Λίγες ημέρες πριν επανεκκινήσει το λιανεμπόριο και εφαρμοστεί ο νέος πενταψήφιος αριθμός, το 13032 για την αποστολή γραπτού μηνύματος μετακίνησης, το οποίο θα αφορά αποκλειστικά επίσκεψη σε εμπορικά καταστήματα με συγκεκριμένη διάρκεια, πληθαίνουν οι απόψεις των νομικών που επισημαίνουν ότι ακόμα και το πολυχρησιμοποιημένο 13033 βρίσκεται στο όριο σε ό,τι αφορά την προστασία προσωπικών δεδομένων.
Ταυτόχρονα κριτική ως προς την ιατρική της προσφορότητα, αλλά και την προστασία ευαίσθητων δεδομένων συγκεντρώνει και η εφαρμογή ιχνηλάτησης για έξυπνα κινητά τηλέφωνα, η οποία αναμένεται να τεθεί σε λειτουργία και στην Ελλάδα το προσεχές διάστημα ενόψει και της έναρξης της επόμενης θερινής περιόδου. Ύστερα από ένα χρόνο πανδημίας και περιοριστικών μέτρων, η προστασία των προσωπικών δεδομένων φαίνεται πως έχει «σχετικοποιηθεί» με την επίκληση σε λόγους δημοσίου συμφέροντος και προστασίας της δημόσιας υγείας να μην επαρκεί ως δικαιολογία. Κι αυτό γιατί, όπως επισημαίνουν οι νομικοί, είναι ακριβώς αυτές οι περίοδοι κρίσης, στις οποίες αποκτά μεγαλύτερη αξία η προστασία των ατομικών δικαιωμάτων και των προσωπικών δεδομένων.
Ηδη, όπως επεσήμανε στο 5o Συνέδριο για την προστασία προσωπικών δεδομένων της Palladian Conferences (Data Protection & Privacy Law Forum), ο νομικός και υπεύθυνος επεξεργασίας δεδομένων (DPO) του υπουργείου Υγείας, Δημήτρης Ζωγραφόπουλος έως τώρα από την κωδικοποίηση της νομοθεσίας που κάνει το υπουργείο Ψηφιακής Διακυβέρνησης, έχουν προκύψει οκτώ τόμοι νομοθετικών μέτρων για την αντιμετώπιση της Covid 19, πολλοί εκ των οποίων έχουν θεσπιστεί με Πράξεις Νομοθετικού Περιεχομένου και κυρώθηκαν ακολούθως στη Βουλή με ένα άρθρο.
Βάσει του άρθρου 23 του Γενικού Κανονισμού, οι περιορισμοί στην προστασία των προσωπικών δεδομένων μπορούν να θεσπιστούν μόνο με νομοθετικά μέτρα, τα οποία όμως θα πρέπει να έχουν ένα περιεχόμενο, να ορίζουν ποιοι είναι οι σκοποί, ποια είναι τα δεδομένα που συλλέγονται, ποια δεδομένα περιορίζονται, ποιοι είναι οι αποδέκτες και για πόσο χρονικό διάστημα θα ισχύουν οι περιορισμοί στην προστασία των δεδομένων. «Η λογική του άρθρου αυτού λείπει από κρίσιμα νομοθετήματα» επισημαίνει στο ethnos.gr, ο κ. Ζωγραφόπουλος φέρνοντας ως παράδειγμα την εφαρμογή του 13033, για το οποίο όπως συμπληρώνει δεν υπάρχει καμία ασφαλής νομική κατοχύρωση, καμία διάταξη στην οποία να κατοχυρώνεται νομικά η υποχρέωση αποστολής μηνύματος.
Ακόμα και από τις κατευθυντήριες γραμμές που έθεσε η Αρχή Προστασίας Προσωπικών Δεδομένων για τον κορονοϊό απουσιάζει η αναφορά στο ρόλο του DPO, καθώς επίσης και στη μελέτη αντικτύπου. Για τα ζητήματα προσωπικών δεδομένων που προκύπτουν από την χρήση του 13033 έχει ήδη στείλει αίτημα γνωμοδότησης στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα η Homo Digitalis, μία μη κερδοσκοπική εταιρεία νομικών με εξειδίκευση στην τήρηση των ψηφιακών δικαιωμάτων.
Είχε προηγηθεί καταγγελία του Δ.Σ. στην Αρχή ύστερα από επιστολές για το θέμα στη Γενική Γραμματεία Πολιτικής Προστασίας, οι οποίες παρέμειναν αναπάντητες. «Υπήρξε μία αδιαφορία στις επιστολές μας και μία έλλειψη συνειδητοποίησης πως δεν αρκεί η ανάρτηση της πολιτικής προστασίας, πρέπει και να εφαρμόζεται», εξηγεί ο συνιδρυτής της Homo Digitalis και νομικός, Κωνσταντίνος Κακαβούλης.
Στο αίτημά τους προς την Αρχή επισημαίνουν πως το κείμενο της Πολιτικής Προστασίας Προσωπικών Δεδομένων περιέχει ασάφειες συντακτικές, αλλά και νοηματικές δημιουργώντας σύγχυση στον αναγνώστη, ενώ η Γενική Γραμματεία Πολιτικής Προστασίας δεν έχει προχωρήσει σε διορθωτικές αλλαγές της Πολιτικής Προστασίας Προσωπικών Δεδομένων από το Μάρτιο που έλαβε αντίστοιχη επιστολή της Homo Digitalis. Παράλληλα τονίζει πως «διαφαίνεται κίνδυνος να παραβιαστούν δικαιώματα των Ελλήνων πολιτών τα οποία έχουν κατοχυρωθεί με τον Γενικό Κανονισμό Προστασίας Δεδομένων 2016/679 (ΓΚΠΔ)» και μάλιστα από μία υπηρεσία με ευρεία χρήση από τους πολίτες δεδομένου ότι κατά το πρώτο κύμα της πανδημίας εστάλησαν περίπου 110 εκατομμύρια SMS μετακίνησης.
Οι νομικοί επισημαίνουν πως αν και ο περιορισμός των δικαιωμάτων ενδέχεται να δικαιολογείται ενόψει επιτακτικού δημόσιου συμφέροντος, συμπεριλαμβανομένης της δημόσιας υγείας, πρέπει να συνοδεύεται από ορισμένες εγγυήσεις και σε κάθε περίπτωση να έχει εξαιρετικό χαρακτήρα. «Εν προκειμένω, οι έκτακτες συνθήκες που προκύπτουν από την πανδημία δεν μπορούν να οδηγήσουν στη μαζική, παρατεταμένη, και χωρίς επαρκή νομική βάση επεξεργασία των προσωπικών δεδομένων των προσώπων που μετακινούνται εντός της ελληνικής επικράτειας. Μετά λύπης μας παρατηρούμε ότι η ΓΓΠΠ, κατά τη σύνταξη της Πολιτικής Προστασίας Προσωπικών Δεδομένων για την κατ’ εξαίρεση μετακίνηση μέσω της αποστολής SMS, δεν έχει προβλέψει αποτελεσματικά τις απαραίτητες εγγυήσεις για την προστασία των προσωπικών δεδομένων των πολιτών, που μετακινούνται εντός της ελληνικής επικράτειας».
Στις αστοχίες και ελλείψεις που εντοπίζουν στο σύστημα επισημαίνουν μεταξύ άλλων ότι στην Πολιτική Προστασίας Προσωπικών Δεδομένων αναφέρεται ρητά πως “Πρόσβαση μπορεί να έχουν μόνο οι εξουσιοδοτημένοι υπάλληλοι του Υφυπουργείου Πολιτικής Προστασίας και Διαχείρισης Κρίσεων και η Γενική Γραμματεία Πολιτικής Προστασίας στα πλαίσια των καθηκόντων τους ή συνεργαζόμενοι πάροχοι στο πλαίσιο υποστήριξης της υπηρεσίας”. «Αυτή η διατύπωση μας ωθεί να αναρωτηθούμε ποιος έχει πρόσβαση στα ως άνω δεδομένα, αλλά και ποια είναι η σκοπιμότητα εξουσιοδοτημένοι υπάλληλοι του Υφυπουργείου και της Γενικής Γραμματείας να έχουν πρόσβαση στα προσωπικά δεδομένα». Εντοπίζουν ακόμα μία αντίφαση καθώς ενώ αναφέρεται ρητά πως τα δεδομένα δεν διαβιβάζονται σε τρίτους, υπάρχει η επισήμανση ότι πρόσβαση σε αυτά έχουν οι συνεργαζόμενοι παρόχοι, κάτι για το οποίο – εφόσον συμβαίνει – θα πρέπει να ενημερώνεται και ο πολίτης.
Ενα τρίτο σημείο που αναφέρουν έχει να κάνει με την τήρηση των δεδομένων, τα οποία μετά την απάντηση της υπηρεσίας σβήνονται ή ανωνυμοποιούνται χωρίς όμως να «παρατίθενται τα κριτήρια βάσει των οποίων γίνεται η επιλογή διαγραφής ή ανωνυμοποίησης των προσωπικών δεδομένων, δημιουργώντας έλλειψη προβλεψιμότητας και ανασφάλεια δικαίου. Εξάλλου, η διαδικασία ανωνυμοποίησης είναι εξαιρετικά δυσχερής, καθώς εάν δεν είναι αποτελεσματική τα δεδομένα μπορούν να επαναπροσδιοριστούν ως προσωπικά μέσω διαδικασίας γνωστής ως ‘de-anonymization’ ΄ή ‘re-identification’ και έτσι να χάσουν την προστασία που τους παρέχει η ανωνυμοποίηση».
Ψηφιακό πιστοποιητικό εμβολιασμού
Υποχρεωτικό καθιστά τον εμβολιασμό «εμμέσως πλην σαφώς» η ύπαρξή της βεβαίωσης εμβολιασμού, σύμφωνα με τον κ. Ζωγραφόπουλο, ο οποίος αν και ξεκαθαρίζει ότι εκ πεποιθήσεως πιστεύει στην υποχρεωτικότητα των εμβολιασμών, ως νομικός εκτιμά ότι αυτό θα έπρεπε να γίνει συντεταγμένα: «Είναι πάγια η θέση της Πολιτείας ο εμβολιασμός να παραμείνει προαιρετικός. Ωστόσο με το πιστοποιητικό δεν κάνουμε τίποτα άλλο παρά να τον καθιστούμε εμμέσως πλην σαφώς υποχρεωτικό. Ως επαγγελματίας νομικός θα προτιμούσα να γίνει σωστά, να έρθει μία νομοθετική διάταξη η οποία να λέει για ποιους ενδεχομένως είναι υποχρεωτικός, ποιες κατηγορίες πληθυσμού θα πρέπει να προηγηθούν, ποιες είναι οι εξαιρέσεις».
Ο ίδιος επισημαίνει και την τεράστια ανάγκη για συνεργασία των συναρμόδιων φορέων ως προς τη χάραξη στρατηγικής για την αντιμετώπιση της πανδημίας και την έναρξη ενός δημόσιου διαλόγου για ζητήματα προσωπικών δεδομένων, φέρνοντας ως παράδειγμα το έγγραφο συναίνεσης για τη διενέργεια εμβολιασμού Covid-19, το οποίο δόθηκε στη δημοσιότητα χωρίς προηγούμενη ενημέρωση του υπουργείου Υγείας: «Η Αρχή Προστασίας έστειλε έγγραφο για διευκρινίσεις στο υπουργείο. Το έγγραφο δεν το είχε εκπονήσει το υπουργείο. Αναγκαστήκαμε να απαντήσουμε ότι δεν έχουμε καμία ιδέα».
Εφαρμογή ιχνηλασιμότητας
Αμφίβολη έχει θεωρηθεί στο πρόσφατο παρελθόν η αποτελεσματικότητα και της θέσπισης μιας εφαρμογής ιχνηλασιμότητας για έξυπνα κινητά τηλέφωνα, η οποία αναπτύσσεται και από την Ελλάδα και θα ενημερώνει το χρήστη με ένα γραπτό μήνυμα εάν ήρθε σε επαφή με κάποιο δηλωμένο θετικό κρούσμα. Προ μηνών σε σχετική συζήτηση στο υπουργείο Υγείας αναλύθηκε καταρχάς από ιατρική άποψη εάν το μέτρο είναι χρήσιμο, αναγκαίο και πρόσφορο και ακολούθως εάν διασφαλίζονται τα προσωπικά δεδομένα των χρηστών: «Δεν πέρασε το τεστ της προσφορότητας, δεν πέρασε το τεστ των προσωπικών δεδομένων, δεν πέρασε ούτε το τεστ της κυβερνοασφάλειας. Για φανταστείτε αν κάποιοι μαζικά θελήσουν να χτυπήσουν την κρατική υπόσταση και δηλώσουν μαζικά ψευδώς ότι είναι θετικοί. Την επόμενη μέρα θα τρέχει κόσμος πανικόβλητος δεξιά κι αριστερά να κάνει τεστ» εξηγεί ο κ. Ζωγραφόπουλος.
Οποια παραμετροποίηση και να γίνει – σύμφωνα με τους ειδικούς – αφήνει μεγάλο «παράθυρο» λάθους. Για παράδειγμα εάν κάποιος θέλει να μειώσει το περιθώριο ψευδών εθελοντικών δηλώσεων θετικότητας από χρήστες, θα πρέπει να υπάρχει απευθείας ενημέρωση της εφαρμογής από το Μητρώο Covid, κάτι όμως που θα αδρανοποιούσε εκ προιμίου τη μη επεξεργασία προσωπικών δεδομένων. Αν παραμείνει στη διακριτική ευχέρεια του χρήστη να ενημερώσει την εφαρμογή, θα ελλοχεύει πάντα ο κίνδυνος των ψευδών δηλώσεων. Προσθέτει μάλιστα ότι αντίστοιχες εφαρμογές υπάρχουν στις 21 από τις 28 χώρες της Ευρωπαϊκής Ενωσης, οι οποίες όμως δεν κατάφεραν να αποτρέψουν την επιβολή δεύτερου ή τρίτου lockdown.