SCRISOARE DESCHISĂ (17 iunie 2020)
Către:
Ministerul Educației și Cercetării – Direcția Generală Învățământ Preuniversitar
În atenția:
- Doamnei Mihaela Nicoleta GANEA, Responsabil cu Protecția Datelor Personale în cadrul Ministerului Educației și Cercetării
- Doamnei Daniela Elisabeta BOGDAN, Director General Direcția Generală Învățământ Preuniversitar
Spre știință:
- Doamnei Monica Cristina ANISIE, Ministrul Educației și Cercetării
- Doamnei Ancuța Gianina OPRE, Președintele Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
Asociația Specialiștilor în Confidențialitatea și Protecția Datelor (ASCPD) salută demersurile și implicarea Ministerului Educației și Cercetării în protejarea datelor cu caracter personal prin întocmirea și transmiterea Instrucțiunilor referitoare la “anonimizarea” datelor personale ale elevilor participanți la Evaluarea Națională 2020 / admiterea la liceu (Adresa nr. 148/RLB/16.06.2020), precum și prin întocmirea Notei de informare pentru părinți / tutori / elevi referitoare la protecția datelor personale în contextul organizării evaluării naționale pentru absolvenții de clasa a VIII-a.
Apreciem acest demers ca fiind un pas extrem de important în privința asigurării conformității sistemului de învățământ din România în relație cu Regulamentul General privind Protecția Datelor Personale nr. 679/2016.
Remarcăm, totuși, că articolul 5, alin. 2 din Procedura privind modul de comunicare a rezultatelor obținute de candidații la Evaluarea Națională pentru absolvenții clasei a VIII-a în anul școlar 2019-2020 nr. 2217/DGIP/12.06.2020, prevede că “unitatea de învățământ ia măsurile care se impun pentru ca părinții, reprezentanții legali ai elevului să completeze formularul intitulat consimțământul pentru prelucrarea datelor cu caracter personal, în vederea desfășurării examenului de Evaluare Națională / admitere la liceu. Modelul notei de informare și cel al consimțământului se regăsesc în anexa care face parte din procedură.”
Considerăm că temeiul invocat de Dumneavoastră, că bază a prelucrării datelor personale, este eronat, motiv pentru care vă facem cunoscute următoarele considerente:
- În conformitate cu articolul 6 din Regulamentul (UE) 679/2016[1], pentru ca prelucrarea să fie legală, există 6 temeiuri posibile:
- persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
- prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
- prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine Ministerului Educației și Cercetării (MEC);
- prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
- prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit MEC;
- prelucrarea este necesară în scopul intereselor legitime urmărite de MEC sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
În Orientările privind consimțământul în temeiul Regulamentului 2016/679[2], Grupul de lucru „Articolul 29” subliniază că atunci când un operator “alege să se bazeze pe consimțământ pentru orice parte a prelucrării, acesta trebuie să fie pregătit să respecte alegerea respectivă și să pună capăt acelei părți a prelucrării dacă persoana vizată își retrage consimțământul. Transmiterea mesajului că datele vor fi prelucrate pe baza consimțământului, în timp ce prelucrarea se bazează de fapt pe un alt temei legal ar fi în mod fundamental inechitabilă față de persoanele în cauză.
Cu alte cuvinte, Ministerul Educației și Cercetării nu poate schimba consimțământul cu alte temeiuri legale. De exemplu, nu este permisă utilizarea retroactivă a temeiului privitor la interesul legitim pentru a justifica prelucrarea în cazul în care s-au întâmpinat probleme în legătură cu validitatea consimțământului
Prin urmare, utilizarea consimțământului trebuie luată în calcul doar atunci când celelalte temeiuri ale prelucrarii nu au putut fi aplicate.
- Condițiile de utilizare a consimțământului ca temei legal, sunt descrise pe larg în cuprinsul art. 7 din Regulamentul (UE) 679/2016[3], respectiv Ministerului Educației și Cercetării trebuie să demonstreze că persoana vizată și-a dat consimțământul informat pentru prelucrarea datelor sale cu caracter personal printr-o alegere liberă autentică, cererea în vederea obținerii consimțământului trebuie să fie într-o formă care o diferențiază de celelalte aspecte, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu.
- Mai mult, Art. 4 din Regulamentul (UE) 679/2016 definește “consimţământul” persoanei vizate ca fiind “orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;”[4] și, de asemenea, conținutul considerentului 42 “Consimţământul nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să îşi retragă consimţământul fără a fi prejudiciată.”[5]
- Persoana vizată își poate retrage în orice moment consimțământul, iar pentru retragerea acestuia trebuie să existe condiții la fel de simple ca cele la acordarea acestuia. Acest aspect este determinant în momentul alegerii temeiului juridic de prelucrare a datelor personale deoarece, în cele mai multe cazuri, prelucrarea nu poate înceta prin simpla retragere a consimțământului.
- Este important de precizat că dacă Ministerului Educației și Cercetării alege să-și întemeieze prelucrarea pe consimțământ, acesta trebuie să fie pregătit ca, în cazul retragerii consimțământului, să respecte această solicitare (drept) și să înceteze prelucrarea. Cu alte cuvinte, Ministerului Educației și Cercetării nu poate trece de la consimțământ la un alt temei legal de prelucrare. Datorită cerinței de a dezvălui baza legală pe care își întemeiază prelucrarea încă de la data colectării datelor personale, MEC trebuie să decidă, anterior colectării, care este baza legală aplicabilă.[6]
- În cazul în care la stabilirea temeiului legal al prelucrării s-a avut în vedere Art. 8 și respectiv Considerentul 38 din Regulamentul (UE) 679/2016, vă rugăm să aveți în vedere că acestea se referă la consimțământul în cazul copiilor în legătură cu serviciile societății informaționale iar în cazul de față nu poate fi vorba despre societatea informațională, ci despre accesul liber la sistemul de învățământ românesc.
- Conform Art. 8 din Regulamentul (UE) 679/2016, în cazul în care se aplică articolul 6 alineatul (1) litera (a), în ceea ce privește oferirea de servicii ale societății informaționale în mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului. Statele membre pot prevedea prin lege o vârstă inferioară în aceste scopuri, cu condiția ca acea vârstă inferioară să nu fie mai mică de 13 ani[7]. Considerăm că interpretarea faptului că actul de învățământ este un “serviciu al societății informaționale” este de asemenea eronat, având în vedere considerentul 38 care aduce următoarele clarificări : “Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Această protecție specifică ar trebui să se aplice în special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator și la colectarea datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor. Consimțământul titularului răspunderii părintești nu ar trebui să fie necesar în contextul serviciilor de prevenire sau consiliere oferite direct copiilor. “[8]
- Pentru clarificare, menționăm faptul că în conformitate cu Art. 4 (25) din Regulamentul (UE) 679/2016, un serviciu al societății informaționale înseamnă un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 2015/1535, respectiv “orice serviciu prestat în mod normal în schimbul unei remunerații, la distanță, prin mijloace electronice și la solicitarea individuală a beneficiarului serviciului. În sensul prezentei definiții (i) „la distanță” înseamnă că serviciul este prestat fără ca părțile să fie prezente simultan; (ii) „prin mijloace electronice” înseamnă că serviciul este transmis inițial și primit la destinație prin intermediul echipamentului electronic pentru prelucrarea (inclusiv arhivarea digitală) și stocarea datelor și este transmis integral, transferat și recepționat prin cablu, radio, mijloace optice sau alte mijloace electromagnetice; (iii) „la solicitarea individuală a beneficiarului serviciilor” înseamnă că serviciul este prestat prin transmiterea datelor în urma solicitării individuale.”[9]
- Atragem atenția asupra clauzelor contractului educațional, contract prevăzut în anexa 1 la Regulamentul-cadru de organizare şi funcţionare a unităţilor de învăţământ preuniversitar, aprobat prin Ordinul ministrului educaţiei naţionale şi cercetării ştiinţifice nr. 5.079/2016 așa cum a fost modificat prin Ordinul 3027/2018[10] dar și asupra articolului 198 din regulamentul menționat, respectiv “(2) În unităţile de învăţământ sunt interzise măsurile care pot limita accesul la educaţie al elevilor, cum ar fi, de exemplu, efectuarea de către aceştia a serviciului pe şcoală, interzicerea participării la cursuri sau sancţionarea elevilor care nu poartă uniforma unităţii de învăţământ sau altele asemenea.”[11]
- Subliniem că nu poate fi vorba despre un consimțământ liber exprimat și fără urmări negative asupra elevului atât timp cât acestuia, în lipsa consimțământului, i se refuză participarea la evaluarea națională, încălcând astfel dreptul la educație al elevului. Vă reamintim că dreptul la învățătură este garantat prin articolul 32 din Constituția României iar alin. 5 din articolul 49 instituie obligativitatea pentru Autorităţile publice de a contribui la asigurarea condiţiilor pentru participarea liberă a tinerilor la viaţa politică, socială, economică, culturală şi sportivă a ţării.[12]
- De asemenea, orice prelucrare de date personale trebuie trecută prin filtrul principiilor din Art. 5 din Regulamentul (UE) 679/2016[13], la o primă analiză fiind clar încălcat principiul minimizării datelor, ridicându-se totodată întrebări cu privire la modalitatea și termenele de stocare a acestor consimțăminte.
Este de menționat și faptul că la întocmirea unei astfel de proceduri trebuie implicat direct Responsabilul cu protecția datelor personale dar, poate și mai important, trebuie, în cazul unor neclarități, consultată Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în vederea emiterii unui aviz sau a unui punct de vedere.
În aceste condiții considerăm oportună analiza celorlalte temeiuri de prelucrare a datelor personale, în acest caz existând obligații legale ale Ministerului Educației și Cercetării de prelucrare a datelor și un contract educațional, prevăzut în anexa 1 la Regulamentul-cadru de organizare şi funcţionare a unităţilor de învăţământ preuniversitar, aprobat prin Ordinul ministrului educaţiei naţionale şi cercetării ştiinţifice nr. 5.079/2016[14] așa cum a fost modificat prin Ordinul 3027/2018[15] care stă la baza prelucrărilor.
Abia după efectuarea acestei analize și eliminarea posibilității invocării art.6 alin.1 lit. b), lit. c) sau lit. e), putem ajunge la ipoteza utilizării consimțământului, studiind cu atenție ce se întâmplă în cazul retragerii acestuia, dacă sunt condiții de retragere facilă a consimțământului și dacă acesta este liber exprimat.
Având în vedere toate cele precizate anterior,
Asociația Specialiștilor în Confidențialitatea și Protecția Datelor din România
SOLICITĂ:
- Eliminarea din Nota de informare introdusă prin Procedura privind modul de comunicare a rezultatelor obținute de candidații la Evaluarea Națională pentru absolvenții clasei a VIII-a în anul școlar 2019-2020 a paragrafului “Dacă nu sunteți de acord cu prelucrarea datelor cu caracter personal nu se poate derula Evaluarea Națională în condițiile prevăzute de prevederile legale în vigoare”
- Modificarea articolul 5, alin. 2 din Procedura privind modul de comunicare a rezultatelor obținute de candidații la Evaluarea Națională pentru absolvenții clasei a VIII-a în anul școlar 2019-2020 în sensul eliminării formularului de consimțământ și a referirilor la consimțământul părinților/reprezentanților legali din cuprinsul procedurii menționate și din nota de informare, precum și pe cele privind interzicerea participării la evaluarea națională în lipsa consimțământului. Â
- Să luați toate măsurile ca la Examenul Național de Bacalaureat 2020 această situație să nu se repete, deoarece se încalcă dreptul fundamental la educație dar și principiile fundamentale ale Regulamentului (UE) 679/2016, precum principiul minimizării, prin introducerea unui formular suplimentar (birocrație fără utilitate justificată și fără bază legală) și prelucrarea excesivă a unor informații care ulterior trebuie stocate limitat în condițiile în care exista deja obligație legală pentru prelucrarea datelor personale ale elevilor.
Cu deosebită consideraţie,
ASOCIAŢIA SPECIALIŞTILOR ÎN CONFIDENŢIALITATE ŞI PROTECŢIA DATELOR
prin Președinte Marius Dumitrescu
[1] https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&qid=1592394312877&from=EN, art. 6 (1)
[2] https://www.dataprotection.ro/servlet/ViewDocument?id=1600
[3] https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&qid=1592394312877&from=EN, art. 7
[4] Ibidem, articolul 4
[5] Ibidem, considerentul 42
[6] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf, pct 122-123
[7] https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&qid=1592394312877&from=EN, art. 8
[8] Ibidem
[9] https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32015L1535&qid=1592394595142&from=EN, art. 1, alin 1, litera b)
[10] http://legislatie.just.ro/Public/DetaliiDocument/196915
[11] http://legislatie.just.ro/Public/DetaliiDocument/181773, art. 198
[12] http://legislatie.just.ro/Public/DetaliiDocumentAfis/47355, art. 32 și art. 49 (5)
[13] https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&qid=1592394312877&from=EN, articolul 5
[14] http://legislatie.just.ro/Public/DetaliiDocument/181773
[15] http://legislatie.just.ro/Public/DetaliiDocument/196915
CĂTRE: AUTORITATEA ELECTORALA PERMANENTA
Str. Stavropoleos, Nr.6, Sector 3, București
În atenția: Dlui. Constantin-Florin Mituletu-Buica, Presedinte
CĂTRE: AVOCATUL POPORULUI
Str. George Vraca nr. 8, sector 1, București
În atenția: Dlui. Zsolt Molnar, Adjunct al Avocatului Poporului
Petiție
Părțile semnatare reprezintă organizații care luptă pentru drepturile omului și libertățile fundamentale, precum și specialiști în domeniul protecției datelor personale de pe teritoriul României. Prin această scrisoare deschisă ne exprimăm îngrijorarea cu privire la respectarea principiilor fundamentale ce țin de respectarea vieții private a persoanelor, prin accesul formațiunilor politice la datele votanților consemnate în listele suplimentare întocmite cu ocazia alegerilor pentru desemnarea Președintelui României din data de 10 Noiembrie 2019.
Premisă
În data de 4 Noiembrie 2019, cu doar 4 zile înaintea alegerilor pentru desemnarea Președintelui României, Biroul Electoral Central pentru alegerea Președintelui României din anul 2019 (denumit în continuare BEC) a emis Decizia nr. 84 / D / 04.11.2019[1] (denumită în continuare Decizia BEC) prin care se stabilesc condițiile în care reprezentanții formațiunilor politice în birourile electorale ale secțiilor de votare pot primi, la cerere, copii ale listelor electorale suplimentare, în conformitate cu dispozițiile art. VII din Ordonanța de urgență a Guvernului nr. 64/2019 și al art.17 alin. (2) din Legea nr. 370/2004. Anexăm prezentei o cerere[2] de acces la listele suplimentare, care ne-a fost transmisă de un membru al unei secții de votare. Conform informațiilor pe care le-am primit, în majoritatea secțiilor de votare s-au înregistrat astfel de cereri, iar estimările noastre sunt că peste 90% dintre aceste cereri au fost soluționate favorabil.
Conform acestei decizii, reprezentanții formațiunilor politice în biroul electoral al secției de votare pot realiza copii ale listelor electorale suplimentare, „prin orice mijloace inclusiv prin fotografiere sau filmare”, iar în cazul secțiilor de votare din străinătate pot primi în termen de 48 de ore de la încheierea votării în străinătate o copie electronică a listei electorale suplimentare prin intermediul poștei electronice.
Cu toate acestea, dispozițiile art. VII din Ordonanța de urgență a Guvernului nr. 64/2019 contravin art. 15 din Legea nr. 370 din 20 septembrie 2004 republicată, pentru alegerea Președintelui României prevăd că „reprezentanții formațiunilor politice în birourile electorale nu pot primi și nu pot exercita alte însărcinări în afara celor prevăzute de prezenta lege”.
Conform Hotărârii Autorității Electorale Permanente nr. 29/2019[3] privind aprobarea modelelor listelor electorale permanente, a modelelor listelor electorale suplimentare și a modelului extrasului din listele electorale care vor fi folosite la alegerile pentru Președintele României, listele electorale suplimentare utilizate la secțiile de votare din țară includ următoarele date personale ale alegătorilor: semnătura, numele și prenumele, codul numeric personal, domiciliul, seria și numărul actului de identitate. Aceeași hotărâre stabilește că listele suplimentare din secțiile de votare din străinătate vor trebui completate cu semnătura, numele și prenumele, codul numeric personal al alegătorului, domiciliul și datele actului de identitate.
Începând cu data de 25 mai 2018 toată legislația națională ce reglementează prelucrarea datelor cu caracter personal trebuie sa fie armonizată cu prevederile impuse de Regulamentul (UE) nr. 679/2016 (denumit în continuare GDPR).
Prin Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679[4] al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date şi de abrogare a Directivei 95/46/CE au fost instituite dispoziţii referitoare la situaţii specifice de prelucrare, precum condițiile în care poate fi prelucrat numărul de identificare național (a se vedea art. 4) și condițiile în care datele personale pot fi prelucrate de partidele politice (a se vedea art. 9).
Coroborând obligațiile instituite prin articolele 4 și 9 din Legea nr. 190/2019, prelucrarea CNP-ului votanților în scopul prevăzut la art. 6 alin. (1) lit. f) din Regulamentul General privind Protecţia Datelor, respectiv al realizării intereselor legitime urmărite de partidele politice, se efectuează cu instituirea cumulativă de către partidele politice a următoarelor garanţii:
- punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal, conform dispoziţiilor art. 32 din Regulamentul general privind protecţia datelor;
- numirea unui responsabil pentru protecţia datelor, în conformitate cu prevederile art. 10 din prezenta lege;
- stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii;
- instruirea periodică cu privire la obligaţiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal;
- informarea persoanei vizate despre prelucrarea datelor cu caracter personal;
- garantarea transparenţei informaţiilor, a comunicărilor şi a modalităţilor de exercitare a drepturilor persoanei vizate;
- garantarea dreptului de rectificare şi ştergere.
Atragem atenția asupra faptului că Legea nr. 190/2018 a făcut obiectul unei Reclamații[5] înaintată Comisiei Europene de către Asociația pentru Tehnologie și Internet (ApTI) la data de 14 februarie 2019, prin care semnala faptul că derogările pe care le introduce Legea nr. 190/2018 ridică probleme grave în ceea ce privește respectarea principiilor de prelucrare a datelor, asigurarea protecției individului și respectarea valorilor democratice. Unul dintre punctele reclamației a vizat chiar articolul 9 care stabilește modul în care partidele politice pot prelucra date personale, ApTI semnalând riscuri majore nu numai pentru protecția individuală, dar și pentru asigurarea unor procese democratice și neinfluențate.
Conform statisticilor BEC, 1.071.752 de votanți au fost înscriși pe listele suplimentare din țară în timp ce alți 650.159 de votanți au fost înscriși pe listele suplimentare din străinătate în perioada alegerilor pentru Președintele României din data de 10 Noiembrie 2019[6].
Situația de fapt
Conform Deciziei BEC, pentru a intra în posesia datelor înscrise pe listele suplimentare, este suficient ca partidele politice, prin reprezentanții lor în biroul electoral al secțiilor de votare să transmită doar o cerere prin care să se menționeze următoarele:
- denumirea formațiunii politice care solicită copiile listelor electorale suplimentare și datele de contact ale acesteia, ale reprezentantului legal și ale responsabilului pentru protecția datelor;
- numele și datele de contact ale reprezentantului formațiunii politice în biroul electoral al secției de votare care va realiza copiile listelor electorale suplimentare;
- descrierea interesului legitim urmărit de formațiunea politică prin realizarea copiilor de pe listele electorale suplimentare;
- modalitatea de realizare a copiilor listelor electorale suplimentare;
- termenul de stocare a datelor personale înscrise în listele electorale suplimentare, care nu poate fi mai mare de 6 luni de la data publicării rezultatului alegerilor în Monitorul Oficial al României, Partea I;
- semnătura conducerii formațiunii politice.
În cazul listelor suplimentare furnizate de secțiile de votare din străinătate biroul electoral pentru secțiile de votare din străinătate asigură transmiterea copiei electronice a listei electorale suplimentare prin intermediul poștei electronice, acest lucru realizându-se sub condiția luării măsurilor tehnice adecvate pentru asigurarea securității prelucrări datelor cu caracter personal.
Un alt aspect important este faptul că art. 4 al Deciziei BEC obligă formațiunile politice care primesc copii ale listelor electorale suplimentare, să asigure respectarea dispozițiilor Regulamentului (UE) nr. 679/2016.
Mai mult, același articol stabilește că formațiunilor politice care intră în posesia listelor suplimentare le revine întreaga responsabilitate a adoptării tuturor măsurilor adecvate ca utilizarea listelor electorale suplimentare să se realizeze doar în scopul satisfacerii intereselor legitime ale acestora legate de procesul electoral.
Autoritatea Electorala Permanentă a emis un Ghid conceput ca un instrument de lucru care să sprijine birourile electorale ale secțiilor de votare în activitatea pe care o vor desfășura în timpul alegerilor.
Acest ghid nu prevede standardele minime de protecție a datelor personale la care partidele politice au acces atunci când copiază listele permanente, singura prevedere menționată fiind:„IMPORTANT: Reprezentanții formațiunilor politice în birourile electorale ale secțiilor de votare pot primi, la cerere, copii ale listelor electorale suplimentare, în condițiile stabilite prin decizie a Biroului Electoral Central”.
Mai mult, acest Ghid nu prevede niciun paragraf în care să fie menționată obligația membrilor birourilor electorale ale secțiilor de votare de a respecta prevederile Regulamentului General privind Protecția Datelor (GDPR).
Riscurile pe care Decizia BEC le aduce protecției datelor personale
- Riscul nerespectării existenței unui interes legitim real
Pentru a avea acces la datele înscrise pe listele suplimentare, conform Deciziei BEC, partidele politice trebuie să detalieze interesul legitim urmărit de formațiunea politică prin copierea listelor electorale suplimentare în solicitarea de acces la aceste liste.
Conform preambulului 47 din GDPR, prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor constituie un interes legitim al operatorului de date în cauză. Cu toate acestea, același preambul stabilește că existenţa unui interes legitim necesită o evaluare atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul şi în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop. Mai mult, interesele şi drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanţe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară.
Mai mult, existența unui interes legitim ar fi trebuit să poată fi probat în orice moment, acesta putând fi invocat doar în cazul în care exista o suspiciune rezonabilă a unei fraude electorale. Spre exemplu, cazul în care se înregistrează una din situațiile prevăzute de literele i) sau j) din Articolul 49 din Legea nr. 370/2004, cum ar fi lipsa ștampilelor de vot sau diferența dintre numărul votanților și a numărului de voturi existente în urnă, sau dacă dacă numărul buletinelor de vot găsite în urnă adunat cu cel al buletinelor de vot neîntrebuințate și cele anulate diferă de numărul total de buletine de vot primite, precum și alte incidente.
- Riscul nerespectării informării prealabile a alegătorilor
Este indubitabil faptul că alegătorii înscriși pe listele suplimentare nu au avut în niciun moment al participării la vot cunoștință despre faptul că datele lor pot fi furnizate partidelor politice, încălcându-se astfel obligația informării persoanelor vizate prevăzută în Legea nr. 190/2018 pentru prelucrarea acestui tip de date. Informarea ar trebui sa fie accesibilă tuturor votanților, indiferent de vârsta și fără a fi condiționată de acces la internet. România se situează pe locul 27 din cele 28 de state membre ale UE în cadrul Indicelui economiei și societății digitale (DESI)[7] pentru 2019 al Comisiei Europene, publicat în data de 11 iunie 2019. Conform datelor DESI, România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 21% dintre persoanele cu vârste cuprinse între 16 și 74 de ani neutilizând niciodată internetul. În aceste condiții, orice decizie sau informare privind prelucrarea datelor personale, publicată pe site-ul AEP sau BEC este insuficientă și deci nu este susceptibilă să îndeplinească cerințele impuse de Regulamentul General privind Protecția Datelor sau a Legii nr. 190/2018.
- Riscul schimbării scopului în care datele au fost colectate
În opinia noastră, cel mai mare risc este acela că, odată ajunse în posesia partidelor politice, toate acele date pot fi utilizate în alte scopuri decât interesul legitim invocat în cererile adresate către BEC.
Deținerea unui volum atât de mare de date, coroborat cu datele statistice existente la nivelul fiecărei secții de votare, pot face subiectul unei profilări individuale foarte precise. Subliniem faptul că opiniile politice, conform art. 9 din GDPR sunt date cu caracter special care NU pot fi prelucrate, iar prin excepție prelucrarea este permisă conform art. 9 alin. (2) lit. d) din GDPR dacă „prelucrarea este efectuată în cadrul activităţilor lor legitime şi cu garanţii adecvate de către o fundaţie, o asociaţie sau orice alt organism fără scop lucrativ şi cu specific politic, filozofic, religios sau sindical, cu condiţia ca prelucrarea să se refere numai la membrii sau la foştii membri ai organismului respectiv”.
Prin urmare, accesul partidelor politice la datele înscrise în listele suplimentare reprezintă o ingerință în viața privată a persoanelor cu drept de vot în condițiile în care partidele politice pot utiliza aceste date și în alte scopuri.
Prelucrarea excesivă de date personale încalcă principiile de prelucrare a datelor și a dreptului la viață privată precum și respectarea valorilor democratice.
- Lipsa măsurilor tehnice și organizatorice adecvate
Prelucrarea numărului de identificare național, cum este cazul CNP-ului, în conformitate cu prevederile art. 4 alin. (2) din Legea nr. 190/2018 poate fi posibilă doar atunci când sunt puse în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal, conform dispoziţiilor art. 32 din Regulamentul General privind Protecția Datelor.
Prin urmare, partidele politice NU ar trebui să aibă acces la aceste date, iar în cazul în care o astfel de solicitare de acces ar fi întemeiată trebuie să existe în primul rând garanții adecvate privind existența măsurilor tehnice și organizatorice adecvate nivelului de importanță al acestei prelucrări.
Ori, conform Deciziei BEC, reprezentanții formațiunilor politice din birourile electorale ale secțiilor de votare pot realiza în secția de votare, prin orice mijloace, inclusiv prin fotografiere sau filmare, pe cheltuiala lor, copii ale listelor electorale suplimentare utilizate în procesul de votare. Astfel, accesul „prin orice mijloace, inclusiv prin fotografiere sau filmare” a reprezentanților formațiunilor politice din birourile electorale la listele suplimentare se poate realiza inclusiv utilizând telefonul personal al reprezentantului, apoi putând fi transmise printr-un canal comunicare care nu prezintă garanții suficiente de securitate, cum ar fi rețelele de socializare sau de mesagerie directă (ex. WhatsApp).
De asemenea, nu sunt prevăzute garanții suficiente că persoanele care vor realiza copierea listelor suplimentare, prin orice mijloace, au fost instruite și că vor asigura confidențialitatea datelor înscrise în listele suplimentare.
Având în vedere gradul mare de probabilitate al riscului şi gravitatea unei asemenea încălcări a drepturilor şi libertăților persoanelor fizice, art. 32 din GDPR obligă la implementarea unor măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc. Dacă pseudonimizarea ar putea conduce la incapacitatea partidelor politice să facă verificări în secțiile de votare unde există suspiciunea unei fraude electorale, criptarea datelor cu caracter personal ar trebui sa fie obligatorie atunci când acestea sunt transmise de către reprezentanții partidelor pe care le reprezintă în secțiile de votare.
Odată ajunse în administrarea partidelor politice, acestea ar trebui să asigure în continuare faptul că datele sunt utilizate în scopul pentru care au fost colectate, oferind garanții suficiente asupra protectiei și confidențialității lor.
Atragem atenția asupra faptului că Decizia BEC stabilește că formațiunilor politice care accesează listele suplimentare „le revine întreaga responsabilitate a adoptării tuturor măsurilor adecvate ca utilizarea listelor electorale suplimentare să se realizeze doar în scopul satisfacerii intereselor legitime ale acestora legate de procesul electoral”. Dorim să subliniem că respectivele formațiuni politice acționează în calitate de operatori asociați ai BEC, în sensul art. 26 din GDPR, formațiunile politice prelucrând aceste date într-un interes legitim propriu.
Conform articolului menționat anterior, operatorii asociați „stabilesc într-un mod transparent responsabilităţile fiecăruia în ceea ce priveşte îndeplinirea obligaţiilor care le revin în temeiul prezentului regulament, în special în ceea ce priveşte exercitarea drepturilor persoanelor vizate şi îndatoririle fiecăruia de furnizare a informaţiilor prevăzute la articolele 13 şi 14, prin intermediul unui acord între ei”.
În calitatea sa de operator asociat pentru această prelucrare, BEC nu poate transfera integral responsabilitatea protecției datelor personale ale votanților formațiunilor politice care accesează listele suplimentare, răspunderea privind protecția datelor fiind solidară, în conformitate cu dispozițiile GDPR.
De asemenea, dorim să atragem atenția că există totuși o neconcordanță clară între art. VII din Ordonanța de urgență a Guvernului nr. 64/2019 și Decizia nr. 84 / D / 04.11.2019.
Art. VII. al OUG nr. 64/2019 stipulează în mod clar că „Reprezentanții formațiunilor politice în birourile electorale ale secțiilor de votare pot primi, la cerere, copii ale listelor electorale suplimentare, […]”, în timp ce art. 1 al deciziei BEC oferă posibilitatea reprezentanților formațiunilor politice în birourile electorale ale secțiilor de votare de „a realiza în secția de votare, prin orice mijloace, inclusiv prin fotografiere sau filmare, pe cheltuiala lor, copii ale listelor suplimentare utilizate în procesul de votare”.
Prin urmare, în accepțiunea noastră, art. VII al OUG nr. 64/2019 implică o acțiune care cade în sarcina reprezentanților birourilor electorale ale secțiilor de votare, ceea ce aparent nu reiese și din textul deciziei BEC.
Este evident faptul că prin modul de formulare al art. 1 al deciziei sale, BEC a urmărit să se îndepărteze de obligațiile ce-i revin prin transmiterea datelor către reprezentanții formațiunilor politice, în încercarea de a pasa responsabilitatea asociată acestei prelucrări de date partidelor politice.
Dorim să subliniem faptul că prelucrarea datelor personale înseamnă „orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea”, conform definiției din art. 4 din GDPR.
În concluzie, indiferent dacă datele înscrise în liste suplimentare sunt transmise reprezentanților formațiunilor politice sau dacă doar li se permite acestora să copieze listele suplimentare, obligația respectării prevederilor GDPR pentru această prelucrare rămâne în sarcina ambelor părți.
În contextul în care la data de 24 noiembrie 2019 are loc turul al doilea al alegerilor Prezidențiale, solicităm:
- Interzicerea accesului partidelor politice la listele suplimentare de votanți – existând riscul ca accesul la datele votanților de pe listele suplimentare să fie în continuare oferit doar în baza unei cereri, fără a exista un interes legitim real sau fără a exista garanții suficiente privind protecția și confidențialitatea datelor, ceea ce noi considerăm că poate constitui o ingerință în viața privată a alegătorilor
- Anularea deciziei BEC nr. 84/D/04.11.2019 și emiterea unei noi decizii care să respecte prevederile Regulamentului (UE) nr. 679/2016 și care să impună în mod clar condițiile în care formațiunile politice pot avea acces la listele suplimentare astfel încât să fie asigurată protecția drepturilor persoanelor vizate.
În cazul în care veți considera că riscurile semnalate în prezentul document sunt întemeiate, vă rugăm să vă folosiți de toate prerogativele de care beneficiază Autoritatea Electorala Permanenta pentru a asigura limitarea accesului formațiunilor politice la listele suplimentare atunci când nu există suspiciuni rezonabile asupra unor situații de fraudă electorală.
Atragem atenția că în situația în care se constată că președinții secției de votare aprobă copierea listelor suplimentare fără a exista suspiciuni rezonabile asupra unor situații de fraudă electorală, prelucrarea acestor date nu se face în regim de legalitate, existând astfel obligativitatea pentru membrii birourilor electorale ale secțiilor de votare să documenteze breșa și să o raporteze în termen de 72 de ore către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Semnatari:
Asociația Specialiștilor în Confidențialitate și Protecția Datelor (www.ascpd.ro)
Marius Dumitrescu, |
Asociația Expert Forum
Septimius Pârvu, |
[1] http://prezidentiale2019.bec.ro/wp-content/uploads/2019/11/dec_al_84.pdf
[2] https://ascpd.ro/wp-content/uploads/2019/11/poza21.jpg
[3] http://www.roaep.ro/legislatie/wp-content/uploads/2019/09/Hot-AEP-29-2019.pdf
[4] https://www.dataprotection.ro/servlet/ViewDocument?id=1520
[5] Complaint on Romanian implementation of the GDPR – ApTI
[7] https://ec.europa.eu/romania/news/20190611_Romania_penultimul_loc_UE_DESI_ro
CĂTRE:
- Ministerul Afacerilor Interne
- Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal
- Avocatul Poporului
- Camera Deputaților – Comisia pentru cercetarea abuzurilor, corupţiei şi pentru petiţii
Părțile semnatare reprezintă organizații ale drepturilor fundamentale și reprezentanți ai comunității de specialiști în domeniul protecției datelor de pe teritoriul României. Prin această scrisoare deschisă ne exprimăm îngrijorarea cu privire la respectarea principiilor fundamentale ce țin de respectarea vieții private, prin punerea în aplicare a sistemului de recunoaștere facială ce urmează a fi achiziționat de Inspectoratul General al Poliției Române prin procedura de achiziție cu numărul CN1014432[1], formulând totodată mai multe cereri în mod public.
Atragem atenția asupra obligației autorităților publice de a respecta şi ocroti viaţa intimă, familială şi privată, în temeiul Art. 26 (1) din Constituția României, art 151 din TFUE, art. 8 din COE și art. 71 din Noul Cod Civil – Dreptul la viață privată.
Subliniem faptul că organizațiile semnatare nu se poziționează împotriva implementării de noi tehnologii menite să aducă un plus de siguranță locuitorilor României, susținând în schimb o abordare responsabilă a acestora, respectând dreptul la viață privată, conform legislației naționale și europene aplicabile.
Considerăm că decizia implimentării unui sistem de monitorizare în masă, care vizează toți locuitorii României, ar fi trebuit luată, conform cerințelor legale, în urma unui proces real și transparent de evaluare a riscurilor, care să implice atât Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cât și societatea civilă. Lipsa acestui proces ne determină să privim cu scepticism atât legalitatea implementării acestui sistem, cât și capacitatea de a-și îndeplini scopul fără a aduce atingeri drepturilor tuturor locuitorilor României.
Redactarea Caietului de sarcini desconsiderând obligațiile privind instituirea unor garanţii adecvate pentru drepturile şi libertăţile persoanelor va avea drept consecință achiziția unui sistem de recunoaștere facială care nu va putea fi folosit în condiții de legalitate. Inspectoratul General al Poliției Române, din subordinea Ministerului Afacerilor Interne, trebuia să facă o analiză de impact înainte de a demara orice acțiune legată de prelucrarea datelor cu caracter personal, cum ar fi achiziționarea aplicației software, și să includă criterii fundamentale care să asigure respectarea principiilor “privacy by design” și ”privacy by default”.
Toate organizațiile semnatare susțin introducerea unei noi tehnologii privind creșterea gradului de combatere și elucidare a infracțiunilor, ce respecta dreptul la viață privată al persoanelor vizate, precum si celelalte criterii prevazute in lege. Subliniem faptul că interoperabilitatea datelor personale trebuie să se bazeze pe transparență și respectarea principiilor colectării datelor cu caracter personal, astfel încât cetățenii să poată avea încredere că datele lor sunt prelucrate corespunzător, fără a exista riscurile unui dezechilibru.
Prin urmare vă solicităm să vă asigurați că ați urmat toți pașii necesari pentru a oferi posibilitatea acestui sistem să devină funcțional, eficacitatea acestuia să fie una optimă, în conformitate cu dispozițiile legale, fără a aduce atingere drepturilor și libertăților persoanelor. Vă solicităm să țineți cont de următoarele noastre propuneri pentru a obține conformitatea soluției tehnice privind implementarea sistemului de recunoaștere facială.
Situația premisă
În urma publicării unui comunicat de presă[2] la începutul acestui an, în data 27.08.2019 a fost publicat în Sistem informatic colaborativ pentru mediu performant de desfășurare al achizițiilor publice (SICAP) anunțul cu numărul de participare CN1014432 privind achiziționarea unei soluții informatice pentru recunoaștere facială + training, în cadrul proiectului „Dezvoltarea sistemului de identificare și recunoaștere facială (NBIS) și interconectarea acestuia cu autoritățile de aplicare a legii din UE prin intermediul sTESTA”, autoritate contractantă fiind Inspectoratul General al Poliției Române, din subordinea Ministerului Afacerilor Interne.
Utilizarea sistemelor de recunoaștere facială a făcut subiectul multor controverse pe plan mondial motiv pentru care achiziția unei astfel de tehnologii a atras imediat atenția organizațiilor din România dedicate protecției drepturilor și libertăților persoanelor.
Pentru introducerea unei astfel de tehnologii, considerăm ca este primordial dialogul și consultarea cu părțile interesate, anterior emiterii Caietului de sarcini pentru achiziția sistemului de recunoaștere facială, astfel încât redactarea cerințelor de achizitie să îndeplinească criteriile privind respectarea vieții private.
Întrucât acest dialog nu a avut loc, venim proactiv în sprijinul Autoritatii contractante prin analiza documentației acestei achiziții și am constatat:
- lipsa îndeplinirii cerințelor de ordin tehnic, referitoare la securitatea prelucrărilor de date, obligatorii pentru o funcționare în condițiile legii a unui asemenea sistem.
- lipsa transparenței privind implementarea sistemului în acord cu principiile privind respectarea vieții private
- lipsa de informații privind măsurile de securitate puse în etapa de utilizare a soluției tehnice
- lipsa informațiilor privind modul de exercitare a drepturilor persoanelor vizate
- lipsa unei evaluări prealabile a impactului asupra datelor personale
- lipsa unei consultări prealabile cu autoritatea națională de supraveghere (ANSPDCP)
- ponderea mică a corectitudinii algoritmului – conform criteriilor de atribuire a contractului menționate în Caietul de sarcini al achiziției, ponderea pentru „Eficacitatea algoritmului de căutare/comparare” este de doar 30%,
Toate aceste aspecte ne întăresc temerile că soluția informatică, așa cum este ea prezentată în Caietul de sarcini, va expune persoanele vizate unui risc iminent de încălcare a dreptului la viață privată.
Am solicitat o serie de clarificări[3] Autorității contractante însă răspunsul acesteia ne-a sugerat că în momentul conceperii Caietului de sarcini[4] nu au fost urmate etapele obligatorii conform legislației naționale. Subliniem faptul că ignorarea acestor aspecte în momentul conceperii cerințelor Caietului de sarcini, va avea inevitabil repercusiuni ireversibile asupra persoanelor vizate ce pot fi afectate de sistemul de recunoaștere facială.
În conformitate cu Art. 32 din Legea nr. 363/2018, precum și Decizia Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 174 din 18 octombrie 2018, autoritatea contractantă (Inspectoratul General al Poliției Române) avea obligația:
- realizării unei evaluări a impactului prelucrărilor de date (DPIA);
- consultarea prealabilă cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Autoritatea contractantă (Inspectoratul General al Poliției Române) nu a putut confirma existența acestei evaluări sau a îndeplinirii acestei obligații.
Conform art. 11 din Legea nr. 363/2018, adoptarea unei decizii întemeiate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce un efect juridic negativ pentru persoana vizată sau care o afectează în mod semnificativ este interzisă, cu excepţia cazului în care prelucrarea este reglementată expres de lege, fiind prevăzute garanţii adecvate pentru drepturile şi libertăţile persoanei vizate, inclusiv dreptul de a obţine intervenţia umană din partea operatorului. Autoritatea contractantă nu a indicat existența unei reglementări exprese de lege care să vizeze utilizarea de sisteme de recunoaștere faciala și nici garanţii adecvate pentru drepturile şi libertăţile persoanei vizate.
Am solicitat cerințele Autorității contractante cu privire la funcționalitățile sistemului de recunoaștere facială care vor asigura respectarea prevederilor art. 13 şi art. 16-21 din Legea nr. 363/2018. Autoritatea contractanta nu a indicat asemenea cerințe în documentația achiziției.
Conform dispozițiilor art. 25 al Regulamentului General privind Protecţia Datelor (Regulamentul UE 679/2016) prin care se instituie obligativitatea asigurării protecţiei datelor începând cu momentul conceperii (“privacy by design”) și pe toata durata de viață a sistemului (“privacy by default”), autoritatea contractantă avea obligația de a institui măsuri tehnice şi organizatorice adecvate încă din momentul elaborării Caietului de sarcini al procedurii în cauză. Autoritatea contractantă nu a indicat asemenea cerințe cuprinse în documentația achiziției.
Conform dispozițiilor art. 33 din Legea nr. 363/2018, atunci când discutăm despre utilizarea de noi tehnologii, mecanisme sau proceduri care implică un risc ridicat la adresa drepturilor şi libertăţilor persoanelor vizate, este necesară consultarea autorității naționale de Supraveghere. Autoritatea contractanta nu a indicat existența unei consultări cu autoritatea de supraveghere.
Conform art. 49 din Legea nr. 363/2018, interoperabilizarea sistemelor de evidenţă a datelor cu caracter personal este posibilă numai cu consultarea prealabilă a autorităţii de supraveghere. Autoritatea contractantă nu a putut indica existenta unei consultări cu autoritatea de supraveghere.
Subliniem faptul că Autoritatea contractantă nu a oferit solicitărilor noastre răspunsuri clare și complete așa cum impune legea achizițiilor publice, practic refuzând să ne răspundă, invocând faptul că solicitările noastre nu vizează aspecte de ordin tehnic. Ori, din punctul nostru de vedere, măsuri tehnice şi organizatorice adecvate pe care implementarea unui asemenea sistem le implica, vizează tocmai aspecte de ordin tehnic.
Mai mult, Autoritatea contractantă menționează în răspunsul la solicitările de clarificări[5] că „După finalizarea contractului și semnarea procesului verbal de recepție fără obiecțiuni, înainte de trecerea în producție a sistemului, IGPR va respecta toate normele și prevederile legale în vigoare”. Din analiza modului de exprimare, înțelegem că IGPR va achiziționa tehnologia de recunoaștere facială fără respectarea cerințelor legale în vigoare, urmând să își asume respectarea legislației în etapa subsecventa de punere în funcțiune. O astfel de abordare ne arată că este foarte puțin probabil ca un sistem funcțional să respecte legislația în vigoare atâta timp cât la momentul achizitiei măsurile tehnice şi organizatorice adecvate impuse de legislația în vigoare au fost omise în momentul întocmirii Caietului de sarcini al achiziției.
Riscurile asociate sistemelor de recunoașterea facială
Câteva dintre riscurile asociate acestui tip de prelucrari:
- false potriviri – identificarea eronată a persoanelor;
- discriminare – sistemele de recunoaștere facială au o eficiență mult mai redusă în cazul persoanelor BME (Black Male Adult), a femeilor, dar mai ales a copiilor. Aceste erori creează și consolidează categoriile discriminate pe baza genului și rasei, cu efecte negative din punct de vedere social;
- abuzuri – fără existența unor reglementări clare privind condițiile de utilizare ale unui asemenea sistem, utilizarea abuzivă a acestuia este foarte probabilă;
- schimbarea comportamentului – va determina schimbarea comportamentului persoanelor pentru a se conforma comportamentului general acceptat de societate. Persoanele se vor teme să participe la anumite tipuri de evenimente de teama de a nu fi asociați unei numite categorii de persoane (evenimente sportive, concerte, manifestații publice etc.).
Prevederile legislației europene
În conformitate cu prevederile art. 9 alin. (1) din Directiva 680, operațiunilor de prelucrare automatomată pentru identificarea unică a persoanei fizice, cu generarea unor decizii individuale automatizate care pot genera efecte juridice negative pentru subiecții de date, în vederea combaterii și elucidării cazurilor asociate furtului de identitate, a documentelor pierdute, identificarea suspecților care comit sau intenționează fapte de natură penală (terorism, infracțiune cu violentă etc.) nu le sunt opozabile cerințele Regulamentului general privind protecția datelor (GDPR), în măsura în care datele colectate în scopurile enunțate nu vor fi prelucrate în alte scopuri decât cele care cad sub incidența Regulamentului.
Chiar dacă cerințele Directivei 680 nu au aplicabilitate directă pentru statele membre cum ar fi în cazul GDPR, pentru asigurarea respectării dreptului la viața privată în legătură cu prelucrarea datelor cu caracter personal în sectorul polițienesc aceste trebuințe reprezintă un imperativ.
În acest sens, art. 10 din Directiva 680/2016 stabilește expres și fără drept de interpretare că: prelucrarea datelor genetice, prelucrarea datelor biometrice pentru identificarea unică a unei persoane fizice […..] este autorizată numai atunci când este strict necesară și sub rezerva unor garanții adecvate pentru drepturile și libertățile persoanei vizate și numai atunci când este autorizată de dreptul Uniunii sau de dreptul intern
Pentru a putea aprecia caracterul conform al acestei achiziții ale IGPR, se impun următoarele întrebări:
- 12-18, cum se vor respecta drepturile persoanelor vizate și în ce măsură vor fi asigurate/restrânse, inclusiv perioada pentru care nu vor fi informați;
- 22, care sunt măsurile organizatorice și tehnice puse în aplicare de către persoana împuternicită, care aparent este de drept privat;
- 24, care este actul normativ care stabilește condițiile de evidență a prelucrărilor de date în special care s-ar referi la: destinatarii datelor, categoriilor de persoane vizate, eventualul transfer către o țară terță, temeiul juridic al prelucrării, termenul limită pentru ștergere a datelor, măsurile generale tehnice de securitate asigurate.
- 27, dacă a fost efectuat impactul asupra protecției datelor cu caracter personal înainte de a prelucra categoria specială de date prin intermediul dezvoltării unei noi tehnologii.
- 28, dacă în prealabil a fost consultată Autoritatea de supraveghere, inclusiv care a fost poziția acesteia pe caz, cu specificarea aspectelor esențiale;
- 36-37, dacă se va efectua transferul către țări terțe și care vor fi situațiile opozabile;
- 41, care este Autoritatea responsabilă de asigurarea protecției datelor cu caracter personal în cazul unor astfel de operațiuni de prelucrare a datelor și care sunt competențele efective ale acesteia.
De menționat că, așa cum opinează CEDO în numeroasele sale hotărâri, simplul fapt al colectării și înregistrării de către o autoritate publică a datelor cu caracter personal ale unei persoane vizate – reprezintă o ingerință în viața privată, care poate avea loc doar dacă este prevăzută de LEGE și este necesară într-un stat democratic.
Alte aspecte pe care nu pot fi ignorate:
- Conform criteriilor de atribuire a contractului menționate în Caietul de sarcini al achiziției, ponderea pentru „Eficacitatea algoritmului de căutare/comparare” este de doar 30%, fiind pe aceeași treaptă cu prețul ofertei, restul factorilor de evaluare vizând caracteristici hardware care nu afectează acuratețea funcționarii software-ului de recunoaștere facială;
- De asemenea, un alt aspect ingrijorator este lipsa cerințelor privind demonstrarea capacității tehnice și profesionale a ofertantului. Prin urmare, operatorii care vor depune o oferta nu vor trebui să dovedească că dețin experiență în implementarea unei soluții similare sau măcar faptul că personalul care se va ocupa de instalarea sistemului și/sau instruirea personalului autorității contractante este calificat și deține experiență specifică în astfel de proiecte;
- Conform cerințelor Caietului de sarcini, sistemul de recunoaștere facială va putea efectua căutări/verificări/comparații ale imaginilor faciale din bazele de date ale poliției asociindu-le cu cele provenite de la CCTV, webcam, telefoane mobile, rețele sociale, camere ATM. O monitorizare care integrează toate aceste sisteme care colectează date faciale, care poate surprinde persoanele în mediul public, dar și din cel privat, este extrem de invazivă în viața privată a indivizilor. Este o prelucrare disproporționată față de beneficiile teoretice pe care acest sistem le propune, teoretice deoarece aceasta tehnologie este încă în curs de dezvoltare și pentru moment acesta rămâne nesigură.
Exemple privind implementarea sistemelor de recunoaștere facială
- Utilizarea de către Poliția South Wales (Marea Britanie) a tehnologiei automate de recunoaștere facială pentru prevenirea infracțiunilor
Sistemul a fost contestat, iar judecătorii au decis[6] că, deși utilizarea unui sistem de recunoaștere facială automată constituie o ingerință în dreptul la viață privată, există o bază legală pentru aceasta, iar garanțiile oferite de poliție privind respectarea drepturilor şi libertăților persoanelor vizate au fost proporționale.
În urma acestei decizii ICO, autoritatea de supraveghere din Marea Britanie a declarat[7] că „Între timp, orice forțe de poliție sau organizații private care utilizează aceste sisteme ar trebui să fie conștiente de faptul că legislația și ghidurile privind protecția datelor încă se aplică.” a declarat ICO.
- Utilizarea de către Poliția Metropolitana Londoneza (Marea Britanie) a tehnologiei automate de recunoaștere facială pentru prevenirea infracțiunilor
Poliția Metropolitană din Londra a testat în perioada august 2016 – iulie 2018 un sistem de recunoaștere facială. Conform datelor făcute publice de poliția londoneză[8], în perioada de testare a sistemului au fost declanșate 104 alerte din care 102 s-au dovedit a fi eronate, în timp ce doar două au fost confirmate. Asta înseamnă o rată a falselor potriviri de peste 98 %.
Scenarii de risc asociate achiziției:
- Sistemul nu va putea funcționa din cauza lipsei măsurilor tehnice şi organizatorice adecvate impuse de legislația în vigoare. Cu alte cuvinte, bani aruncați pe fereastră.
- Sistemul nu va funcționa în mod legal, iar toate persoanele care vor fi identificate de acest sistem vor putea contesta în instanță legalitatea acestuia.
- Persoane supuse acestui tip de monitorizare în masa vor face plângere împotriva utilizării acestui sistem invocând încălcarea drepturilor și libertăților acestora;
- Falsele potriviri vor genera neîncrederea românilor în eficacitatea acestui sistem, scăzând astfel și mai mult încrederea în capacitatea Poliției Române de a asigura un grad adecvat de siguranță.
Opinăm că implementarea unui asemenea tip de tehnologie trebuie sa fie ferm reglementat și supus unui control strict pentru a se evita eventuale utilizări abuzive sau care ar avea ca efect încălcarea drepturilor și libertăților persoanelor vizate și totodată scăderea încrederii populației în instituția Poliției Române, al cărei slogan vi-l amintim: „Siguranță și încredere”.
Pentru conformitatea soluției tehnice solicităm analiza următoarele acțiuni propuse:
- anularea procedurii de achiziție în cauză;
- identificarea sau elaborarea unui cadru legal care să reglementeze expres un astfel de sistem de monitorizare în masă;
- efectuarea unei evaluări a impactului prelucrărilor de date pentru acest tip de prelucrare;
- consultarea societății civile cu privire la utilizarea unui sistem de recunoaștere facială;
- consultarea autorității cu privire la rezultatul evaluării impactului prelucrărilor pentru a stabili împreuna cu aceasta măsurile corespunzătoare care vor fi instituite pentru protejarea drepturilor, a libertăţilor şi a intereselor legitime ale persoanei vizate;
- redactarea unui nou Caiet de sarcini care să cuprindă cerințe exprese privind măsurile tehnice și organizatorice pe care sistemul trebuie sa le cuprindă încă din momentul conceperii;
- stabilirea la cel puțin 70% a ponderii criteriului de selectie privind „Eficacitatea algoritmului de căutare/comparare”, acesta fiind de departe cel mai important aspect al acestui sistem;
- impunerea de criterii de selecție în ceea ce privește demonstrarea capacității tehnice și profesionale prin solicitarea demonstrării existenței unei experiențe similare prin implementarea unui sistem similar și solicitarea de recomandări emise de beneficiari, precum și solicitarea dovezilor privind deținerea unui specialist în data privacy care va asista pe toată perioada de implementare a sistemului și a trainingului personalului autorității contractante.
Semnatari:
Asociația Specialiștilor în Confidențialitate și Protecția Datelor (www.ascpd.ro)
Marius Dumitrescu, Președinte |
|
Asociatia pentru Tehnologie si Internet – ApTI (www.apti.ro)
Bogdan Manolea, Director Executiv |
|
Asociația pentru Protecția Vieții Private (www.privacy.md)
Sergiu Bozianu, Președinte |
|
Asociația pentru Respectarea Drepturilor Omului (www.ardom.ro)
Maria Pop, Președinte |
[1] http://sicap-prod.e-licitatie.ro/pub/notices/c-notice/v2/view/100069755?fbclid=IwAR2R8so4QmYTLdHr1Abfx2FlE0Oecunc04_rbKtdSaF_gaPFReNbJjHHYX4
[2] https://www.politiaromana.ro/ro/stiri-si-media/comunicate/proiect-european-implementat-de-politia-romana
[3] https://ascpd.ro/wp-content/uploads/2019/09/solicitare.pdf
[4] https://ascpd.ro/wp-content/uploads/2019/09/licitatie-recunoastere-faciala.rar
[5] https://ascpd.ro/wp-content/uploads/2019/09/Raspunsuri-clarificari-semnat.pdf
[6] https://www.judiciary.uk/judgments/r-v-the-chief-constable-of-south-wales-police-and-others/
[7] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/09/statement-high-court-judgement-frt-south-wales-police/
[8] https://www.met.police.uk/SysSiteAssets/foi-media/metropolitan-police/disclosure_2018/april_2018/information-rights-unit—mps-policies-on-automated-facial-recognition-afr-technology