Contributori AGORA

ANALIZĂ | Ușa din spatele securității datelor personale: Cum depistăm abuzurile și cum ne apărăm de ele

    Articol scris de:
  • Viorel Plopa
  • Viorel Plopa
  • (Avocat)
  • 29 Decembrie 2021
  • 18:33
ANALIZĂ | Ușa din spatele securității datelor personale: Cum depistăm abuzurile și cum ne apărăm de ele
foto simbol

În continuarea publicației „Traficanții datelor personale”, vom verifica dacă problema accesărilor nesigure, la datele noastre personale din resursele informaționale de stat continuă și vom realiza un exercițiu de verificare a siguranței datelor personale prelucrate în Registrul de stat al populației (RSP).

După cum a fost menționat în publicația precedentă, Centrului Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), aproximativ din anul 2014 până inclusiv în anul 2020, a identificat o mulțime de accesări anuale, a datelor personale a populației, din registrele informaționale a statului, gestionate de I.P. „Agenția Servicii Publice” (ASP), efectuate prin sistemele informatice ale instituțiilor statului, cu utilizarea tehnologiei Common Object Interface (COI). Printre liderii acestor accesări fiind organele de forță și control. 

CNPDCP a constatat că transferul de date către autorităţile publice prin intermediul tehnologiei COI nu asigură identificarea nominală a utilizatorilor care au accesat informaţia și că această tehnologie este folosită de majoritatea sistemelor informaţionale ale autorităţilor, în calitate de unica sursă de verificare a autenticităţii datelor cu caracter personal.

Deoarece principalele resurse informaționale de stat sunt gestionate de ASP, aceasta deține controlul întrerupătorului conexiunilor la aceste registre de stat, printre care unul din cele mai solicitate este Registrul de stat al populației (RSP).

La sfârșitul anului 2018, ASP a comunicat CNPDCP că, pentru schimbul de date prin tehnologia COI nu se mai dezvoltă web servicii, făcând trimitere la Legea nr.142 din 19.07.2018 cu privire la schimbul de date și interoperabilitate, atenționând că toate serviciile informaționale deținute de participanții la schimbul de date se vor accesa obligatoriu prin intermediul platformei de interoperabilitate MConnect, care este gestionată de Agenția de Guvernare Electronică (AGE).

Potrivit legii menționate, a fost lăsată „o ușă în spate” pentru organele de forță și control, de a devia de la conectarea la platforma MConnect și a utiliza tehnologii alternative, iar până la moment acest fapt nu a fost reglementat clar, astfel rămâne incert.

Tot potrivit acestei legi, începând cu data de 10.08.2018, în termen de 36 de luni, participanții publici care utilizează sisteme informaționale ce nu corespund cerințelor acestei legi, urma să se conecteze la platforma de interoperabilitate MConnect.  

Cele 36 luni, de trecere a instituțiilor publice la utilizarea platformei MConnect, au expirat la data de 10.08.2021, respectiv am decis să verific dacă datele noastre personale au ajuns să fie prelucrate în siguranță și pentru aceasta am folosit câteva metode de verificare: 

  • studierea datelor deschise care sunt publicate pe website-l platformei MConnect;

  • verificarea accesării datelor mele personale prin MConnect și alte tehnologii;

  • solicitarea informației despre utilizarea tehnologiei COI de la ASP, CNPDCP, AGE și

    Ministerul Afacerilor Interne (MAI);

Potrivit cifrelor prezentate de CNPDCP pentru anul 2020, MAI a fost printre liderii accesărilor datelor personale a populației din registrelor de stat, realizând peste 20 milioane operațiuni în anul 2019, raportate la circa 3 milioane de oameni. Aceasta în situația în care poliția nu are de furcă cu toți cetățenii, precum, spre exemplu, Serviciul Fiscal de Stat, care în comparație, a realizat, în aceeași perioadă, circa 3 milioane de accesări.

Drept răspuns la solicitarea mea de informații despre utilizarea tehnologiei COI pentru accesarea resurselor informaționale de stat, MAI a comunicat că tehnologia COI este un element tehnic important în schimbul de date intern pentru unele sisteme și registre gestionate de MAI și că înlocuirea acesteia este foarte costisitoare, iar problema interconexiunii, prin tehnologia COI, cu registrele de stat gestionate de ASP, pentru perioada anilor 2017-2019, a fost soluționată pe parcursul anului 2019, prin implementarea unui sistem de logare, în legătură cu ce, MAI are posibilitatea să comunice ASP datele necesare despre conexiunile la registrele ASP, pe care le efectuează angajații săi.

În astfel de circumstanțe nu este clar pentru ce a fost creat MConnect, MLog și de ce au fost obligate toate instituțiile să-l folosească, dacă e posibil ușor de soluționat problema așa cum a făcut MAI ? Sau totuși mai este ceva la mijloc ?

Faptul că MAI continue utilizarea tehnologiei COI și afirmă că o face securizat am înțeles, dar ce fac celelalte instituții ?

Prin răspunsul AGE din 10.11.2021 am stabilit că la RSP, prin MConnect pot să se conecteze 24 de instituții publice și/sau subdiviziuni ale acestora.

Ulterior, în baza unui alt răspuns AGE, din 18.11.2021, am stabilit că din lista inițială a instituțiilor publice conectate la MConnect, indicate în răspunsul precedent, au dispărut 3 instituții și au apărut altele 9.

Observând că informațiile prezentate de AGE nu sunt constante, le-am verificat printr-o altă sursă, aceasta fiind datele deschise ale platformei MConnect, care sunt prezentate în partea de jos a website-lui https://mconnect.gov.md/

Făcând un click pe denumirea fiecărei instituții se poate de vizualizat datele pe care aceasta le accesează prin intermediul MConnect.

După cum observăm, în listele indicate nu se regăsește ASP, care prin angajații săi, mai ales din centrele multifuncționale, face zilnic o mulțime de accesări a datelor personale.

Știind cu certitudine că datele mele personale din RSP au fost accesate de unele instituții publice conectate la MConnect, am decis să verific prin ce metodă au făcut-o.

Pe website-l ASP am observat o instrucțiune care urmează să o utilizăm pentru verificarea informației despre accesarea datelor personale prin MConnect.

Deoarece ASP și AGE recomandă utilizarea resursei MCabinet, pentru a vedea cine a prelucrat datele personale prin platforma MConnect, am accesat acest serviciu. 

După ce am intrat în cont, folosind semnătura electronică, am mers la rubrica „Istoricul accesării datelor personale”, am selectat perioada de trei ani, mi-au apărut datele despre 4 accesări prin MConnect și nu am identificat informații despre careva accesări realizate de ASP.

Am decis să fac o adresare directă ASP pentru a verifica cine, când și în ce temei mi-a accesat datele personale în registrele de stat deținute de ASP.

Am accesat rubrica „Protecția datelor cu caracter personal” de pe website-l ASP, de pe adresa https://asp.gov.md/ro/node/2741 , de unde am descărcat modelul de cerere, numit „Cerere privind auditul operațiunilor de prelucrare a datelor cu caracter personal”, am semnat-o electronic și am expediat-o prin e-mail la ASP.

Peste ceva timp mi-a venit răspunsul ASP cu o anexă pe câteva foi, cu descifrarea accesărilor datelor mele personale, în număr de 127 de accesări, realizate de către mai multe instituții conectate la MConnect, accesările căror nu le-am putut identifica în MCabinet, de aici deduc că reprezentanții acestor instituții au accesat datele mele din registrele de stat prin alte tehnologii decât platforma MConnect, fapt care consider că contravine Legii nr.142 din 19.07.2018 cu privire la schimbul de date și interoperabilitate.

Printre instituțiile care mi-au accesat datele sunt: ASP (accesări pentru perioada 2019-11.2021), MAI (2020), Serviciul Fiscal de Stat (10.2021), Comisia Electorală Centrală (10.2021), e-services.md (09.2021), Compania Națională de Asigurări în Medicină (10.2021), Casa Națională de Asigurări Sociale (11.2021).

Accesul la registrele de stat prin tehnologiile vechi este asigurat de instituția care deține registrele, în cazul RSP este vorba de ASP, care dacă ar bloca accesul tehnologiilor vechi, instituțiile publice ar fi nevoite să utilizeze doar MConnect, așa cum impune legislația, însă se vede că sunt anumite probleme cu trecerea la MConnect despre care ASP nu vrea să comunice.

Situația creată cu accesările masive a datelor personale a populației prin metode nesecurizate, fără a cunoaște exact cine, cu ce scop și în ce temei le accesează, este una destul de complexă sub aspectul protecției datelor personale. Este o situație nemediatizată, iar atunci când lipsesc întrebările și obiecțiile, evident, soluționarea problemei întârzie să vină.

Am încercat să aflu, chiar de la CNPDCP, dacă situația cu utilizarea tehnologiei COI s-a îmbunătățit, însă CNPDCP m-a direcționat către ASP.

Am solicitat ASP să-mi ofere mai multe informații despre numărul de utilizatori ai tehnologiei COI și alte detalii referitoare la securitatea utilizării acesteia, la care ASP, în scrisoarea sa din 03.11.2021, s-a ferit să ofere un răspuns amplu, menționând doar că evidența accesărilor registrelor deținute de ASP prin tehnologia COI, potrivit condițiilor contractuale, urmează a fi asigurată de cei care accesează registrele de stat și că la moment ASP este în proces de reziliere a contractelor cu utilizatorii care sunt conectați prin tehnologia COI, deoarece în prezent AGE derulează conectarea acestora la platforma de interoperabilitate MConnect.

Am mai expediat o solicitare către ASP, prin care am vrut să obțin informația despre numărul de tehnologii prin care este realizată accesarea RSP, precum și despre numărul impunător de incidentele de securitate depistate de CNPDCP, legate de utilizarea tehnologiei COI. 

Prin răspunsul ASP, din 11.11.2021, am fost informat că pe parcursul anilor 2017-2021, ASP nu a înregistrat nici un incident de securitate, iar despre tehnologiile de accesare a RSP urmează să-mi comunice AGE, ca gestionar al platformei MConnect. AGE mi-a comunicat doar despre existența și utilizarea platformei MConnect. Am solicitat restituirea solicitării mele de informație ASP pentru ca să-mi fie oferit un răspuns complet, inclusiv despre celelalte modalități de accesare a RSP, însă nu a fost să fie, ASP nu a oferit informații suplimentare.

Atât din răspunsul ASP, AGE și MAI, din verificările pe platforma MCabinet și MConnect, prin datele obținute despre accesările datelor personale proprii de la ASP, inclusiv răspunsul MAI, este evident că, în luna decembrie 2021, utilizarea tehnologiei COI de către unele instituții continuă și că trecerea masivă la MConnect, nu a fost realizată în termenul prevăzut de lege. 

Fiind solicitată opinia Președintelui Asociației pentru Protecția Vieții Private, expert național în domeniul informațiilor cu accesibilitate limitată, Sergiu Bozianu, asupra subiectului menționat, acesta a comunicat: „Conform Legi nr.71/2007 cu privire la registre, evidența accesărilor trebuie să fie dusă de către posesorul și deținătorul registrelor, deci de către instituțiile care le gestionează.

COI nu respectă cerințele de conformitate și securitate la prelucrarea datelor cu caracter personal, astfel, această modalitate de accesare a datelor urmează a fi încetată.

Mai mult, inclusiv legislația cu privire la interoperabilitate exclude posibilitatea utilizării unor altor modalități de accesare/prelucrare a datelor în cazurile în care aceleași date pot fi consumate prin instrumentele: Mconnect, Mlog, Macces, Msign. 

Potrivit art.12 din Legea privind protecția datelor cu caracter personal, oamenii trebuie să fie informați și să cunoască despre ce fel de date sunt colectate și stocate de către instituțiile statului, iar apoi să fie informați despre modul în care sunt utilizate și de către cine.

Totodată, conform art.15 din Legea nr.133/2011 privind protecția datelor cu caracter personal, în cazul accesării/utilizării acestor date de către instituțiile din domeniul organelor de drept, acestea trebuie să dispună de posibilitatea de a aplica restricția de a informa persoana vizată a cărei date au fost accesată (doar în cazurile în care este necesară aplicarea unei astfel de restricții) cu informarea obligatorie în astfel de cazuri a Centrului Național pentru Protecția Datelor cu Caracter Personal.

Cel mai important este că aceste restricții de a fi informate persoanele vizate, nu pot fi aplicate pe un termen mai mare de 30 de zile, cu posibilitatea de prelungire până la 6 luni, în condițiile Legii nr. 59/2012 privind activitatea specială de investigații.

Cu regret, aceste norme nu se respectă de către organele de drept, dar și nu sunt sancționate de către Centrul Național pentru Protecția Datelor cu Caracter Personal.

De regulă, deținătorii de registre nu oferă către persoanele fizice informații despre operațiunile de accesare a datelor cu caracter personal de către organele de drept, iar organele de drept la rândul său, atunci când accesează registrele de stat solicită aplicarea restricțiilor de neinformare pe termene excesive de 10, 20 luni și chiar pe termene nelimitate.

A se reține că încălcările admise de către organele de drept sunt sistemice și aproape că necontrolate, or, la moment, persoanele fizice ale căror date au fost accesate/interceptate nu au nici un instrument adecvat de verificare și control asupra modului de aplicare și utilizare a acestor informații.

Cu regret, în Republica Moldova găsim doar câteva zeci de cazuri în care reprezentanți ai organelor de drept au fost sancționați disciplinar și contravențional pentru accesarea și utilizarea neconformă a resurselor informaționale de stat, chiar dacă, accesări în ultima perioadă au fost realizate de ordin a sutelor de mii.

Menținerea acestor modalități neconforme cerințelor de protecție a datelor cu caracter personal, duce la încălcarea obligației pozitive a statului de a respecta și proteja Dreptul fundamental al persoanei la inviolabilitatea vieții intime, familiale și private. 

Mai mult, putem afirma că spre exemplu în țările Uniunii Europene nu există astfel de modalități de accesare nerestricționată a datelor cu caracter personal, astfel, încălcările sistemice în masă, nu pot avea loc atât timp cât modalitățile de accesare și prelucrare a datelor sunt supuse verificării.”

Cum depistăm abuzurile și cum ne apărăm?

Majoritatea accesărilor neautorizate, chiar dacă sunt depistate, nu sunt comunicate persoanei a cărei drepturi au fost încălcate.

Accesările neautorizate a datelor personale de către reprezentanții organelor de forță și control, reprezintă un semnal asupra posibilei pregătiri sau realizării unor acțiuni de urmărire ilegală a persoanei.

Din aceste considerente, pentru a ne asigura securitatea personală, urmează periodic să verificăm cine și cum ne prelucrează datele personale stocate în registrele de stat, în special RSP.

Pentru aceasta, cel mai rar o dată la doi ani, urmează să facem operațiunile care le-am menționat supra, adică să verificăm informația despre accesările datelor personale în MCabinet https://mcabinet.gov.md/ro și să solicităm informații despre prelucrarea datelor noastre personale gestionate de ASP, prin adresarea ASP a cererii model, care poate fi descărcată de aici: https://asp.gov.md/ro/node/2741

În cazul în care informația oferită drept răspuns conține date despre prelucrări suspecte a datelor personale, realizate de către instituții cu care nu am avut și nu avem tangență, sau fiind indicate temeiuri nejustificate, ori când accesările au fost realizate în afara orelor de lucru și în zilele de odihnă, ș.a. Atunci urmează să acționăm pentru verificarea legalității accesărilor și după caz, să sesizăm organul de control, care este CNPDCP. 

Însă este important să acționăm rapid, deoarece legea prevede perioade restrânse pentru apărarea drepturilor noastre, iar tergiversarea reacției legale poate provoca pierderea dreptului de a solicita realizarea unui control.

Dacă pentru toate contravențiile putem depune o plângere organului constatator timp de până la un an pentru a obține tragerea la răspundere a făptuitorului, în cazul prelucrării ilegale a datelor personale avem la dispoziție doar 30 de zile de la momentul stabilirii încălcării. Detaliile procedurii solicitării controlului realizat de CNPDCP sunt indicate în Legea privind protecția datelor cu caracter personal.

Pentru încălcarea drepturilor la viața privată, în dependență de gravitatea faptei, putem depune plângere la poliție, sau să ne adresăm împotriva persoanei vinovate cu o cerere de chemare în judecată.

Luând în considerare prezența unor interpretări diferite a normelor legale specifice acestui domeniu, pentru evitarea cărora chiar a fost inițiat un proiect de lege, care nu a mai fost adoptată, este corect, chiar la etapa inițială a suspiciunilor de prelucrare ilegală a datelor personale, să obținem consultația unui specialist în astfel de probleme juridice sau al unui avocat.

Acest articol a fost produs cu asistența proiectului “Comunicare Strategică și Suport pentru Mass-media în Republica Moldova". Conținutul articolului este responsabilitatea exclusivă a autorilor și nu reflectă în niciun fel opinia Uniunii Europene.

Poți face diferența

Dacă îți iei un abonament cu doar 48 lei pe lună, noi vom putea să-ți oferim în continuare jurnalism independent.

Vreau să susțin Continuă să citești

  • #Contributori AGORA
  • #Centrul Național pentru Protecția Datelor cu Caracter Personal
  • #Date cu caracter personal

    • Dragă cititor,

    Mii de oameni ne citesc în aceste zile în căutarea informațiilor, răspunsurilor și a unui fir de speranță. Iar noi lucrăm ca să asigurăm un jurnalism responsabil care să ne ajute pe fiecare dintre noi să înțelegem mai bine tot ce se întâmplă în jurul nostru și să ne unească în aceste timpuri complicate.

    Ce putem face noi acum, este să te informăm corect, din surse verificate. Când nu știi pe cine să crezi, vezi ce scrie AGORA.
    Fiecare contribuție din partea cititorilor este valoroasă pentru activitatea redacției. Susține-ne cu un abonament de membru. Mulțumim

    Vezi și aceste știri
    ANALIZĂ | Datele personale între securitate cibernetică, legislație și realitate: Unde sunt stocate și cum sunt protejate acestea

    ANALIZĂ | Datele personale între securitate cibernetică, legislație și realitate: Unde sunt stocate și cum sunt protejate acestea

    ANALIZĂ | Transformarea digitală a Moldovei: O cale fără de întoarcere

    ANALIZĂ | Transformarea digitală a Moldovei: O cale fără de întoarcere

    ANALIZĂ | Cum poate susține Bucureștiul agenda pro-europeană și reformatoare în Republica Moldova

    ANALIZĂ | Cum poate susține Bucureștiul agenda pro-europeană și reformatoare în Republica Moldova

    Advertoriale
    La Chișinău vor fi amenajate curți ideale pentru trai ca în Europa (VIDEO)

    La Chișinău vor fi amenajate curți ideale pentru trai ca în Europa (VIDEO)

    Continuăm campania „Generația Inteligenței Financiare”. Urmăriți al doilea episod în limba rusă al serialului „Cunoaște sensul banului cu Emily” (VIDEO)

    Continuăm campania „Generația Inteligenței Financiare”. Urmăriți al doilea episod în limba rusă al serialului „Cunoaște sensul banului cu Emily” (VIDEO)

    Microinvest susține agricultorii din Moldova cu CREDITE AGRO de până la 7 000 000 lei

    Microinvest susține agricultorii din Moldova cu CREDITE AGRO de până la 7 000 000 lei

    E un efort pe care nu-l putem face
    singuri, așa că te așteptăm alături de noi
    Abonamente Agora
    CONTRIBUTORI AGORA
    EMISIUNI
    • Prepare for Future | Olesea Gălușcă: Industria creativă din Moldova poate deveni pilonul cel mai important al economiei Moldovei
      Prepare for Future | Olesea Gălușcă: Industria creativă din Moldova poate deveni pilonul cel mai important al economiei Moldovei
      • 30 Ianuarie 2023
      • 18:49
    • Podcastul „Azi e vinerea” | Miroase a ars la Bismobil Kitchen, emisiunea „Iartă-mă” în justiție și care-i sportul nostru național (VIDEO)
      • 27 Ianuarie 2023
      • 17:24
    • PROFESIONIȘTII|Strateg de marketing: „Meseria asta e un dans frumos între cifre și creativitate” (VIDEO)
      • 27 Ianuarie 2023
      • 16:19
    • PROFESIONIȘTII|Strateg de marketing: „Meseria asta e un dans frumos între cifre și creativitate” (VIDEO)
      • 27 Ianuarie 2023
      • 16:19
    • DESCIFRAT| Iarna secetoasă și temperaturile record. Cum resimte sectorul agricol schimbările climatice
      • 27 Ianuarie 2023
      • 14:51
    Cele mai populare
    • 1
      Litvinenco, despre scoaterea în afara legii a Partidului Șor: Nu constituie un precedent periculos
      • 30 Ianuarie 2023
      • 21:48
    • 2
      „Gata cu monopolul”: Spînu anunță că toți operatorii de taxi vor putea prelua pasageri de la aeroport
      • 30 Ianuarie 2023
      • 18:18
    • 3
      Prepare for Future | Olesea Gălușcă: Industria creativă din Moldova poate deveni pilonul cel mai important al economiei Moldovei
      • 30 Ianuarie 2023
      • 18:58
    • 4
      GÂNDUL ZILEI: Mitropolia instigă la ură
      • 31 Ianuarie 2023
      • 08:01
    Taguri populare
    Poliția Republicii MoldovaMaia SanduRusiaUniunea Europeanăenergie electricăVolodimir ZelenskiPCCOCSAndrei SpînuANRE Parlamentrăzboi în Ucraina ucraina
    Autentificare
    Ai uitat parola?
    Creează cont

    Raportează Greșeală



    Raportează Greșeală

    Mulțumim, raportarea a fost salvată cu succes.
    Mesajul se va închide automat în câteva momente.
    Notificare

    Platforma AGORA își finanțează întregul conținut, de la realizarea știrilor și materialelor jurnalistice, până la costurile de mentenanță, prin publicitate, donații, abonamente de membri și granturi. Folosim tehnologii de tip cookie ce permit stocarea de informații și/sau obținerea accesului la informația stocată pe dispozitivul tău pentru a permite website-ului să funcționeze, pentru a personaliza conținutul și anunțurile publicitare, pentru a oferi funcționalități aferente rețelelor de socializare și pentru a analiza traficul. În felul acesta tu vezi reclame mai relevante. Prin acceptarea cookie-urilor ajuți site-ul AGORA să folosească aceste tehnologii în continuare și implicit să continue să existe. Vezi Termeni și Condiții și Politica de cookies

    Am înțeles

    Salvează articolul

    Pentru a activa această opțiune, e nevoie să fii logat pe AGORA.

    Articolele salvate pentru mai târziu, le vei putea găsi în profilul tău.

    Urmărește subiectul

    Pentru a activa această opțiune, e nevoie să fii logat pe AGORA.

    Subiectele urmărite le vei putea găsi în profilul tău.

    Agora App Mobile

    Acces liber la conținut din aplicație.

    Noutăți Tehnologii Tehnologii
    Noutăți Actual Actual
    Noutăți Editorial Editorial
    Noutăți Politic Politic
    Noutăți Sport Sport
    Noutăți Sănătate Sănătate

    Descarcă aplicația

    Poate mai târziu