Tematu aplikacji do śledzenia kontaktów wolałem unikać. Ale ostatnio okazało się, że polska aplikacja do śledzenia kontaktów ProtegoSafe zawiera w sobie pewien ciekawy problem. Ciekawy w bardzo szerokim ujęciu.

Śledzenie kontaktów Covid-19 to obszar wrażliwy. Dotyczy przecież nie tylko danych zdrowotnych milionów użytkowników. Chodzi tu również o śledzenie bliskości i kontaktów między osobami. Poprzez aplikację dostarczaną przez państwo. Temat jest  na tyle ważki, że Google i Apple nawet dodały do swoich systemów operacyjnych specjalne funkcje -  interfejs API do śledzenia kontaktów. Do tej pory większość kontrowersji w odniesieniu do wielu aplikacji do śledzenia kontaktów dotyczyła kwestii szczegółowych (np. gromadzenia danych geolokalizacyjnych) lub achitektonicznych (podejście scentralizowane lub zdecentralizowane i różne w nich ryzyka). Teraz mowa o innym problemie, który potencjalnie dotyczyć może nawet wszystkich aplikacji oferowanych przez instytucje publiczne.

Specjalna i oficjalna aplikacja do śledzenia kontaktów, ProtegoSafe opracowana dla Polski (Ministerstwo Cyfryzacji) dynamicznie ładuje (z Internetu) pewną logikę swojego działania, używając (sprawa opisana np. tutaj: 1, 2) metody aplikacji progresywnych.

Progresywne aplikacje (Progressive Web Applications, PWA) to metoda, pozwalająca budować bogate aplikacje internetowe, które zachowują się z punktu widzenia użytkownika (wygląd i działanie)  podobnie jak "zwykłe" natywne mobilne aplikacje. Jedną z zalet PWA jest możliwość prostej aktualizacji aplikacji. W aplikacjach mobilnych PWA może to zapewniać to szybsze aktualizacje niż poprzez oficjalne “sklepy” z aplikacjami na Androida lub iPhone'a.

Gdy aplikacja korzysta z modelu PWA, niektóre jej “części” pobierane są ze zdalnych serwerów. W przypadku przeglądarki internetowej zazwyczaj chodzi o pobranie pliku “Manifest”, z definicjami i konfiguracją aplikacji. Dzieje się tak choćby podczas pierwszej instalacji aplikacji lub dynamicznej aktualizacji PWA. W praktyce jest to po prostu połączenie HTTP(s) ze zdalnym serwerem. Adres IP użytkownika takiej aplikacji jest więc dostępny dla  serwera kontrolowanego przez “władze” (tutaj, Ministerstwo Cyfryzacji).

Ponieważ  Ministerstwo jest instytucją publiczną,  ma zatem potencjalnie uprawnienia i możliwości do pozyskania wiedzy o faktycznej tożsamości użytkownika “znajdującego się za” adresem IP. Adresy IP w tym kontekście mogą potencjalnie być więc widziane jak dane osobowe. Odnoszące się do konkretnych osób.

Oznacza to, że już i tak wrażliwe dane przetwarzane w aplikacji do śledzenia kontaktów byłyby jeszcze bardziej wrażliwe, ponieważ - jeśli tak by miało być - byłyby to dane osób użytkowników zidentyfikowanych. To z kolei sprawiałoby, że system ten byłby jeszcze bardziej wrażliwy, co tworzyłoby fascynujące studium przypadku GDPR/RODO. Zgodnie z opinią EROD należy to oczywiście pogodzić z oceną wpływu na prywatność (która powinna zostać upubliczniona, co na dzień dzisiejszy się nie stało).

Mamy tu też znacznie szerszy i bardziej interesujący problem: czy korzystanie z progresywnych aplikacji przez instytucje publiczne jest zgodne z zasadami ochrony danych, czy też narusza prywatność użytkownika (a jeśli tak, to co z tym zrobić?)? Trybunał Sprawiedliwości Unii Europejskiej orzekł, że w  adresy IP są w niektórych przypadkach danymi osobowymi. To znana sprawa Breyer.

Wyobraźmy sobie jednak, że może to dotyczyć każdej sytuacji korzystania z progresywnych aplikacji przez instytucje publiczne. I co wtedy?

Bo jeśli w niektórych kontekstach użycie PWA niesie ze sobą pewne konsekwencje, które mogą różnić się wobec tych dla natywnych aplikacji mobilnych, trzeba takie problemy zidentyfikować, dokładnie przeanalizować i znaleźć te rozwiązania... Ogólnie rzecz biorąc, systemy (a więc aplikacje) powinny zawsze zapewniać wybór właściwej podstawy prawnej przetwarzania danych. Ale ja nie o tym. Jest bowiem oczywiste, że - jeśli tak - to problem ten powinien zostać wzięty pod uwagę zespoły deweloperskie.

Komentarze? Skargi? Prośby? Oferty? me@lukaszolejnik.com