per la Protezione dei Dati (OAIC) ha partecipato al GPEN Sweep 2020-21 (indagini a tappeto realizzate dal Global Privacy Enforcement Network) che ha esaminato come le riflessioni sulla privacy sono state prese in considerazione dalle organizzazioni responsabili di varie soluzioni e iniziative contro il COVID-19. Ha anche catturato il livello di impegno che le autorità di protezione dei dati hanno avuto con quelle organizzazioni nella loro giurisdizione.
Un’indagine internazionale sulla privacy ha rilevato che tutte le autorità di protezione dei dati (DPA) partecipanti sono state attivamente coinvolte nella valutazione delle implicazioni sulla privacy delle soluzioni e delle iniziative contro il COVID-19. In un numero limitato di giurisdizioni sono state intraprese azioni di conformità e applicazione.
Venti Autorità per la Protezione dei Dati provenienti da Europa, Americhe, Oceania, Asia e Medio Oriente hanno partecipato al controllo annuale nel 2021, coordinato dall’Ufficio del Commissario per la Privacy della Nuova Zelanda.
Le organizzazioni hanno mostrato una significativa consapevolezza dei rischi per la privacy associati a queste soluzioni e hanno stabilito regole chiare sul trattamento delle informazioni personali coinvolte.
Le risposte allo Sweep hanno indicato che l’attenzione principale delle DPA era rivolta alle app mobili di tracciamento dei contatti COVID-19, anche se altre iniziative includevano braccialetti elettronici, registri dei vaccini COVID-19 e registri di confine nazionali.
Risultati
Quasi tutte le giurisdizioni che hanno risposto hanno un’applicazione mobile di tracciamento dei contatti COVID-19 che utilizza la tecnologia Bluetooth. Queste avvisano gli utenti se sono stati vicini a un altro utente dell’applicazione che è risultato positivo al coronavirus, e se hanno visitato un locale nello stesso periodo di un’altra persona risultata positiva.
La maggior parte delle autorità sanitarie ha effettuato valutazioni di impatto sulla privacy (DPIA) e ha coinvolto la loro Autorità locale in una fase iniziale dello sviluppo del progetto per mitigare i rischi identificati per la privacy. Una preoccupazione chiave era l’identificazione degli individui dalle informazioni personali raccolte dalle applicazione di ricerca dei contatti e la conservazione delle informazioni personali raccolte.
Le autorità di protezione dei dati hanno raccomandato alcune delle seguenti buone prassi: che le informazioni personali siano conservate localmente sui dispositivi degli utenti piuttosto che su server centralizzati; e che le informazioni personali raccolte per combattere il COVID-19 siano distrutte in modo sicuro non appena ragionevolmente possibile una volta che non sono più necessarie.
Diverse autorità di protezione dei dati hanno intrapreso azioni di conformità ed esecuzione in risposta ai reclami ricevuti. Tutte le autorità di protezione dei dati hanno prodotto materiale didattico relativo alle questioni di privacy derivanti dalle misure sanitarie del COVID-19.
Background
L’obiettivo del 2020-21 GPEN Sweep è capire come le considerazioni sulla privacy siano state prese in considerazione dalle organizzazioni responsabili di varie soluzioni e iniziative COVID-19. Ha anche catturato il livello di impegno che le DPA hanno avuto con quelle organizzazioni nella loro giurisdizione (sia attraverso valutazioni di applicazione di ricerca di contatti o qualsiasi altra iniziativa del settore pubblico o privato).
L’indagine ha esplorato il modo in cui la comunità globale delle autorità di protezione dei dati si è impegnata con i governi locali per identificare e comprendere i rischi associati alle iniziative COVID-19, comprese le raccomandazioni per migliorare la conformità con la privacy e le leggi sulla protezione dei dati, e intraprendere azioni di applicazione ove necessario. L’indagine a tappeto ha anche cercato di capire quali, se del caso, azioni esecutive le DPA potrebbero utilizzare, e quali attività di educazione e sensibilizzazione le DPA hanno condotto.
Il Global Privacy Enforcement Network (GPEN) è stato istituito nel 2010 su raccomandazione dell’Organizzazione per la cooperazione e lo sviluppo economico. Il suo scopo è quello di promuovere la cooperazione transfrontaliera tra le Autorità della privacy in un mercato sempre più globale in cui il commercio e l’attività dei consumatori si basa sul flusso continuo di informazioni personali attraverso i confini. I suoi membri cercano di lavorare insieme per rafforzare la protezione della privacy personale in questo contesto globale. La rete informale è composta da oltre 70 autorità di applicazione della privacy in 40 giurisdizioni di tutto il mondo.
GPEN Sweep 2020-21 report:
FONTE: AUTORITÀ PER LA PROTEZIONE DEI DATI DELL’AUSTRALIA – OIAC