duminică, 19 februarie 2017

datele personale si ROTLD

 

Săptămâna aceasta a avut loc o mică agitație legată de transmiterea bazelor de date cu proprietarii domeniilor .RO către ANAF. A început cu o contestare și s-a încheiat repede după voia ANAF. Pentru cine citește cu atenție este decelabil faptul că finalul nu a fost decis în baza unui raționament juridic ci a unei evaluări de priorități. Cazul nu este unic, mai întotdeauna se întâmpla așa, totul de datorează faptului că avem prevederi legale contradictorii – în literă și spirit – și inaplicabile în practica de astăzi.

 

Legislația privind protecția datelor personale își revendică originile din două culturi și angoase diferite: teama de guvern (SUA) și teama de marile corporații (EU). Ea a apărut ca urmare a presiunilor societății civile într-o adversitate cu mediul economic și guvernamental, astăzi nu prea există dialogul necesar între aceștia. Chiar și în Comisia Europeană directoratele (echivalentele ministerelor) evită să interacționeze cu Grupul Art.29 (cei care fac politicile CE în domeniu) și să lămurească cazuri practice. În viața reală din păcate totul cade pe umerii conducerii instituției care este lăsată singură în fața unei decizii imposibile.

Cazul ICI este un bun exemplu. Avem dorința legitimă a ANAF de a combate evaziunea fiscală (în alte cazuri avem dorința de a implementa principiul Once Only – să nu trebuiască să mai declari o informație deținută de o altă instituție publică  sau chiar dorința unui grad 5 de sofisticare – să te anunțe administrația când trebuie să interacționezi cu ea) care, astăzi, implică utilizarea unor tehnologii moderne de tip big data pentru corelarea cu alte date și direcționarea optimă a eforturilor. Avem ICI cu o bază de date referitoare la persoane care au înregistrat domenii .RO însă acestea pot fi și cetățeni străini. Ca străin a deține un domeniu .RO nu te califică automat ca fiind contribuabil deoarece nu este implicită rezidența fiscală sau activitatea comercială pe teritoriul României.

Legea 677/2001 (de protecție a datelor personale) permite transferul datelor doar pentru cetățenii care sunt sub incidența misiunii ANAF deci ICI ar trebui să filtreze corespunzător lista – lucru evident imposibil. Aceasta ar fi prima mare problemă a legislației actuale – pune toată responsabilitatea pe umerii instituției care furnizează datele – un lucru injust și inaplicabil. În viața reală am întâlnit situații în care instituția sursă – pentru a asigura trasabilitatea prelucrării datelor – solicită ca interogarea datelor să se facă pe login-uri distincte, aferente fiecărui angajat implicat din instituția primitoare de date – un coșmar logistic ca să nu zic o imposibilitate tehnică pentru acele tehnologii care implică o copie locală.

O a doua mare problemă este obligativitatea legală de a informa persoana căreia i-au fost prelucrate datele deoarece nu este clar sub ce formă poate avea loc această informare. Varianta basic implică o scrisoare recomandată, pentru orice altceva mai modern (email, website) șeful instituției riscă personal.

O a treia problemă este cea originară – cadrul legal este perceput ca fiind absolut și nu rezultatul unui compromis. În consecință ANSPCDP evită să se pronunțe ex-ante dar ulterior intervine spectaculos și arbitrar dând amenzi și comunicate de presă.

Astfel am ajuns în situația în care exact instituțiile de care s-ar teme unii cetățeni – SRI, DNA, ANAF – în general obțin tot ce este tehnic disponibil  reușind să fructifice în fața conducătorilor de instituții legislația specifică și prestigiul instituțional dar schimbul general de informații între instituții (ceea ce presa numește interoperabilitatea bazelor de date) nu funcționează spre nefericirea marii mase a cetățenilor.

Ce este de făcut ? În opinia mea ar trebui să:

  • clarificăm normele legale astfel încât obligația de informare să poată fi îndeplinită electronic – pe un site dedicat, iar trasabilitatea să fie în răspunderea exclusivă a fiecărei instituții consumatoare de date împreună cu răspunderea referitoare la modul specific în care au fost utilizate
  • să construim un hub / API proxi prin care să treacă toate apelurile între instituții. Acesta ar trebui să execute informarea (web) cetățenilor cu privire la datele lor care au apărut într-un schimb dintre instituții. Tot acest sistem ar trebui să permită unui cetățean să seteze o permisiune pentru instituția X să ia de la Y tot ce are despre el. Sau pur și simplu să spună: doresc ca o dată despre mine să fie disponibilă oricărei alte instituții publice implementând de facto principiul Once Only.
  • să construim o platformă unică de big data / BI guvernamentală, eventual prin preluarea celei de la SRI. Aceasta ar urma să conțină copii ale datelor din instituții publice și un sistem puternic de partiționare care ar permite următoarele scenarii:
  1. instituția face BI pe datele proprii – avem un beneficiu economic, nu mai investim in BD/BI pentru fiecare instituție în parte
  2. instituția face BI pe datele proprii și pe datele puse la dispoziția sa prin efectul legii sau acordul cetățenilor – nu mai este nevoie de replicarea datelor in fiecare instituție care le utilizează, decizia în privința legalității prelucrării este implementată la nivel de infrastructură
  3. instituția face BI pe datele care îi sunt accesibile folosind și date anonimizate. Este cel mai important beneficiu și merită explicat practic … În cazul de astăzi ICI pentru a furniza doar contribuabili către ANAF ar trebui să-i identifice respectiv să obțină de la DPABD o copie a bazei de date cu rezidenți – evident este imposibil și intrăm într-un cerc vicios. ICI ar avea nevoie de această listă la nivel de CNP pentru a face intersectarea cu datele proprii. Însă în variantă unui BI centralizat poate pune o condiție de tipul acesta fără a avea acces la datele primare platforma fiind cea care răspunde boolean printr-o funcție ale cărei date și algoritmi sunt opace ICI. Trebuie reținut că principiile actuale fac diferența între datele ”în tranzit” și cele stocate așadar o astfel de platformă s-ar încadra îndeajuns în prevederile legale actuale iar în privința celei viitoare se încadrează în noțiunea de ”operator asociat”

Ce se va întâmpla dacă nu facem nimic ? În 25 Mai 2018 vom închide administrația sau ne vom pregăti de infringement pentru că devine obligatoriu Regulamentul 679 care cere ca în fiecare instituție publică să existe un ”responsabil cu protecția datelor” iar acesta  nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini. Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Mergând pe modelul actualei ANSPCDP această persoană va interpreta probabil maximal protocoalele și schimburile de date existente punând sub semnul întrebării legalitatea acestora. Cu alte cuvinte translatăm problema de la un nivel sporadic spre o realitate în fiecare instituție publică.

Niciun comentariu:

Trimiteți un comentariu