Camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare, camere ATM din România vor fi monitorizate de un sistem de recunoaștere facială. Controversele din jurul acestei tehnologii aflată încă în curs de maturizare riscă să stârnească îngrijorarea apărătorilor drepturilor și libertăților persoanelor din România.

Recunoașterea facială: Necesitate sau Oportunitate?

Inspectoratul General al Poliției Române a publicat de curând, în SICAP (Sistemul Electronic de Achiziții Publice), un anunț privind achiziționarea unei „Soluții informatice pentru recunoaștere facială + training”, în valoare de 4.779.008 lei.  

• Descarcă caietul de sarcini al licitației: Caiet de sarcini - sistem de recunoastere faciala

Scopul proiectului îl reprezintă operaționalizarea sistemului de identificare și recunoaștere facială NBIS (Național Biometric Identification System) și interconectarea acestuia cu autoritățile de aplicare a legii din Uniunea Europeană.

Prin implementarea acestei tehnologii, Poliția Română urmărește să crească gradul de combatere și elucidare a cazurilor asociate furtului de identitate, a documentelor pierdute sau furate, identificarea suspecților care comit sau intenționează să comită fapte de natură penală (terorism, infracțiuni cu violenta, etc.).

Poate că, având în vedere încărcătura emoțională cauzată de o serie de evenimente tragice care au determinat slăbirea încrederii românilor în eficiența Poliției Naționale, opinia publică ar înclina spre susținerea unui astfel de proiect, însă controversele asociate acestor sisteme ne obligă să fim cel puțin rezervați dacă nu chiar îngrijorați, așa că am răsfoit documentația căutând indicii care să ne demonteze îngrijorările, fără succes însă. 

Recunoașterea facială este plutoniul inteligenței artificiale

Intenția IGPR-ului de a achiziționa un asemenea sistem ne-a amintit de un articol semnat de Luke STARK (Cercetător Postdoctoral la Microsoft Research Montreal) și publicat de Association of Computing Machinery (ACM), întitulat „Facial recognition is the plutonium of AI”, descriind astfel toxicitatea folosirii sisteme care se bazează pe inteligență artificială.

STARK susține că sistemele de recunoaștere facială sunt periculoase, rasiale și au puține utilizări legitime. Prin urmare, astfel de sisteme au nevoie de reglementare și control strict precum deșeurile nucleare.

Comparația poate părea puțin exagerată însă am menționat acest articol pentru a sublinia încă din start existența controverselor la nivel internațional care planează asupra utilizării acestei tehnologii și a riscurilor asociate acesteia.

Toți locuitorii României vor putea fi monitorizați prin utilizarea sistemului de recunoașterea facială 

Conform documentației licitație, NBIS va oferi funcționalități de căutare/verificare/comparare a imaginilor faciale digitale din bazele de date existente, asociindu-le cu cele provenite din diferite surse cum ar fi CCTV (adică sisteme de monitorizare video), webcam, telefoane mobile, rețele de socializare, camere ATM, operațiuni în urma cărora va fi posibilă recunoașterea persoanelor.

Soluția de recunoaștere facială va trebui să poată executa căutări după o imagine „în litigiu” într-o bază de date de până la 2.000.000 de înregistrări, în maxim 5 secunde. Adică o baza de date care va putea cuprinde mai mult de 10% din toată populația României.

Poate ne grăbim cu concluziile însă interpretarea noastră referitor la sursele imaginilor asociate ar fi că Poliția Româna va avea acces la sistemele de monitorizare video, camerele video ale laptop-urilor, ale telefoanelor mobile ale bancomatelor dar și a rețelelor de socializare. Este oare Poliția Română pregătită să gestioneze eficient și în limitele legale un asemenea sistem, respectând totodată drepturile și libertățile persoanelor? 

Să ne imaginăm că în Piața Victoriei are loc un protest. Poliția va putea accesa înregistrările foto-video realizate de Jandarmerie, înregistrările CCTV, imaginile postate pe Facebook etc., iar prin utilizarea software-ului de identificare facială vor putea fi identificați toți participanții,  făcând astfel posibilă sancționarea lor. Sancționarea celor care se fac vinovați de comiterea unei infracțiuni ar putea fi justificată, dar ce garanții avem că această tehnologie nu va fi utilizată pentru a amenda toți participanții în încercarea de a-i descuraja să mai participe la astfel de evenimente. Situația în care s-a trezit bărbatului surdo-mut, amendat de Jandarmerie pentru că a „scandat lozinci” este cel mai bun exemplu. 

Eficacitatea sistemului de recunoaștere facială este importantă, dar nu prea..

Conform criteriilor de atribuire a contractului din caietul de sarcini al licitației menționate mai sus, ponderea pentru „Eficacitatea algoritmului de căutare/comparare” este de doar 30%, fiind pe aceeași treaptă cu prețul ofertei, Restul factorilor de evaluare vizând caracteristici hardware care nu afectează acuratețea funcționarii software-ului de recunoaștere faciala. 

Mai simplu spus, dacă un ofertant propune un sistem mai ieftin dar în același timp mai slab calitativ din punct de vedere al eficienței software-ului de recunoaștere facială, va avea șanse să câștige acest contract. Mind-blowing or not?

Un alt aspect care ne-a întărit îngrijorarea privind viabilitatea sistemului de recunoaștere faciala este faptul că Autoritatea nu a impus prin documentația achiziției cele mai utilizate condiții de participare atunci când sunt vizate proiecte de o asemenea amploare și sensibilitate: demonstrarea capacității tehnice și profesionale și situația economica și financiară a ofertantului. Prin urmare, operatorii care vor depune o oferta nu vor trebui să dovedească faptul că dețin resursele financiare suficiente pentru a duce la bun sfârșit un proiect de o asemenea amploare și importanță și nici nu vor trebui să dovedească că au experiență în implementarea unei soluții similare sau măcar că personalul care se va ocupa de instalarea sistemului este calificat și deține experiență specifică în astfel de proiecte. 

Dacă tot n-am inventat noi apa caldă, să analizăm rezultatele utilizării tehnologiei de recunoaștere facială în țările mai avansate dpdv tehnologic:

• Politia Metropolitana din Londra acuzată că a irosit banii publici

În perioada august 2016 - iulie 2018 poliția din Londra a testat un sistem de recunoaștere facială. Conform datelor făcute publice de poliția londoneză, în perioada de testare a sistemului au fost declanșate 104 alerte din care 102 s-au dovedit a fi eronate în timp ce doar două au fost confirmate.

Hannah Couchman, ofițer de politică la Liberty, a acuzat Scotland Yard că a lansat o „extindere înfiorătoare” a tehnologiei fără să se implice pe deplin cu problemele legate de discriminare și drepturile omului, relatează Independent.

„Recunoașterea facială este un instrument de supraveghere a masei care ne poate forța să ne schimbăm comportamentul și este cel puțin exact atunci când sunt folosite pentru a identifica femeile și persoanele BME (Black Male Adult) - ceea ce înseamnă că sunt mai susceptibile de a fi supuse unei opriri intruzive ale poliției în urma unei potriviri false“, a adăugat aceasta.

• San Francisco a interzis utilizarea tehnologiei de recunoaștere facială de către poliţie şi alte agenţii guvernamentale

În data de 14 mai 2019, orașul San Francisco, aflat de mult în centrul revoluției tehnologice, a luat o poziție împotriva potențialelor abuzuri, interzicând poliției și altor agenții să folosească software de recunoaștere facială.

Tehnologia emergentă nu va fi permisă de către agențiile locale, cum ar fi autoritatea de transport a orașului sau forțele de ordine. 

"Tendinţa tehnologiei de recunoaştere facială de a pune în pericol drepturile civile şi libertăţile civice contrabalansează semnificativ aşa-zisele sale beneficii", se spune în textul deciziei.

În plus, orice plan de cumpărare a oricărui tip de tehnologie de supraveghere trebuie să fie acum aprobat de administratorii orașului, relatează BBC.

"Cu acest vot, San Francisco a declarat că tehnologia de monitorizare a fețelor este incompatibilă cu o democrație sănătoasă și că rezidenții merită să aibă o voce în deciziile privind tehnologiile avansate de supraveghere", a declarat Matt Cagle, reprezentant al American Civil Liberties Union.

Somerville din Massachusetts și Oakland, California au urmat modelul orașului San Francisco.

• China folosește sistemul de recunoaștere facială pentru a profila minoritățile

Potrivit ziarului The New York Times (NYT), autorităţile chineze se folosesc de această tehnologie integrată în vaste reţele de camere de supraveghere în întreaga ţară, pentru a repera membri ai minorităţii musulmane, după ce a fost programată cu caracteristicile lor fizice, pentru a-i căuta doar pe aceştia. Acesta ar fi primul exemplu cunoscut al folosirii de către un guvern a inteligenţei artificiale (AI) cu scopul de a efectua un profilaj rasial.

dpo-NET.ro a publicat un articol despre prelucrarea excesivă a datelor sensibile care poate conduce la o dictatura digitală în care toți am fi captivi. Puteți accesa articolul aici. Documentarul ABC News (Australia) intitulat “Expunerea dictaturii distopice a Chinei | Corespondent străin“ poate fi vizionat la sfârșitul acestui articol. 

• Campania BanFacialRecognition în SUA

EPIC* împreună cu alte 30 de organizații solicită parlamentarilor americani să interzică utilizarea de către guvern a tehnologiei de recunoaștere facială.

În solicitare, coaliția BanFacialRecognition de subliniat faptul că „utilizarea tehnologiei de recunoaștere a feței ... prezintă riscuri grave pentru viața privată și libertățile civile, amenință imigranții, are un impact larg asupra cetățenilor americani și a fost pusă în aplicare fără garanții adecvate sau aprobare explicită a Congresului".

De asemenea aceștia au trimis autorității responsabile cu securitatea națională (Homeland Security)  o scrisoare prin care au solicitat acestora „suspendarea imediată 

suspendați imediat folosirea tehnologiei de recunoaștere a feței de către Departamentul de Securitate Internă (DHS) asupra publicului larg”. 

______

*EPIC (Electronic Privacy Information Center) este un centru de cercetare de interes public din Washington, care luptă pentru protejarea confidențialității, a libertății de exprimare și a valorilor democratice în era informațională.

• Până și Facebook a renunțat la recunoașterea facială by default

În 3 septembrie, Facebook a anunțat că va înceta folosirea în mod implicit a recunoașterii facială prin care oferea sugestii de etichetare a persoanelor din fotografiile încărcate. Astfel Facebook  încearcă să ofere mai multa transparență acestui tip de prelucrare, informând utilizatorii despre modul în care platforma folosește această tehnologie și oferindu-le acestora posibilitatea de a opta sau dezactiva cu ușurință aceste setări.

Acest update este consecința anchetei efectuate de Comisiei Federală de Comerț (FTC) care a condus la înțelegerea record de 5 miliarde de dolari. Printre neregulile identificate de FTC s-a numărat și utilizarea programului de recunoaștere facială, FTC ordonând Facebook să „furnizeze o notificare clară și vizibilă despre utilizarea tehnologiei de recunoaștere facială și să obțină consimțământul afirmativ al utilizatorului ...”, potrivit comunicatului de presă al FTC.

Totuși, în anumite condiții, sisteme de recunoașterea facială pot funcționa în limitele legii

Procesul în care Ed Bridges, fost consilier al orașului Cardiff a contestat utilizarea de către Poliția South Wales a tehnologiei automate de recunoaștere facială a avut un deznodământ neașteptat, deși acesta a beneficiat de o puternică susținere din partea Liberty, o organizație care luptă pentru drepturile omului, 

Judecătorii au decis că, deși utilizarea unui sistem de recunoaștere facială automată constituie o ingerință în dreptul la viață privată, există o bază legală pentru aceasta, iar cadrul legal folosit de poliție a fost proporțional.

Înalta Curte a declarat că aceasta este prima dată când o instanță din întreaga lume a analizat legalitatea utilizării tehnologiei de recunoaștere facială, conform BBC.

Aceasta decizie pare să fi luat prin surprindere însăși autoritatea de supraveghere din Marea Britanie (ICO). Aceasta a emis o declarație cu privire la utilizarea tehnologiei de recunoaștere a feței în direct de către Poliția South Wales, prin care a salutat constatarea instanței potrivit căreia utilizarea de către poliție a sistemelor de recunoaștere facială implică prelucrarea de date sensibile, fiind necesara necesitând respectarea legilației privind protecția datelor personale.

„Această tehnologie nouă și intruzivă are potențial, dacă este folosită fără garanțiile de confidențialitate corecte, să submineze mai degrabă decât să sporească încrederea în poliție”, a subliniat autoritatea engleză.

Aceasta a declarat că va lua în considerare decizia instanței de judecată, urmând să finalizeze recomandările și îndrumările adresate forțelor de poliție cu privire la modul de planificare, autorizare și implementare a oricăror sisteme de recunoaștere facială viitoare.

„Între timp, orice forțe de poliție sau organizații private care utilizează aceste sisteme ar trebui să fie conștiente de faptul că legislația și ghidurile privind protecția datelor încă se aplică.”, a concluzionat autoritatea.

Permite legislația națională utilizarea sistemelor de recunoaștere facială?

Necunoscând legislația specifică aplicabilă la nivelul Poliției Române, vom evita să oferim un răspuns ferm însă vom analiza strict din punct de vedere al legislației ce reglementează acest tip de prelucrări de date personale (Legea nr. 363/2018), 

Astfel, conform dispozițiilor art. 10 și 11, prelucrarea datelor sensibile (biometrice) prin mijloace automate este interzisă, cu excepţia cazului în care prelucrarea este reglementată expres de lege, și sunt instituite măsuri corespunzătoare pentru protejarea drepturilor, a libertăţilor şi a intereselor legitime ale persoanei vizate.

Utilizarea unui sistem ce ridica suspiciuni privind intruziunea în viața privată a persoanelor ar trebui înainte de toate să treacă printr-o evaluare a impactului asupra protecţiei datelor cu caracter personal (DPIA), obligatorie pentru acest tip de prelucrări conform Deciziei nr. 174/2018 a autorității naționale de supraveghere. 

Mai mult, având în vedere că vorbim despre implementarea unei tehnologii noi care prezintă un risc ridicat pentru drepturile și libertățile persoanelor și care va putea fi utilizat pe întreg teritoriul României, considerăm că Poliția Română ar fi trebuit să consulte autoritatea națională de supraveghere atunci când a planificat achiziția acestui sistem în vederea includerii în caietului de sarcini a unor cerințe funcționale specifice care să ofere garanții suficiente în ceea ce privește protecția datelor personale, adică respectarea conceptului de privacy by design (vezi art. 25 din GDPR).

Poate nu am fost suficient de atenți, însă noi nu am identificat în documentația aferentă achiziției sistemului de recunoaștere facială cerințe constructive specifice care să asigure respectarea legislației incidente privind protecția datelor personale, în afara celor privind managementul log-urilor. 

______

*Legea nr. 363/2018 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date

În loc de concluzii

Nu contestăm că tehnologia evoluează constant iar astfel de soluții vor putea contribui la diminuarea infracționalității însă astfel de decizii nu pot fi luate fără a ține cont în primul rând de eventualele consecințe.

Una din aceste consecințe, în cazul în care utilizarea unei astfel de soluții tehnice se dovedește a fi o ingerință în viața privată a persoanelor, ar fi procesele colective care ar putea costa Statul Român mai mult decât investiția în sistemul respectiv. 

Dar cu siguranța cea mai mai dureroasă „lovitură” ar fi scăderea încrederii pe care persoanele o au în această instituție, al cărei slogan este „Siguranță și Încredere”.

Probabil că nu toată lumea ne va împărtăși îngrijorările însă informațiile de mai sus ne oferă suficiente argumente să nu privim cu ochi buni achiziția unui asemenea sistem. Ne-am simțit obligați să tragem acest semnal de alarmă și să subliniem faptul că riscăm să ne îndreptăm spre o eră BigBrother, în care spațiul privat nu va mai exista atât timp cât un ochi poate veghea mereu asupra noastră.

Cu siguranță vom fi „acuzați” că ne grăbim cu „concluziile”, motiv pentru care vă invităm să vizionați următorul filmuleț și să extrageți singuri concluziile.

Clienții IFN-urilor si a CAR-urilor trebuie să semneze un nou acord​ prin care sunt de acord ca împrumutătorul să transmită datele personale la ANAF în vederea interogării informațiilor de natură fiscală, avand in vedere modificarile la Ordinul 3731. IFN-urile vor solicita acordul, scris, fie pe suport de hârtie, fie în format electronic, exprimat în condițiile legii, persoanelor fizice și persoanelor juridice, respectiv semnarea unui acord de consultare, transmitere și prelucrare a informațiilor din bazele de date ale Ministerului Finanțelor Publice, Agenția Națională de Administrare Fiscală precum și a Datelor cu Caracter Personal, aparținând Clientului denumit generic "Acord". Acest acord va conține datele de identificare ale persoanelor (CNP, CUI), datele de contact (adresa) precum și mențiunea expresă cu privire la valabilitatea acordului (Acordul este valabil 5 zile lucrătoare de la data semnării de către contribuabil). 

Ca urmare a Ordinului nr. 3731 din 29 decembrie 2016, Agenţia Naţională de Administrare Fiscală a încheiat protocoale de colaborare cu 52 de instituții financiare nebancare, înscrise în Registrul general, Registrul special şi în Registrul Instituțiilor de Plată al Băncii Naţionale a României .

La data de 25.05.2016, a intrat în vigoare Regulamentul (UE) 2016/679 şi, potrivit dispoziţiilor art.99 alin.(2), este aplicabil de la data 25 mai 2018 iar prevederile lui sunt aplicabile direct pe teritoriile statelor membre U.E., fără ca, în principiu, să mai fie necesare măsuri de transpunere ori implementare. Totuşi, Regulamentul de referinţă prevede faptul că în anumite situaţii sunt necesare dispoziţii de implementare la nivel naţional sau statele membre sunt abilitate să adopte anumite dispoziţii legale interne. Regulamentul general privind protecţia datelor, prevede norme specifice potrivit cărora se pot realiza operaţiunile de prelucrare, stabilind atât principii legate de prelucrarea datelor cu caracter personal cât şi condiţiile de legalitate a prelucrării. În consecinţă, dispoziiţiile legale menţionate trebuie avute în vedere la încheierea unui act de cooperare în domeniul prelucrării datelor cu caracter personal, în scopul asigurării unei protecţii uniforme şi consecvente a persoanelor fizice în ceea ce priveşte prelucrarea unor asemenea date.

Având în vedere modificările legislative survenite, se impunea si modificarea Ordinul A.N.A.F. nr. 3731/2016, deoarece normele sale nu mai corespundeau necesităţilor de reglementare care au prezidat apariţia sa și completat cu normele de drept al Uniunii Europene sau de drept intern referitoare la prelucrarea şi protecţia datelor cu caracter personal.

Astfel, a fost elaborat un proiect de Ordin pentru modificarea Ordinului nr. 3731 din 29 decembrie 2016 privind aprobarea modelului-cadru al protocolului de cooperare în vederea schimbului de informaţii între Agenţia Naţională de Administrare Fiscală şi instituțiile financiare nebancare. Mai mult, având în vedere faptul că a fost adoptată Legea nr. 129/2018 care prevede la art.V că se abrogă, la data de 25 mai 2018, Legea nr.677/2001 iar toate trimiterile din actele normative la aceasta se interpretează ca trimiteri la Regulamentul (UE) 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) şi la legislaţia de punere în aplicare a acestuia, toate textele din Protocolul de colaborare ce fac referire la Legea nr.677/2001 au fost înlocuite cu menţionarea Regulamentului (UE) 2016/679.

Totodată, una din prevederile Ordinului preşedintelui A.N.A.F. nr.3731/2016 ce a necesitat modificare este articolul nr. 4 prin care se face referire strict la protecția datelor cu caracter personal. Acesta a fost înlocuit în întregime cu dispoziții în conformitate cu normele actuale. De asemenea, au fost reevaluate categoriile de date cu caracter personal ce sunt evidenţiate în Anexa nr.1 la protocol - Acord de consultare, transmitere şi prelucrare a
informaţiilor din bazele de date ale Ministerului Finanţelor Publice, Agenţia Naţională de Administrare Fiscală, precum şi a datelor cu caracter personal, aparţinând clientului.

Potrivit dispoziţiilor art. 11 alin. (3) lit. d) din Legea nr. 207/2015 privind Codul de procedură fiscală, cu modificările şi completările ulterioare, organul fiscal poate transmite informaţiile pe care le deţine oricărui solicitant, cu acordul scris al contribuabilului/plătitorului despre care au fost solicitate informaţii. Prin acord scris se înţelege ca acordul să fie emis fie pe suport hârtie, fie în formă electronică, exprimat în condiţiile
legii. Prin urmare un alt articol care se impunea a fi modificat este cel referitor la consimțământul contribuabilului respectiv pct. 2.1.1.

Instituțiile financiare nebancare solicită ANAF, după obținerea acordului contribuabilului, informaţii fiscale despre solicitant pentru perioada aferentă ultimilor 2 (doi) ani fiscali încheiaţi, inclusiv informaţiile aferente perioadei cuprinse între ultimul an fiscal încheiat şi data solicitării acestora. De asemenea instituţia financiară nebancară transmite ANAF date privind activitatea de creditare, activitatea de leasing, date referitoare la scrisorile de garanție precum și datele referitoare la informațiile din istoricul situației existente, începând cu 1 ianuarie 2013. Schimbul de date se realizează periodic, cu respectarea legislaţiei în vigoare, conform unei proceduri de lucru comune. Prin adresele transmise de către Federația C.A.R. Armonia (nr.02/2019 și 09/2019) reprezentanții Caselor de Ajutor Reciproc au solicitat încheierea unor protocoale de colaborare cu Agenția Națională de Administrare Fiscală, în baza Ordinului nr. 3731/2016 privind aprobarea modelului-cadru al protocolului de colaborare în vederea schimbului de informaţii între Agenţia Naţională de Administrare Fiscală şi instituţiile financiare nebancare. Solicitări similare au fost înregistrate și de la Uniunea Caselor de Ajutor Reciproc ale Salariaților din Județul Hunedoara încă înainte de încheierea ordinului (nr.1436/2015) și FEDCAR (nr. 10/09.11.2015).

Casele de ajutor reciproc sunt asociații fără scop patrimonial, organizate în baza liberului consimțământ al salariaților, în vederea sprijinirii și întrajutorării financiare a membrilor lor și sunt autorizate de Banca Nationala a Romaniei să desfășoare servicii de plată, fiind în evidență si înscrise în Registrul de Evidență al BNR . Potrivit art. 5 litera g din Legea nr. 93/2009 privind instituțiile financiare nebancare, Registrul de evidenţă este registrul deschis şi ţinut de Banca Naţională a României, în care sunt înscrise instituţiile financiare nebancare care desfăşoară activităţi de creditare exclusiv din fonduri publice ori puse la dispoziţie în baza unor acorduri interguvernamentale, precum şi instituţiile financiare nebancare organizate sub forma caselor de amanet sau a caselor de ajutor reciproc. De asemenea, potrivit art 14 litera e din același act normativ, instituţiile
financiare nebancare pot desfăşura activităţi de creditare către membrii asociaţiilor fără scop patrimonial organizate pe baza liberului consimţământ al salariaţilor/pensionarilor, în vederea sprijinirii prin împrumuturi financiare a membrilor lor de către aceste entităţi, organizate sub forma juridică a caselor de ajutor reciproc.

Prin Ordinul președintelui ANAF nr.3731/2016 este reglementat schimbul de informații exclusiv cu instituţiile financiare nebancare înscrise în Registrul general şi în Registrul special al Băncii Naţionale a României.
Prin activitatea de creditare destinată persoanelor fizice și prin dezvoltarea pe teritoriul României a unei rețele ample, casele de ajutor reciproc pot oferi ANAF rapoarte referitoare la activitatea desfășurată.
Luând în considerare necesitatea unei abordări unitare cu privire la toți solicitanții, prin proiectul de Ordin anexat, se modifică Ordinul nr. 3731/2016 prin adăugarea pentru realizarea schimbului de informaţii și a instituţiilor financiare nebancare înscrise în Registrul de Evidență al BNR.

Principalele modificari aduse Ordinului nr. 3731 din 29 decembrie 2016

• Art. 5 - Prelucrarea datelor cu caracter personal ce constituie obiectul prezentului Protocol se realizează în conformitate cu prevederile Regulamentului (UE) 2016/679 al  Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)."
• La Anexa nr. 1, articolul 2, punctul 2.1., subpunctul 2.1.1., litera a) : În vederea interogării informațiilor de natură fiscală, instituția financiară nebancară semnatară a prezentului Protocol va întreprinde următoarele activități: a) va solicita acordul, scris, fie pe suport de hârtie, fie în format electronic, exprimat în condițiile legii, persoanelor fizice și persoanelor juridice, respectiv semnarea unui acord de consultare, transmitere și prelucrare a informațiilor din bazele de date ale Ministerului Finanțelor Publice, Agenția Națională de Administrare Fiscală precum și a Datelor cu Caracter Personal, aparținând Clientului denumit generic "Acord". Acest acord va conține datele de identificare ale persoanelor (CNP, CUI), datele de contact (adresa) precum și mențiunea expresă cu privire la valabilitatea acordului (Acordul este valabil 5 zile lucrătoare de la data semnării de către contribuabil) conform Anexei la prezentul protocol.
• Anexa nr. 1, articolul 4: 4.1.- Prelucrarea datelor cu caracter personal ce constituie obiectul prezentului Protocol se realizează în conformitate cu prevederile Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor). 4.2.- Datele cu caracter personal ce sunt prelucrate de către Părți în scopul menționat la art.1din protocol sunt următoarele: nume, prenume, adresă de domiciliu, cod numeric personal, număr și serie act de identitate, date fiscale ) 4.3.- Datele cu caracter personal în cauză sunt prelucrate numai pentru realizarea scopului prevăzut la art.1 din prezentul Protocol, cu respectarea legislației în vigoare și  nu pot face obiectul diseminării către alte instituții/persoane fizice/persoane juridice decât în condițiile legii, cu acordul prealabil al Părților. 4.4.- În situația în care persoana vizată își retrage consimțământul ce a stat la  baza legalității prelucrării datelor cu caracter personal ce o privesc, Părțile se informează reciproc pentru a dispune măsurile legale ce se impun. 4.5.- În conformitate cu prevederile Regulamentului (UE) 2016/679, persoanele vizate ale căror date cu caracter personal sunt prelucrate beneficiază de următoarele drepturi: dreptul la informare, dreptul de acces la datele cu caracter personal, dreptul la rectificarea datelor cu caracter personal, dreptul la ștergerea datelor cu caracter personal (dreptul de a fi uitat), dreptul la restricționarea prelucrării, dreptul la opoziție, dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, precum și dreptul de a depune plângere către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. 4.6.- Dacă persoanele vizate au exercitat și au obținut de la una din Părți dreptul la rectificarea datelor cu caracter personal, dreptul la ștergerea datelor cu caracter personal (dreptul de a fi uitat), dreptul la restricționarea prelucrării, dreptul la opoziție, dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, Părțile se informează reciproc despre acest fapt. 4.7.- Părțile pun în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu normele de drept al Uniunii Europene sau de drept intern referitoare la protecția datelor cu caracter personal. 4.8.- Orice persoană fizică care acționează sub autoritatea uneia din Părți și are acces la datele cu caracter personal ce fac obiectul prezentului Protocol are obligația să păstreze confidențialitatea acestor date și nu le prelucrează decât la cererea Părților, cu excepția cazului în care dreptul Uniunii Europene sau dreptul intern îl obligă să facă acest lucru. 4.9.- În situația în care părțile constată o încălcare a securității datelor cu caracter  personal se vor informa reciproc și vor dispune măsurile prevăzute de normele de drept al Uniunii Europene sau de drept intern, în special cele privind informarea persoanei vizate și notificarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal. 4.10.- În scopul garantării prelucrării datelor cu caracter personal în mod legal, echitabil și transparent față de persoana vizată, atât ANAF cât și IFN, asigură publicarea pe site-ul/portalul propriu a unei informări privind obiectul prezentului protocol ."
• Anexa nr. 1, articolul 5, punctele 5.6 și 5.7: ANAF poate vizualiza lista accesărilor utilizatorilor, respectiv poate solicita instituțiilor financiare nebancare să prezinte, prin sondaj, în format electronic, acordurile
  pentru a verifica dacă interogările au fost făcute în conformitate cu prevederile Protocolului și s-au respectat dispozițiile Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. De asemenea, ori de câte ori se impune, ANAF, poate solicita formularele de acord în original de la instituțiile financiare nebancare, ținând cont de faptul că aceste documente sunt arhivate în locații externe. În situația în care, instituția financiară nebancară nu transmite
  formularele solicitate în termen de 10 zile lucrătoare pentru un număr de maxim 20 acorduri și 25 de zile lucrătoare pentru un număr mai mare de 20 de acorduri, ANAF poate suspenda accesul la informațiile oferite de către ANAF . 5.7. În situația în care, în urma verificărilor efectuate, ANAF identifică abateri respectiv interogări în baza de date fără acordul semnat al persoanei și/sau în afara termenului de valabilitate, ANAF va suspenda accesul instituției financiare nebancare respective la informațiile oferite de către ANAF . Încetarea suspendării accesului va avea loc după ce instituția financiară nebancară va proceda la investigarea și stabilirea cauzelor care au generat deficiențele, precum și identificarea persoanelor responsabile. Rezultatele verificării vor fi comunicate ANAF în vederea reluării accesului

“Mie nu mie se poate intampla, am băieți tineri și destepti la IT”  este argumentul unui manager de spital pentru a justifica lipsa de interes, resurse și timp pentru a implementa procedurile și principiile specifice Regulamentului UE 679/2016. Din pacate, in sistemul sanitar romanesc, gradul de implementarea a principiilor GDPR nu este unul ridicat, cei mai multi avand o preocupare doar dupa data de 25 mai 2018 de cand este aplicabil Regulamentul 679/2016.Chiar si aceasta preocupare este de multe ori una superficiala, de exemplu numirea unui DPO s-a facut in multe spitale din Romania in aprilie 2019, datorita unui formular de autoevaluare impus de ANMCS, fara a acorda atentie si celorlate obligatii. Sa nu uitam ca numirea unui DPO este obligatorie pentru autoritatile publice, organizatiile care monitorizeaza sistematic si prelucreaza si scara larga, si nu are nici o legatura cu numarul angajatilor sau domeniul de activitate.

Putem invata din greselile celorlalti si sa tinem cont de urmatoarele 15 recomandari pentru implementarea GDPR in spitalele si clinicile din Romania. 

Dar pentru inceput sa nu uitam ca in cadrul Uniunii Europene avem mai multe situatii in care s-au aplicat amenzi spitalelor si din fiecare caz in parte avem ceva de invatat:

1. Spitalul Barreiro din Portugalia  a primit o amenda de 400.000 de euro pentru ca a acordat accesul la datele clinice ale pacienților prin sistemul lor cel puțin catre nouă persoane care sunt profesioniști non-medicali (asistenți sociali) si nu aveau nevoie de accesul la datele respective. Mai mult datele pacienților din spitalul Barreiro nu au fost separate în mod corespunzător de datele arhivate ale unui alt spital si mecanismele de autentificare a accesului au fost considerate insuficiente.
2. Spitatului Haga din Olanda a primit o amenda de 450.000 de euro pentru ca o persoană foarte cunoscută în Olanda a fost pacienta a spitalului, prilej cu care zeci de angajați ai spitalului, mânați de o curiozitate mistuitoare, au studiat dosarul medical al pacientului, fără a avea un motiv real pentru a face asta.
3. Un spital de stat din Cipru a fost sancționat cu 5.000 de euro pentru neacordarea accesului la dosarul sau medical unui pacient.
4. Autoritatea de supraveghere austriacă a aplicat o amendă de 55000 euro unui operator care activează în sectorul medical. Pe parcursul investigației, autoritatea de supraveghere austriacă a descoperit ca operatorul nu a numit niciun Responsabil cu protecția a datelor (DPO), nici nu a publicat datele de contact ale acestuia și nici nu le-a raportat autorității de supraveghere, operatorul a obligat persoanele vizate să își dea consimțământul pentru o prelucrare a datelor, care nu îndeplinea criteriile prevăzute la art. 7 GDPR: Condiţii privind consimţământul, și-a încălcat datoria de a furniza informații în conformitate cu art. 13, 14 GDPR si în ciuda manipulării datelor sensibile, nicio evaluare a impactului protecției datelor, în conformitate cu art. 35 GDPR, a fost efectuat.

Cine este adevaratul "responsabil cu protecția datelor" ?

Chiar daca traducerea in limba romana a functiei Data Protection Officer (DPO) este Responsabil cu protectia datelor cu caracter personal ( COR 242231) aceste are ca atributii principale dezvoltarea si analiza politicilor referitoare la proiectarea, implementarea si modificarea operatiunilor si programelor guvernamentale si comerciale. Nu este reponsabil de aplicarea efectiva a masurilor, intreaga responsabilitate revenind managementului operatorului de date care trebuie sa aplica masuri si proceduri pornind de la recomandarile DPO-ului.

Acum ca am aflat ca responsabilul cu protectia datelor este managerul, va ofer  15 recomandari utile:

1. Desemnati un DPO real, nu formal sau incompatibil - aceasta este doar una din obligatiilor operatorilor, mai sunt cel putin 6 obligatii legale si desemnarea DPO-ului nu va transforma automat intr-un operator de date compliant. Asadar, nu alegeti persoana care va este cel mai indemana si care nu o sa va dea prea multe batai de cap. Cautati o persoana in interiorul organizatiei sau externalizati catre o persoana sau firma din exterior. Daca totusi v-ati gandit la o persoana din interior, este bine sa va asigurati ca activitatea pe care o desfasoara nu o pozitioneaza intr-o situatie de incompatibilitate. De exemplu, managerul de IT poate identifica cu usurinta o bresa de securitate dar in acelasi timp poate sa o si ascunda pentru a masca de exemplu o greseala personala si intervine astfel un conflict intre functia de manager de IT si cea de DPO, intr-un final angajatul alegand varianta care nu ii va pune postul in pericol in defavoarea eticii profesionale. Conditiile pentru alegerea unei persoane pentru functia de DPO sunt clar definite in Regulament dar recomandarea mea este ca sa algeti in primul rand o persoana care cunoaste foarte bine activitatea Dumneavoastra, procedurile de lucru si are autoritate in fata angajatilor. Alegerea in mod formal a unei persoane fara a tine cont de aceste recomandari, nu va apropie de complianta GDPR.
2. Eliminați “Consimțământul GDPR” al pacientului  pentru serviciile medicale - unul din principiile GDPR este de a prelucra date doar in regim de legalitate si exista 6 modalitati de a justifica aceasta legalitate: obligatia legala, interesul vital, obligatii contractuale, interes public, interes legitim si nu in ultimul rand consimtamantul persoanei vizate. In cazul domeniului medical, pentru activitatea specifica de acordare de ingrijiri medicale si tratament medicamentos putem justifica prin interes vital, obligatie legala si obligatii contractuale. Pentru aceste activitati specifice nu este nevoie sa apelam la consimtamant pentru a obtine legalitatea prelucrarii si chiar daca am face-o am putea ajunge ipotetic in situatii de blocaj. De exemplu, daca eu cer consimtamantul pacientului inainte de efectuarea unei consultatii si acesta refuza, eu sunt in imposibilitatea de a-mi mai desfasura activitatea. Exista si situatii in domeniul sanitar cand apelam la consimtamant, de exemplu pentru invatamantul medical sau activitatile de marketing.
3. Anonimizarea rezultatelor concursurilor de ocupare de post - cea mai usoara metoda de a deveni automat compliant este de a asocia fiecarui candidat a unui cod numeric, de exemplu numarul de inregistrare de la comisia de concurs a dosarului de candidatura si in momentul publicarii rezultatelor sa fie afisate in relatie cu acest cod, fara a publica numele si prenumele.
4. Reglementati printr-o procedura comunicarea informatiilor pacientului - comunicarea cu pacientul si cu apartinatorii acestuia trebuie sa tina cont de dreptul la confidentialitate privind datele de sanatate. Avand in vedere mijloacele de comunicare ( fata in fata, telefonic, electronic prin intermediul aplicatiilor de mesagerie, email) va recomand sa redactiati proceduri distincte care sa mentioneze expres cine poate da informatii si mai ales ce informatii pot fi oferite pe fiecare canal in parte, tinand cont de posibilitatea ca la capatul celalat sa nu fie persoane pe care o credem noi.
5. Realizati un plan continuu de instruire si evaluare angajati - angajatii sunt la nivel teoretic cel mai mare risc pentru organizatie privind bresele de securitate si de aceea una din metodele cele mai eficiente pentru a diminua acest risc este educatia continua si procedurile de lucru. Realizati un plan de anual de instruire care sa asigure cresterea implicarii personalului in procesul de protectie a datelor si evaluati din cand in cand ce au inteles angajatii din informatiile transmise.
6. Efectuati un test de penetrare si audit tehnic (securitate informatica) - auditul tehnic si testele de penetrare ne ofera o imagine realista a gradului de securitate pe care ni-l ofera echipamentele si aplicatiile software de care dispunem.
7. Securizati accesul la bazele de date si reglementati conditiile de utilizare - recomanda conturi individuale pentru fieacare angajat, utilizarea unor parole cu o dificultate macar medie, si configurarea accesului la baza de date in functie de functia angajatului, limitand accesul doar la datele de care are nevoie pentru a-si desfasura activitate in cconditii optime. Prin fisa postului si activitati de instruire putem de asemenea sa ne asiguram ca angajatii respecta conditiile de securitate.
8. Implementarea unui plan de raspuns la incidente de securitate - in iunie 2019 activitatea a cinci spitale din Romania a fost afectata prin infectarea cu un ransomware, datele fiind criptate. Cum trebuie sa reactionam intr-un astfel de caz, ce trebuie sa faca angajatul care descopera o bresa de securitate, care sunt masurile care trebuie implementate imediat ? Toate aceste lucruri trebuie detaliate si explicate angajatilor pentru a diminua pierderile in cazul unei brese de securitate.
9. In cazul unei brese de securitate anuntati CERT.RO (1911) si ANSPDCP in 72h -  nu ascundeti bresele de securitate, cereti ajutorul specialistilor pentru a va asigura ca efectele sunt reduse la minim. Datele persoanale apartin de drept persoanelor fizice si trebuie sa luati masuri urgente de limitare a efectelor in cazul unei brese de securitate.
10. Conditionati / restrictionati accesul la aplicatii/website-uri(Facebook, Yahoo, Gmail, WhatsApp) si medii de stocare (USB) - activitatea neproductiva a angajatilor precum navigarea pe internet in timpul programului sau introducerea de medii de stocare externe pentru a copia informatii introduce in organizatie un risc marit de virusare, punand la incercare masurile tehnice. Recomandarea mea este de a limita aceste activitati si sa eliminati aceste riscuri. Cu siguranta este o masura nepopulara in randul angajatilor, dar sa nu uitam ca majoritatea detin un smartphone personal de pe care isi pot verifica emailul sau mesajele pe retelele de socializare, bine inteles in pauzele de lucru. Riscul de a introduce un virus prin metoda phising sau prin infectare directa se diminueaza foarte mult in organizatiile care au adoptat astfel de masuri.
11. Folositi adrese de email @spital.ro, cu stocare in UE - va aduceti aminte ca atunci cand ati creat o casuta de email gratuita ca ati fost de acord ca toate mesajele si atasamentele sunt de fapt proprietatea furnizorului de email si ca poate folosi toate aceste informatii pentru a va face un profil, pentru a va trimite oferte comerciale si poate chiar sa comercializeze aceste date ? Mai mult, ati realizat ca pastrarea unui email cu sau fara atasament in inbox sau send items este de fapt o prelucrare si cum majoritatea furnizorilor de "emailuri gratuite" au serverele in USA, practic trebuie sa documentati motivele pentru care realizati transfer extracomunicat de date cu caracter personal ?
12. Nu permiteti angajatilor sa utilizeze dispozitive personale - daca permiteti angajatilor sa vina cu laptopul de acasa insemana ca permiteti ca stocarea datelor sa se faca pe echipamente care nu sunt in proprietatea Dumnevoastra si practic nu aveti nici un control, aceasta practica ducand cel mai des la o bresa de securitate
13. Asigurati transparenta sistemului de invatamant medical - anuntati pacientii inca de la internare daca la fisa lor au acces studentii si anonimizati datele pe care studentii le scot din organizatie pentru a-si desfasura activitatea de cercetare. Este nevoie de consimtamantul pacientului pentru a transfera date catre studenti si in cazul unui refuz trebuie sa organizati activitatea conform dorintei pacientului.
14. Actualizati formularele asigurati informarea prealabila (Ordinul nr. 1411/2016 si Legii nr. 347/2018 publicata in Monitorul Oficial 03.01.2019)
    1. Pacientul are dreptul de a desemna, printr-un acord consemnat în anexa la foaia de observație clinică generală, o persoană care să aibă acces deplin, atât în timpul vieții pacientului, cât și după decesul pacientului, la informațiile cu caracter confidențial din foaia de observație.
    2. Acordul pacientului privind filmarea/fotografierea în incinta unității sanitare
    3. Model Acordul pacientului/reprezentantului legal privind participarea la învățământul medical
    4. Model Solicitare privind comunicarea documentelor medicale personale
    5. Model Declarație privind comunicarea documentelor medicale personale
    6. Model Acordul pacientului privind comunicarea datelor medicale personale
15. Recomandati DPO-ului sa se inscrie in ASCPD (Asociatia Specialistilor in Confidentialitatea si Protectia Datelor)