aproape deloc despre GDPR

În avalanșa de emailuri din data de 25 Mai am găsit unul care m-a bucurat și, culmea, nu pare a avea legătură cu GDPR. Sau poate are ? Pasajul relevant este:

Asociația de Plăți Electronice din Romania (APERO) se alătură proiectului Digitax în calitate de Public Endorser. Astfel, membrii APERO (16 bănci, Visa si Mastercard, procesatori și integratori de plăți) vor putea participa în cadrul proiectului fiecare pe domeniul sau de activitate și ariile sale de competență. 

iar emailul este newsletterul trimis de Digitax Online Public Services srl pentru promovarea proiectului digitax. Dacă pe parcursul anului 2017 a existat o oarecare confuzie cu privire la paternitatea APERO față de acest proiect iată că acesta între timp a crescut și nu mai este nevoie, poate merge pe propriile picioare. Este proiectul personal al lui George Anghel cel care este pentru APERO directorul executiv responsabil cu managementul proiectului ghiseul.ro.

DESI 2018

Este raportul Comisiei Europene cu privire la starea societății informaționale Românești din anul 2017. Dacă este să privesc spre trecut, mă bucură locul 10 în EU cu privire la Open Data și nu pot decât să-mi doresc ca cei care au preluat subiectul să-l crească sau măcar să-l mențină.

Pentru viitor mă bucură mai mult acest pasaj – singurul subiect evidențiat grafic în zona de e-guvernare.

Prin ” În plus, un astfel de sistem ar reduce semnificativ sarcinile administrative, cum ar fi costurile suplimentare suportate în prezent pentru utilizare diferitelor scheme de certificare a semnăturii electronice.” primim practic susținerea CE în fața acuzației că CEI afectează piața privată sau nu este îndeajuns de sigur pentru interacțiunea cu administrația.

eIDAS #16 - AmCham

Astăzi am avut onoarea de a susține proiectul de lege CEI în fața comitetului IT al AmCham – camera de comerț americană. Am ajuns să am această întâlnire destul de greu, motivat fiind de opinia AmCham cu privire le proiectul de lege făcut de MCSI pentru semnătura electronică. După ani de zile de cereri pentru înființarea poziției de CIO guvernamental, în aceasta, AmCham critică rolul CIO de a stabili modalitățile de autentificare în platformele publice și cere ca această decizie să aparțină MCSI ! (Art.32)

M-am hotărât deci să fiu și eu ofensiv, în definitiv advocacy-ul se poate face în ambele direcții. În ora avută la dispoziție am încercat, folosind această prezentare, să arăt că echivalarea cu semnătura olografă nu este atât de semnificativă cât timp semnătura olografă este mai degrabă un atavism, o tradiție ruptă de societatea tehnologică de astăzi.

UTI fiind membru iar deciziile fiind luate prin consens nu mă aștept la o susținere concretă din partea AmCham, sper însă că m-am asigurat împotriva unei luări de poziție contrare CEI. Am vorbit și despre Legea Arhivelor și beneficiile proiectului pentru documentele electronice însă nu a fost timp și pentru prezentarea pregătită.

Ceață la răscruce

Zilele acestea sunt importante pentru cloud-ul guvernamental, s-a ajuns la momentul unei decizii dificile. Sunt 50 mil euro disponibile unui parteneriat compus din MCSI, AADR și STS.

Așa se împarte ultimul miliard de euro cheltuit de mediul public după calculele Consiliului Concurenței. La fel cum începi o casă construind fundația la fel și evenimentele de viață ar trebui realizate în cloud iar pentru aceasta cloud-ul ar trebui să existe sau măcar să existe specificațiile sale tehnice. După cum am mai povestit proiectul eGOV dedicat evenimentelor de viață este demarat de 2 ani, fără a se baza pe cloud. Toamna trecută brusc cloud-ul a devenit o prioritate la nivel înalt, a fost adus Robert pentru a se ocupa de acesta iar eu am fost întors din drumul spre mediul privat pentru a-l ajuta în acest demers.

CIO Conference–lămuriri pe GDPR și cybersecurity

Deși nu mai am o calitate oficială am avut onoarea de a fi invitat la conferința CIO Council 2018 – mulțumesc Yugo !. A fost dedicată zonei de AI și automatizări de procese, subiecte interesante dar poate prea vizionare pentru problemele celor din sală.

Gattaca II

Scriam în primul post despre modul în care interzicerea prelucrării datelor biometrice, genetice și medicale este combătută cu argumente false de către opoziție și totodată o măsură prea brutală – ar trebui ca fiecare industrie/caz să aibă reglementări specifice. La comisia ITC prevederea a fost menținută, la Juridică amendată însă este interesantă relatarea discuțiilor din comisia IT.

În primul rând, surprize – surprize, inițiatorul legii nu s-a prezentat să o susțină după cum este cutuma. Evident acest rol a fost jucat de ANSPDCP care iată cum a răspuns problemelor ridicate:

În continuare domnul președinte Cătălin Drulă a dat cuvântul reprezentanților Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) pentru a-și prezenta punctul de vedere cu privire la opiniile formulate de invitați. Reprezentanții ANSPDCP au precizat că art.9 alin.(4) din Regulamentul (UE) 2016/679 prevede că ”statele membre pot menține sau introduce condiții suplimentare, inclusiv restricții, în ceea ce privește prelucrarea de date genetice, date biometrice sau date privind sănătatea”. Inițiatorii propunerii legislative au propus ca prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, să fie interzisă numai în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri cu excepţia prelucrărilor efectuate de către sau sub controlul autorităţilor publice, în limitele puterilor ce le sunt conferite prin lege şi în condiţiile stabilite de legile speciale care reglementează aceste materii, care să prevadă şi garanţii adecvate pentru persoana vizată. Clinicile medicale private funcționează sub controlul Ministerului Sănătății și nu sunt afectate de prevederile legii. Autentificarea cu amprenta a dispozitivelor nu intră sub incidența acestei prevederi. Cu privire la aplicarea de sancțiuni discriminatorii între autoritățile publice și entitățile private, reprezentanții ANSPDCP au precizat că amenzile nu au fost stabilite de ANSPDCP și că este la latitudinea legiuitorului să stabilească cuantumul amenzilor.

Reproșez ANSPDCP faptul că nu a ieșit cu precizările bolduite încă din primul moment al contestării publice. Atunci când avem o societate prea puțin aplecată spre discuții serioase cu privire la mersul cetății a o trimite după ținte false este o irosire contraproductivă.

Scapă cine poate !

Există un subiect care m-a preocupat constant, care mi-a prilejuit de la mici și nevinovate întrebări publice până la valuri interne și supărări instituționale la adresa mea. Este una dintre rarele ocazii în care nu am o soluție, recunosc dificultatea problemei și nu-mi doresc decât ca aceasta să fie discutată într-un cadru relevant prin nivel și diversitate de reprezentare. În 2016 cumva această discuție am stârnit-o, nu am participat la ea, dar observând evoluția ulterioară cred că atunci nu s-a ajuns la o concluzie. Astăzi însă pare că da !

Astăzi îmi reamintesc de ea două documente aflate în dezbatere publică: transpunerea Directivei NIS și Ghidul Acţiunea 2.3.2 – Asigurarea securității cibernetice a sistemelor TIC și a rețelelor informatice.

Este vorba de securitatea cibernetică. Devine din ce în ce mai importantă, mai complicată, mai pretențioasă tehnologic. La modul general un sistem robust de securitate cibernetică este compus în principal din device-uri specializate care scanează traficul și comportamentul integrate într-un punct de comandă central care detectează obiectiv sau statistic comportamente anormale, atacuri. Acest centru poate seta dinamic device-urile să observe mai atent anumite aspecte și eventual să le blocheze.  Dincolo de această foarte simplistă descriere este important de înțeles că, prin definiție, cybersecurity și privacy sunt antonime. Pentru a evalua traficul echipamentul de securitate trebuie să poată să ajungă la esența acestuia trecând peste diversele modalități de criptare specifice fiecărei aplicații sau măcar să-l recunoască și să-l blocheze. Nu este o noutate, și pe calculatoarele personale programul de antivirus are unul dintre cele mai ridicate nivele de drepturi de acces.

Problema vine din apetența angajaților de a utiliza infrastructura și pentru chestiuni private iar un astfel de device va ajunge să procesez și astfel de trafic. Avem onoarea de a sparge gheața europeană cu cazul Bogdan Bărbulescu vs Angajator de la CEDO. Esența cazului este dreptul angajatorului de a verifica respectarea de către angajat a obligației de a nu utiliza infrastructura pusă la dispoziție în scop personal. În primă instanță angajatorul a câstigat, în Marea Cameră a CEDO s-a decis însă că traficul nu poate fi scanat. Deși aceste device-uri pot ignora sau anonimiza acele date personale care nu sunt relevante pentru natura atacului totuși foarte repede s-ar ajunge la necesitatea de a accesa întreaga comunicare – cele mai evidente sunt cazurile de phishing.

Joaca cu GDPR-ul

În 8 Mai comisia ITC a CDEP a discutat pentru aviz PL-x nr. 232/2018 adică legea pentru aprobarea Ordonanţei de urgenţã a Guvernului nr.8/2018 privind reglementarea unor măsuri în domeniul sănătăţii. Anterior următorul articol mi-a atras atenția:

Gattaca de România

”A genetically inferior man assumes the identity of a superior one in order to pursue his lifelong dream of space travel.”

Da, anul este 1997 iar filmul este cu Ethan Hawke, Uma Thurman și Jude Law. Un blockbuster care ne învață că voința poate învinge slăbiciunile biologice identificate prin teste și computere. Și că omul trebuie să aibă o șansă în fața acestora, să-și dovedească valoarea. Există însă și celălaltă față a monedei, chiar IMDB notează la plot holes:

The man has a weak heart, and it nearly fails on him. His death would waste the entire mission, but this seems never to bother him.

În termeni actuali este vorba de profilarea genetică și biologică a personajului principal și, se pare, filmul este utopic pentru România întrucât proiectul de lege în completarea GDPR interzice acest lucru. Versiunea scurtă – este un foarte interesant subiect care ar putea genera o dezbatere politică de calitate în parlament, prilej de discursuri memorabile ce invocă percepte filozofice universale …

Nope !

La noi nu merge așa ! Hai să vedem scenariul localizat …