La California ha ancora bisogno di protezioni sulla privacy per le app di monitoraggio COVID

Molti stati hanno lanciato le proprie versioni di notifica di esposizione o app di monitoraggio come parte della loro risposta alla pandemia COVID-19 in corso. La California potrebbe essere pronta a unirsi a loro. Eppure il Golden State non ha ancora adottato alcuno standard sulla privacy per le app di monitoraggio COVID statali o per i contratti che lo stato potrebbe stipulare per implementare tali programmi.

Questa settimana, il Colorado ha annunciato un programma che utilizza il sistema Exposure Notifications Express (ESE). Questo sistema, appena integrato nel sistema operativo iOS di Apple, sarà presto un'opzione anche sul sistema operativo Android di Google. Consente agli utenti tecnologici di aderire a un programma di salute pubblica, che li avvisa se sono stati esposti, senza richiedere loro di scaricare un'app separata. È probabile che diventi il ​​percorso più semplice per la maggior parte degli utenti di smartphone per partecipare ai sistemi di notifica dell'esposizione .

Sebbene la California non abbia annunciato ufficialmente alcun programma del genere, ci sono forti indizi che uno sia in lavorazione. Il 28 agosto, tre leader nella legislatura californiana – il presidente dell'Assemblea per la privacy e la tutela dei consumatori Ed Chau, il presidente della magistratura del senato Hannah-Beth Jackson e il presidente dell'Assemblea Anthony Rendon – hanno scritto al governatore Gavin Newsom facendo riferimento alle discussioni per un programma pilota in California che include un "Applicazione di tracciamento dei contatti".

In modo preoccupante, hanno anche espresso le preoccupazioni sulla mancanza di considerazioni sulla privacy che hanno accompagnato quei piani, affermando che "l'amministrazione non ha considerato pienamente molte importanti implicazioni dell'implementazione" di un'app in tutto lo stato. "Dobbiamo lavorare insieme in ogni fase del percorso per garantire che qualsiasi azione intrapresa dall'amministrazione per distribuire un'applicazione di tracciamento dei contatti fornisca ai nostri elettori la riservatezza dei dati e le garanzie di sicurezza necessarie per incoraggiare una partecipazione diffusa", afferma la lettera .

La tutela della privacy è necessaria per i programmi di salute pubblica, in particolare quando un programma necessita di alti livelli di partecipazione per essere efficace. Le persone non useranno applicazioni di cui non possono fidarsi. Ecco perché EFF e altri gruppi per la privacy hanno chiesto al governatore Newsom di inserire barriere di base per la privacy su qualsiasi programma di tracciamento dei contatti gestito da o con lo stato. Questi includono:

• Una regola di minimizzazione dei dati che garantisce che le informazioni raccolte da un'entità pubblica o privata servano solo a fini di salute pubblica.
• Una garanzia che qualsiasi entità privata che lavora su un programma non utilizzi le informazioni per nessun altro scopo, inclusi, ma non limitati, a scopi commerciali.
• Il divieto di discriminare le persone in base alla loro partecipazione – o non partecipazione – a questi programmi, per proteggere coloro che non possono o non vogliono partecipare a un programma di raccolta dati e per evitare programmi con partecipazione obbligatoria.
• Un forte requisito per eliminare i dati da tali programmi quando non sono più utili: chiediamo un periodo di conservazione di 30 giorni. Non ci opporremmo, tuttavia, a un'eccezione ristretta a questa regola di eliminazione dei dati per una quantità limitata di dati demografici aggregati e deidentificati al solo scopo di monitorare le disuguaglianze nella risposta della salute pubblica alla crisi.

Abbiamo sostenuto due progetti di legge nella sessione legislativa 2019-2020 per proteggere la privacy dei nostri dati COVID. AB 1782 (Chau / Wicks) avrebbe assicurato che qualsiasi programma di notifica di esposizione nello stato includesse protezioni della privacy tanto necessarie per i californiani al lavoro ea casa. AB 660 (Levine) avrebbe fornito le relative protezioni per i programmi di tracciamento manuale dei contatti. Insieme, queste due fatture avrebbero assicurato che i programmi di monitoraggio COVID nello stato non potessero sfruttare i dati per altri usi, inclusi scopi di marketing, e garantito che ogni californiano avesse il diritto di citare in giudizio in caso di violazione della privacy.

Sfortunatamente, entrambi i progetti di legge sono recentemente morti nel comitato degli stanziamenti del Senato della California, presieduto dal senatore Anthony Portantino. Questa è una deludente incapacità di proteggere la privacy dei californiani e quindi di promuovere la salute pubblica. Ma mentre il legislatore ha bloccato gli sforzi per proteggere la nostra privacy, la necessità di queste protezioni è solo in crescita.

La lettera dei legislatori suggerisce che Google e Apple potrebbero essere disposti a creare un programma pilota "per lo Stato gratuitamente". Come hanno scritto i legislatori: “Noi avvertiamo che, mentre contrarre queste società per creare l'applicazione potrebbe non costare finanziariamente allo stato, i legislatori e gli avvocati che si sono occupati da vicino di queste questioni nel corso degli anni hanno imparato che nessuna impresa del genere è veramente gratuita. Spesso i prodotti o i servizi offerti "gratuitamente" vengono pagati tramite la consegna di informazioni personali sensibili ".

In effetti, aziende e governi hanno dimostrato più volte che non ci si può fidare di loro per fare la cosa giusta anche – a volte soprattutto – quando le persone sono più vulnerabili. L'assenza di protezioni statali, i programmi di raccolta dati amministrati dai governi locali o dal settore privato affrontano pochi limiti o garantiscono che i dati verranno utilizzati solo per gli scopi previsti.

Inoltre, i dipendenti hanno poche protezioni dai datori di lavoro che potrebbero voler utilizzare le informazioni raccolte come parte della risposta alla pandemia per tenere traccia con chi stanno parlando i loro dipendenti o per misurare la loro produttività. E non ci sono protezioni per proteggere i californiani – sul lavoro o no – dall'essere discriminati per aver scelto di non partecipare a tali programmi.

Le promesse di Pinky non sono sufficienti. Abbiamo bisogno di regole legalmente vincolanti. Mentre lo stato si prepara a lanciare un programma per integrare la tecnologia nella sua risposta alla pandemia, è più importante che mai che il governatore della California faccia la cosa giusta.