ASCPD trage un semnal de alarmă! GDPR-ul nu este respectat de către instituțiile publice din România
Întrucât la aproape patru ani de la intrarea în aplicare a Regulamentului UE 679/2016 încă întâlnim un număr îngrijorător de mare de autorități publice sau entități private care utilizează soluții de servicii gratuite de comunicare și transfer de date (ex. Yahoo Mail, Google Mail, Whatsapp), ASCPD trage un semnal de alarmă asupra riscurilor specifice utilizării acestor soluții în scop profesional.
În luna iulie 2021, ASCPD a realizat un studiu pe un eșantion de 12423 de adrese de email aparținând instituțiilor publice din categoriile „primărie”, „consiliu județean”, „prefectură”, „spitale” și „instituții de învățământ”. Datele au fost puse la dispoziție de către listafirme.ro și au fost comparate cu website-urile instituțiilor de către membrii ASCPD. Verificările în platforma HIBP au fost confirmate și de CERT-RO (Iunie 2021).
În luna Ianuarie 2022, ASCPD a realizat un al doilea studiu privind evaluarea canalelor de comunicare utilizate de medicii de familie care efectuaza testare rapidă antigen – listă publicată pe site-ul Ministerului Sănătății la data de 28.01.2022 – disponibilă AICI.
CONCLUZIILE CELOR DOUĂ STUDII PRIVIND CANELELE DE COMUNICARE UTILIZATE
- Adresele de email au fost folosite pentru a crea conturi pe platforme online care ulterior au fost compromise, iar datele utilizatorilor au fost dezvăluite unor părți neautorizate.
- Deși nu au fost dezvăluite direct datele stocate pe aceste conturi de email, s-au format premizele pentru ca acestea să fie atacate ulterior în practică se cunoaște că doar 35% din utilizatori folosesc parole diferite pentru conturi diferite, deci e posibil ca pentru 13-52% din cazuri să fi fost compromisă și parola efectivă a contului de email în situația reutilizării ei – Sursa);
- Unde au fost utilizate emailurile de către instituții? pe platforme comerciale ca de exemplu MySpace (rețele sociale), Minecraft (jocuri online), DriveSure (platforma de vânzări auto) Evony (jocuri online), Heroes of Newwerh (jocuri online), R2Games (jocuri online), Zynga (jocuri online), LinkedIn (rețele sociale), Adobe (furnizor de servicii de editare online), ceea ce DEMONSTREAZĂ folosirea adreselor de email ale instituțiilor în alte scopuri decât cele oficiale.
- Prelucrarea de date prin intermediul adreselor de email ridică câteva probleme mari de securitate. În primul rând, cine are acces la datele din emailuri, și în al doilea rând, unde ajung datele din aceste emailuri?
- Din analiza adreselor de email utilizate de medicii de familie rezultă că foarte multe dintre acestea (circa 96%) sunt configurate prin servicii publice gratuite adresate persoanelor fizice și nicidecum companiilor. Așadar, adresele de email pot aparține medicilor, asistentelor, dar chiar și foștilor angajați. Practic sunt adrese de email folosite la comun de mai multe personae, pentru care nu există o evidență exactă a accesărilor. În plus, anumite servicii publice, precum Yahoo sau Gmail, oferă acces la conținutul emailuri-lor unor terțe părți pentru îmbunătățirea serviciilor, fără să dea posibilitatea utilizatorilor să se opună acestui lucru. Fără indoială Yahoo și Google au implementat măsuri de securizare a datelor, dar Operatorii (respectivele cabinete medicale) nu au luat nici o măsură de control și verificare pentru a constata cine are acces la respectivele adrese de email.
- Observăm, de asemenea, că 36% dintre adresele de email au apărut în baze de date care au fost compromise de hackeri de-a lungul timpului. Aici discutăm de folosirea acestor adrese de email în alte scopuri decât cele oficiale, adică în interesul companiilor și mai curând în scopuri personale, pentru configurarea conturilor pe diverse site-uri de jocuri online, magazine online sau rețele de socializare, ceea ce ridică o mare suspiciune asupra compromiterii credențialelor de acces la emailuri și, bineînțeles la compromiterea întregului conținut al acestora. Se cunoaște că majoritatea utilizatorilor folosesc o singură parolă de accces pentru toate serviciile online, iar dacă aceasta a fost compromisă, este evident că e foarte posibil ca toate serviciile asociate acesteia să fi fost compromise.
- Nu în ultimul rând, serviciile de email gratuit de tip Yahoo / Gmail sunt oferite de companii americane, iar prin folosirea lor, operatorul face un transfer de date cu caracter personal în Statele Unite, care necesită implementarea unor măsuri tehnice și organizatorice adecvate pentru protejarea datelor, precum criptarea și pseudonizarea, măsuri care, de cele mai multe ori, nu se implementează practic.
EXISTĂ O EXPLICAȚIE PENTRU ACEASTĂ SITUAȚIE ?
- Instituțiile publice nu își dau seama că în momentul în care utilizeaza un astfel de serviciu gratuit realizează și un transfer extracomunitar de date, inclusiv date personale, de obicei în SUA, lucru care contravine cu Decizia Curții Europene de Justiție în cauză Schrems 2 atunci când a fost invalidată Decizia numită Scutul de Confidențialitate încheiat între UE și SUA.
- Nu este vorba doar de emailuri ci și de servicii gratuite de mesagerie utilizate de instituții precum DSP pentru a comunica de exemplu rezultate la testele COVID pacienților și deciziile de carantinare sau izolare. Să nu uităm că majoritatea datelor în cazul pacienților sunt date medicale, deci sensibile și care trebuie protejate suplimentar.
- Utilizarea emailului și a soluțiilor de mesagerie gratuită este o realitate și în instituțiile sanitare sau de învățământ din România unde majoritatea datelor personale aparțin minorilor sau sunt date speciale privind sănătatea pacienților. De menționat este faptul că furnizorii de servicii de email/mesagerie gratuită nu oferă posibilitatea încheierii unui acord privind prelucrarea datelor în conformitate cu prevederile art 26 alin. (1) sau art. 28 alin. (3) al Regulamentului EU 679/2016 prin care să se stabilească într-un mod transparent responsabilitățile fiecărei părți în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul Regulamentului;
- Persoana responsabilă care ar putea sesiza și depune efort de a schimba acest mod de comunicare neprofesionist este chiar Responsabilul cu protecția datelor care am putea spune că lipsește în majoritatea acestor organisme publice, deși acestea sunt obligate să-l desemneze și să-l notifice ANSPDCP, conform GDPR.
- La sfârșitul anului 2020 erau depuse 1.255 de formulare de notificare a DPO-ului de către instituțiile publice, dintr-un total aproximativ de 12.500 de instituții din România, acest lucru însemnând 10%, chiar dacă art.37 din GDPR a introdus din 2018 obligativitatea numirii și notificării pentru absolut toate organismele publice.
- Aceasta situație scoate în evidență o alță problemă, aceea a modului formal de „rezolvare a unei probleme” precum obligativitatea angajării în instituțiile publice a unui responsabil cu protecția datelor. De cele mai multe ori, în cazul în care totuși există un DPO, aceste persoane dețin și alte funcții care duc la conflicte de interese sau incompatibilități.
- Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal (ANSPDCP) a emis o decizie de sancționare a unei autorități publice pentru transmiterea răspunsurilor la petiții fără respectarea măsurilor de securitate a datelor personale, mai precis pentru prelucrarea datelor persoanelor vizate prin intermediul unor adrese de Yahoo;
- Propunerea legislativă pentru digitalizarea administraţiei publice prin eliminarea hârtiei din fluxul intern şi inter-instituţional, precum şi pentru modificarea şi completarea unor acte normative (L293/2020) prevede la Capitolul II, secțiunea 1, art 5 faptul că „Toate instituțiile publice vor utiliza, pentru corespondența prin poștă electronică, doar adrese ale căror domenii sunt deținute de respectivele instituții sau de către o altă instituție publică”
CE PUTEM FACE? EXISTĂ SOLUȚII?
- Ca cetățeni putem să refuzam categoric să trimitem emailuri atunci când o autoritate publică ( primărie/ spital/școală) ne solicită să trimitem documente sau informații pe un astfel de email gratuit și să sesizăm operatorul atunci când primim mesaje în interes profesional de la autorităti de pe aceste adrese.
- Dacă suntem o instituție publică, putem să luam legatura cu Serviciul de Telecomunicații Speciale (STS) pentru configurarea unor emailuri profesionale.
- Toate organismele publice au, conform art.37 din GDPR, obligativitatea numirii și notificării către ANSPDCP a unui Responsabil cu protecția datelor. Implicarea, mod real, a unui specialist în activitatea curentă a unui organism public conduce la creșterea nivelului de conformitate cu cerințele și obligațiile legale în domeniul protectiției datelor cu caracter personal.
Despre Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) România
Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) este creată cu scopul de a informa și de a reuni profesioniștii care doresc să gestioneze cu succes punerea în aplicare a Regulamentului General privind Protecția Datelor 2016/679 și a legislației aferente, funcționând ca un organism consultativ profesionist pentru persoane și organizații. ASPDC este o organizație non-guvernamentală, autonomă, apolitică și non-profit care ajută la definirea, susținerea și îmbunătățirea profesiei de Responsabil în protecția datelor și a altor specialiști în domeniu și își desfășoară activitatea în conformitate cu prevederile OG nr. 26/2000.
ASCPD ghidează persoanele responsabile în protecția datelor și alți specialiști în domeniul confidențialității datelor în rezolvarea numeroaselor probleme juridice, tehnice și organizatorice pentru a obține un echilibru adecvat între interesele persoanelor vizate, care necesită protecție, și cele ale operatorilor.
Obiectivul ASCPD este de a oferi soluții concrete la problemele cu care se confruntă specialiștii în confidențialitate și protecția datelor, de a crește gradul de conștientizare a legislației și de a oferi membrilor săi un forum în care aceste subiecte să poată fi dezbătute, precum și un loc de pregătire profesională continuă. ASCPD militează pentru îmbunătățirea gradului de conștientizare cu privire la tehnologiile și legile care pun în pericol viața privată, pentru a se asigura că publicul este informat și implicat.
După o perioadă de 12 luni de monitorizare a activității ASCPD în România, membrii Confederației Organizațiilor Europene pentru Protecția Datelor (CEDPO) au avizat favorabil, în aprilie 2020, adeziunea organizației românești, devenind astfel cel de-al zecelea membru cu drepturi depline.
Confederația Organizațiilor Europene pentru Protecția Datelor (CEDPO) este o “organizație umbrelă” care reunește cele mai reprezentative asociații naționale de protecție a datelor din Uniunea Europeană. CEDPO a fost fondată în septembrie 2011 de Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP, Franța), Asociación Profesional Española de Privacidad (APEP, Spania), Gesellschaft fur Datenschutz und Datensicherheit eV (GDD, Germania) și Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG, Olanda). Din momentul fondarii în 2011 și pană în momentul aderării Asociaţiei Specialiştilor în Confidenţialitate şi Protecţia Datelor (ASCPD), doar cinci organizații au mai fost invitate să se alăture Confederației: ADPO din Irlanda, ARGE Daten din Austria, ASSO DPO din Italia, SABI din Polonia si AEPT din Portugalia
Scopul acestei Confederații este de a promova rolul Responsabilului cu protecția datelor (DPO) și de a milita pentru un sistem de protecție a datelor echilibrat, bazat pe experiență practică și eficiență. În plus, CEDPO contribuie activ la o mai bună armonizare a legislației și a practicilor privind protecția datelor în Uniunea Europeană (UE) și în Spațiul Economic European (SEE), unind toate organizațiile membre într-o singură voce și valorificând astfel experiența bogată și diversă ale asociațiilor membre ale CEDPO, care dețin cunoștințe practice despre problemele care înconjoară rolul și poziția DPO, precum și provocările zilnice cu care se confruntă. CEDPO este și un interlocutor activ pentru factorii de decizie europeni și autoritățile pentru protecția datelor în contextul adoptării și implementării Regulamentului general privind protecția datelor (GDPR), propunerile sale jucând un rol important în definirea legislației actuale, în special în ceea ce privește reglementarea poziției și a rolului responsabilului cu protecția datelor (DPO). De asemenea, CEDPO a participat la modernizarea Convenției 108 a Consiliului Europei („Convenția pentru protecția persoanelor cu privire la prelucrarea automată a datelor cu caracter personal”), susținând o mai bună recunoaștere a rolului crucial pe care DPO îl joacă în protecția datelor în zilele noastre. Mai multe detalii despre proiectele asociației găsiți pe www.ascpd.ro
Sursă foto: Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD)