Wycieki danych dotyczących DNA, takie jak głośny przypadek wycieku danych osobowych i genetycznych blisko 7 milionów użytkowników usługi 23andMe z października 2023 roku, czy rozwój prac nad komercyjnym wykorzystaniem urządzeń implantowanych w mózg człowieka, wzbudzają obawy dotyczące potencjalnych nadużyć danych biologicznych. Aktualnym problemem jest już nie tylko odpowiednie zabezpieczenie tak wrażliwych informacji, jak dane o etniczności i zdrowiu, ale również danych biometrycznych i neuronalnych (zwanych także danymi neuronowymi lub mózgowymi). Dane mózgowe to jeden z najbardziej intymnych rodzajów informacji, których ujawnienie lub wykorzystanie może prowadzić do naruszenia prywatności na niespotykaną wcześniej skalę (w tym do manipulacji behawioralnej, monitorowania emocji czy myśli).
Wykorzystanie technologii w dziedzinie neurologii wyszło poza zastosowania medyczne, co implikuje konieczność doregulowania tej sfery w zakresie ochrony danych. Przykładowo, w kwietniu 2024 roku gubernator Kolorado, Jared Polis, zatwierdził nowelizację ustawy „Colorado Privacy Act” (CPA), która rozszerza zakres ochrony prywatności o „dane neuronowe”. Definicja danych neuronowych zawarta w tym akcie prawnym obejmuje informacje dotyczące aktywności centralnego układu nerwowego lub obwodowych układów nerwowych jednostki, w tym mózgu i rdzenia kręgowego, które mogą być przetwarzane przez urządzenie lub za jego pomocą. Akt ustrukturyzował także definicję danych biologicznych, określając je jako dane, które charakteryzują właściwości biologiczne, genetyczne, biochemiczne, fizjologiczne lub neuronowe ciała jednostki lub funkcje cielesne.
W praktyce pojęcie danych neuronowych odnosi się do informacji zebranych lub pochodzących z mózgu i systemu nerwowego człowieka, zazwyczaj uzyskanych za pomocą technologii monitorowania aktywności mózgu, takich jak EEG (elektroencefalografia), fMRI (funkcjonalne obrazowanie rezonansu magnetycznego) czy inne formy neuromonitoringu popularyzowane obecnie przez takie firmy jak Neuralink i inne podmioty tego sektora. Dane te mogą obejmować impulsy nerwowe, wzorce fal mózgowych, odpowiedzi na bodźce oraz inne informacje neurofizjologiczne, które mogą ujawniać preferencje, stany emocjonalne lub poziomy skupienia danej osoby. W połączeniu z innymi technologiami informacje te mogą być wykorzystane do przewidywania intencji lub reakcji użytkownika, co wzmaga konieczność daleko idącej ochrony danych tej kategorii.
W Unii Europejskiej, w świetle regulacji RODO (GDPR), dane biometryczne i dane dotyczące zdrowia są uznawane za szczególne kategorie danych osobowych, wymagające dodatkowej ochrony (artykuł 9 RODO). Podstawowe kategorie danych biologicznych podlegających ochronie prawnej, zgodnie z RODO, to:
- Dane genetyczne – informacje o fizjologii lub zdrowiu, które wynikają z analizy próbki biologicznej.
- Dane biometryczne – dane dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby, które umożliwiają jednoznaczną identyfikację (np. odciski palców, skan siatkówki).
- Dane dotyczące zdrowia – wszelkie informacje o stanie zdrowia fizycznego lub psychicznego osoby, w tym dane o korzystaniu z usług opieki zdrowotnej, które ujawniają informacje o stanie zdrowia.
Dane neurologiczne nie są wymienione bezpośrednio w treści RODO. Mogą być one klasyfikowane jako dane dotyczące zdrowia, bowiem zawierają informacje o stanie zdrowia i funkcjonowaniu mózgu. W związku z tym podlegają one szczególnej ochronie prawnej jako dane wrażliwe (sensytywne).
Na tle państw europejskich wyróżnia się Francja wraz ze swoim CNIL (Commission Nationale de l’Informatique et des Libertés), która jest wyjątkowo aktywnym i rygorystycznym regulatorem, także w obszarze ochrony danych biologicznych.
Źródło: