Smartphones to the rescue? EU lawmakers to set out guidance for COVID-19 apps

Following recent plans aimed at using digital tracing to combat Covid-19 outbreaks – the Common EU Toolbox (link) – the European Commission has recently released its non-legally binding Communication on Guidance on Apps supporting the fight against Covid-19 pandemic in relation to data protection (Guidance).

So, what should you consider when developing or using a crisis app?

Background. Rapidly growing importance of digital platforms resulted in intentions to use mobile applications installed on our smartphones to support public health authorities in monitoring and fighting the Covid-19 pandemic. The Guidance relates to voluntary apps supporting the fight against Covid-19 pandemic (apps downloaded, installed and used on a voluntary basis by individuals). It does not cover apps aimed at enforcing quarantine requirements or mandatory ones.

Applicability. Apps are regarded as means to provide direct guidance to citizens, help implementing social distancing measures, support contact tracing efforts and help limiting contamination.

To be subject to the Guidance, an app should have one or several of the following functionalities:

• provide accurate information to individuals about the Covid-19 pandemic;
• provide questionnaires for self-assessment and for guidance to individuals (symptom checker functionality). If the apps provide information related to diagnosis, prevention, monitoring, prediction or prognosis, potential qualification as medical devices according to the medical devices regulatory framework should be assessed;
• alert persons who have been in proximity for a certain duration to an infected person, in order to provide information such as whether to self-quarantine and where to get tested (contact tracing and warning functionality);
• provide a communication forum between patients and doctors in situation of self-isolation or where further diagnosis and treatment advice is provided (increased use of telemedicine).

Functions under scrutiny. The Guidance focuses on general features and requirements which apps should meet to ensure compliance with EU privacy and data protection legislation (GDPR and the ePrivacy Directive). It mainly regards three types of functions voluntary apps regarding Covid-19 provide: (i) informative functions, (ii) symptom checkers functionality (a tool for public health authorities to guide citizens on testing for Covid-19, to provide information on self-isolation, on how to avoid transmission to others and when to seek healthcare) and (iii) contact trackers (tools to identify the persons that have been in contact with a person infected by Covid-19 and to inform him/her about appropriate next steps, such as self-quarantine, testing or providing advice on what to do in case of symptoms).

Essential principles “to be checked” for a trustful and accountable use of Covid-19 apps are:

• National health authorities (or entities carrying out task in the public interest in the field of health) should be deemed as data controllers;
• The individual should always remain in control of their personal data (e.g. voluntary installation, specific consent for each functionality, ability to exercise his/her rights under GDPR);
• Legal basis – the user has given its consent, or the storage and/or access is strictly necessary for the app explicitly requested by the user;
• Data minimization – general recommendation that generating and processing less data limits security risks;
• Limiting the disclosure/access of data, as no information stored in and accessed from terminal equipment can be shared with health authorities other than necessary to have the information functionality;
• Proximity data – which should only be generated and processed if there is an actual risk of infection – should be stored on personal device and shared only upon user’s consent and if contamination with Covid-19 is confirmed;
• Providing for specific purposes of processing, so that there is no doubt what kind of personal data is necessary to process in order to achieve the desired objective;
• Data storage – the data should not be stored more than necessary for achieving the purposes of processing;
• Ensuring data security and accuracy;
• Fully involve your data protection officer and the data protection authority; and
• Deactivation of the app at the end of the pandemic without users’ consent being required.

*This ePublication is provided by Radu Taracila Padurari Retevoescu SCA and is for information purposes only. It does not constitute legal advice or an offer for legal services. The distribution of this document does not create an attorney−client relationship. If you require advice on any of the matters raised in this document, please call your usual contact at Radu Taracila Padurari Retevoescu SCA at +40 31 405 7777.

Smartphone-urile „sar” în ajutor? Autoritățile europene adoptă orientări privind aplicațiile mobile dezvoltate pentru combaterea Covid-19

În urma strategiilor recente referitoare la utilizarea platformelor digitale pentru combaterea răspândirii Covid-19 – EU Toolbox (link) – Comisia Europeană a lansat recent Orientările Comisiei în domeniul protecției datelor privind aplicațiile care sprijină combaterea pandemiei de Covid-19 (Orientările Comisiei).

Ce trebuie avut în vedere atunci când dezvoltăm sau folosim o astfel de aplicație?

Context. Creșterea rapidă a importanței platformelor digitale a dus la formularea de propuneri și strategii care urmăresc utilizarea aplicațiilor mobile instalate pe smartphone-urile noastre pentru a sprijini autoritățile sanitare naționale în monitorizarea și combaterea pandemiei Covid-19. Orientările Comisiei se referă la aplicațiile descărcate, instalate și utilizate în mod voluntar de către persoanele fizice și nu vizeaza aplicațiile folosite pentru asigurarea respectării cerințelor privind carantina sau pe cele obligatorii.

Aplicabilitate. Aplicațiile sunt privite ca mijloace prin care se oferă îndrumări pentru cetățeni, precum și mijloace care ajută la implementarea măsurilor de distanțare socială, de sprijinire a eforturilor de depistare a interacțiunilor umane ori de limitare a contaminării.

Pentru a-i fi aplicabile Orientările Comisiei, o aplicație trebuie să aibă una sau mai multe dintre următoarele funcționalități:

• furnizarea de informații exacte populației cu privire la pandemia de Covid-19;
• furnizarea de chestionare pentru autoevaluare și îndrumare destinate populației (funcționalitatea de verificare a simptomelor). Dacă aplicațiile oferă informații legate de diagnostic, prevenire, monitorizare, predicție sau prognostic, trebuie evaluată calificarea potențială ca dispozitive medicale în conformitate cu cadrul de reglementare al dispozitivelor medicale;
• alertarea persoanelor care s-au aflat în apropierea unei persoane infectate pe o anumită durată, pentru a le furniza informații precum necesitatea de a intra în autocarantină și locurile în care se efectuează teste de depistare (funcționalitatea de depistare a contactelor și de avertizare);
• asigurarea unui forum de comunicare între pacienți și medici în situațiile de autoizolare sau pentru furnizarea de consiliere suplimentară în scopuri de diagnosticare și tratament (utilizarea sporită a telemedicinei).

Funcțiile vizate. Orientările Comisiei se concentrează pe caracteristicile generale și cerințele pe care aplicațiile trebuie să le îndeplinească pentru a asigura respectarea legislației UE privind confidențialitatea și protecția datelor (Regulamentul General Privind protecția Datelor – RGPD – și Directiva asupra confidențialității și comunicațiilor electronice). Orientările se referă în principal la trei tipuri de funcții ale aplicațiilor: (i) funcționalitatea informativă, (ii) funcționalitatea de verificare a simptomelor (instrument care le permite autorităților din domeniul sănătății publice să le ofere îndrumări cetățenilor cu privire la efectuarea testelor de depistare pentru Covid-19 și să le furnizeze informații cu privire la autoizolare, la modul de a evita transmiterea către alte persoane și la momentul în care trebuie să solicite asistență medicală) și (iii) funcționalitatea de depistare a contactelor și de avertizare (instrument de identificare a persoanelor care s-au aflat în contact cu o persoană infectată cu Covid-19 și de informare a acestora cu privire la măsurile adecvate care vor trebui urmate, cum ar fi autocarantina, testarea sau obținerea de consiliere cu privire la ceea ce trebuie făcut în cazul apariției simptomelor).

Punctele esențiale „de bifat” pentru o dezvoltare și utilizare fiabilă și responsabilă a unor astfel de aplicații sunt:

• Autoritățile sanitare naționale (sau entitățile care îndeplinesc sarcini de interes public în domeniul sănătății) trebuie să fie considerate drept operatori de date;
• Persoanele vizate trebuie să dețină în continuare controlul datelor sale personale (de exemplu, instalarea voluntară a aplicațiilor, consimțământul specific pentru fiecare funcționalitate, capacitatea de a-și exercita drepturile în baza RGPD);
• Temeiul juridic – utilizatorul și-a dat consimțământul, sau stocarea și / sau accesul este strict necesar pentru aplicația ce a fost solicitată în mod explicit (adică instalată și activată) de către utilizator;
• Minimizarea datelor – recomandare generală, dat fiind că generarea și prelucrarea unui volum mai mic de date limitează eventualele riscuri de securitate;
• Limitarea divulgării datelor/accesului la date, întrucât nicio informație stocată în echipamentele terminale și accesată de pe acestea nu poate fi pusă la dispoziția altor autorități sanitare decât în măsura necesară funcționalității de informare;
• Datele de proximitate – care, oricum, trebuie să fie generate și procesate numai dacă există un risc real de infecție – ar trebui stocate pe dispozitivul personal și partajate numai cu acordul utilizatorului și doar dacă se confirmă contaminarea cu Covid-19;
• Furnizarea unor scopuri precise în ceea ce privește prelucrarea datelor, astfel încât să nu existe nicio îndoială cu privire la tipul de date cu caracter personal care trebuie prelucrate pentru a se atinge obiectivul dorit;
• Stocarea datelor – datele nu trebuie stocate mai mult decât este necesar pentru atingerea scopurilor prelucrării;
• Asigurarea securității și acurateței datelor cu caracter personal;
• Implicarea deplină a responsabilului cu protecția datelor cu caracter personal și a autorității naționale competente; și
• Dezactivarea aplicației ulterior încetării pandemiei fără a solicita acordul utilizatorilor în acest sens.

*Această ePublicație este furnizată de Radu Tărăcilă Pădurari Retevoescu SCA în scop exclusiv de informare și nu reprezintă asistență juridică sau o ofertă pentru acordarea de asistență juridică. Distribuirea acestui document nu dă naștere unei relații avocat-client. În cazul în care doriți să solicitați asistență juridică cu privire la oricare dintre aspectele analizate în acest document, vă rugăm să vă adresați persoanei obișnuite de contact în cadrul Radu Tărăcilă Pădurari Retevoescu SCA la +40 31 405 7777.