Europska unija planira u lipnju pokrenuti sustav digitalne zdravstvene propusnice nadajući se da će tako spasiti ovogodišnju turističku sezonu, omogućujući putnicima da dokažu da su cijepljeni ili su negativni na COVID-19.
Isprintan na papiru ili spremljen u aplikaciji na pametnom telefonu, kod bi trebao biti dokaz da smo imuni. Zelena boja značit će da je propusnica vjerodostojna, a crvena da nije.
No, postavlja se opravdano pitanje temeljem kojih podataka će se izdavati zelena COVID-19 putovnica.
Ministarstvo zdravstva je nadležno i za ovu aplikaciju i točnost podataka u njoj, koja će generirati siguran QR kod na kojem će biti podaci o putniku, njegovo ime i prezime, datum kada su primili cjepivo, kad su se testirali ili kad su preboljeli COVID-19.
Prvi preduvjet je svakako taj da Ministarstvo zdravstva posjeduje točne i ažurne podatke o cijepljenim osobama ili o ispunjenju drugih kriterija za COVID-19 putovnicu zelene boje.
Jedan dio tog posla obavit će i AZOP koji je otvorio nadzor nad Ministarstvom zdravstva zbog sumnje u gubitak zapisa 4.000 građana.
A drugi dio će AZOP zasigurno obaviti nastavno na upozorenje talijanskog nadzornog tijela za zaštitu osobnih podataka koje je poslalo važno upozorenje svojoj vladi s istaknutim nedostacima talijanske aplikacije:
1. Nepostojanje analize i procjene rizika za prava i slobode pojedinaca
Ministarstvo zdravstva morat će prije puštanja aplikacije u rad i prije punjenja testne platforme stvarnim osobnim podacima provesti Procjenu učinka na zaštitu podataka (Data Protection Impact Assessment).
Po nama takvi postupci nisu provedeni ni za Cijepise platformu ni za digitalnog asistenta Andrija.ai na Whatsapp platformi, jer bi po njihovom provođenju bilo jasno da su rizici previsoki i da je o istima AZOP morao biti konzultiran prije puštanja u rad.
2. Nejasno utvrđena svrha prikupljanja i obrade podataka o zdravlju, s mogućnošću višestrukih i naknadnih svrha u budućnosti
3. Nejasno utvrđen voditelj obrade te nejasne i nedovoljne informacije pojedincima čiji se osobni podaci obrađuju
4. Izostanak minimizacije opsega obrađivanih osobnih podataka,
npr. kao što je to kod digitalnog asistenta Andrija.ai kod kojeg se uzimaju i mobilni broj i lokacija pojedinca, koji za svrhu aplikacije nisu neophodni
5. Izostanak jasno utvrđenih rokova zadržavanja osobnih podataka radi osiguranja integriteta i tajnosti podataka
Više o reakciji talijanskog nadzornog tijela:
https://www.dataguidance.com/news/italy-garante-sends-formal-warning-government-over