ASCPD trage un semnal de alarma! GDPR-ul nu este respectat de către instituțiile publice din România!
Întrucât la aproape 4 ani de la intrarea în aplicare a Regulamentului UE 679/2016 încă întâlnim un număr îngrijorător de mare de autorități publice sau entități private care utilizează soluții de servicii gratuite de comunicare și transfer de date (ex. Yahoo Mail, Google Mail, Whatsapp), ASCPD trage un semnal de alarmă asupra riscurilor specifice utilizării acestor soluții în scop profesional.
În luna iulie 2021, ASCPD a realizat un studiu pe un eșantion de 12423 de adrese de email aparținând instituțiilor publice din categoriile “primarie”, “consiliu județean”, “prefectură”, “spitale” și “instituții de învățământ”. Datele au fost puse la dispozitie de catre listafirme.ro si au fost comparate cu website-urile instituțiilor de către membrii ASCPD. Verificarile in platforma HIBP au fost confirmate si de CERT-RO (Iunie 2021).
În luna Ianuarie 2022, ASCPD a realizat un al doilea studiu privind evaluarea canalelor de comunicare utilizate de medicii de familie care efectuaza testare rapida antigen – lista publicata pe site-ul Ministerului Sanatatii la data de 28.01.2022 – http://www.ms.ro/wp-content/uploads/2022/01/situatie_cabinete_medici_familie_testare_rapida_2022_01_28.xlsx
CONCLUZIILE CELOR DOUA STUDII PRIVIND CANALELE DE COMUNICARE UTILIZATE
- Adresele de email au fost folosite pentru a crea conturi pe platforme online care ulterior au fost compromise, iar datele utilizatorilor au fost dezvăluite unor părți neautorizate.
- Deși nu au fost dezvăluite direct datele stocate pe aceste conturi de email, s-au format premizele pentru ca acestea să fie atacate ulterior în practică se cunoaște că doar 35% din utilizatori folosesc parole diferite pentru conturi diferite, deci e posibil ca pentru 13-52% din cazuri să fi fost compromisă și parola efectivă a contului de email în situația reutilizării ei –
Sursa https://www.comparitech.com/blog/information-security/password-statistics); - unde au fost utilizate emailurile de catre institutii? pe platforme comerciale ca de exemplu MySpace (rețele sociale), Minecraft (jocuri online), DriveSure (platforma de vânzări auto) Evony (jocuri online), Heroes of Newwerh (jocuri online), R2Games (jocuri online), Zynga (jocuri online), LinkedIn (rețele sociale), Adobe (furnizor de servicii de editare online), ceea ce DEMONSTREAZA folosirea adreselor de email ale instituțiilor în alte scopuri decât cele oficiale.
- Prelucrarea de date prin intermediul adreselor de email ridică câteva probleme mari de securitate. În primul rând, cine are acces la datele din emailuri, și în al doilea rând, unde ajung datele din aceste emailuri?
- Din analiza adreselor de email utilizate de medicii de familie rezultă că foarte multe dintre acestea (circa 96%) sunt configurate prin servicii publice gratuite adresate persoanelor fizice și nicidecum companiilor. Așadar, adresele de email pot aparține medicilor, asistentelor, dar chiar și foștilor angajați. Practic sunt adrese de email folosite la comun de mai multe personae, pentru care nu există o evidență exactă a accesărilor. În plus, anumite servicii publice, precum Yahoo sau Gmail, oferă acces la conținutul emailuri-lor unor terțe părți pentru îmbunătățirea serviciilor, fără să dea posibilitatea utilizatorilor să se opună acestui lucru. Fără indoială Yahoo și Google au implementat măsuri de securizare a datelor, dar Operatorii (respectivele cabinete medicale) nu au luat nici o măsură de control și verificare pentru a constata cine are acces la respectivele adrese de email.
- Observăm, de asemenea, că 36% dintre adresele de email au apărut în baze de date care au fost compromise de hackeri de-a lungul timpului. Aici discutăm de folosirea acestor adrese de email în alte scopuri decât cele oficiale, adică în interesul companiilor și mai curând în scopuri personale, pentru configurarea conturilor pe diverse site-uri de jocuri online, magazine online sau rețele de socializare, ceea ce ridică o mare suspiciune asupra compromiterii credențialelor de acces la emailuri și, bineînțeles la compromiterea întregului conținut al acestora. Se cunoaște că majoritatea utilizatorilor folosesc o singură parolă de accces pentru toate serviciile online, iar dacă aceasta a fost compromisă, este evident că e foarte posibil ca toate serviciile asociate acesteia să fi fost compromise.
- Nu în ultimul rând, serviciile de email gratuit de tip Yahoo / Gmail sunt oferite de companii americane, iar prin folosirea lor, operatorul face un transfer de date cu caracter personal în Statele Unite, care necesită implementarea unor măsuri tehnice și organizatorice adecvate pentru protejarea datelor, precum criptarea și pseudonizarea, măsuri care, de cele mai multe ori, nu se implementează practic.
EXISTĂ O EXPLICAȚIE PENTRU ACEASTĂ SITUAȚIE ?
- Institutiile publice nu isi dau seama ca in momentul in care utilizeaza un astfel de serviciu gratuit realizeaza si un transfer extracomunitar de date, inclusiv date personale, de obicei in SUA, lucru care contravine cu Decizia Curții Europene de Justitie in cauza Schrems 2 atunci cand a fost invalidată Decizia numita Scutul de Confidentialitate încheiat între UE și SUA.
- Nu este vorba doar de emailuri ci si de servicii gratuite de mesagerie utilizate de instituții precum DSP pentru a comunica de exemplu rezultate la testele COVID pacienților si deciziile de carantinare sau izolare. Sa nu uitam ca majoritatea datelor in cazul pacientilor sunt date medicale, deci sensibile si care trebuie protejate suplimentar.
- Utilizarea emailului si a solutiilor de mesagerie gratuita este o realitate și in instituțiile sanitare sau de invatamant din România unde majoritatea datelor personale aparțin minorilor sau sunte date speciale privind sanatatea pacientilor.
De menționat este faptul ca furnizorii de servicii de email/mesagerie gratuită nu oferă posibilitatea încheierii unui acord privind prelucrarea datelor în conformitate cu prevederile art 26 alin. (1) sau art. 28 alin. (3) al Regulamentului EU 679/2016 prin care să se stabilească într-un mod transparent responsabilitățile fiecărei părți în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul Regulamentului; - Persoana responsabilă care ar putea sesiza si depune efort de a schimba acest mod de comunicare neprofesionist este chiar Responsabilul cu protectia datelor care am putea spune că lipsește în majoritatea acestor organisme publice, deși acestea sunt obligate să-l desemneze și să-l notifice ANSPDCP, conform GDPR.
- La sfarsitul anului 2020 erau depuse 1255 de formulare de notificare a DPO-ului de către instituțiile publice, dintr-un total aproximativ de 12500 de instituții din România, acest lucru insemnand 10%, chiar dacă art.37 din GDPR a introdus din 2018 obligativitatea numirii si notificarii pentru absolut toate organismele publice.
- Aceasta situatie scoate in evidenta o alta problema, aceea a modului formal de “rezolvare a unei probleme” precum obligativitatea angajarii in instituțiile publice a unui responsabil cu protectia datelor. De cele mai multe ori, in cazul in care totusi exista un DPO, aceste persoane dețin și alte funcții care duc la conflicte de interese sau incompatibilități.
- Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal (ANSPDCP) a emis o decizie de sancționare a unei autorități publice pentru transmiterea răspunsurilor la petiții fără respectarea măsurilor de securitate a datelor personale, mai precis pentru prelucrarea datelor persoanelor vizate prin intermediul unor adrese de Yahoo;
- Propunerea legislativă pentru digitalizarea administraţiei publice prin eliminarea hârtiei din fluxul intern şi inter-instituţional, precum şi pentru modificarea şi completarea unor acte normative (L293/2020) prevede la Capitolul II, secțiunea 1, art 5 faptul ca “Toate instituțiile publice vor utiliza, pentru corespondența prin poștă electronică, doar adrese ale căror domenii sunt deținute de respectivele instituții sau de către o altă instituție publică”
CE PUTEM FACE? EXISTĂ SOLUȚII?
- Ca cetățeni putem să refuzam categoric sa trimitem emailuri atunci cand o autoritate publica ( primarie/ spital/scoala) ne solicita sa trimitem documente sau informații pe un astfel de email gratuit si sa sesizam operatorul atunci cand primim mesaje in interes profesional de la autoritati de pe aceste adrese.
- Dacă suntem o institutie publica, putem să luam legatura cu Serviciul de Telecomunicații Speciale (STS) pentru configurarea unor emailuri profesionale.
- Toate organismele publice au, conform art.37 din GDPR, obligativitatea numirii si notificarii catre ANSPDCP a unui Responsabil cu protectia datelor. Implicarea, mod real, a unui specialist in activitatea curenta a unui organism public conduce la cresterea nivelului de conformitate cu cerințele și obligațiile legale în domeniul protectiției datelor cu caracter personal.