Obținerea dreptului de proprietate asupra unui mijloc de transport sau a unui imobil, fondarea unei asociații ori întreprinderi, schimbarea vizei de domiciliu, înregistrarea căsătoriei sau a divorțului, comiterea unei contravenții sau infracțiuni, ș.a., sunt evenimente care sunt înregistrate în anumite resurse informaționale de stat, cu participarea noastră sau fără. Aceste resurse informaționale au denumiri specifice: Registrul de stat al populației (RSP), Registrul de stat al unităților de drept, Registrul de stat al transporturilor, Registrul de stat al conducătorilor de vehicule, ș.a.
Deţinătoarea principalelor resurse informaţionale de stat este I.P. „Agenția Servicii Publice”.
RSP reprezintă resursa de bază a datelor cu caracter personal pentru sincronizarea datelor personale ale populației din alte baze de date administrate de instituțiile publice și nu numai, de aceea integritatea acestuia este un element cheie pe segmentul strategic național de securitate a datelor personale.
Potrivit datelor din RSP, la data de 01.07.2021 erau luați în evidență 3.975.965 de cetăţeni ai Republicii Moldova, dintre care 3.290.849 sunt persoane cu vârsta peste 18 ani.
Pentru realizarea accesului, vizionării, extragerii, sincronizării și preluării datelor din registrele statului, sunt utilizate anumite tehnologii, platforme, sisteme cum ar fi: MConnect, Web-Acces, Sistemul de recunoaștere facială (SRF), Common Object Interface (COI), ș.a.
Viața noastră abundă de prelucrări ale datelor personale. Viteza cu care au loc toate aceste operațiuni, deprinderea și accesibilitatea, nu de fiecare dată sigură, deseori involuntar deschid larg publicului geamurile vieții private, iar pentru a preveni astfel de situații, instituțiile statului elaborează legi și regulamente, instituie anumite competențe pentru autoritățile sale.
Securitatea cibernetică a sistemelor informatice prin care sunt prelucrate datele personale este asigurată de fiecare instituție publică care le gestionează, cu implicarea Serviciului Tehnologia Informației și Securitate Cibernetică (STISC).
Principalul organ de control în domeniul protecției datelor personale este Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP).
Legislația care reglementează protecția datelor cu caracter personal asigură dreptul fiecărei persoane să cunoască ce se întâmplă cu datele personale care o vizează, inclusiv datele personale care sunt prelucrate în resursele informaționale ale statului. Respectiv oricine poate să se adreseze și să obțină gratuit informația despre operațiunile care au fost efectuate cu datele sale personale.
Sursa: Extras dintr-un răspuns oferit unui petiționar de ÎS CRIS „Registru” în an.2017.
În cazul în care solicitantul identifică accesări suspecte, realizate de reprezentantul vreunei instituții a statului, acesta are dreptul să solicite și să obțină gratuit informații despre temeiul realizării acestor accesări.
În cazul în care solicitantul nu primește o informație motivată, ori aceasta nu corespunde realității, el poate să depună o plângere la CNPDCP pe faptul încălcării legislației privind protecția datelor personale.
La un moment dat, CNPDCP a identificat faptul că tehnologia de acces la registrele de stat denumită Common Object Interface (COI) nu corespunde cerințelor minime de securitate, deoarece nu permite identificarea operațiunilor realizate în urma accesării registrelor de stat, precum și a persoanei care a făcut accesările.
Sursa: Extras dintr-o decizie a CNPDCP din anul 2017, pe subiectul accesării datelor personale prin COI.
Dacă în cadrul controlului realizat de CNPDCP, se stabilea că datele noastre personale din registrele de stat erau accesate de o instituție de stat prin tehnologia COI, iar prin alte metode nu era posibil de stabilit cine a efectuat aceste accesări, CNPDCP devenea incapabil să identifice: utilizatorul care a făcut accesările, temeiul legal care a stat la baza acestor operațiuni, respectiv, pentru ce au fost folosite datele personale care au fost extrase din registrele de stat.
Evident că insuccesul controalelor realizate de CNPDCP, respectiv lipsa de pârghii pentru identificarea persoanei suspecte de încălcarea legii, a generat anumite reacții instituționale.
La 28.11.2014, în incinta CNPDCP, a fost organizată o ședinţă cu reprezentanţii ÎS ,,CRIS,,Registru”, Serviciului Tehnologii Informaţionale al Ministerului Afacerilor Interne, ÎS ,,Centrul de Telecomunicaţii Speciale” și Centrului de Guvernare Electronică pe subiectul utilizării tehnologiei COI. În cadrul acesteia, CNPDCP, în calitate de regulator în domeniul protecţiei datelor personale, a sesizat un șir de neconformităţi constatate pe parcursul mai multor controale, în ceea ce privește utilizarea resurselor informaţionale de stat prin intermediul tehnologiei COI, în special:
• oferirea/contractarea entităţilor (de tip SRL, SC, SA etc.), neautorizate din punct de vedere legal, a accesului la sistemele de evidenţă gestionate de către instituţiile publice;
• nerespectarea Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal;
• consemnarea informaţiilor neautentice despre destinatarii datelor cu caracter personal accesate din aceste sisteme de evidenţă.
În rezultat, s-a stabilit necesitatea revizuirii contractelor/acordurilor de furnizare a informaţiilor cu accesibilitate limitată prin intermediul tehnologiei COI, până la finele anului 2014 și raportarea, în primul semestru al anului 2015, despre măsurile întreprinse.
Despre riscurile utilizării tehnologiei COI, CNPDCP a informat Comisia securitate naţională, apărare şi ordine publică a Parlamentului Republicii Moldova, care, la rândul său, prin Decizia Comisiei securitate naţională, apărare şi ordine publică CSN nr. 358 din 22 iulie 2016, a făcut mai multe constatări şi recomandări către autorităţile publice competente, menite să contribuie la soluţionarea aspectelor problematice existente în aplicarea legislaţiei în domeniul protecţiei datelor personale.
Însă până în anul 2017 nu au fost înregistrate progrese semnificative, astfel CNPDCP, într-un raport de al său din acea perioadă, menționa: „Mai mulţi subiecţi de date cu caracter personal au reclamat pretinsul fapt de prelucrare ilegală a datelor cu caracter personal stocate în RSP, prin intermediul tehnologiei COI.
Astfel, circumstanţele sesizate de către subiecţii de date cu caracter personal s-au confirmat în cadrul mai multor controale iniţiate de CNPDCP, fiind constatat că transferul de date către autorităţile publice prin intermediul tehnologiei COI nu asigură identificarea nominală a utilizatorilor care au accesat informaţia şi care au obligaţia de a justifica scopul şi temeiul legal al acestor operaţiuni de prelucrare a datelor cu caracter personal, în pofida faptului că această metodă este utilizată de majoritatea sistemelor informaţionale ale autorităţilor, în calitate de unică sursă de verificare a autenticităţii datelor cu caracter personal.
Tot în acea perioadă, CNPDCP a intervenit către Ministerul Economiei şi Infrastructurii şi I.P. „Agenţia Servicii Publice” (ASP), întru determinarea măsurilor concrete întreprinse/realizate de către entităţile vizate în vederea identificării soluţiilor legale pentru remedierea situaţiei critice create.”
La sfârșitul anului 2018, ASP a comunicat CNPDCP că, pentru schimbul de date prin tehnologia COI, nu se mai dezvoltă web servicii, făcând trimitere la Legea nr.142 din 19.07.2018, conform căreia, toate serviciile informaționale deținute de participanții la schimbul de date se accesează obligatoriu prin intermediul platformei de interoperabilitate MConnect.
Pare că eforturile și argumentele CNPDCP au fost conștientizate de legiuitor, astfel prin Legea nr.142 din 19.07.2018 cu privire la schimbul de date și interoperabilitate, aparent, a fost soluționată problema accesului securizat la registrele de stat, prin intermediul platformei de interoperabilitate, denumită „MConnect”, gestionată de Agenția de Guvernare Electronică (AGE)., hotărârea Guvernului în privința acestei platforme fiind adoptată în 2019.
Potrivit prevederilor legale cu privire la schimbul de date și interoperabilitate, participanții publici sunt obligați să efectueze schimbul de date prin intermediul platformei de interoperabilitate și să asigure condițiile tehnice necesare realizării schimbului de date.
Informația cu privire la instituțiile conectate la platforma de interoperabilitate MConnect, pot fi vizualizate în partea de jos a website-lui acesteia: https://mconnect.gov.md/
În anul 2019, CNPDCP revine la problema tehnologiei COI și indică: „Soluționarea problemei în cauză devine și mai stringentă în contextul cifrelor alarmante a accesărilor de date cu caracter personal stocate în resursele informaționale principale de stat.
Autoritățile statului continuă să utilizeze accesarea informațiilor stocate în principalele resurse informaționale de stat prin intermediul tehnologiei COI, în calitate de unică sursă de verificare a autenticității datelor cu caracter personal.
Astfel, chiar dacă la etapa elaborării Legii cu privire la schimbul de date și interoperabilitatea una din sarcinile de bază ale acestui act legislativ era excluderea în totalitate din utilizare a tehnologiei COI, se constată că, pînă la moment, acest scop nu a fost realizat, problema COI nefiind soluționată.
Mai mult, potrivit prevederilor art. 6 alin. (3) al legii precitate, autoritățile și instituțiile publice cu atribuții în domeniul activității de supraveghere a entităților din sectorul financiar, al apărării naționale, al securității statului, al menținerii ordinii publice, al contracarării infracționalității, al prevenirii și combaterii corupției, a actelor conexe corupției și a faptelor de comportament corupțional sînt exceptate de la obligativitatea de a efectua schimbul de date prin intermediul platformei de interoperabilitate și de a asigura condițiile tehnice necesare realizării schimbului de date, fapt care generează și mai mari impedimente în depășirea problemelor stringente care vizează atât utilizarea tehnologiei COI cât și minimizarea la maxim a numărului operațiunilor de accesare a datelor cu caracter personal stocate în resurse informaționale.”
Pentru argumentarea gravității situației accesărilor nesecurizate la resursele statului, CNPDCP a făcut publice datele numerice ale utilizării tehnologiei COI de către instituțiile statului, pentru anii 2018-2020:
În anul 2020, CNPDCP semnalizează repetat continuarea utilizării tehnologiei COI de către instituțiile publice.
Pentru a se clarifica cu numărul exorbitant de accesări a datelor cu caracter personal, CNPDCP a solicitat instituțiilor care continuă utilizarea acestei tehnologii pentru accesarea datelor personale din resursele informaționale de stat, prezentarea, în termen de 60 de zile, un șir de informații, printre care categoria subiecților și tipurile datelor personale accesate, temeiurile și scopurile accesării datelor, ce operațiuni au fost făcute cu aceste date personale (consultare, imprimare și stocare ulterioară, copiere, divulgare, combinare, transmitere, inclusiv transmiterea transfrontalieră, etc.), pentru ce termene au fost extrase aceste date, dacă au fost identificate breșe de securitate în legătură cu aceste operațiuni, ce măsuri de securitate sunt implementate și care este lista persoanelor autorizate să acceseze aceste date, dacă utilizarea COI oferă posibilitatea de identificare a persoanelor care efectuează accesările și care este motivul evitării efectuării accesării prin intermediul aplicației SIC „Acces-WEB” ?
La demersurile sale CNPDCP a primit răspunsuri evazive și neconcludente, iar de unele instituții publice solicitarea de informații a organului de control a fost totalmente ignorată.”
Zeci de milioane accesări a datelor personale a populației, realizate doar prin sistemele informatice ale organelor de forță și control, pentru care Legea nr.142 din 19.07.2018, a lăsată o „portiță deschisă” pentru accesarea în mod alternativ a resurselor informaționale ale statului, sunt extrem de multe în raport cu numărul populației, mai ales în situația în care organul de control nu poate identifica scopul, temeiul și destinatarul datelor despre viața noastră privată.
În publicația de pe portalul Anticorupție.md, intitulată „Zeci de milioane de accesări ale datelor cu caracter personal efectuate de autorități în 2019”, Expertul Sergiu Bozianu, preşedintele Asociaţiei pentru Protecţia Vieţii Private, referindu-se la raportul menționat al CNPDCP din 2019, susține că numărul uriaș de accesări ale datelor cu caracter personal nu ar avea o acoperire legală.
Importanța auditului accesărilor datelor noastre personale din resursele statului, care dezvăluie chestiuni legate de viața noastră privată, este incontestabilă, altfel putem fi supuși unor investigații ilegale sau chiar șantajați fără a avea posibilitatea să aflăm de unde criminalul a obținut atâta informație despre noi.
Exemple a unor astfel de situații pot fi identificate în rapoartele CNPDCP sau în hotărârile tematice de pe portalul instanțelor de judecată.
Potrivit raportului CNPDCP pentru anul 2013, în cadrul unui control, s-a constatat că un reprezentant al Serviciului de Informaţii şi Securitate (SIS), folosind situația de serviciu, a efectuat consultarea datelor personale din sistemul informațional privind traversarea frontierei de stat, în privința unei persoane și le-a dezvăluit către un prieten de-al său, care l-a rândul său a transmis această informație altei persoane, cu care victima se afla în litigiu judecătoresc, respectiv această informație a fost folosită ulterior în scop de șantaj.”
CNPDCP în anul 2020, a stabilit aproximativ 12 000 de operațiuni de accesare a datelor personale, stocate în sisteme informaționale de stat, efectuate de către angajații unei subdiviziuni a Inspectoratului Național de Investigații din cadrul IGP, vizând un număr impunător de subiecți de date, precum și faptul că o mare parte a acestor operațiuni, nu au avut la bază un scop bine determinat, un temei legal expres și o legătură cauzală dintre un material/dosar aflat în examinare și persoana ale cărei date cu caracter personal au fost supuse prelucrării prin accesare/vizualizare/imprimare, etc.”
Majoritatea accesărilor neautorizate, chiar dacă sunt depistate, nu sunt comunicate persoanei ale cărei drepturi au fost încălcate.
Accesările neautorizate ale datelor personale de către reprezentanții organelor de forță și control reprezintă un semnal asupra posibilei pregătiri sau realizării unor acțiuni de urmărire ilegală a unei persoane sau unui grup de oameni.
Din aceste considerente, pentru a ne asigura securitatea personală, urmează periodic să verificăm cine și cum ne prelucrează datele cu caracter personal stocate în registrele de stat, iar despre aceasta vor fi mai multe detalii în următorul material din seria publicațiilor „Traficanții datelor personale”.
Acest articol a fost produs cu asistența proiectului “Comunicare Strategică și Suport pentru Mass-media în Republica Moldova". Conținutul articolului este responsabilitatea exclusivă a autorilor și nu reflectă în niciun fel opinia Uniunii Europene.
Vezi și aceste știri
OPINIE | Vindem ghete pe site-ul Parlamentului sau asigurăm un sistem de securitate cibernetică?
Parlamentul a numit un nou director al Centrului Național pentru Protecția Datelor cu Caracter Personal
