Dane wrażliwe, dane biometryczne, dane biologiczne a w końcu dane neuronowe (neurodane) czyli historia o tym jak legislacja goni za współczesną technologią. Gubernator Kolorado, Jared Polis, zatwierdził nową ustawę, „Colorado Privacy Act”, która rozszerza zakres ochrony prywatności o “dane neuronowe”. Jest to pierwsze prawo tego rodzaju w Stanach Zjednoczonych, które zapewnia taką samą ochronę dla danych biologicznych i neuronowych, jak dla innych wrażliwych danych.
Każdy ludzki mózg jest unikalny, co oznacza, że dane neuronowe są specyficzne dla osoby, od której zostały zebrane. Ponieważ dane neuronowe zawierają charakterystyczne informacje na temat struktury i funkcjonowania indywidualnych mózgów i układów nerwowych, zawierają one wrażliwe informacje, które mogą łączyć dane z zidentyfikowaną lub możliwą do zidentyfikowania osobą. Dane neuronowe lub neurodane można również wykorzystać do wnioskowania o stanach emocjonalnych i poznawczych oraz procesach związanych z osobowością, myślami i uczuciami oraz bezpośrednio do uzyskiwania innych informacji zakodowanych w mózgu takich jak imię, nazwisko, czy hasło.
Zgodnie z przyjętą w regulacją dane neuronowe oznaczają informacje dotyczące aktywności centralnego układu nerwowego lub obwodowych układów nerwowych jednostki, w tym mózgu i rdzenia kręgowego, które mogą być przetwarzane przez urządzenie lub za jego pomocą. Przyjęta została również definicja danych biologicznych, które oznaczają dane, które charakteryzują właściwości biologiczne, genetyczne, biochemiczne, fizjologiczne lub neuronowe ciała jednostki lub funkcje cielesne. Dane biologiczne obejmują dane neuronowe. Tym samym dane neuronowe zostały sklasyfikowane jako podkategoria danych wrażliwych.
Nie jest to również pierwsza próba zdefiniowania danych neuronowych oraz objęcia ich prawem do prywatności, ponieważ już 2021 roku w Chile przegłosowana została ustawa, podejmująca i regulująca powyższą problematykę.
Jak zakwalifikować dane neuronalne zgodnie z RODO?
Podstawową kwestią jest określenie czy neurodane stanowią dane osobowe i jakiej kategorii ochronie z tego tytułu podlegają. Należy się tutaj odwołać do ulubionej odpowiedzi prawników na wszelkie pytania, a zatem „to zależy”. Pojęcie neurodanych, chociaż jak wskazano powyżej, można ubrać w sprawną definicję, jednocześnie pozostaje pojęciem bardzo szerokim, które może zawierać rozległe spectrum przypadków i rodzajów informacji.
Istotną kwestią jest dokładniejsze rozróżnienie między danymi rejestrowanymi na bazie aktywności mózgowej, określanymi jako “brain data”, a informacjami które zostały na ich podstawie wyczytane, czyli “mental information”. Brain data to konkretne pomiary struktury, aktywności i funkcji ludzkiego mózgu, które potrzebują przetworzenia, aby dostarczyć wartościowe dane. Te pomiary są gromadzone poprzez rejestrowanie impulsów za pomocą elektrod, a następnie przekazywane do zewnętrznego urządzenia, które je interpretuje. Istnieje jednak technologia, która potrafi odszyfrować z brain data inne informacje, niż te, które są bezpośrednio związane z aktywnością mózgu (*1). Zgodnie z przedstawioną definicją zakresem neurodanych objęte będą tylko brain data, które są tylko nośnikiem innych zakodowanych informacji, podobnie jak np. zdjęcie poza wizerunkiem ujawnia dane dotyczące pochodzenia rasowego, etnicznego, może ujawniać dane o stanie zdrowia.
Oczywiście może się zdarzyć, że dane neuronowe zostaną pozyskane i przetworzone w takim zakresie, że nie będzie ich można przypisać do zidentyfikowanej osoby. Jeśli jednak istnieje możliwość jednoznacznej identyfikacji osoby na podstawie danych neuronowych, nawet jeśli nie zawierają one bezpośrednio identyfikujących informacji, takich jak imię i nazwisko, mogą one nadal być traktowane jako dane osobowe. Prawidłową odpowiedź stanowi natomiast stwierdzenie, że dane neuronowe mogą być danymi osobowymi w rozumieniu przepisów RODO.
Neurodane jako informacje szczególnej kategorii.
Mental information jako swojego rodzaju metadane mogą oczywiście zawierać informacje objęte katalogiem danych szczególnej kategorii. Pozostaje jednak pytanie czy same informacje o pomiarach aktywności mózgu podlegają ścisłej ochronie zagwarantowanej przez art. 9 RODO jako dane szczególnej kategorii. Szczególnie należy zwrócić uwagę na możliwość zakwalifikowania ich jako danych o stanie zdrowia lub danych biometrycznych. Przede wszystkim istotny jest aspekt potraktowania takich pomiarów jako badania prawidłowej aktywności mózgu. Zgodnie z wytycznymi sam fakt prawidłowego funkcjonowania, braku zmian na tle zdrowotnym należy traktować również jako informacje o stanie zdrowia. Tym samym każdy pomiar aktywności mózgu, który powinien taką aktywność u zdrowej osoby zarejestrować może być traktowany jako informacja o stanie zdrowia osoby poddanej badaniu. Bez względu zatem czy badania te polegają na najprostszym pomiarze oraz nie będą dodatkowo odkodowywane i interpretowane celem uzyskania dalszych informacji, nadal otrzymujemy informację o prawidłowej neuroaktywności mózgu czyli o odpowiedniej chemii mózgu czy funkcjonowaniu neuroprzekaźników. Przyjmując takie stanowisko należy uznać, że na etapie samego badania neurodane stanowią dane osobowe szczególnej kategorii w rozumieniu RODO.
W przedmiocie uznania neuronowych danych za dane biometryczne, wydaje się, że jest to kwestia stosowanej technologii i wykorzystania danych. Istnieje możliwość, że neurodane z użyciem odpowiednich technologii mogą być wykorzystywane do celów biometrycznej weryfikacji indywidualnej osoby. Ponieważ dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, to nie można wykluczyć opracowania unikalnych wzorców biometrii na bazie odpowiednio dobranych neurodanych. Niemniej nie należy automatycznie uznawać danych neuronowych za dane biometryczne.
Przypomnijmy motyw 51 RODO zgodnie, z którym dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. Ze względu na istotną ingerencję w prywatność i intymną sferę funkcjonowania jednostki dane neuronowe z pewnością powinny być objęte taką szczególną ochroną. Szerokie zastosowanie informacji uzyskanych na podstawie neurodanych w marketingu, profilowaniu stanowi pole do szerokich nadużyć w zakresie ochrony prywatności osób.
Czy są zatem potrzebne zmiany w przepisach na szczeblu unijnym na podobieństwo rozwiązania wprowadzonych w stanie Kolorado? Przede wszystkim, należy podkreślić, że nie mamy tu do czynienia z rewolucją a z powolną ewolucją i uzupełnianiem pewnych obszarów legislacyjnych, które mogły wcześniej w sposób niewystarczający zabezpieczać prawa jednostek w zakresie prywatności i wykorzystania danych neuronowych. W mojej ocenie przepisy RODO dają możliwość bezpośredniego objęcia neurodanych reżimem przetwarzania danych szczególnej kategorii.
Jak zwrócono wcześniej uwagę, należy również odróżnić neurodane od informacji na ich podstawie wygenerowanych. Na podstawie neurodanych można rozszyfrować informacje zarówno zwykłe jak i szczególnej kategorii. W takim przypadku może się okazać, że same neurodane będą podlegać szczególnej ochronie, lecz otrzymane na ich podstawie informacje będą podlegać pod art. 6 RODO. Argumentem za szczególną regulacją możliwości pozyskiwania neurodanych jest również nieograniczone źródło informacji, dotyczących sfery wewnętrznej człowieka. Neurotechnologia pozwala na uzyskanie informacji takich jak hasła dostępu, PINy, kody, przeżycia wewnętrzne jednostki, wzorce zachowania.
O ile same informacje o aktywności elektrycznej, funkcjonujących impulsach, zapisach fal mózgowych mogą nie być szczególnie wartościowe dla szerszej gamy podmiotów, to właśnie element wytworzenia na tej podstawie innych informacji wydaje się szczególnie niebezpieczny dla prywatności osób. Dlatego niezbędne jest uwzględnienie specyficznych zagrożeń związanych z wykorzystaniem danych neuronalnych, które mogą ujawniać prywatne informacje o jednostce. W świetle coraz szerszego zastosowania neurotechnologii, regulacje dotyczące ochrony danych osobowych muszą ewoluować, aby skutecznie chronić prywatność jednostek.
ŹRÓDŁO:
https://natlawreview.com/article/colorado-becomes-first-state-explicitly-protect-neural-data
(*1) – L. Słocka, Aktualność unijnego systemu ochrony danych osobowych w świetle przetwarzania neurodanych, Przegląd Prawa Medycznego, nr 3–4/2021 (8)