Ministerul Afacerilor Interne (MAI) a supus dezbaterii publice un proiect de lege care elimină cardul de sănătate, această funcţionalitate fiind preluată de noul buletin de identitate, care va fi unul electronic. Nu cu unul, ci cu două cipuri. Ca o coincidență bizară, la o zi după ce Internele au făcut public acest proiect, Societatea Teamnet International, înființată de Sebastian Ghiță și care administrează cardurile de sănătate, a și depus luni, 20 martie 2017, cererea de deschidere a procedurii insolvenţei la Tribunalul Prahova. În condițiile în care România are probleme grave de securitate a datelor personale, l-am întrebat pe Bogdan Manolea, președintele Asociației Pentru Internet și Tehnologie (APTI), care este părerea sa.
La ce îi sunt necesare Guvernului amprentele, se întreabă Bogdan Manolea
Care sunt principalele carențe ale legii?
O analiză a textului noii propuneri lansate de MAI cu privire la noua carte electronică de identitate nu aduce atât de multe noutăți pe cât am fi crezut. Propunerea este doar o altă cârpire (au mai fost vreo 10 în ultimii 12 ani) a unui act normativ din 2005, fără vreo analiză serioasă asupra scopului pentru care Guvernul dorește să colecteze aceste date personale și necesitatea fiecăreia dintre ele. Dar ne-am fi așteptat la trei chestiuni. Unde este analiza de impact a datelor personale? Având în vedere că pe 25 mai 2018 va intra în vigoare noul Regulament al Uniunii Europene privind protecția datelor personale, ne așteptăm ca MAI să ia în serios noile obligații din acest act normativ european, cum ar fi obligația de a avea o analiză de impact asupra datelor personale colectate. Nici alte aspecte conexe nu sunt deloc clare: la ce sunt necesare amprentele? Sunt stocate exclusiv pe card sau și într-o bază de date comună? Ce măsuri de protecție sunt dispuse pentru protecția acestora?
Cine are acces la aceste date?
Exemplele SII Analytics și ANAF din ultimii ani ne demonstrează că statul român este incapabil în a stabili clar scopul pentru care sunt colectate anumite date personale și a nu extinde acest scop (fapt ilegal, de altfel) la tot felul de idei viitoare. Este crucial să se știe ce instituții au acces la datele din bazele de date cu cărți de identitate și în ce condiții? Cine are acces la datele din partea electronică a cărții tale de identitate? Cum poți verifica cine a accesat aceste informații?
Face cineva vreo analiză de cost?
Informatizarea sistemului sanitar a costat vreo 300 de milioane de euro în ultimii 15 ani, dintre care cel puțin 20 de milioane par fi folosite exclusiv pe partea de carduri de sănătate. Acum MAI propune o carte de identitate electronică, document care va înlocui acel card de sănătate și care introduce un certificat (de ce tip?) al MAI, a cărui utilizare este neclară. Pentru ce servicii electronice guvernamentale se va folosi certificatul MAI și de ce aceasta este metoda de autentificare dorită? În condițiile în care 40% din populația României nu folosesc Internetul, iar din cei mai activi utilizatori pe Internet – cei care cumpără online –, 90% plătesc doar ramburs, ne e teamă că avem de a face cu o nouă formă fără fond. Nici proiectul de lege și nici textul expunerii de motive nu răspund la niciuna dintre aceste întrebări. Și nici la multe altele.
Care sunt drepturile omului pe care le încalcă?
Cu siguranță se nasc întrebări din punctul de vedere al chestiunilor practice pe care nu le clarifică: pe fondul dreptului la viaţă privată, dar și al dreptului la protecția datelor cu caracter personal (ultimul prezent în Carta Drepturilor Fundamentale a UE).
Care sunt riscurile de siguranță a datelor la care se vor expune posesorii de CI cu cip?
Nu știm, proiectul MAI este lacunar. Ni se pare obligatoriu ca ministerul să răspundă și la întrebările de mai sus.
Amprentați ca infractorii?
Proiectul de lege privitor la viitoarele carduri anunță că „în CIP-ul cardului electronic vor fi incluse date precum numele şi prenumele titularului, sexul, cetăţenia, data şi locul naşterii titularului, imaginea facială, CNP-ul, adresa de domiciliu, prenumele părinţilor, datele biometrice, constând în imaginea facială, şi amprentele“. La o primă vedere, faptul că noile carduri vor conține amprentele fiecăruia dintre noi pare a ne preschimba pe toți într-un popor de posibili infractori. Iar asta, pentru că, în condițiile actuale, doar cei care au încălcat legea în vreun fel sunt amprentați și introduși în băncile de date ale Poliției. Aflată încă în vigoare, Legea 677/21.11.2001, care se referă la „protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date“, menționează că o asemenea operațiune se face în cadrul „prelucrărilor şi transferului de date cu caracter personal, efectuate în cadrul activităţilor de prevenire, cercetare şi reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi al altor activităţi desfăşurate în domeniul dreptului penal, în limitele şi cu restricţiile stabilite de lege“. Aceeași lege menționează ca „date cu caracter personal orice informaţii referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale“. Iar amprentele sunt, desigur, „factori specifici identităţii sale fizice“.
Altă întrebare: cum se vor descurca cu această aberație bătrânii afectați de boli mintale degenerative? Sau care, pur și simplu, din diverse motive, nu vor reuși să memoreze acel cod? Cu siguranță că ei vor fi ajutați de membri ai familiei. Situație în care nimeni nu mai poate vorbi despre confidențialitatea datelor personale.
Furt de identitate
În expunerea de motive a noului proiect de lege suntem anunțați că asemenea cărți de identitate electronice „funcționează“ deja prin multe țări europene. Problemele generate sunt evitate cu mare grijă. Și totuși, de pildă, în anul 2010, chiar și Germania s-a confruntat cu asemenea necazuri. Deutsche Welle a relatat că mai mulți experți din domeniul IT au testat noile carduri, iar rezultatele nu au fost prea grozave. Astfel, Constanze Kurz, de la Chaos Computer Club, a afirmat: „Am putut schimba PIN-ul de pe o carte de identitate de la un computer străin. Apoi am folosit cartea pentru identificare în faţa mai multor autorităţi şi nimeni nu a remarcat manipularea. Este, de fapt, un act clasic de furt de identitate“. Iar Matthias Gärtner a detaliat: „Există în continuare programe de spionare virtuală, care pot citi şi ce se tastează de la alt computer. Nu este un atac la adresa noii cărţii de identitate, ci un atac al computerului care este conectat la Internet în momentul accesării datelor“. Așadar, punctul vulnerabil nu este cartea de identitate, ci computerul pe care sunt salvate datele personale. Caz în care experţii străini au recomandat instalarea unor programe de protejare a computerului. Sau, pur şi simplu, renunţarea la noul buletin, pentru că acesta nu este obligatoriu.
Precizare:
Ziarul Cotidianul își propune să găzduiască informații și puncte de vedere diverse și contradictorii. Publicația roagă cititorii să evite atacurile la persoană, vulgaritățile, atitudinile extremiste, antisemite, rasiste sau discriminatorii. De asemenea, invită cititorii să comenteze subiectele articolelor sau să se exprime doar pe seama aspectelor importante din viața lor si a societății, folosind un limbaj îngrijit, într-un spațiu de o dimensiune rezonabilă. Am fi de-a dreptul bucuroși ca unii comentatori să semneze cu numele lor sau cu pseudonime decente. Pentru acuratețea spațiului afectat, redacția va modera comentariile, renunțînd la cele pe care le consideră nepotrivite.