Due bollette sulla privacy COVID-19 federali: un buon inizio e un passo falso

COVID-19, e gli sforzi di contenimento che si basano su dati personali, stanno gettando i riflettori su un problema di vecchia data: la mancanza della nostra nazione di leggi sufficienti per proteggere la privacy dei dati. Due progetti di legge prima del Congresso tentano di risolvere questo problema per quanto riguarda i dati COVID-19. Uno è un buon inizio che necessita di miglioramenti. L'altro è un passo falso a cui si oppone fortemente EFF.

Il PHEPA ( Public Health Emergency Privacy Act ) è stato introdotto dai senatori statunitensi Richard Blumenthal e Mark Warner e dai rappresentanti statunitensi Anna Eshoo, Jan Schakowsky e Suzan DelBene. Ha alcuni importanti elementi che i sostenitori della privacy hanno richiesto. Richiede il consenso esplicito e la minimizzazione dei dati e limita la divulgazione dei dati al governo. Ha un forte diritto di azione privato e non impedisce le leggi statali. E impedisce la negazione dei diritti di voto alle persone che rifiutano di aderire ai programmi di monitoraggio. Ma non protegge queste persone dalla discriminazione nell'accesso al lavoro, nelle strutture pubbliche o nei benefici del governo. Inoltre, ha esenzioni eccessivamente ampie per il tracciamento manuale dei contatti, la ricerca sulla salute pubblica, le autorità sanitarie pubbliche e le entità regolate dalla legge sulla portabilità e responsabilità dell'assicurazione sanitaria (HIPAA).

Il COVID-19 Consumer Data Protection Act (CCDPA) è stato introdotto dai senatori statunitensi Roger Wicker, Jim Thune, Jerry Moran e Marsha Blackburn. Previene le leggi statali, non ha diritti di azione privati ​​ed esenta un'ampia gamma di sorveglianza da parte dei datori di lavoro. È un antipasto.

Risposte all'onere di COVID-19 sulla privacy dei nostri dati

Il modo in cui aziende e governi utilizzano i nostri dati per rispondere alla crisi COVID-19 illustra la nostra mancanza di leggi sulla privacy dei dati. I governi stanno collaborando con le aziende per creare siti Web in cui forniamo la nostra salute e altre informazioni per ottenere lo screening per i test e il trattamento COVID-19. Gli Stati stanno conducendo una traccia dei contatti manuale, spesso stipulando contratti con le aziende per costruire nuovi sistemi di gestione dei dati . Le autorità sanitarie pubbliche ci stanno incoraggiando a scaricare app di monitoraggio della prossimità . Alcune di queste applicazioni anche monitorare la nostra posizione , che EFF oppongono s.

Esistono molti modi per utilizzare in modo improprio i nostri dati relativi a COVID. Alcuni ristoranti stanno raccogliendo informazioni di contatto dagli utenti per avvisarli in seguito di qualsiasi rischio di infezione; in modo inquietante ma non sorprendente , un impiegato del ristorante ha usato le informazioni di un utente per inviare più messaggi molesti . Le aziende potrebbero trasferire i nostri dati COVID alla pubblicità. Le agenzie di sanità pubblica potrebbero condividere i nostri dati COVID con la polizia o altre agenzie. Tutti questi dati potrebbero essere rubati identificando ladri, stalker e nazioni straniere.

Abbiamo bisogno di una legge sulla privacy completa …

Le leggi statunitensi esistenti non ci proteggono sufficientemente dall'uso improprio dei dati relativi a COVID. Ad esempio, le protezioni HIPAA dei dati sanitari si applicano solo agli operatori sanitari strettamente definiti e ai loro soci in affari. Le più forti leggi sulla privacy dei dati statali si applicano solo a determinati tipi di dati (come la legge sulla privacy biometrica dell'Illinois ), agli elaboratori di dati (come la legge sulla registrazione dell'intermediario di dati del Vermont ) o alle protezioni dei dati (come i diritti della California di accedere, eliminare e annullare la rinuncia a la vendita di dati).

Pertanto, abbiamo bisogno di una legge federale sulla privacy dei dati dei consumatori forte e completa. Il FEP ha tre priorità principali per una legge federale sulla privacy : nessuna prelazione federale delle leggi statali sulla privacy dei dati; forte applicazione dando ai consumatori un diritto di azione privato contro le aziende che violano le norme sulla privacy; e un divieto di discriminazione nei confronti dei consumatori che esercitano i loro diritti alla privacy. Tale legislazione deve inoltre richiedere il consenso esplicito prima dell'elaborazione dei dati e la riduzione al minimo dell'elaborazione dei dati a ciò che è necessario per un'azienda per dare a un consumatore ciò che ha richiesto.

Quindi, c'è molto da apprezzare sul Consumer Online Privacy Rights Act introdotto lo scorso anno dai senatori statunitensi Maria Cantwell, Brian Schatz, Amy Klobuchar ed Edward Markey. Sebbene la proposta di legge debba rafforzare gli emendamenti, una legge del genere farebbe molto per proteggere i nostri dati relativi a COVID.

… O almeno una legge sulla privacy COVID-19

Se la nostra nazione attualmente non ha la volontà politica di emanare una legge globale sulla privacy dei dati dei consumatori, allora abbiamo almeno bisogno di una legge specifica COVID. Per i motivi di cui sopra, occorrerebbe il consenso esplicito, la minimizzazione dei dati, un diritto di azione privato, nessuna prelazione e protezioni per prevenire la discriminazione nei confronti delle persone che non acconsentono.

La non discriminazione ha una particolare urgenza qui. Non esiste solo il rischio che un governo o un'entità aziendale elabori i dati di una persona o li faccia utilizzare un'app di monitoraggio, senza il loro consenso. Esiste anche il rischio di negazione dei benefici e dell'accesso a persone che si rifiutano di condividere i propri dati o utilizzare un'app. Ad esempio, se una persona rifiuta di scaricare un'app di tracciamento, un datore di lavoro potrebbe negare l' accesso al posto di lavoro , un ristorante potrebbe negare il servizio al tavolo o un'agenzia governativa potrebbe negare un vantaggio. Ma qualsiasi utilizzo di tali app deve essere veramente volontario .

È anche importante limitare il flusso di dati personali al governo. L'epidemia ha spinto le nuove istituzioni e le nuove tecnologie a raccogliere nuovi tipi di dati su di noi. La storia mostra che i governi generalmente non restituiscono poteri di emergenza .

PHEPA è un buon inizio …

PHEPA si applica ampiamente ai dati ragionevolmente collegabili a una persona o dispositivo e che riguardano COVID-19. Include espressamente i dati sanitari (come i risultati dei test medici) e i dati relativi al rilevamento delle epidemie (come posizione, prossimità o qualsiasi altro dato raccolto da un dispositivo personale). Il disegno di legge si estende a enti pubblici e privati ​​che elaborano elettronicamente i dati coperti o che sviluppano siti Web o app mobili per scopi COVID-19.

Il disegno di legge fornisce importanti protezioni sulla privacy COVID-19. Un'entità coperta:

• Non verranno trattati i dati coperti in assenza del consenso esplicito del soggetto (con alcune eccezioni).
• Eserciterà la minimizzazione dei dati, elaborando i dati solo come "necessari, proporzionati e limitati a fini di buona salute pubblica".
• Non divulgare i dati coperti al governo, ad eccezione di un'autorità di sanità pubblica e solo con scopi di buona salute pubblica in buona fede.
• Non utilizzare i dati coperti per gli annunci commerciali.
• Consentirà alle persone di correggere dati inesatti su di loro.
• Pubblicherà una politica sulla privacy e (per entità più grandi) relazioni trimestrali.
• Adotterà misure ragionevoli per proteggere i dati coperti.

Il disegno di legge esclude il diritto di voto sulla base dei dati coperti, delle condizioni mediche o della mancata partecipazione di una persona a un programma che raccoglie dati coperti. Ciò offrirebbe una certa protezione alle persone che si rifiutano di scaricare un'app di tracciamento. Fornisce un forte diritto di azione privato, oltre all'esecuzione da parte della Federal Trade Commission (FTC) e del procuratore generale dello Stato. Prevede esplicitamente che le leggi statali non siano anticipate.

In breve, c'è molto da apprezzare qui, tra cui il consenso di opt-in, la minimizzazione dei dati, un diritto di azione privato, nessuna prelazione, nessuna discriminazione nei diritti di voto e altro ancora. Apprezziamo la leadership di Sens. Blumenthal e Warner e dei rappresentanti Schakowsky e DelBene.

… E ha margini di miglioramento

Suggeriamo rispettosamente le seguenti modifiche rafforzanti al PHEPA.

In primo luogo, dovrebbe vietare la discriminazione nei confronti delle persone che rifiutano di utilizzare un'app di tracciamento COVID-19, anche negando loro lavoro, istruzione, alloggi pubblici o benefici statali. Tale discriminazione, e la conseguente pressione a scaricare un'app di tracciamento, rappresentano una minaccia urgente per la privacy. Il disegno di legge è un buon inizio: vieterebbe la negazione dei diritti di voto a qualcuno che non parteciperà a un programma di monitoraggio COVID-19. Ma sono necessarie ulteriori protezioni.

In secondo luogo, il disegno di legge prevede ampie esenzioni che dovrebbero essere rimosse o fortemente limitate:

• Esenta i programmi di tracciamento dei contatti manuali. Ma questi accumuleranno vaste scoperte di dati personali. E questi dati saranno conservati dalle società private che stipulano contratti con gli Stati per intraprendere la ricerca dei contatti.
• Esenta la ricerca sulla salute pubblica su COVID-19. Ma le persone dovrebbero essere in grado di utilizzare le risorse COVID, come le applicazioni di monitoraggio o i siti Web di screening, senza diventare soggetti di ricerca.
• Esenta le autorità sanitarie pubbliche. Ma questi funzionari governativi dovrebbero seguire le regole del disegno di legge su, ad esempio, il consenso del soggetto, la minimizzazione dei dati, la riservatezza e la non divulgazione ad altre unità di governo.
• Esenta le entità coperte da HIPAA, compresi i soci d'affari dei fornitori di assistenza sanitaria. Tuttavia, tali entità dovrebbero essere tenute a seguire le nuove importanti norme sulla privacy del disegno di legge, a meno che tali regole non siano in conflitto con l'HIPAA.

In terzo luogo, il disegno di legge afferma che se una persona revoca il consenso al trattamento dei dati, un'entità coperta deve interrompere l'elaborazione "non appena possibile, ma in ogni caso non oltre 15 giorni" e distruggere o de-identificare i dati già raccolti. Ma se qualcuno revoca il proprio consenso, questo dovrebbe essere rispettato immediatamente. Un'entità che desidera elaborare i dati coperti deve essere pronta a interrompere l'elaborazione non appena qualcuno revoca il consenso. Inoltre, i dati coperti dovrebbero essere distrutti, senza un'opzione per conservarli in forma non identificata. Esiste il rischio intrinseco di ri-identificare i dati non identificati .

In quarto luogo, la legge prevede che un'entità coperta deve distruggere o de-identificare i dati coperti entro 60 giorni dalla fine dell'epidemia, come definito dal governo federale e statale. Ma la gestione dell'epidemia di COVID-19 potrebbe durare per anni , mentre molti dati relativi a COVID saranno obsoleti nel giro di poche settimane. Ad esempio, il periodo di incubazione COVID-19 è di 14 giorni , quindi non è necessario conservare più a lungo i dati raccolti dalle app di monitoraggio della prossimità. Inoltre, i dati non aggiornati devono essere distrutti e non semplicemente identificati, come appena spiegato. Esortiamo gli autori a prendere queste misure critiche per rafforzare il loro conto.

Il CCDPA è un passo falso

Il CCDPA non è un avviatore per EFF.

In primo luogo, impedirebbe le leggi statali "relative al" trattamento dei dati coperti (posizione, prossimità, identificatori persistenti e informazioni sanitarie) per uno scopo coperto (tracciamento COVID-19, misurazione della distanza sociale e traccia dei contatti). Ciò ridurrebbe i diritti legali esistenti dei californiani di accedere, cancellare o rinunciare alla vendita dei dati raccolti a fini COVID e che gli Illinoisiani siano liberi da una sorveglianza biometrica senza consenso a fini COVID. Laddove sono coinvolti i dati COVID-19, il CCDPA taglierebbe anche le leggi statali esistenti che riguardano la privacy medica, la sicurezza delle informazioni, la notifica della violazione dei dati e le pratiche commerciali sleali. Ancor peggio, il CCDPA porrebbe fine al potere delle legislature statali, fungendo da " laboratori di democrazia ", per innovare nuovi modi di proteggere la privacy legata al COVID. E la prevenzione in base al CCDPA sarebbe permanente, anche dopo la fine dell'epidemia.

In secondo luogo, il CCDPA non ha un diritto di azione privato e consente l'applicazione solo da parte della FTC e dei procuratori generali dello Stato. Ma il compito dell'esecuzione è troppo grande solo per queste agenzie, che dispongono di budget limitati e molti obblighi concorrenti. Inoltre, molte agenzie subiscono acquisizioni normative , il che significa che le imprese regolamentate hanno un'influenza indebita sulle decisioni di applicazione delle agenzie.

In terzo luogo, il CCDPA esenta i dati relativi a COVID che i datori di lavoro utilizzano per schermare l'ingresso nei luoghi di lavoro. Questa è una via libera per le aziende di licenziare i dipendenti a meno che non si sottopongano alla sorveglianza dei loro movimenti, associazioni e salute, a condizione che le aziende dichiarino che stanno cercando di prevenire un focolaio sul luogo di lavoro.

Conclusione

Governi e aziende stanno raccogliendo enormi dati relativi a COVID, tra cui la nostra salute, i luoghi, le associazioni con gli altri e molto altro. Ciò dimostra inoltre che una legge globale sulla privacy dei dati è attesa da tempo. Come minimo, abbiamo bisogno di una legge sulla privacy COVID-19. PHEPA è un buon inizio. Speriamo che il Congresso si baserà su di esso.

Correzione: una versione precedente di questo post ha omesso inavvertitamente la Rep. Anna Eshoo dall'elenco degli sponsor per la Legge sulla privacy di emergenza della sanità pubblica. Questa versione è stata corretta.