קבוצת העבודה הבין לאומית להגנת מידע בטכנולוגיה (הידועה כ"קבוצת ברלין") פרסמה לאחרונה מסמך עבודה חדש בנושא "הטכנולוגיות הנוירולוגיות המתפתחות והגנת מידע". המסמך עוסק באיסוף ועיבוד של נתונים נוירולוגיים, כלומר מידע שמופק ישירות ממערכת העצבים של אדם, תוך בחינה של ההשלכות המשפטיות והאתיות הנובעות מהשימוש בטכנולוגיות אלו. מדובר בטכנולוגיות שבכוחן "לקרוא" מידע מוחי, ואף "לכתוב" אליו באמצעות גירוי או שינוי של פעילות עצבית, לרבות באמצעים פולשניים ולא פולשניים. אף שטכנולוגיות אלו פותחו בתחילה לצרכים רפואיים, הן משמשות כיום בתחום נוספים ורחבים כמו מקומות עבודה, מערכות חינוך, תחום המשחקים והממשקים הדיגיטליים, דבר המעלה שאלות מהותיות בהקשר של זהויות, פרטיות, חופש הפרט וכבוד האדם. דוגמה מוכרת מאוד ליישום רפואי ומסחרי בתחום היא חברת ניוראלינק של היזם ואיש העסקים אילון מאסק שכבר השתילה שבב באדם, המאפשר לו לשלוט באמצעות פעילות מוחית בטלפון ובמחשב.
המסמך מדגיש כי במשפט האירופי אין כיום הכרה מפורשת בכך שנתונים נוירולוגיים נחשבים לקטגוריה נפרדת של מידע אישי רגיש, אף שלפי תקנות ה-GDPR נתונים אלו עשויים להיחשב כמידע אישי בהקשרים מסוימים. לנוכח ייחודם של הנתונים המגלים תכנים עמוקים, אישיים ולעיתים לא מודעים על המצב המנטלי של האדם, קורא המסמך להחיל עליהם את עקרונות היסוד של הגנת הפרטיות, ובהם עקרון המידתיות, מגבלות מטרה והגנה על שלמות הגוף והנפש. המסמך ממליץ כי עיבוד כזה ייעשה בעיקר לצורכי בריאות או מחקר מדעי, תוך בקרה הדוקה ושקיפות מוגברת.
סוגיית ההסכמה עומדת בלב האתגר המשפטי: טכנולוגיות נוירולוגיות מייצרות מידע גם כאשר האדם אינו מודע לכך, ולעיתים גם כאשר איננו יכול לסרב בפועל, למשל בשל יחסי מרות, מגבלות קוגניטיביות או הטעיה. לכן, נדרש להסביר למשתמשים את מהות הטכנולוגיה והשלכותיה באופן פשוט וברור, ולוודא שההסכמה היא חופשית, ספציפית ומושכלת. עוד מדגיש המסמך כי גם כאשר ההסכמה ניתנת, היא עלולה להיפגע ככל שהטכנולוגיה עשויה לשנות את פעילות המוח באופן שישפיע על שיקול הדעת האנושי ועל האפשרות לחזור מההסכמה. במצבים כאלו נדרשת הקפדה יתרה על תנאים מוסדרים וברורים.
באשר לעיבוד נתוניהם של ילדים, המסמך דורש הגנות מוגברות בשל הפגיעוּת המובנית של קטינים, הנובעת מחוסר בשלות קוגניטיבית והסיכון לחשיפה, פרופילינג או התמכרות. בהיעדר יכולת להבין לעומק את המשמעויות, יש להימנע ככל הניתן מהפעלת טכנולוגיות אלו כלפי ילדים, ולוודא בכל מקרה קיומו של פיקוח הורי והסכמה מתאימה. גם מהבחינה הטכנולוגית, נדרשת אבטחה מקיפה של הנתונים וההתקנים עצמם, תוך מניעת גישה בלתי מורשית, חדירה או תקלה שעלולה להזיק לאדם או לפגוע בשלמותו הנפשית והפיזית.
לבסוף, המסמך קורא לארגונים לאמץ מדיניות זהירה ושקופה, לבחון בקפדנות את הצורך בעיבוד נתונים נוירולוגיים ולבצע הערכות סיכון שיטתיות. יש לבצע הבחנה ברורה בין סוגי הנתונים (נתוני מקור מול הסקות), לבדוק את הבנת המשתמשים בפועל, ולאמת את תנאי ההסכמה לאורך זמן. המסמך ממחיש היטב כיצד התפתחויות טכנולוגיות חודרות יותר ויותר לעולמו הפנימי של האדם, ומהוות אתגר של ממש לעולם המשפט. עורכי דין המלווים גופים הפועלים בתחום זה נדרשים לתשומת לב מיוחדת, גישה מוסרית וזהירה, והטמעה של הגנות פרטיות כבר בשלב הפיתוח.
לעיון בנייר העבודה המלא באתר של הרשות הפדרלית להגנת מידע בגרמניה, לחצו כאן.
קבוצת ברלין היא קבוצה בינלאומית בלתי-תלויה של מומחים ורגולטורים בתחום הגנת המידע (ביניהם הרשות להגנת הפרטיות הישראלית), אשר פועלת מאז 1983 לבחינת ההשפעות של טכנולוגיות חדשות על פרטיות ואבטחת מידע אישי. הקבוצה נוסדה ביוזמת נציב הגנת המידע של ברלין, ומכאן שמה, והיא מתפקדת כפורום לא-פורמלי לשיתוף ידע, גיבוש עקרונות והנחיות, ופרסום ניירות עמדה בנושאים טכנולוגיים מורכבים, למשל בינה מלאכותית, מערכות ביומטריות, האינטרנט של הדברים (IoT) ותשתיות ענן. אף שאין לקבוצה סמכות משפטית, פרסומיה זוכים להכרה רחבה בקרב רגולטורים, קובעי מדיניות, מהנדסים וחוקרי פרטיות ברחבי העולם, והיא נחשבת לגורם מוביל בקידום עקרונות של "פרטיות כברירת מחדל" (Privacy by Default) ו"עיצוב לפרטיות" (Privacy by Design) בפיתוח מערכות טכנולוגיות. הקבוצה שמה לה למטרה לחזק את ההבנה והיישום של הגנת פרטיות בעידן דיגיטלי מתפתח, באמצעות שילוב של חשיבה טכנולוגית, משפטית ואתית.
