sâmbătă, 5 mai 2018

Gattaca de România


A genetically inferior man assumes the identity of a superior one in order to pursue his lifelong dream of space travel.

Da, anul este 1997 iar filmul este cu Ethan Hawke, Uma Thurman și Jude Law. Un blockbuster care ne învață că voința poate învinge slăbiciunile biologice identificate prin teste și computere. Și că omul trebuie să aibă o șansă în fața acestora, să-și dovedească valoarea. Există însă și celălaltă față a monedei, chiar IMDB notează la plot holes:

The man has a weak heart, and it nearly fails on him. His death would waste the entire mission, but this seems never to bother him.

În termeni actuali este vorba de profilarea genetică și biologică a personajului principal și, se pare, filmul este utopic pentru România întrucât proiectul de lege în completarea GDPR interzice acest lucru. Versiunea scurtă – este un foarte interesant subiect care ar putea genera o dezbatere politică de calitate în parlament, prilej de discursuri memorabile ce invocă percepte filozofice universale …

Nope !

La noi nu merge așa ! Hai să vedem scenariul localizat …


ANSPDCP este instituția care păzește datele personale în România. Este sub autoritatea parlamentului care-și aduce aminte de ea doar când este de repartizat postul de președinte al acesteia dar nici atunci nu se compară cu reglementatorii de energie sau financiare. Sunt vreo 40 de oameni la Romană, în blocul făcut celebru de garsoniera OTV, care se zbat în condiții mizere slujind principii înalte. Natural, în timp, au ajuns să compenseze greutățile zilnice printr-un dogmatism imun la necesitățile societății moderne. Nu este de mirare că atunci când GDPR a obligat România să reglementeze câteva aspecte destinate deciziei naționale au ales versiunea hard-core, interzicând profilarea biometrică / medicală chiar și dacă există acceptul subiectului.

În vara anului trecut textul era cam gata fără a ridica obiecții pe această temă în grupul de lucru. Dacă îmi amintesc bine în grup exista MCSI dar nu și Min Economiei, așadar este greu de spus dacă acolo era momentul promovării intereselor companiilor. Apoi legea trebuia promovată de MAI (ANSPDCP poate aviza dar nu și iniția proiecte de legi), ministerul care este inițiatorul formal și pentru legea din 2001. MAI se miscă greu însă și cu propriile proiecte așa că, și nu este pentru prima dată, s-a recurs la accelerarea prin recurgerea la o inițiativă parlamentară (acestea nu au perioadă obligatorie de dezbatere publică) pentru ca legea să intre în vigoare până pe 25 Mai. De ce și-a asumat-o dna Carmen Dan nu pot să știu, poate că a regretat că MAI nu și-a făcut treaba sau poate că a vrut să intre în istorie cu o lege importantă. Sper că regretă acum, așa cum regret și eu văzând ce mecanisme a declanșat.

În primul rând trebuie lămurit ce este profilul, pentru că nu orice colecție de date este un profil. Este necesar și un mecanism (software) care să interpreteze datele și să intuiască comportamente viitoare ale subiectul – spre exemplu că va fi interesat de un anume subiect al unei reclame.

Lovitura de începere a fost dată de USR prin acest articol. Cele mai tari acuzații – interzicerea spitalelor private și a telefoanelor cu amprentă, toate legate direct de dna Dan. Am încercat să le explic în zona de comentarii că nu au interpretat corect legea dar nu au fost convinși – încă mai sunt surprins de modul în care mulți membri tineri ai USR reinventează populismul și minciuna politică sub acoperirea entuziasmului civic. Sunt scandalizat de ideea că, după ce aproape ne vaccinasem de versiunea 1.0 suntem pe cale să o luăm de la capăt cu 2.0. Apoi întră în concurs și PNL, exemplu elocvent aici, cu toate că subiectul apucase să fie discutat și ar fi trebuit să știe măcar că există și argumente divergente. Practic ni s-a făcut cu ochiul – orice este permis când este de dat în secretara lui Dragnea, eu însă nu gust astfel de abordări. Mi-aș dori respect și corectitudine din partea opoziției cu speranța că, ceva, ceva, va rămâne și când vor ajunge la putere.

Hai să combat însă prostia cu care ne amețesc urechile. Se interzice profilarea medicală/biometrică astfel:

Art. 3 pct. (1) prevede:
Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri este interzisă, cu excepția prelucrărilor efectuate de către sau sub controlul autorităților publice, în limitele puterilor ce le sunt conferite prin lege și in condițiile stabilite de legile speciale care reglementează aceste materii, care să prevadă și garanții adecvate pentru persoana vizată. Interdicția nu poate fi ridicată prin consimțământul persoanei vizate.

Ce spun combatanții – USR în acest citat:

Se interzice procesarea datelor privind sănătatea pentru crearea de profiluri, cu excepţia celor făcute de către autorităţile publice, indiferent dacă pacientul îşi dă acceptul sau nu. Spitalele private, asiguratorii privaţi de sănătate, medicii de familie creează profiluri de pacienţi pentru a-și desfășura activitatea. Mă întreb cum vor mai putea face acest lucru de la promulgarea legii.

De asemenea, se interzice procesarea datelor biometrice în scopul realizării unui proces decizional automat. Te autentifici pe propriul telefon prin amprentă? Ghinion! Nu vei mai putea face acest lucru, chiar dacă ai vrea să-ţi dai acordul. Mergi la serviciu unde ţi se permite accesul în clădire pe bază de amprentă? Ghinion

După declanșarea campaniei s-au alăturat din diverse motive și entități externe, spre exemplu prietenii de la APERO grabnic invocați de către combatanți. Însă, la rece, pozițiile sunt mai nuanțate – iată spre exemplu poziția comunicată in newsletterul APERO provenită de la o renumită firmă de avocatură - Wolf Theiss:

având în vedere că nici legislația europeană și nici cea locală nu precizează dacă autentificarea biometrică (Face ID, Typing DNA, Voice Recognition, etc) este sau nu parte din procesul decizional automatizat și/sau crearea automată de profiluri, interdicția prelucrării datelor biometrice în forma propusă a Art. 3, respectiv, chiar și in prezența consimțământului persoanei vizate și a adoptării unor măsuri de securitate adecvate pentru protejarea datelor, poate conduce în viitor la interpretări eronate ale instanțelor de judecată cu efecte semnificative asupra acestor modalități de autentificare, din ce in ce mai prezente în implementările de platforme digitale din cadrul UE.

Vă rog să-mi prezentați acel avocat care susține că o acțiune este 100% fără un risc legal – nu cred să existe ! Însă de la ”Ghinion! Nu vei mai putea face acest lucru” la ”poate conduce în viitor la interpretări eronate ale instanțelor” este exact distanța de la ”strict interzis” la ”s-ar putea să ai probleme chiar dacă n-ai făcut nimic ilegal”. Iar opinia avocaților face referire la cu totul altă speță – cea în care dispozitivul și aplicația biometrică sunt proprietatea și în operarea unui terț. Telefonul mobil este utilizat de noi fiind o extensie a noastră iar datele biometrice nu-l părăsesc niciodată, nu ajung la un terț care să le prelucreze.

Să luăm un exemplu mai simplu, medical. Să discutăm o aplicație în care sunt introduși parametrii biologici (temperatură, nivel hormoni, etc.) și calculează momentul maxim de fertilitate. Dacă aplicația rulează pe telefonul propriu este ok pentru că noi suntem operatorul de date, ar putea fi discutabilă utilizarea ei într-o clinică medicală. Spun discutabilă pentru cazul în care prelucrarea ar fi pur automată, fără un doctor care să interpreteze / ofere sfaturi.

Să luăm cazul asigurărilor private de viață sau medicale. Pentru anumite cazuri / sume asigurate compania de asigurări astăzi cere să aduci la momentul contractării analize medicale ba chiar uneori cere să accepți să trimită pe cineva care să-ți evalueze dosarul medical de la spital/medic de familie. În viitor, odată cu generalizarea DES s-ar putea să ți se ceară acces la acesta, evident accesul va fi automat. Iar dacă accesul este permanent poate că un AI va sesiza o proaspătă investigație cu rezultate proaste și-ți va mări automat prima de asigurare. De abia aici discuția devine interesantă putând fi legată de ”risk pools” și controversele Obamacare, este însă  cazul să o tranșăm prin protecția datelor personale ?

Îmi este teamă însă că barbarismul ”se vor interzice telefoanele cu amprentă” nu ascunde o minte luminată doritoare a prevenii viitoare pericole pe care noi nici nu le intuim ci este o simplă luptă în noroi în care suntem târâți și noi neavând de unde alege.

Niciun comentariu:

Trimiteți un comentariu