Big Data & Health: Νέες Κατευθυντήριες Οδηγίες από το Συμβούλιο της Ευρώπης

/ / Legal x-rays

Η ραγδαία εξέλιξη της πληροφορικής και η εξάπλωση της χρήσης του Διαδικτύου σε παγκόσμιο επίπεδο από κάθε φορέα, επιχείρηση και ιδιώτη έχει οδηγήσει σε πολλαπλασιασμό των δεδομένων που διακινούνται, συλλέγονται και αποθηκεύονται. Πολλά από τα δεδομένα αυτά εμπίπτουν στη γενική κατηγορία των προσωπικών δεδομένων τα οποία χρήζουν νομικής προστασίας με βάση διεθνή, ευρωπαϊκά και διεθνή κείμενα. Όταν δε τα δεδομένα αυτά αφορούν την υγεία των ατόμων η προστασία που παρέχει η νομοθεσία είναι ακόμα αυστηρότερη. Ωστόσο, η χρήση των Big Data στο χώρο της υγείας, ο οποίος αρκετά αργοροπορημένα σε σχέση με άλλους κλάδους έχει ήδη αρχίσει να υιοθετεί εφαρμογές ψηφιοποίησης, αναμένεται ότι θα συμβάλλει σημαντικά στην αποτελεσματικότερη λειτουργία των υπηρεσιών υγείας, στην πολυπόθητη μείωση των δαπανών υγείας και τελικά στη βελτίωση του επιπέδου υγείας των πολιτών. Από την άλλη οι κίνδυνοι που ελλοχεύουν για την ασφάλεια των πληροφοριακών συστημάτων και για τα προσωπικά δεδομένα των ασθενών είναι αρκετοί.

Το σημερινό μας άρθρο θα εστιάσει στις προσφάτως εκδοθείσες (στις 23 Ιανουαρίου 2017) κατευθυντήριες οδηγίες της Συμβουλευτικής Επιτροπής στο πλαίσιο της Σύμβασης 108 του Συμβουλίου της Ευρώπης για τα προσωπικά δεδομένα, που αφορούν την προστασία των ατόμων σε σχέση με την επεξεργασία των προσωπικών δεδομένων στον κόσμο των Big Data.

1) Ποιοι είναι οι κύριοι στόχοι των νέων Κατευθυντήριων Οδηγιών;

Οι κατευθυντήριες οδηγίες δεν έχουν δεσμευτικό χαρακτήρα, ωστόσο αποτελούν βασικό εργαλείο ερμηνείας για τις διατάξεις της Σύμβασης που είναι δεσμευτικό κείμενο, αλλά και του εθνικού δικαίου. Τόσο η Σύμβαση όσο και οι Κατευθυντήριες Οδηγίες προσανατολίζονται στην εδραίωση του θεμελιώδους δικαιώματος στην ιδιωτικότητα, που συνιστά έκφανση της προσωπικής αυτονομίας και έχουν πιο ανθρωποκεντρικό χαρακτήρα σε σχέση με τη νομοθεσία της Ευρωπαϊκής Ένωσης που ρυθμίζει και διαδικασίες. Κατά τη γνώμη της Επιτροπής της Σύμβασης 108, οι νέες τεχνολογικές εξελίξεις και η χρήση των Big Data σε όλους τους τομείς της οικονομίας απαιτούν ειδικότερη προσαρμογή των θεμελιωδών αρχών αυτοματοποιημένης επεξεργασίας των προσωπικών δεδομένων (ελαχιστοποίηση των δεδομένων, οριοθέτηση του σκοπού επεξεργασίας, διαφάνεια και νομιμότητα της επεξεργασίας, ελεύθερη, ειδική και ενημερωμένη συναίνεση) όπως τέθηκαν στη Σύμβαση 108 στη νέα επιστημονική, τεχνολογική και κοινωνική πραγματικότητα, με στόχο και την αποτελεσματικότερη εφαρμογή τους. Με τον τρόπον αυτό επιδιώκεται η αποφυγή των αρνητικών επιπτώσεων της χρήσης των Big Data στην αυτονομία του ανθρώπου και στα θεμελιώδη δικαιώματά του.

2) Πώς ορίζονται όμως τα Big Data στις Κατευθυντήριες Οδηγίες;

Η Επιτροπή δεν υιοθετεί έναν συγκεκριμένο ορισμό αλλά θέτει κάποια βασικά εννοιολογικά σημεία.Συγκεκριμένα:

  • την ολοένα εξελισσόμενη τεχνολογική δυνατότητα συλλογής, επεξεργασίας των δεδομένων και παραγωγής νέας γνώσης
  • τον τεράστιο όγκο των δεδομένων
  • την μεγάλη ταχύτητα μετάδοσης και επεξεργασίας τους
  • και την ποικιλία της μορφής των δεδομένων, άλλως ετερογένεια.

Η Επιτροπή συμπεριλαμβάνει στην έννοια των Big Data και τα big data analytics, δηλαδή την ανάλυση όλων των δεδομένων που έχουν συγκεντρωθεί με σκοπό την παραγωγή νέας γνώσης κυρίως με στόχο την υποβοήθηση στη διαδικασία λήψης των αποφάσεων.

3) Ποιο βασικό νομικό προβληματισμό θέτει η χρήση των Big Data; Υπάρχει κάποια λύση κατά τη γνώμη της Επιτροπής;

Δεδομένης της πολυπλοκότητας και του όγκου των Big Data, η Επιτροπή θεωρεί πιθανό ότι υπονομεύεται το δικαίωμα του ατόμου στην προστασία των προσωπικών του δεδομένων διότι περιορίζεται η δυνατότητα ελέγχου του επί αυτών.  Πράγματι τα Big Data παρέχουν απεριόριστη δυνατότητα σε όποιον τα επεξεργάζεται, με τις σύγχρονες τεχνικές σύνδεσης και ανάλυσης να παρατηρήσει συγκεκριμένα σχήματα και τάσεις στη συμπεριφορά των υποκειμένων και να καταλήξει σε πορίσματα τα οποία συνδράμουν σε αποδοτικότερη λήψη αποφάσεων βάσει συγκεκριμένων δεδομένων (evidence-based). O σκοπός λοιπόν επεξεργασίας μπορεί εύκολα να ξεπεράσει τον σκοπό στον οποίο έχει συμφωνήσει το υποκείμενο.  Η δυνατότητα ελέγχου από την άλλη προϋποθέτει ενημέρωση για τον τρόπο χρήσης των δεδομένων με τρόπο που κατανοεί το υποκείμενο και πραγματική ελευθερία επιλογής.  Ο νομοθέτης επιδιώκει να δώσει νομικές λύσεις προσαρμοσμένες στις ανάγκες της εποχής λαμβάνοντας υπόψη του την ελλειπή ενημέρωση των υποκειμένων. Έτσι, προτείνει τη διενέργεια μελέτης επιπτώσεων (impact assessment ή risk assessment) σε προληπτικό επίπεδο ώστε να αξιολογούνται οι κίνδυνοι προωθώντας μία πιο ευρεία αντίληψη του ελέγχου επί της επεξεργασίας των δεδομένων.

4) Σε ποιους απευθύνονται οι Οδηγίες; Ποιοι θα λάβουν τα προτεινόμενα μέτρα;

Ρητά προβλέπεται ότι οι κατευθυντήριες Οδηγίες πρέπει να ληφθούν  υπόψη από τους υπεύθυνους επεξεργασίας, τους εκτελούντες την επεξεργασία και τα συμβαλλόμενα κράτη.

5) Σε ποιες συγκεκριμένες συστάσεις προέβη η Επιτροπή;

  • Να εξετάζονται πάντοτε οι πιθανές ηθικές και κοινωνικές προεκτάσεις της επεξεργασίας και να διασφαλίζεται η συμμόρφωση με τις αρχές της Σύμβασης 108.
  • Να αποφεύγονται οι συγκρούσεις με τις ηθικές και κοινωνικές αξίες που λειτουργούν σε κάθε κοινωνία, οι οποίες φυσικά διαφέρουν μεταξύ τους, αλλά το ελάχιστο επίπεδο προστασίας τίθεται στα διεθνή κείμενα για την προστασία των θεμελιώδων δικαιωμάτων.
  • Σε περίπτωση που από τη διενεργηθείσα μελέτη επιπτώσεων προκύπτει σημαντική σύγκρουση με ηθικές αξίες τα όποια νομικά και ηθικά ζητημάτα να αξιολογούνται από συγκροτηθείσα Επιτροπή ειδικά για το σκοπό αυτό, ανεξάρτητη αποτελούμενη από μέλη με συγκεκριμένα επιστημονικά και επαγγελματικά εφόδια.
  • Η Επιτροπή συνιστά την υιοθέτηση της αρχής της προφύλαξης. Η αρχή της προφύλαξης συνεπάγεται την υποχρέωση λήψης προληπτικών μέτρων που εγγυώνται την προστασία των προσωπικών δεδομένων. Ειδικότερα, στο πλαίσιο της αρχής αυτής η Επιτροπή κρίνει αναγκαία τη διενέργεια μελέτης των κινδύνων (risk assessment) της επεξεργασίας για τα δικαιώματα των υποκειμένων, συμπεριλαμβανομένου  του δικαιώματος στην ίση μεταχείριση σε σχέση με τα άλλα υποκείμενο και τη συμμόρφωση στην αρχή απαγόρευσης των διακρίσεων κατά την επεξεργασία και ανάλυση των δεδομένων.
  • Η Επιτροπή προτείνει την εφαρμογή των αρχών Privacy by design και Privacy by default, δηλαδή το σχεδιασμό της επεξεργασίας με τρόπο που εγγυάται την προστασία των προσωπικών δεδομένων καθώς και την ύπαρξη τεχνικών μέτρων ως προεπιλογή που διασφαλίζουν την τήρηση των αρχών της νόμιμης επεξεργασίας των προσωπικών δεδομένων. Η αρχή του privacy by design επιβάλλει τόσο στους υπεύθυνους όσο και στους εκτελούντες την επεξεργασία να ελαχιστοποιούν την παρουσία δεδομένων που δεν χρειάζονται για την επίτευξη του σκοπού. Ως μέσο για την εφαρμογή των αρχών προτείνεται η διενέργεια ελέγχων (tests) της επάρκειας των τεχνικών μέτρων μέσω προσομοιώσεων σε μικρότερα σύνολα δεδομένων. Η τήρηση δε των αρχών αυτών θα πρέπει να ελέγχεται συστηματικά.
  • Ο υπεύθυνος επεξεργασίας πρέπει να υιοθετεί τεχνικές ανωνυμοποίησης των δεδομένων, η επάρκεια των οποίων θα πρέπει να αποτυπώνεται στη μελέτη των επιπτώσεων. Επίσης τα μέτρα θα πρέπει να αναθεωρούνται παράλληλα με τις τεχνολογικές εξελίξεις ώστε σε κάθε περίπτωση να αποκλείεται η επαναταυτοποίηση του υποκειμένου.

6) Η Επιτροπή επιδιώκει την ενίσχυση του ρόλου των υποκειμένων. Με ποια μέσα;

  • Προωθεί την ενεργητική συμμετοχή των πιθανώς αφορώμενων προσώπων.
  • Παράλληλα, διευκρινίζει ότι οποιαδήποτε επεξεργασία των δεδομένων πέραν των νόμιμων ρητώς τεθέντων σκοπών που γνωστοποιήθηκαν στο υποκείμενο των δεδομένων με τρόπο και για λόγο που το υποκείμενο μπορεί να θεωρήσει απροσδόκητο, ακατάλληλο ή απαγορευμένο δεν πρέπει να επιτρέπεται.
  • Η πλήρης πληροφόρηση προκειμένου να θεμελιώνεται η ενημερωμένη συναίνεση θα πρέπει να καλύπτει και τους πιθανούς κινδύνους, όπως αυτοί προκύπτουν από την προληπτικώς διενεργηθείσα μελέτη (risk assessment). Δεδομένης της πολυπλοκότητας των Big Data, οι πληροφορίες που παρέχονται θα πρέπει να είναι σαφείς και κατανοητές στα υποκείμενα που παρέχουν τη συγκατάθεσή τους. Συγκεκριμένα προτείνεται η παρουσίαση στο υποκείμενο προσομοίωσης των επιπτώσεων (learnfromexperienceapproach).
  • Επισημαίνεται ότι η συναίνεση δεν παρέχεται ελεύθερα εάν υπάρχει ανισορροπία στη σχέση ανάμεσα στο υπόκειμενο και τον υπεύθυνο επεξεργασίας. Ο τελευταίος θα πρέπει να αποδείξει είτε ότι ανισορροπία δεν υπάρχει είτε ότι δεν επηρέασε αυτή την απόφαση του υποκειμένου να συναινέσει.
  • Οι υπεύθυνοι και εκτελούντες την επεξεργασία θα πρέπει να υιοθετήσουν διαδικασίες φιλικές προς τα υποκείμενα για την άσκηση του δικαιώματος αντίρρησης και την ανάκληση της συγκατάθεσής τους.

 7) Ποια είναι η σύσταση της Επιτροπής σχετικά με την αυτοματοποιημένη λήψη αποφάσεων;

Σε κάθε περίπτωση η χρήση των Big Data και των μεθόδων Βig Data Analytics δεν πρέπει να θίγουν την αυτονομία της ανθρώπινης βούλησης κατά τη διαδικασία λήψης αποφάσεων. Για το λόγο αυτό αποφάσεις που στηρίζονται σε αυτοματοποιημένα αποτελέσματα από την ανάλυση των δεδομένων θα πρέπει να λαμβάνουν υπόψη τους όλες τις περιστάσεις. Εάν κάποια απόφαση που στηρίζεται σε αυτοματοποιημένα αποτελέσματα ενδέχεται να έχει έννομες συνέπειες για το υποκείμενο ή να επηρεάσει ατομικά δικαιώματα, κατόπιν αιτήσεως του υποκειμένου, θα πρέπει κάποιος άνθρωπος να παράσχει συγκεκριμένη αιτιολόγηση της απόφασης. Τελικά, ο άνθρωπος που λαμβάνει την απόφαση, εάν συντρέχει εύλογη αιτία, θα μπορεί να παρεκκλίνει της απόφασης που προκύπτει αυτοματοποιημένα.  Ακόμα και αν μία απόφαση παράγεται αυτοματοποιημένα με τη χρήση των μεθόδων των big data analytics πρέπει να διασφαλίζεται για το υποκείμενο δικαίωμα προσβολής της.

Σχόλιο του γραφείου μας:

Ενόψει της ραγδαίας εξάπλωσης της χρήσης της πληροφορικής σε όλους τους τομείς της οικονομίας από κυβερνήσεις, επιχειρήσεις και ιδιώτες χρήστες  και της επίδρασης της εξέλιξης αυτής στις οικονομικές και κοινωνικές σχέσεις παρατηρείται έντονο ενδιαφέρον του νομοθέτη σε παγκόσμιο επίπεδο να ρυθμίσει τις προϋποθέσεις επεξεργασίας των προσωπικών δεδομένων. Στο χώρο της υγείας, η επανάσταση του digitization και του Internet of Things, με πρώτες τις ΗΠΑ, έχει ήδη συντελεσθεί. Τα big data μπορούν να μας οδηγήσουν σε απίστευτες αποκαλύψεις προσωπικών ή μη δεδομένων με ένα κλικ. Οι ευκαιρίες και οι προκλήσεις είναι πολλές. Η ανάγκη δε για έγκαιρη συμμόρφωση στις απαιτήσεις της νέας νομοθεσίας μεγαλύτερη από ποτέ.