May 09, 2023
Indagine sulla raccolta e l'uso di de
Description Takeaways Overview Background Analysis Issue: PHAC did not collect
Descrizione
Asporto
Panoramica
Sfondo
Analisi
Problema: PHAC non ha raccolto informazioni personali come definito dalla legge
Deidentificazione e rischio residuo di reidentificazione
La legge sulla privacy non contiene disposizioni specifiche sui dati deidentificati o resi anonimi
L'accesso ai dati nel sistema TELUS costituisce una "raccolta" ai sensi della legge?
Determinazione di una protezione adeguata contro il rischio di reidentificazione
Flusso di dati 1: dati del ripetitore mobile/dell'operatore
Flusso di dati 2: dati di geolocalizzazione mobile
Garanzie in entrambi i flussi di dati che riducono la grave possibilità del rischio di identificare le persone
Altro
Benchmarking internazionale
Trasparenza
Conclusione
Note a piè di pagina
29 maggio 2023
L'indagine ha esaminato se i dati sulla mobilità raccolti e utilizzati dalla PHAC nella sua risposta alla pandemia contengano informazioni personali come definito nella Sezione 3 della legge sulla privacy (la legge). Nello specifico, se PHAC e i suoi fornitori di dati abbiano implementato tecniche di deidentificazione e misure di salvaguardia contro la reidentificazione ritenute sufficienti a ridurre il rischio che un individuo venga identificato al di sotto della soglia di "seria possibilità".
L'Ufficio del Commissario per la privacy del Canada ha ricevuto 12 reclami ai sensi del Privacy Act (la "Legge") contro la Public Health Agency of Canada ("PHAC") e Health Canada ("HC") in merito alla raccolta e all'uso dei dati sulla mobilità dei canadesi , che comprende dati di geolocalizzazione raccolti nel tempo e altre informazioni associate.
I denuncianti affermano che il PHAC ha raccolto segretamente dati su 33 milioni di dispositivi mobili durante la pandemia di COVID-19 e che, secondo una richiesta di proposta, pubblicata nel dicembre 2021, prevedeva di continuare a raccogliere dati sulla mobilità dei canadesi nei successivi cinque anni.
Il PHAC ha riferito di essersi effettivamente basato sui dati sulla mobilità di poco meno di 14 milioni di canadesi per ottenere informazioni approfondite e analisi significative sui movimenti delle popolazioni in Canada, che hanno contribuito a monitorare la diffusione del virus COVID-19 e a pianificare, valutare e adeguare la risposta del governo alla pandemia.
PHAC ha affermato di fare affidamento solo su dati anonimi e aggregati e di non aver mai raccolto o utilizzato informazioni personali identificabili e quindi la legge sulla privacy non si applica.
Attraverso la nostra indagine, come condizione analitica necessaria, abbiamo innanzitutto esaminato se i dati sulla mobilità raccolti e utilizzati dalla PHAC nella sua risposta alla pandemia contengono informazioni personali come definito nella Sezione 3 della legge. Più specificamente, abbiamo valutato se esistesse una seria possibilità, date le circostanze, che un individuo potesse essere identificato utilizzando i dati sulla mobilità, forniti da PHAC, da soli o in combinazione con altre informazioni disponibili. La nostra indagine non ha valutato se i fornitori di dati di PHAC abbiano raccolto e utilizzato i dati sulla posizione in conformità con le leggi sulla privacy.
A seguito dell'analisi delle dichiarazioni ricevute e dell'esame delle informazioni su questo argomento e sul concetto di identificazione, abbiamo concluso che la combinazione delle misure di deidentificazione e delle garanzie contro la reidentificazione implementate da PHAC e dai suoi fornitori di dati ha ridotto il rischio di identificare individui al di sotto della soglia di “grave possibilità”. Riteniamo pertanto che le denunce in questa materia sianonon ben fondato.
Nonostante la conclusione della nostra indagine secondo cui PHAC non ha violato la legge sulla privacy per quanto riguarda la raccolta e l'utilizzo dei dati sulla mobilità nel corso della pandemia di COVID-19, abbiamo formulato una serie di raccomandazioni in particolare al PHAC, con rilevanza istruttiva per tutte le organizzazioni che producono, utilizzano o procurano informazioni rese anonime nel corso delle loro attività. Siamo incoraggiati dal fatto che PHAC abbia accettato le nostre raccomandazioni.