În continuarea publicației „Traficanții datelor personale”, vom verifica dacă problema accesărilor nesigure, la datele noastre personale din resursele informaționale de stat continuă și vom realiza un exercițiu de verificare a siguranței datelor personale prelucrate în Registrul de stat al populației (RSP).
După cum a fost menționat în publicația precedentă, Centrului Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), aproximativ din anul 2014 până inclusiv în anul 2020, a identificat o mulțime de accesări anuale, a datelor personale a populației, din registrele informaționale a statului, gestionate de I.P. „Agenția Servicii Publice” (ASP), efectuate prin sistemele informatice ale instituțiilor statului, cu utilizarea tehnologiei Common Object Interface (COI). Printre liderii acestor accesări fiind organele de forță și control.
CNPDCP a constatat că transferul de date către autorităţile publice prin intermediul tehnologiei COI nu asigură identificarea nominală a utilizatorilor care au accesat informaţia și că această tehnologie este folosită de majoritatea sistemelor informaţionale ale autorităţilor, în calitate de unica sursă de verificare a autenticităţii datelor cu caracter personal.
Deoarece principalele resurse informaționale de stat sunt gestionate de ASP, aceasta deține controlul întrerupătorului conexiunilor la aceste registre de stat, printre care unul din cele mai solicitate este Registrul de stat al populației (RSP).
La sfârșitul anului 2018, ASP a comunicat CNPDCP că, pentru schimbul de date prin tehnologia COI nu se mai dezvoltă web servicii, făcând trimitere la Legea nr.142 din 19.07.2018 cu privire la schimbul de date și interoperabilitate, atenționând că toate serviciile informaționale deținute de participanții la schimbul de date se vor accesa obligatoriu prin intermediul platformei de interoperabilitate MConnect, care este gestionată de Agenția de Guvernare Electronică (AGE).
Potrivit legii menționate, a fost lăsată „o ușă în spate” pentru organele de forță și control, de a devia de la conectarea la platforma MConnect și a utiliza tehnologii alternative, iar până la moment acest fapt nu a fost reglementat clar, astfel rămâne incert.
Tot potrivit acestei legi, începând cu data de 10.08.2018, în termen de 36 de luni, participanții publici care utilizează sisteme informaționale ce nu corespund cerințelor acestei legi, urma să se conecteze la platforma de interoperabilitate MConnect.
Cele 36 luni, de trecere a instituțiilor publice la utilizarea platformei MConnect, au expirat la data de 10.08.2021, respectiv am decis să verific dacă datele noastre personale au ajuns să fie prelucrate în siguranță și pentru aceasta am folosit câteva metode de verificare:
studierea datelor deschise care sunt publicate pe website-l platformei MConnect;
verificarea accesării datelor mele personale prin MConnect și alte tehnologii;
solicitarea informației despre utilizarea tehnologiei COI de la ASP, CNPDCP, AGE și
Ministerul Afacerilor Interne (MAI);
Potrivit cifrelor prezentate de CNPDCP pentru anul 2020, MAI a fost printre liderii accesărilor datelor personale a populației din registrelor de stat, realizând peste 20 milioane operațiuni în anul 2019, raportate la circa 3 milioane de oameni. Aceasta în situația în care poliția nu are de furcă cu toți cetățenii, precum, spre exemplu, Serviciul Fiscal de Stat, care în comparație, a realizat, în aceeași perioadă, circa 3 milioane de accesări.
Drept răspuns la solicitarea mea de informații despre utilizarea tehnologiei COI pentru accesarea resurselor informaționale de stat, MAI a comunicat că tehnologia COI este un element tehnic important în schimbul de date intern pentru unele sisteme și registre gestionate de MAI și că înlocuirea acesteia este foarte costisitoare, iar problema interconexiunii, prin tehnologia COI, cu registrele de stat gestionate de ASP, pentru perioada anilor 2017-2019, a fost soluționată pe parcursul anului 2019, prin implementarea unui sistem de logare, în legătură cu ce, MAI are posibilitatea să comunice ASP datele necesare despre conexiunile la registrele ASP, pe care le efectuează angajații săi.
În astfel de circumstanțe nu este clar pentru ce a fost creat MConnect, MLog și de ce au fost obligate toate instituțiile să-l folosească, dacă e posibil ușor de soluționat problema așa cum a făcut MAI ? Sau totuși mai este ceva la mijloc ?
Faptul că MAI continue utilizarea tehnologiei COI și afirmă că o face securizat am înțeles, dar ce fac celelalte instituții ?
Prin răspunsul AGE din 10.11.2021 am stabilit că la RSP, prin MConnect pot să se conecteze 24 de instituții publice și/sau subdiviziuni ale acestora.
Ulterior, în baza unui alt răspuns AGE, din 18.11.2021, am stabilit că din lista inițială a instituțiilor publice conectate la MConnect, indicate în răspunsul precedent, au dispărut 3 instituții și au apărut altele 9.
Observând că informațiile prezentate de AGE nu sunt constante, le-am verificat printr-o altă sursă, aceasta fiind datele deschise ale platformei MConnect, care sunt prezentate în partea de jos a website-lui https://mconnect.gov.md/
Făcând un click pe denumirea fiecărei instituții se poate de vizualizat datele pe care aceasta le accesează prin intermediul MConnect.
După cum observăm, în listele indicate nu se regăsește ASP, care prin angajații săi, mai ales din centrele multifuncționale, face zilnic o mulțime de accesări a datelor personale.
Știind cu certitudine că datele mele personale din RSP au fost accesate de unele instituții publice conectate la MConnect, am decis să verific prin ce metodă au făcut-o.
Pe website-l ASP am observat o instrucțiune care urmează să o utilizăm pentru verificarea informației despre accesarea datelor personale prin MConnect.
Deoarece ASP și AGE recomandă utilizarea resursei MCabinet, pentru a vedea cine a prelucrat datele personale prin platforma MConnect, am accesat acest serviciu.
După ce am intrat în cont, folosind semnătura electronică, am mers la rubrica „Istoricul accesării datelor personale”, am selectat perioada de trei ani, mi-au apărut datele despre 4 accesări prin MConnect și nu am identificat informații despre careva accesări realizate de ASP.
Am decis să fac o adresare directă ASP pentru a verifica cine, când și în ce temei mi-a accesat datele personale în registrele de stat deținute de ASP.
Am accesat rubrica „Protecția datelor cu caracter personal” de pe website-l ASP, de pe adresa https://asp.gov.md/ro/node/2741 , de unde am descărcat modelul de cerere, numit „Cerere privind auditul operațiunilor de prelucrare a datelor cu caracter personal”, am semnat-o electronic și am expediat-o prin e-mail la ASP.
Peste ceva timp mi-a venit răspunsul ASP cu o anexă pe câteva foi, cu descifrarea accesărilor datelor mele personale, în număr de 127 de accesări, realizate de către mai multe instituții conectate la MConnect, accesările căror nu le-am putut identifica în MCabinet, de aici deduc că reprezentanții acestor instituții au accesat datele mele din registrele de stat prin alte tehnologii decât platforma MConnect, fapt care consider că contravine Legii nr.142 din 19.07.2018 cu privire la schimbul de date și interoperabilitate.
Printre instituțiile care mi-au accesat datele sunt: ASP (accesări pentru perioada 2019-11.2021), MAI (2020), Serviciul Fiscal de Stat (10.2021), Comisia Electorală Centrală (10.2021), e-services.md (09.2021), Compania Națională de Asigurări în Medicină (10.2021), Casa Națională de Asigurări Sociale (11.2021).
Accesul la registrele de stat prin tehnologiile vechi este asigurat de instituția care deține registrele, în cazul RSP este vorba de ASP, care dacă ar bloca accesul tehnologiilor vechi, instituțiile publice ar fi nevoite să utilizeze doar MConnect, așa cum impune legislația, însă se vede că sunt anumite probleme cu trecerea la MConnect despre care ASP nu vrea să comunice.
Situația creată cu accesările masive a datelor personale a populației prin metode nesecurizate, fără a cunoaște exact cine, cu ce scop și în ce temei le accesează, este una destul de complexă sub aspectul protecției datelor personale. Este o situație nemediatizată, iar atunci când lipsesc întrebările și obiecțiile, evident, soluționarea problemei întârzie să vină.
Am încercat să aflu, chiar de la CNPDCP, dacă situația cu utilizarea tehnologiei COI s-a îmbunătățit, însă CNPDCP m-a direcționat către ASP.
Am solicitat ASP să-mi ofere mai multe informații despre numărul de utilizatori ai tehnologiei COI și alte detalii referitoare la securitatea utilizării acesteia, la care ASP, în scrisoarea sa din 03.11.2021, s-a ferit să ofere un răspuns amplu, menționând doar că evidența accesărilor registrelor deținute de ASP prin tehnologia COI, potrivit condițiilor contractuale, urmează a fi asigurată de cei care accesează registrele de stat și că la moment ASP este în proces de reziliere a contractelor cu utilizatorii care sunt conectați prin tehnologia COI, deoarece în prezent AGE derulează conectarea acestora la platforma de interoperabilitate MConnect.
Am mai expediat o solicitare către ASP, prin care am vrut să obțin informația despre numărul de tehnologii prin care este realizată accesarea RSP, precum și despre numărul impunător de incidentele de securitate depistate de CNPDCP, legate de utilizarea tehnologiei COI.
Prin răspunsul ASP, din 11.11.2021, am fost informat că pe parcursul anilor 2017-2021, ASP nu a înregistrat nici un incident de securitate, iar despre tehnologiile de accesare a RSP urmează să-mi comunice AGE, ca gestionar al platformei MConnect. AGE mi-a comunicat doar despre existența și utilizarea platformei MConnect. Am solicitat restituirea solicitării mele de informație ASP pentru ca să-mi fie oferit un răspuns complet, inclusiv despre celelalte modalități de accesare a RSP, însă nu a fost să fie, ASP nu a oferit informații suplimentare.
Atât din răspunsul ASP, AGE și MAI, din verificările pe platforma MCabinet și MConnect, prin datele obținute despre accesările datelor personale proprii de la ASP, inclusiv răspunsul MAI, este evident că, în luna decembrie 2021, utilizarea tehnologiei COI de către unele instituții continuă și că trecerea masivă la MConnect, nu a fost realizată în termenul prevăzut de lege.
Fiind solicitată opinia Președintelui Asociației pentru Protecția Vieții Private, expert național în domeniul informațiilor cu accesibilitate limitată, Sergiu Bozianu, asupra subiectului menționat, acesta a comunicat: „Conform Legi nr.71/2007 cu privire la registre, evidența accesărilor trebuie să fie dusă de către posesorul și deținătorul registrelor, deci de către instituțiile care le gestionează.
COI nu respectă cerințele de conformitate și securitate la prelucrarea datelor cu caracter personal, astfel, această modalitate de accesare a datelor urmează a fi încetată.
Mai mult, inclusiv legislația cu privire la interoperabilitate exclude posibilitatea utilizării unor altor modalități de accesare/prelucrare a datelor în cazurile în care aceleași date pot fi consumate prin instrumentele: Mconnect, Mlog, Macces, Msign.
Potrivit art.12 din Legea privind protecția datelor cu caracter personal, oamenii trebuie să fie informați și să cunoască despre ce fel de date sunt colectate și stocate de către instituțiile statului, iar apoi să fie informați despre modul în care sunt utilizate și de către cine.
Totodată, conform art.15 din Legea nr.133/2011 privind protecția datelor cu caracter personal, în cazul accesării/utilizării acestor date de către instituțiile din domeniul organelor de drept, acestea trebuie să dispună de posibilitatea de a aplica restricția de a informa persoana vizată a cărei date au fost accesată (doar în cazurile în care este necesară aplicarea unei astfel de restricții) cu informarea obligatorie în astfel de cazuri a Centrului Național pentru Protecția Datelor cu Caracter Personal.
Cel mai important este că aceste restricții de a fi informate persoanele vizate, nu pot fi aplicate pe un termen mai mare de 30 de zile, cu posibilitatea de prelungire până la 6 luni, în condițiile Legii nr. 59/2012 privind activitatea specială de investigații.
Cu regret, aceste norme nu se respectă de către organele de drept, dar și nu sunt sancționate de către Centrul Național pentru Protecția Datelor cu Caracter Personal.
De regulă, deținătorii de registre nu oferă către persoanele fizice informații despre operațiunile de accesare a datelor cu caracter personal de către organele de drept, iar organele de drept la rândul său, atunci când accesează registrele de stat solicită aplicarea restricțiilor de neinformare pe termene excesive de 10, 20 luni și chiar pe termene nelimitate.
A se reține că încălcările admise de către organele de drept sunt sistemice și aproape că necontrolate, or, la moment, persoanele fizice ale căror date au fost accesate/interceptate nu au nici un instrument adecvat de verificare și control asupra modului de aplicare și utilizare a acestor informații.
Cu regret, în Republica Moldova găsim doar câteva zeci de cazuri în care reprezentanți ai organelor de drept au fost sancționați disciplinar și contravențional pentru accesarea și utilizarea neconformă a resurselor informaționale de stat, chiar dacă, accesări în ultima perioadă au fost realizate de ordin a sutelor de mii.
Menținerea acestor modalități neconforme cerințelor de protecție a datelor cu caracter personal, duce la încălcarea obligației pozitive a statului de a respecta și proteja Dreptul fundamental al persoanei la inviolabilitatea vieții intime, familiale și private.
Mai mult, putem afirma că spre exemplu în țările Uniunii Europene nu există astfel de modalități de accesare nerestricționată a datelor cu caracter personal, astfel, încălcările sistemice în masă, nu pot avea loc atât timp cât modalitățile de accesare și prelucrare a datelor sunt supuse verificării.”
Cum depistăm abuzurile și cum ne apărăm?
Majoritatea accesărilor neautorizate, chiar dacă sunt depistate, nu sunt comunicate persoanei a cărei drepturi au fost încălcate.
Accesările neautorizate a datelor personale de către reprezentanții organelor de forță și control, reprezintă un semnal asupra posibilei pregătiri sau realizării unor acțiuni de urmărire ilegală a persoanei.
Din aceste considerente, pentru a ne asigura securitatea personală, urmează periodic să verificăm cine și cum ne prelucrează datele personale stocate în registrele de stat, în special RSP.
Pentru aceasta, cel mai rar o dată la doi ani, urmează să facem operațiunile care le-am menționat supra, adică să verificăm informația despre accesările datelor personale în MCabinet https://mcabinet.gov.md/ro și să solicităm informații despre prelucrarea datelor noastre personale gestionate de ASP, prin adresarea ASP a cererii model, care poate fi descărcată de aici: https://asp.gov.md/ro/node/2741
În cazul în care informația oferită drept răspuns conține date despre prelucrări suspecte a datelor personale, realizate de către instituții cu care nu am avut și nu avem tangență, sau fiind indicate temeiuri nejustificate, ori când accesările au fost realizate în afara orelor de lucru și în zilele de odihnă, ș.a. Atunci urmează să acționăm pentru verificarea legalității accesărilor și după caz, să sesizăm organul de control, care este CNPDCP.
Însă este important să acționăm rapid, deoarece legea prevede perioade restrânse pentru apărarea drepturilor noastre, iar tergiversarea reacției legale poate provoca pierderea dreptului de a solicita realizarea unui control.
Dacă pentru toate contravențiile putem depune o plângere organului constatator timp de până la un an pentru a obține tragerea la răspundere a făptuitorului, în cazul prelucrării ilegale a datelor personale avem la dispoziție doar 30 de zile de la momentul stabilirii încălcării. Detaliile procedurii solicitării controlului realizat de CNPDCP sunt indicate în Legea privind protecția datelor cu caracter personal.
Pentru încălcarea drepturilor la viața privată, în dependență de gravitatea faptei, putem depune plângere la poliție, sau să ne adresăm împotriva persoanei vinovate cu o cerere de chemare în judecată.
Luând în considerare prezența unor interpretări diferite a normelor legale specifice acestui domeniu, pentru evitarea cărora chiar a fost inițiat un proiect de lege, care nu a mai fost adoptată, este corect, chiar la etapa inițială a suspiciunilor de prelucrare ilegală a datelor personale, să obținem consultația unui specialist în astfel de probleme juridice sau al unui avocat.
Acest articol a fost produs cu asistența proiectului “Comunicare Strategică și Suport pentru Mass-media în Republica Moldova". Conținutul articolului este responsabilitatea exclusivă a autorilor și nu reflectă în niciun fel opinia Uniunii Europene.
