Adevărul despre jurnalizarea datelor

 Și astăzi am auzit o foarte laxă amestecare de idei în privința avantajelor aduse de cloudul guvernamental prin jurnalizarea accesului la date .

În realitate există mai multe tipuri de jurnalizare, destul de diferite încât să nu fie corecte afirmații generalizatoare.

Așadar, de anul trecut, am început să vorbim de aceste tipuri de jurnalizare:

Jurnalizarea în platforma de interoperabilitate PNI – L242/2022

Este efectuată de ADR , în beneficiul administratorului registrului de date și titularului datelor. Se referă la acele operațiuni efectuate prin intermediul PNI de tip colectarea, accesarea, modificarea, combinarea, dezvăluirea, reutilizarea sau ștergerea datelor cu caracter personal, scopurile prelucrării și temeiul legal în baza căruia au fost accesate datele. Art.20 (3) impune ca „transferul” datelor să fie sub „formă criptată”.

Are următoarele slăbiciuni:

• se referă doar la datele dintr-un Registru Național
• nu sunt monitorizate operațiunile care nu sunt făcute prin PNI, precum cele interne instituției sau cele bazate pe un protocol direct de colaborare.
• folosirea expresiei „titularului datelor”, în locul celei de „persoană vizată” consacrată de GDPR, poate induce ideea că cele două entități pot diferi, titularul fiind cel care are drept de dispoziție asupra datelor.
•  „forma criptată” este neclar impusă nivelului transport sau nivelului aplicație. La fel ca la API Gateway o criptare la nivel de aplicație va împiedica jurnalizarea.

Jurnalizarea în aplicațiile de cloud – HG Cloud Cap.VII

Este efectuată de instituția publică, în cadrul aplicațiilor sale de business. Rapoartele sunt prezentate „persoanei vizate” la cererea acesteia, sau prin intermediul aplicației de notificare a prelucrărilor de date cu caracter personal, este cuprins istoricul privind acțiunile asupra datelor cu caracter personal.

Are următoarele slăbiciuni:

• Cap. VII încă din titlu își limitează scopul doar la CPG. În articole, spre exemplu, Art.38 (1) (3) se mai vorbește și de „Platformă”, adică inclusiv aplicațiile găzduite în cloudul comercial. Fiecare înțelege ce vrea.
• Art.40 (3) vorbește despre „stabilirea frecvenței evenimentelor care trebuie să fie transferate de către USC ” așadar alimentarea jurnalului se va face într-un ritm arbitrar ales. Art.41 (1) spune că aplicația de notificări este „la dispoziția USC” adică respectiva instituție publică decide când și cum o folosește.
•  Artr.41 (3) obligă USC să asigure informarea corectă și nemijlocită, nu spune că aceasta ar trebui să fie „promptă” sau „din proprie inițiativă”.

Jurnalizarea în platforma CPG „API Gateway”  - HG Cloud

Este efectuată de ADR, datele personale sunt „tranzitate criptat” prin această platformă conform Art.24 3).

Are următoarele slăbiciuni:

• O aplicare ad-literam a criptării datelor personale impune și criptarea acestora când sunt parametrii în cadrul accesării unui serviciu API, prin urmare aceste interogări nu pot fi atașate de ADR unei persoane și deci nu vor exista rapoarte individuale de la această platformă.

Jurnalizarea accesului la datele din  PaaS și SaaS prin infrastructura de cloud

Operatorii de infrastructură STS și SRI întrețin doar loguri de activitate proprie, fără date personale, așadar nu pot genera rapoarte orientate spre o anume persoană vizată.

Concluzii

Singura jurnalizare credibilă este cea prevăzută ca și componentă obligatorie în cazul aplicațiilor instituțiilor publice. Aceasta însă nu are legătură cu platforma de cloud, CPG doar o deservește cu resurse de stocare și notificare.

Operatorul aplicației are posibilitatea de a submina jurnalizarea prin stabilirea unor intervale lungi la care se alimentează cu informații jurnalul și prin refuzul de a genera notificări, lucrând doar la cererea persoanei vizate.

Platforma de interoperabilitate și API Gateway, în esență foarte asemănătoare, au o acoperire limitată – există numeroase scenarii de manipulări de date care le ocolesc. În cazul în care datele vor fi criptate la nivel de payload, urmărirea activității din perspectiva unei anume persoane este imposibilă.

Operațiunile STS și SRI sunt la nivel de infrastructură și nu au granularitatea necesară în loguri și audit pentru a le raporta la o anume persoană.

Așadar jurnalizarea nu face, tehnic, parte din Platforma de Cloud, putea oricând fi impusă independent printr-o normă asemănătoare prevederilor adoptate azi.