Recommendations | Examples | Resources | Partners | Back to Main
Governments are collecting unprecedented amounts of personal data to support vital public health efforts, such as tracking COVID-19 transmission and enforcing quarantine. In particular, governments and corporations are collecting and processing citizens’ health and geolocation data on a massive scale.
Given this context, it is more important than ever that governments place transparency and accountability at the center of privacy protection efforts to ensure that citizens’ right to privacy is not eroded under these exceptional measures.
Recommendations
|
Recommendations below are drawn from Access Now, Freedom House, and Paris 21.
Open Response:
Open response measures place transparency, accountability, and participation at the center of immediate government efforts to curb contagion and provide emergency assistance.
Data Collection, Use, and Privacy
- Legality: Data collected should be grounded in existing law. Laws should cover a broad range of actions (processing, collecting, selling, sharing); actors (public and private); and explicitly state excluded categories of data.
- Transparent terms of service: The policies, intention and public-private contracts surrounding data collection, processing, and disposal as well as data subjects’ legal rights should be publically available.
- Scope of data collection and processing: Only collect and store data necessary to respond to the crisis and only share it through secure means with those who are integral to the response.
- Anonymized and secure data: Do not reveal patients’ personal information when reporting virus infections and statistics on person-level data such as age, gender, and race and ethnicity. Under no circumstance should health data be sold or transferred to third parties who are not working in the public interest.
- Public processing register: Create a publicly available register of algorithmic processing, covering private and state actors, that can be read in an open data format.
- Transparent algorithms: Ensure algorithms’ source code, mandate, testing means (e.g. audits, black box testing, white box testing), and training data are transparent and open.
Governance and Oversight
- Multi-stakeholder advisory council: Involve experts and civil society in developing and implementing safeguards on data use. Communities that are the most impacted, such as women and racial and ethnic minorities, should be consulted to create specific and effective safeguards.
- Parliamentary oversight: The legislature should use its authority and be adequately resourced to oversee and provide regular, public monitoring of data protection efforts related to COVID-19.
- Strategic partnerships: Collaborations should follow open data and procurement standards with reporting requirements for transparency. Data-sharing agreements between states and companies must be based on existing laws.
- Strong supervision and compliance capacity: Expand data protection officers’ mandate, especially around their knowledge and resources of systems that protect privacy and fairness.
- Impact assessments and evaluations: Require impact assessments for all COVID-19 related data collection efforts. Ensure assessments, as well as their mandate and enforcement mechanisms, related to the ethics, human rights, and fairness of data processing systems are public.
Open Recovery and Reform
Open recovery measures place transparency, accountability, and participation at the center of medium-term government efforts to rebuild in the wake of COVID-19. Similarly, open reform initiatives ensure that the public is at the heart of government in the post-pandemic world.
- Clear endpoint: Data collection efforts should have clear and predetermined sunset clauses. Data collected under exceptional circumstances should be deleted or anonymized after the crisis.
- Supervisory body: Identify a supervisory body with investigatory and enforcement powers regarding privacy abuses. This body should have clearly defined abilities to impose sanctions and remedies, and adequate resources to carry out its duties.
- Human rights institutions should exercise their authority, and partner with civil society, to monitor and investigate COVID-19 privacy protection efforts.
- Access to justice: Ensure data subjects’ access to justice is protected in law and that data subjects have access to legal remedies for breaches of privacy.
- Data quality and governance: Involve government statistical offices in the production, quality management, governance and coordination of data.
|
Examples
|
The following examples are recent initiatives in response to the COVID-19 pandemic and are drawn from our crowdsourced list as well as partner materials.
- Ghana: Ghana Statistical Services, Vodafone Ghana, and the Flowminder Foundation are using anonymised mobile phone data to determine whether citizens are complying with quarantine measures on an aggregate level.
- Mexico: The National Institute for Transparency created a microsite on privacy protection in the context of COVID-19 with information for both data subjects and processors.
- Norway: The Norwegian government and nonprofit research institute have released a contact tracing app that only tracks an individuals’ contacts after they’re diagnosed with COVID-19. Data is encrypted, stored on a secure server, and deleted after 30 days. Researchers only have access to anonymized and aggregate data.
- United States: Researchers shared the genetic information of early US COVID-19 cases on open science platforms Gisaid and Nextstrain, which helped to estimate how long the virus had been in the US.
The following examples are commitments previously made by OGP members that demonstrate elements of the recommendations made above.
- Australia (2016-2018): Updated government-wide guidance on de-identification processes and publishing sensitive data. Additionally, they amended the Privacy Act to comply with international best practices.
- Chile (2018-2020): Seeks to harmonize data protection with open data policy through a Draft Law on the Protection of Personal Data and the Open Data Policy of the Government of Chile.
- Mexico (2019-2021): Convened a multi-stakeholder forum to determine policies for government collection and use of private data.
|
Resources
|
- Privacy International maintains a database of government responses related to privacy and surveillance.
- Access Now has written a report on recommendations for privacy and data protection in the pandemic as well as recommendations specific to contact tracing apps.
- Specific to the EU, GDPRhub offers advice on how to comply with data protection under the GDPR in the context of a COVID-19 response.
- The Center for Global Development also has a useful article with further recommendations and resources.
|
Partners who can
provide further support and information
|
|
Thank you to our partners at the Web Foundation, Access Now, and CIVICUS for sharing recommendations and reviewing this module.
Recomendaciones | Ejemplos | Recursos | Socios | Introducción
Los gobiernos están colectando cantidades de datos personales sin precedentes para apoyar la implementación de medidas de salud pública como el seguimiento a los contagios de COVID-19 y el respeto a las medidas de confinamiento. Específicamente, los gobiernos y empresas están colectando y analizando datos sobre la salud y geolocalización de los ciudadanos a escala masiva. En ese sentido, hoy es más importante que nunca asegurar que la transparencia y rendición de cuentas sean elementos centrales de los esfuerzos de los gobiernos para asegurar el respeto al derecho de los ciudadanos a la privacidad.
RECOMENDACIONES
Las siguientes recomendaciones fueron tomadas de Access Now, Freedom House y Paris 21.
Respuesta abierta:
Las medidas de respuesta abierta sitúan a la transparencia, la rendición de cuentas y la participación en el centro de los esfuerzos inmediatos de gobierno dirigidos a frenar los contagios y ofrecer asistencia durante la emergencia.
Colecta, uso y privacidad de datos
- Legalidad: La colecta de datos debe estar fundamentada en la ley. Las leyes deben considerar una variedad de acciones (procesamiento, colecta, compra, intercambio); actores (públicos y privados) y excluir explícitamente ciertas categorías de datos.
- Transparencia en los términos: Las políticas, intenciones y contratos público-privados sobre la colecta, procesamiento y uso de datos, así como los derechos legales de los sujetos, deberán ser de acceso público.
- Alcance de la colecta y procesamiento de datos: Solamente se deberán colectar y almacenar los datos que sean necesarios para responder a la crisis y únicamente se deben compartir a través de medios seguros y con los actores que son esenciales para la atención de la crisis.
- Datos anonimizados y seguros: Cuando se generen informes y estadísticas sobre los contagios, no se deberá revelar la información personal de los pacientes, por ejemplo edad, género y etnia. Bajo ninguna circunstancia se deberán vender o transferir los datos con terceros que no están trabajando en acciones de interés público.
- Registros de procesamiento públicos: Crear registros públicos del procesamiento de algoritmos, con actores privados y estatales y con datos que puedan ser legibles en formato abierto.
- Algoritmos transparentes: Asegurar que el código de los algoritmos, su mandato, sus pruebas (por ejemplo auditorías, pruebas de caja negra y caja blanca) y los datos de capacitación sean transparentes y abiertos.
Gobernanza y supervisión
- Consejos asesores multisectoriales: Invitar a expertos y a la sociedad civil a participar en el desarrollo y la implementación de salvaguardas sobre el uso de datos. Las comunidades más impactadas, por ejemplo las mujeres y minorías étnicas, deben ser consultadas para crear salvaguardas específicas y efectivas.
- Supervisión parlamentaria: El poder legislativo debe utilizar su autoridad y contar con los recursos adecuados para supervisar y monitorear los esfuerzos de protección de datos sobre el COVID-19.
- Alianzas estratégicas: Las colaboraciones deben seguir los estándares de los datos y las adquisiciones abiertas y los requisitos de transparencia. Los acuerdos de intercambio de datos entre los estados y las empresas debe darse en el marco de la ley.
- Supervisión y capacidad de observancia: Ampliar el mandato de las oficinas de protecciones de datos, en particular sobre conocimiento y recursos de los sistemas de protección a la privacidad y justicia.
- Evaluaciones de impacto: Exigir evaluaciones de impacto para todos los esfuerzos de colecta de datos de COVID-19. Asegurar que las evaluaciones, así como su mandato y mecanismos de aplicación sobre ética, derechos humanos y justicia de los sistemas de procesamiento de datos sean públicos.
Recuperación y reformas abiertas
Las medidas de recuperación abierta sitúan a la transparencia, la rendición de cuentas y la participación en el centro de los esfuerzos de mediano plazo reconstruir las sociedades tras la pandemia de COVID-19. Asimismo, las iniciativas de reformas abiertas se aseguran que el público esté en el centro del gobierno en el mundo post-pandemia.
- Fecha de caducidad clara: Los esfuerzos de colecta de datos deben tener fechas de caducidad claras y predeterminadas. Los datos colectados bajo circunstancias excepcionales deben ser destruidos o anonimizados al terminar la crisis.
- Organismos de supervisión: Identificar a un organismo para supervisar con la autoridad de investigar casos de abuso de la privacidad y de aplicar la ley. Este organismo deberá tener la capacidad de imponer sanciones y deberá contar con los recursos necesarios para el cumplimiento de sus responsabilidades.
- Las instituciones de derechos humanos deben ejercer su autoridad y colaborar con la sociedad civil para monitorear e investigar los esfuerzos de protección a la privacidad en el marco de COVID-19.
- Acceso a la justicia: Asegurar que el acceso a la justicia esté protegido por ley y que los sujetos de datos tengan acceso a recursos legales en caso de violación a su privacidad.
- Calidad de datos y gobernanza: Involucrar a las oficinas de estadísticas de los gobiernos en la producción, manejo de la calidad, gobernanza y coordinación de los datos.
EJEMPLOS
Los siguientes son ejemplos de iniciativas presentadas recientemente como respuesta a la pandemia de COVID-19 que identificamos gracias a la comunidad y a partir de materiales de nuestros socios.
- Ghana: La oficina de estadísticas de Ghana, Vodafone Ghana y la Fundación Flowminder están utilizando datos anonimizados de celulares para determinar si la ciudadanía está respetando las medidas del confinamiento de forma agregada.
- México: El Instituto Nacional de Transparencia creó un micrositio sobre la protección de datos en el contexto de COVID-19 que incluye información sobre los sujetos y procesadores de datos.
- Noruega: El Gobierno de Noruega y un instituto de investigación sin fines de lucro publicó una aplicación de rastreo que solo da seguimiento a la ubicación de los pacientes con diagnósticos positivos de COVID-19. Los datos están encriptados, almacenados en un servidor seguro y son eliminados después de 30 días. Los investigadores únicamente tienen acceso a los datos anonimizados y agregados.
- Estados Unidos: Un grupo de investigadores compartieron la información genética de los primeros casos de COVID-19 en Estados Unidos en las plataformas de ciencia abierta Gisaid y Nextstrain, lo cual ayudó a estimar la fecha en la que el virus llevó al país.
Los siguientes ejemplos son compromisos establecidos previamente por miembros de OGP que demuestran los elementos de las recomendaciones planteadas aquí.
- Australia (2016-2018): Lineamientos actualizados para todo el gobierno sobre procesos de desidentificación de y publicación de datos delicados. Además, reformaron la ley de privacidad para alinearse a las buenas prácticas internacionales.
- Chile (2018-2020): Busca armonizar la protección de datos con la política de datos abiertos a través de un proyecto de ley sobre la protección de datos personales y la política de datos abiertos del Gobierno de Chile.
- México (2019-2021): Convocó a un foro multisectorial para diseñar políticas alrededor de la colecta y uso de datos. privados.
RECURSOS
- Privacy International cuenta con una base de datos sobre respuestas de gobierno con relación a la privacidad y vigilancia.
- Access Now escribió un informe que incluye recomendaciones sobre privacidad y protección de datos en el contexto de la pandemia, así como recomendaciones específicas sobre aplicaciones de rastreo.
- GDPRhub ofrece recomendaciones específicas para la Unión Europea sobre cómo cumplir con los lineamientos de protección de datos de GDPR en el contexto de las medidas de respuesta a la pandemia.
- El Centro para el Desarrollo Global publicó un artículo con recomendaciones y recursos útiles.
SOCIOS QUE PUEDEN OFRECER APOYO U MAYOR INFORMACIÓN
Agradecemos a nuestros socios de Web Foundation, Access Now y CIVICUS por compartir sus recomendaciones y por revisar este módulo.
Recommandations | Exemples | Ressources | Partenaires | Introduction
Les gouvernements recueillent des quantités inégalées de données personnelles pour soutenir les efforts vitaux de santé publique, tels que le suivi de la transmission de la COVID-19 et l’application de la quarantaine. En particulier, les gouvernements et les entreprises recueillent et traitent à grande échelle les données sur la santé et la géolocalisation des citoyens. Dans ce contexte, il est plus important que jamais que les gouvernements mettent la transparence et la responsabilité au centre des efforts de protection de la vie privée pour garantir que le droit des citoyens à la vie privée ne soit pas altéré par ces mesures exceptionnelles.
RECOMMANDATIONS
Les recommandations ci-dessous sont tirées d’Access Now, Freedom House et Paris 21.
Réponse ouverte :
Les mesures de réponse ouverte placent la transparence, la responsabilité et la participation au centre des efforts immédiats du gouvernement pour limiter la contagion et fournir une aide d’urgence.
Collecte, utilisation et confidentialité des données
- Légalité : Les données recueillies doivent être fondées sur la loi existante. Les lois devraient couvrir un large éventail d’actions (traitement, collecte, vente, partage); d’acteurs (publics et privés); et indiquer explicitement les catégories de données exclues.
- Conditions de service transparentes : Les politiques, les intentions et les contrats public-privé concernant la collecte, le traitement et l’élimination des données ainsi que les droits légaux des personnes concernées devraient être rendus publics.
- Portée de la collecte et du traitement des données : Ne recueillir et stocker que les données nécessaires pour répondre à la crise et ne les partager que par des moyens sécurisés avec ceux qui font partie intégrante de la réponse.
- Données anonymes et sécurisées : Ne pas divulguer les informations personnelles des patients lorsque sont signalées des infections virales ni les statistiques sur les données personnelles telles que l’âge, le sexe, la race et l’origine ethnique. En aucun cas, les données de santé ne doivent être vendues ou transférées à des tiers qui ne travaillent pas dans l’intérêt public.
- Registre public de traitement : Créer un registre de traitement algorithmique accessible au public, englobant les acteurs privés et étatiques, qui peut être lu dans un format de données ouvertes.
- Algorithmes transparents : Assurer que le code source, le mandat, les méthodes de test des algorithmes (par exemple, audits, méthode de la boîte noire, tests « boîte blanche ») et les données de formation sont transparents et ouverts.
Gouvernance et surveillance
- Conseil consultatif multi-intervenants : Faire participer des experts et la société civile à l’élaboration et à la mise en œuvre de garanties sur l’utilisation des données. Les communautés les plus touchées, telles que les femmes et les minorités raciales et ethniques, devraient être consultées pour créer des garanties spécifiques et efficaces.
- Contrôle parlementaire : Le pouvoir législatif devrait recourir à son autorité et disposer de ressources suffisantes pour superviser et assurer un suivi public régulier des efforts de protection des données liés à la COVID-19.
- Partenariats stratégiques : Les collaborations doivent respecter les normes ouvertes en matière de données et d’approvisionnement, avec des exigences au niveau des rapports pour plus de transparence. Les accords de partage de données entre les États et les entreprises doivent être basés sur les lois existantes.
- Forte capacité de supervision et de conformité : Élargir le mandat des délégués à la protection des données, en particulier en ce qui concerne leurs connaissances et leurs ressources des systèmes protégeant la vie privée et l’équité.
- Analyses d’impact et évaluations : Exiger des évaluations d’impact pour tous les efforts de collecte de données liés à la COVID-19. Veiller à ce que les évaluations, ainsi que leur mandat et leurs mécanismes d’application liés à l’éthique, aux droits de la personne et à l’équité des systèmes de traitement des données, soient publics.
Récupération et réforme ouvertes :
Les mesures de récupération ouvertes placent la transparence, la responsabilité et la participation au centre des efforts de reconstruction du gouvernement à moyen terme suite à la COVID-19. De même, des initiatives de réforme ouvertes garantissent que le public est au cœur du gouvernement durant la période post-pandémique.
- Résultat final clair : Les efforts de collecte de données devraient comporter des clauses de temporisation claires et prédéterminées. Les données recueillies dans des circonstances exceptionnelles devraient être supprimées ou anonymisées suite à la crise.
- Organe de surveillance : Identifier un organe de surveillance doté de pouvoirs d’enquête et d’application en matière d’atteinte à la vie privée. Cet organe devrait être doté de capacités d’imposition de sanctions et de recours clairement définies, et de ressources adéquates pour s’acquitter de ses fonctions.
- Les institutions des droits de la personne devraient exercer leur autorité et collaborer avec la société civile pour surveiller et enquêter sur les efforts de protection de la vie privée entourant la COVID-19.
- Accès à la justice : Veiller à ce que l’accès à la justice des personnes concernées soit protégé par la loi et que les personnes concernées aient accès à des recours juridiques en cas de violation de la vie privée.
- Qualité des données et gouvernance : Impliquer les bureaux de statistique du gouvernement dans la production, la gestion de la qualité, la gouvernance et la coordination des données.
EXEMPLES
Les exemples suivants sont des initiatives récentes en réponse à la pandémie de COVID-19 et sont tirés de notre liste d’externalisation ainsi que des documents de nos partenaires.
- Ghana : Ghana Statistical Services, Vodafone Ghana, et Flowminder Foundation utilisent des données de téléphone portable anonymisées pour déterminer si les citoyens se conforment aux mesures de quarantaine à un niveau agrégé.
- Mexique : L’Institut national de la transparence a créé un microsite sur la protection de la vie privée dans le contexte de la COVID-19 avec des informations à la fois pour les personnes concernées et les préposés au traitement des données.
- Norvège : Le gouvernement norvégien et institut de recherche à but non lucratif ont publié une application de recherche des contacts qui ne suit les contacts d’une personne seulement après qu’elle ait reçu un diagnostic de COVID-19. Les données sont cryptées, stockées sur un serveur sécurisé et supprimées après 30 jours. Les chercheurs n’ont accès qu’à des données anonymisées et agrégées.
- États-Unis : Les chercheurs ont partagé les informations génétiques des premiers cas de COVID-19 américains sur les plateformes scientifiques ouvertes Gisaid et Nextstrain, ce qui a permis d’estimer la durée de vie du virus aux États-Unis.
Les exemples suivants sont des engagements précédemment pris par des membres du PGO démontrant des éléments des recommandations formulées ci-dessus.
- Australie (2016-2018) : A mis à jour des directives pangouvernementales sur les processus de désidentification et la publication de données sensibles. A de plus modifié la Loi sur la protection des renseignements personnels pour se conformer aux meilleures pratiques internationales.
- Chili (2018-2020) : Cherche à harmoniser la protection des données avec une politique des données ouvertes par le biais d’un projet de loi sur la protection des données personnelles et de la politique des données ouvertes du gouvernement du Chili.
- Mexique (2019-2021) : A organisé un forum multi-intervenants pour déterminer les politiques de collecte et d’utilisation de données confidentielles par le gouvernement.
RESSOURCES
- Privacy International tient à jour une base de données des réponses du gouvernement concernant la confidentialité et la surveillance.
- Access Now a rédigé un rapport sur les recommandations pour la confidentialité et la protection des données lors de la pandémie, ainsi que des recommandations spécifiques aux applications de recherche des contacts.
- Propre à l’UE, le GDPRhub offre des conseils sur la manière de se conformer à la protection des données dans le cadre du RGPD dans un contexte de réponse à la COVID-19.
- Le Centre pour le développement mondial renvoie également à un article utile avec d’autres recommandations et ressources.
PARTENAIRES POUVANT APPORTER UN SOUTIEN ET DES INFORMATIONS SUPPLÉMENTAIRES
Merci à nos partenaires de la Web Foundation, Access Now et CIVICUS pour le partage des recommandations et la révision de ce module.
English
French
Spanish
Leave a Reply