Todo el programa de seguimiento de contactos Covid-19 Test and Trace del Reino Unido ha estado funcionando ilegalmente desde su inicio el 28 de mayo después de que el Departamento de Salud y Atención Social (DHSC) incumplió su obligación legal de completar una Evaluación de Impacto de Protección de Datos (DPIA) obligatoria
El gobierno se vio obligado a ingresar luego de un desafío legal por parte de activistas de privacidad en el Grupo de derechos abiertos (ORG), que amenazó con llevarlo a los tribunales a menos que acordó realizar uno de inmediato.
“El comportamiento imprudente de este gobierno al ignorar un paso de seguridad vital y legalmente requerido conocido como Evaluación de Impacto de Protección de Datos ha puesto en peligro la salud pública. Tenemos un programa de prueba y rastreo ilegal ‘mundial’ ”, dijo el director ejecutivo de ORG, Jim Killock.
“Un elemento crucial en la lucha contra la pandemia es la confianza mutua entre el público y el gobierno, que se ve socavada por el funcionamiento del programa sin garantías básicas de privacidad. El gobierno tiene la responsabilidad de las consecuencias para la salud pública.
“El Programa de prueba y rastreo es fundamental para facilitar el bloqueo y hacer que la economía vuelva a crecer. El ICO [Information Commissioner’s Office] debería haber tomado medidas, pero no lo hizo. Nos vimos obligados a amenazar con una revisión judicial para garantizar la protección de la privacidad de las personas.
“La OIC y el Parlamento deben garantizar que Test and Trace funcione de manera segura y legal. Como ya hemos visto a contratistas individuales que comparten datos de pacientes en plataformas de redes sociales, se deberán tomar medidas correctivas de emergencia ”.
Hablando en twitter, Killock dijo que el gobierno había ofuscado sus respuestas iniciales a las inquietudes del grupo y señaló que había tomado la amenaza de una revisión judicial para forzar su admisión.
Dijo que dado que el programa estaba operando ilegalmente, y hubo evidencia de algunas violaciones de datos, el ICO ahora necesitaba intervenir y tomar medidas de cumplimiento en lugar de operar como un «amigo crítico».
Un portavoz del DHSC dijo: “No hay evidencia de que los datos se usen ilegalmente. NHS Test and Trace está comprometido con los más altos estándares éticos y de gobernanza de datos: recopilar, usar y retener datos para combatir el virus y salvar vidas, teniendo en cuenta todas las obligaciones legales relevantes.
“Hemos creado rápidamente un sistema de prueba y rastreo a gran escala en respuesta a esta pandemia sin precedentes. El programa puede ofrecer una prueba a cualquiera que lo necesite y rastrear los contactos de aquellos que dan positivo, para detener la propagación del virus «.
Computer Weekly entiende que diferentes elementos del programa han llevado a cabo DPIA y que el DHSC ahora está tratando de consolidarlos, junto con cualquier análisis adicional que pueda ser pertinente, en una evaluación para el programa en su conjunto.
Sin embargo, la orientación de la OIC sostiene que las organizaciones deben completar una DPIA completa si planean procesar datos que «es probable que generen un alto riesgo para las personas», como seguramente lo es cualquier información relacionada con personas que dieron positivo para Covid-19.
La evaluación debe establecer la naturaleza, el alcance, el contexto y el propósito del procesamiento de datos, así como su necesidad, proporcionalidad y cumplimiento. El procesador también debe identificar y evaluar los riesgos para los miembros del público y establecer medidas para mitigarlos; identificar y evaluar los riesgos para las personas; e identificar medidas para mitigar dichos riesgos.
Ravi Naik, director legal de la nueva agencia de derechos de datos AWO, que actuó en nombre de ORG, dijo: “El gobierno ha hecho dos concesiones significativas a nuestros clientes. En primer lugar, cuando se les pidió justificar la retención de datos de Covid-19 durante 20 años, no pudieron hacerlo y acordaron reducir el período a ocho años.
“En segundo lugar, ahora han admitido que Test and Trace fue desplegado ilegalmente. Esto es significativo Es un requisito legal realizar una evaluación de impacto antes de que se realice el procesamiento de datos. No se ha realizado ninguna evaluación de impacto para Test and Trace. Al no realizar la evaluación adecuada, todos los datos que se han recopilado, y se siguen recopilando, se contaminan.
“Estos requisitos legales son más que un simple ejercicio de cumplimiento de casillas de verificación. Aseguran que los riesgos se mitigan antes de que ocurra el procesamiento, para preservar la integridad del sistema. En cambio, tenemos un sistema apresurado, aparentemente comprometido por prácticas de procesamiento inseguras ”, dijo Naik. Las implicaciones de las concesiones del gobierno, agregó, podrían ser generalizadas.