GDPR-ul se aplică şi în campaniile electorale!

0
0
Publicat:
Ultima actualizare:
campanie

Pandemia COVID-19 a obligat toţi aceşti competitori electorali să îşi transfere cea mai mare parte din activitatea specifică de promovare a programului electoral către mediul online, prin intermediul website-urilor şi a paginilor pe reţelele de socializare.

Totuşi, în cazul în care un operator de date încă mai consideră că nu trebuie să respecte prevederile GDPR sau că ar fi nesancţionabil, vă prezint câteva situaţii concrete care contrazic în mod evident această legendă urbană, iar faptul că în România încă nu s-a aplicat nicio amendă acestui tip de operatori nu înseamnă că timpul e pierdut sau că “nouă nu ni se poate întâmpla”.

  • În Belgia unei asociaţii politice i-a fost aplicată o amendă GDPR de 3000 euro pentru temeiul juridic insuficient pentru prelucrare, încălcând articole 5, 6 şi 14. Această asociaţie politică locală a trimis reclame electorale locuitorilor municipiului pentru alegerile locale din 2018. În acest scop, asociaţia a folosit lista electorală din 2012 şi a comparat-o cu cea din 2018, fără un temei juridic suficient şi fără informaţii în conformitate cu art. 14 GDPR.
  • Tot în Belgia, Primăria unui Municipiu a primit o amendă GDPR de 5000 euro pentru încălcarea articolelor 5 şi 6 (Temei juridic insuficient pentru prelucrare), deoarece în contextul alegerilor locale din 2018, a trimis reclame electorale unui grup de angajaţi din administraţia locală, folosind în mod ilegal o listă de date de contact.
  • În Spania, Partidul Socialist din Catalonia a primit o amendă GDPR în valoare de 5000 euro, pentru încălcarea principiului limitărilor legate de scop (Art. 5, alin (1), lit. b)). Partidul Socialist din Catalonia a folosit datele cu caracter personal furnizate de un medic profesionist pentru a trimite o scrisoare rudei reclamantului solicitând sprijin politic. Aceasta constituie un scop diferit de scopul iniţial al colecţiei şi, prin urmare, încalcă principiul limitării scopului.
  • Mai aproape de noi, în Bulgaria, unui partid politic i-a fost aplicată o amendă GDPR de 2000 euro, pentru încălcarea Art. 6 (Temei juridic insuficient pentru prelucrare), având în vedere falsificarea semnăturilor pe o listă de alegători.
  • În Italia, Asociaţiei Rousseau, persoană împuternicită a operatorului “Movimento 5 Stelle”, partid politic italian, i-a fost aplicată amenda GDPR de 50.000 euro pentru măsuri tehnice şi organizatorice insuficiente pentru a asigura securitatea datelor cu caracter personal ( Art. 32). În acest caz, mai multe site-uri web afiliate partidului politic italian Movimento 5 Stelle erau administrate, prin intermediul platformei numite “Rousseau” , care funcţiona ca persoană împuternicite de operator. Platforma a suferit o încălcare a securităţii datelor în vara anului 2017, ceea ce a determinat autoritatea italiană pentru protecţia datelor, Garante, să solicite implementarea mai multor măsuri de securitate, în plus faţă de obligaţia de actualizare a informaţiilor disponibile pentru a oferi transparenţă suplimentară. În timp ce operatorul actualiza nota de informare privind informaţiile de confidenţialitate, autoritatea italiană pentru protecţia datelor şi-a exprimat îngrijorarea cu privire la lipsa implementării pe platforma “Rousseau” a unor măsuri de securitate legate de GDPR. Merită menţionat faptul că procedura a fost iniţiată înainte de luna mai 2018, dar autoritatea italiană pentru protecţia datelor a emis o amendă în temeiul GDPR, deoarece platforma “Rousseau” nu adoptase măsurile de securitate necesare printr-un ordin emis după 25 mai 2018. Interesant este faptul că amenda nu a fost emisă împotriva partidului politic “Movimento 5 Stelle”, care este operatorul de date personale, ci împotriva Asociaţiei “Rousseau”, care este persoană împuternicită de operator.
  • În Ungaria, unui partid politic, al cărui nume nu a fost divulgat, i-a fost aplicată o amendă GDPR în cuantum de 34.375 euro, pentru îndeplinirea insuficientă a obligaţiilor de notificare privind încălcarea securităţii datelor personale (Art. 33, alin (1) şi alin. (5) şi art. 34, alin. (1)). NAIH (Autoritatea maghiară de supraveghere) a aplicat o amendă de 11.000.000 HUF (34.375 EUR) acestui partid politic maghiar pentru că nu a notificat Autoritatea şi persoanele vizate cu privire la o încălcare a securităţii datelor şi nu a documentat încălcarea, conform articolului 33, alin. (5) din GDPR. După cum prevede legea, amenda s-a bazat pe 4% din cifra de afaceri anuală a partidului şi 2,65% din cifra de afaceri anticipată pentru anul următor. Breşa de securitate a fost rezultatul unui atac cibernetic al unui hacker anonim, care a accesat şi a dezvăluit informaţii despre vulnerabilitatea sistemului organizaţiei - o bază de date de peste 6.000 de persoane. Sistemul a fost vulnerabil la acest atac cibernetic din cauza unei probleme de redirecţionare a paginii web a organizaţiei. După ce atacatorul a publicat datele, chiar şi persoanele cu cunoştinţe IT scăzute au putut prelua informaţii din baza de date.
  • Tot în Ungaria, o persoană a primit o amendă GDPR de 290 euro pentru încălcarea articolelor 5, 6, 12, 15 şi 17 (Baza legală insuficientă pentru prelucrarea datelor). Această persoană a făcut o fotografie cu directorul unei companii deţinute în totalitate de o primărie, înfăţişându-l pe director, alături de copilului său, ca şi cum ar fi rupt afişul electoral al opoziţiei din campania electorală. Persoana a încărcat fotografia pe pagina sa de Facebook şi chiar dacă imaginea copilului era blurată, totuşi în post se sugera că era fiica directorului. Directorul a declarat persoanei în cauză că nu este de acord cu realizarea fotografiei. NAIH a stabilit că actul directorului nu era o informaţie publică şi fotografia nu dovedeşte că directorul a rupt un afiş electoral. NAIH a susţinut, de asemenea, că doar numele directorului companiei deţinute integral de guvernul local era informaţie publică.
  • În Belgia, primarul unei localităţi a primit o amendă GDPR de 5000 euro pentru trimiterea de mesaje electorale fără un temei legal suficient. Adresele de e-mail utilizate nu au fost colectate în acest scop, încălcând astfel articolul 6 (Temei juridic insuficient pentru prelucrare.)
  • Şi nu în ultimul rând, tot în Belgia, unui consilier municipal i-a fost aplicată amenda GDPR în valoare de 5000 euro pentru trimiterea de mesaje electorale fără un temei legal suficient. Adresele de e-mail utilizate nu au fost colectate în acest scop, încălcând astfel articolul 6 (Temei juridic insuficient pentru prelucrare.)

După cum se poate observa, sancţiunile au fost aplicate acestui tip de operatori de date personale, mai ales pentru stabilirea incorectă a temeiurilor de prelucrare, pentru prelucrarea datelor personale în alte scopuri decât cele pentru care au fost colectate, pentru informarea insuficientă şi necorespunzătoare a persoanei vizate, pentru măsuri tehnice şi organizatorice insuficiente pentru a asigura securitatea datelor cu caracter personal, dar şi pentru îndeplinirea insuficientă a obligaţiilor de notificare privind încălcarea securităţii datelor personale. Având în vedere faptul că cea mai mare parte a amenzilor a fost aplicată pentru stabilirea incorectă a temeiului de prelucrare sau pentru că temeiul juridic identificat nu a fost suficient, trebuie clar precizat că pentru scopuri de prelucrare cum ar fi depunerea dosarului de candidat la alegeri sau a listelor de susţinători, temeiul legal este “interesul public” şi/sau “obligaţia legală” şi NU “consimţământul”, iar pentru recrutarea de membri sau de voluntari este “contractul” şi NU “consimţământul” sau “interesul legitim”, iar pentru trimiterea de newsletter sau pentru marketing temeiul este “consimţământul” şi NU „interesul legitim al operatorului”. Din dubla perspectivă de specialist în protecţia datelor personale şi de alegător, am verificat câteva website-uri şi conturi de pe reţelele de socializare ale competitorilor electorali (partide parlamentare, dar şi neparlamentare, asociaţii şi alianţe politice sau electorale, dar şi candidaţi independenţi) şi am constatat o serie întreagă de neregularităţi, unele dintre ele, dacă n-ar fi periculoase pentru drepturile şi libertăţile persoanelor vizate, ar fi pur şi simplu amuzante.

  • PRIMUL WEBSITE ANALIZAT
  • Prelucrarea datelor personale se face pentru “Scopuri permise”, inducând ideea ca sunt şi “scopuri nepermise”
  • Prelucrarea se poate face “în orice alt scop pentru care datele dumneavoastră cu caracter personal ne-au fost furnizate”;
  • “În cazul categoriilor speciale de date, prelucrarea se va face doar dacă pe lângă un temei juridic general de prelucrare a datelor, a fost obţinut şi consimţământul persoanei vizate.”;
  • “[...] transmitem datele personale către entităţi contractate de XXX pentru externalizarea unor servicii în cadrul cărora va fi necesară prelucrarea datelor cu caracter personal, precum furnizori de Cloud (Google – GSuite- în cazul membrilor comunităţilor tematice şi locale), servere (GoDaddy), servicii de gestionare/trimitere e-mail (MailChimp, Google – GSuite) [...]”.
image
image
image
  • AL DOILEA WEBSITE ANALIZAT
  • Contact: “Ne puteţi contacta direct şi la adresa de email: xxxxxx@gmail.com
  • În cererea de adeziune se colectează excesiv şi fară respectarea principiului minimalizării date precum „Locul de muncă (actual)”;“Nivel studii: Elementare/Medii/Postliceale/Superioare/Postuniversitare/Doctorat 󠄶şi Competenţe lingvistice: Limba maternă/Alte limbi cunoscute”. Scopul şi temeiul acestor date nu este clar specificat în nota de informare.
  • "Subsemnatul/a îmi exprim acordul ca datele cu caracter personal precizate în prezenta adeziune să fie stocate şi prelucrate de către Partidul xxxxxx pentru realizarea activităţilor necesare obţinerii şi menţinerii calităţii mele de membru al acestui partid, în conformitate cu prevederile legale incidente în domeniu (Regulamentul 679/26 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date, adoptat de Parlamentul European şi Consiliul Uniunii Europene; Legea nr.190/2018 privind măsurile de punere în aplicare a Regulamentului (UE) 679/26 aprilie 2016 - cu modificările şi completările ulterioare, Legea nr. 363/28 decembrie 2018 – cu modificările şi completările ulterioare).”
image
image

 3. AL TREILEA WEBSITE ANALIZAT

  • “Acest site foloseşte cookie-uri. Navigând în continuare vă exprimaţi acordul pentru folosirea cookie-urilor conform Regulamentul (UE) 2016/679 al Parlamentului European şi Al Consiliului Uniunii Europene privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date.”
  • Acest partid foloseste o “Fişa de evidenţă a membrului” pe lângă o cerere de adeziune.
  • Emailul oficial a filialelor partidelor este de forma @yahoo.ro sau @yahoo.com. În cazul utilizării acestor instrumente de comunicare, trebuie făcută o analiza pornind de la politica de confidenţialitate a furnizorului, relaţia contractuală cu acesta, dreptul de proprietate asupra conţinutului emailurilor şi a ataşamentelor, utilizarea datelor pentru microtargetare în scopuri de marketing, profilarea. Nu în ultimul rând trebuie să analizăm dacă nu cumva păstrarea unui email, cu sau fără ataşament, în inbox sau sent items, este de fapt o prelucrare şi cum majoritatea furnizorilor de "emailuri gratuite" au serverele în SUA, practic trebuie sa documentăm motivele pentru care realizăm transfer extracomunitar de date cu caracter personal ?
  • Webite-ul foloseşte un total de 58 de cookie-uri pentru multiple scopuri, prezentate într-un limbaj general. Utilizarea efectivă a acestor cookies nu este o problemă de GDPR, condiţiile de utilizare trebuie să fie unele specifice şi să fie documentat corect temeiul legal.  
image
image
image
image
  • AL PATRULEA WEBSITE ANALIZAT
  • “Tipurile de date cu caracter personal care sunt colectate şi prelucrate cu privire la membrii şi foşti membri includ: nume, prenume, adresă, CNP, data naşterii, număr telefon, adresă de e-mail, act de identitate (serie şi număr), sex, naţionalitate, stare civilă, copii (număr şi vârstă), religie, statut social, permis de conducere, venituri familiale lunare, date privind activitatea socio-profesională (studii, calificări/diplomă, angajator, ocupaţia, profesia), competenţe lingvistice, opţiuni politice, domenii de interes, hobby-uri, apartenenţă la alte organizaţii, semnătura.” (prelucrare excesivă evidentă, fără respectarea principiului minimalizării)
  • Site-ul este pe platforma Wordpress. Website-urile construite pe platforma open source de tip Wordpress au în componenţă module compatibile cu această platformă, furnizate de firme terţe care de cele mai multe ori nu oferă garanţii de securitate contractuale. Wordpress este una din cele mai răspândite structuri open-source, folosită în acest moment, în lume. Se estimează că în acest moment peste 33% din website-urile existente folosesc această tehnologie. Folosirea pe scara largă şi gratuită a acestei platforme aduce numeroase avantaje din punct de vedere a multitudinii de module software care pot fi folosite pe această infrastructură, precum şi a actualizării şi optimizării acestora de către numeroşi utilizatori entuziaşti. Cu toată popularitatea sa, Wordpress prezintă numeroase vulnerabilităţi care pot fi exploatate de către persoanele răuvoitoare, care pot duce la distrugerea informaţiilor sau la folosirea frauduloasă a acestora. Cele mai multe vulnerabilităţi apar din neglijenţa utilizatorilor şi din încrederea excesivă a administratorilor în setările de securitate implicite ale Wordpress.

 

image
image

 

 5. AL CINCILEA WEBSITE ANALIZAT

 

image

 6. AL ŞASELEA WEBSITE ANALIZAT

  • Se remarcă o confuzie între “Politica de confidenţialitateşi Politica privind utilizarea cookie-urilor care, în acest caz, “este concepută pentru a vă informa în legătură cu practicile noastre în ceea ce priveşte colectarea de informaţii de la dvs. atunci când vizitaţi site-ul nostru, prin intermediul cookie-urilor şi a altor tehnologii de urmărire, însă cu respectarea dreptului dvs. la protecţia datelor cu caracter personal care vă privesc. Pentru mai multe detalii da click aici.”;
  • “Aveţi dreptul să depuneţi o plângere la autoritatea de protecţie a datelor, dacă aveţi îngrijorări cu privire la modul în care prelucram datele dvs. personale.”
  • AVERTIZARE! Vă rugăm să vă exersaţi cu înţelepciune drepturile şi să reţineţi că abuzul de drepturi vă poate atrage răspunderea.
  • Cookie-uri non-necesare prebifate pe “Activat

 

image
image
image
  • AL ŞAPTELEA WEBSITE ANALIZAT
  •  “Site nesecurizat”. Secure Hypertext Transfer Protocol - HTTPS) care este un protocol de comunicaţie GRATUIT, destinat transferului de informaţie criptată prin intermediul internetului.
  • Conexiunea la acest site nu este sigură”;
  • 14 cookie-uri în uz.

 

image

 8. AL OPTULEA WEBSITE ANALIZAT

  • Datele personale sunt prelucrate pentru mai multe scopuri enunţate printre care şi „Marketing şi relaţii publice, pe baza consimţământului dumneavoastră, potrivit art. 6 alin. (1) lit. a) din Regulamentul GDPR: pentru analiza comportamentului şi monitorizarea traficului se analizează date cum ar fi: sistemul de operare al dispozitivului, browser-ul şi setarile lui, informaţii stocate în cookie-uri, adresa IP, localizarea geografică a dispozitivului. Acestea din urma sunt date colectate şi gestionate de terţi, cum ar fi Google, Facebook etc. şi nu pot fi folosite la identificarea dumneavoastră;
  • “Cu toate acestea, ww.xxx.ro foloseşte măsuri de securitate a site-ului în conformitate cu cele mai bune practici pentru a proteja site-ul web, e-mailurile şi listele de corespondenţă.”;
  • Cookie-uri “Non-Necesare” prebifate pe “Activate”.
image
image
image

9. Următorul exemplu se referă la o comunicare electorală de la un candidat către 100.000 de persoane.  În acest caz, pornim de la prezumţia că în această bază de date au fost incluse doar persoane care şi-au dat consimţământul în cunoştinţă de cauză pentru ca datele personale (numele şi adresa poştală) să fie utilizat în acest scop specific.

Nu există nici o informaţie referitoare la legalitatea prelucrării, nu se menţionează sursa datelor şi, având în vedere că această prelucrare de date cu caracter personal se poate face doar în baza consimţământului, trebuie să fie oferită o modalitate ca persoana să poată să îşi retragă consimţământul.

image
image
  • BONUS

Chiar dacă nu se încadrează în tema articolului, nu puteam trece cu vederea o adevărată “perlă” în materie de protecţia datelor personale de pe site-ul unei primării, unde persoana vizată poate dezactiva politica de confidenţialitate dacă ceva nu-i place.

ANALIZA NOTELOR DE INFORMARE PRIVIND TRANSPARENŢA PRELUCRĂRII

În ceea ce priveşte drepturile persoanelor vizate, în Notele de informare a persoanei vizate sau în Politicile de confidenţialitate pe care le-am identificat şi le-am putut analiza, sunt menţionate toate drepturile de care beneficiază persoana vizată, fără a se personaliza însă, iar aici menţionăm includerea dreptului la portabilitatea datelor, care în cazul listelor de susţinători, spre exemplu, nu poate fi exercitat de persoana vizată, deoarece poate fi susţinut doar un singur candidat şi nu se pot transmite datele către alt operator (alt partid / candidat). De asemenea, nu am identificat peste tot precizarea dreptului de retragere a consimţământului, acolo unde s-au declarat prelucrări de date personale pe bază de consimţământ sau am găsit o precizare scurtă ca se poate retrage acordul, dar fără a se preciza clar cum se poate face sau, unde s-a precizat cum se poate retrage consimţământul, aceasta retragere se putea face mult mai greu şi mai dificil pentru persoana vizată decât s-a făcut acordarea acestuia (spre exemplu, am întâlnit acord solicitat / dat printr-un simplu click, în timp ce retragerea este posibilă doar printr-o cerere depusă la sediul operatorului). Din analiza făcută a rezultat că operatorii nu îşi îndeplinesc în mod corespunzător obligaţiile care le revin conform prevederilor Regulamentului 679/2016, în sensul în care cel puţin lipsa datelor de contact ale Responsabilului cu protecţia datelor personal sugerează ca acesta n-ar exista, dreptul la informare al persoanelor vizate nu este respectat corespunzător, datele personale prelucrate nu sunt securizate corespunzător (site-uri găzduite în afara UE şi chiar a Europei, adrese de e-mail oficiale pe yahoo sau gmail, casete de colectare a consimţământului prebifate pe acceptare sau care lipsesc complet, cookies-uri ne esenţiale prebifate pe acceptare, scopuri de prelucrare negranulate şi necorelate cu temeiurile prelucrării, limbaj neclar, ambiguu şi plin de generalităţi sau de pronume nehotărâte, termene de stocare neprecizate sau precizate neclar şi în termeni generali, date colectate excesiv şi prelucrate ulterior în scopuri incompatibile cu scopurile iniţiale sau lipsesc precizările legate de eventuale acorduri / contracte de confidenţialitate ale salariaţilor / persoanelor împuternicite de operator care prelucrează datele persoanelor vizate etc.).

CONCLUZII

Dacă ar fi să ne oprim doar asupra câtorva aspecte, acest articol evidenţiază următoarele concluzii:

  • superficialitatea operatorilor care prelucrează date cu caracter personal în perioada campaniei electorale desfăşurată în România în perioada august-septembrie 2020;
  • lipsa atenţiei faţă de prevederile şi principiile GDPR;
  • informările persoanelor vizate sunt făcute în grabă, după “şabloane” şi de multe ori limbajul folosit în întocmirea acestora este neadecvat, plin de generalităţi şi, în multe situaţii, este neadaptat persoanelor vizate, necunoscătoare;
  • încă se face confuzie între temeiurile de prelucrare (obligaţie legală vs. interes legitim vs. consimţământ);
  • nu s-a înţeles că temeiul consimţământului este singurul care nu poate fi asociat cu alte temeiuri pentru acelaşi scop şi în cele mai multe cazuri este viciat;
  • operatorii nu respectă structura art. 13 sau 14 şi se fac confuzii între prelucrarea datelor colectate direct de la persoana vizată sau din alte surse;
  • din punct de vedere tehnic pot spune că operatorii nu şi-au adaptat instrumentele folosite în campaniile electorale (pagina web, pagina pe reţelele de socializare) pentru a respecta principiile acestui regulament;
  • lipsa certificatelor de securitate (https);
  • stocări în afara UE sau utilizarea serviciilor de e-mail sau newsletter care presupun stocarea în afara UE;
  • utilizări excesive de cookies-uri care nu pot fi controlate de vizitatori.

 

RECOMANDARI

Chiar dacă DPO-ul este captiv între obligaţiile legale impuse de legile organice şi principiile şi obligaţiile GDPR, există, în opinia mea, o reţetă pentru a asigura un echilibru între toate aceste reglementări:

  • Implicarea DPO-ului. El este specialistul care astăzi poate să consilieze şi să ghideze organizaţia în respectarea GDPR şi păstrarea acestui echilibru cu obligaţiile legale şi interesele publice ale partidului.
  • Respectarea celor şapte principii fundamentale ale GDPR. Aceste principii trebuie să devină o realitate, trebuie să fie implementate în orice fel de procedură, ca nişte filtre care trebuie aplicate înainte de a lansa orice tip de document.
  • Informarea persoanelor vizate. Este foarte uşor să investim în această informare prealabilă şi să obţinem, practic, o implicare şi motivarea acestor persoane, pentru că, în fond, toate aceste proceduri restrictive sunt în interesul lor, al protecţiei datelor lor cu caracter personal. Aceste informări trebuie să fie formulate într-un limbaj accesibil.
  • Instruirea persoanelor, obţinerea de garanţii, implementarea de măsuri tehnice şi organizatorice.  Trebuie să fim foarte atenţi atunci când datele alegătorilor sunt prelucrate de către împuterniciţii noştri. Ca operatori trebuie să ne asigurăm că sunt implementate măsuri tehnice şi organizatorice de protecţie şi securitate a acestor date personale pe tot procesul de prelucrare.
  • Evaluarea nivelului de prelucrare a datelor (de exemplu, dacă este excesiv) şi identificarea unor metode mai puţin intruzive de prelucrare a datelor personale, fără a creşte birocraţia. Să nu uităm că DPO-ul este cel care poate evalua dacă discutăm de un nivel excesiv de prelucrare a datelor, trebuie să încercăm să limităm înscrisurile, astfel încât să nu creştem birocraţia doar de dragul de a ne acoperi cu documente justificative privind respectarea acestei legi. Respectarea tuturor celorlalte principii GDPR s-ar face mult mai uşor dacă principiul minimizării ar fi respectat întocmai şi pun accent mai ales pe acest lucru, deoarece noi, românii, companiile româneşti, instituţiile statului am ridicat birocraţia aproape la nivel de tradiţie. Nu tot ce e mult e şi bun, un singur document bine întocmit şi cu responsabilitate mă protejează la fel de bine ca zece documente pline de date personale  nefolositoare, dar colectate pe sistemul „să fie”.

Concluzionez că această reţeta nu se aplică exclusiv în această perioadă electorală, cele cinci recomandări fiind aplicabile oricărei organizaţii care îşi propune să îşi adapteze cultura organizaţională şi să îmbrăţişeze principiile GDPR. Recomand tuturor formaţiunilor politice şi candidaţilor independenţi sa folosească puţinul timp rămas din aceasta campanie şi să repare aceste erori de exprimare sau de configurare tehnică, demonstrând astfel că respectă în mod real principiile GDPR şi drepturile persoanelor vizate.    

Opinii


Ultimele știri
Cele mai citite