Cu ceva vreme în urmă îmi ajungea la urechi o agitație din mediul comercial cum că MCSI va lansa un proiect de tip KYC cu o valoare de peste 20 milioane euro. Am încadrat suma la capitolul whish-full thinking și am ridicat din umeri neavând nimic de comentat pe subiect.
Până astăzi ... când avem primul punct de sprijin prin proiectul eCOM despre care am mai scris. Acesta introduce în planul de acțiuni:
Acțiunea 1.1.3 Întărirea capacității deținătorilor de platforme electronice de conformare cu obligațiile ”know your client”
cu termen de realizare 2021 și responsabili MCSI și ICI. Destul de ciudat, încadrarea este la
Măsura 1. Cadru instituțional întărit pe funcția de control și monitorizare
Sub-măsura 1.1: Identificarea și luarea măsurilor sancționatorii legale împotriva companiilor care fac evaziune fiscală în domeniul comerțului electronic
fără să existe în politica publică propusă o explicație despre rolul și necesitatea acestui sistem. Cum livrabilele acestui proiect nu au caracter obligatoriu - nu oferă nici o garanție că o să și întâmple, să considerăm totul ca fiind o ofertă din partea echipei MCSI.
Totuși ideea nu este deloc rea și merită discutat despre scopurile utile ale proiectului și cele mai bune moduri de a le atinge.
Know Your Customer (KYC) și Anti Money Laundering (AML) sunt cele mai cunoscute obligații de acest tip fiind ubicue in mediul bancar, reglementate fiind de legislație europeană. Există însă multe alte prevederi, europene și naționale, care reglementează comportamentul agentului economic în funcție de caracteristicile clientului. Spre exemplu GDPR impune vârsta minimă de 16 ani pentru un consimțământ valid, vânzarea de bilete subvenționate este condiționată de statutul de elev, etc. Aceste prevederi legale impun companiei să-i solicite clientului diverse tipuri de acte doveditoare, însă ce poate face o companiei cu activitate exclusiv online ?
Companiile online trebuie să aibă acces la un serviciu online și automat care să furnizeze informațiile necesare - în terminologia eIDAS ”atribute specifice” ( vârsta sau locul nașterii sunt deja dintre cele care vor fi furnizate de nodul eIDAS național). Însă nodul eIDAS nu este soluția completă, chiar dacă ar fi extins cu toate tipurile de date necesare întrucât acesta furnizează datele pe baza unei identificări cu nivel ridicat de încredere (certificate calificate) atât de rară în România încât nu poate acoperi clientela comerțului online.
Scenariul de utilizare ar trebui să fie cam așa: clientul care își deschide cont online într-un magazin primește un pop-up de logare la platforma guvernamentală (SAML) care îl întrebă apoi dacă este de acord să-i comunice magazinului că pentru adresa de email declarată acestuia sunt corecte atributele solicitate. Acest pop-up în mod ideal ar fi o autentificare pe nodul eIDAS însă realistă ar fi autentificarea pe ghișeul.ro și SPV. Deci platforma în discuție, dincolo de capacitatea de a extrage date personale din sistemele guvernamentale, trebuie să se bazeze pe identități electronice din cât mai multe sisteme guvernamentale.
Este autentificarea pe ghiseul.ro de un nivel de încredere adecvat pentru a deroba magazinul de răspunderea sa în fața unei legi specifice domeniului său ? O întrebare bună căreia MCSI este dator să-i dea răspunsul sau măcar să determine pronunțarea autorității competente.
Pentru ca platforma să livreze operativ datele este necesar ca, precum și la ghiseul.ro, acestea să fie provizionate/aduse în avans. Aceasta este o prelucrare de date care necesită o bază legală clară iar discuția acestui subiect ne va duce mai jos la o concluzie importantă.
În planul de acțiune această platformă apare ca fiind în responsabilitatea MCSI și ICI. Cum se vor împărți însă rolurile ? MCSI, despre care continui să cred că ar trebui să se preocupe exclusiv de legislație și politici publice, probabil își va asuma managementul proiectului în timp ce ICI va construi și opera platforma.
ICI însă nu este o instituție publică ! La fel ca SNR este în coordonarea MCSI prin intermediul unui Consiliu de Administrație, angajații săi nu depun declarații de avere, pe scurt au același statut legal precum un institut de cercetare privat. Astfel lista de temeiuri legale, din Art.6 GDPR, din care poate să-și invoce prelucrarea datelor personale, se reduce la consimțământ sau executarea unui contract. Cum nu este parte în contractul dintre comerciant și client iar datele trebuiesc aduse anterior identificării clientului, ambele variante cad.
Rămâne cealaltă abordare - Art.28 - în care ICI este persoană împuternicită de MCSI. Este o bază legală solidă, cea pe care operează, spre exemplu, operatorii de cloud comercial. Însă acest rol vine cu o descriere extinsă a condițiilor colaborării care, printre altele, lasă întreaga decizie în responsabilitatea operatorului (MCSI). Toate aceste condiții aferente statutului de împuternicit vin, în opinia mea, în contradicție cu statutul de partener în proiect (în terminologia fondurilor europene), statut care are susținere numai în scenariul unor operatori asociați (terminologie GDPR). Chiar și legislația aferentă achizițiilor publice ar cere ca pentru prestarea de servicii IT la cerere să se organizeze o selecție competitivă a furnizorului.
Problema diferenței dintre misiunea unei instituții și (in)activitatea sa raportată la aceasta nu este nouă însă este un subiect rezervat unui cerc restrâns. Odată cu apariția GDPR oricine îl poate folosi, fără costuri prohibitive și cu numeroase căi de escaladare, pentru a contesta astfel de aranjamente iar fondurile europene (CE, OLAF, etc) sunt sensibile la argumente bazate pe legislația UE.
Mi-am permis, în cadrul dezbaterii publice, să semnalez MCSI cele de mai sus. Nu am continuat prin a le spune că totul ar fi mult mai simplu dacă în locul ICI ar fi partener AADR - autoritate publică cu o bază legală GDPR mult mai solidă. Nu vreau să pară că subminez ICI în dorința de a-și definitiva data-center-ul și nici să-i agresez întrebându-i din ce bani vor plăti curentul consumat de acest nou proiect. Nici absorbția de fonduri europene pentru că nu știm valoarea estimată oficială a proiectului, cele 20 milioane de euro fiind un zvon umflat poate de 10x precum toate zvonurile :))
Niciun comentariu:
Trimiteți un comentariu