De ce românilor nu le pasă de viaţa lor privată?

0
0
Publicat:
Ultima actualizare:

La începutul săptămânii trecute citeam despre implementarea unui sistem de recunoaştere facială care va folosi camerele de monitorizare video, webcam-urile, telefoane mobile, reţele de socializare şi camere ATM pentru a realiza o prelucrare, în regim automatizat, de către organele de poliţie, pentru identificarea unică a indivizilor.

Linştea din jurul acestui subiect o pot explica în doua feluri: fie majoritatea românilor sunt conştienţi de acest cost şi sunt dispuşi să îl plătească pentru a combate criminalitatea şi frauda din România sau întreaga societate românească nu este îndeajuns educată ca să recunoască riscurile introduse de implementarea unui astfel de sistem automatizat şi nu apreciază corect valoarea "vieţii private"  şi a libertăţii. În rândurile următoare nu veţi găsi un răspuns clar la întrebarea din titlu, dar citind următoarele informaţii puteţi cel puţin să ajutaţi la creşterea nivelul de educaţie a întregii societăţi româneşti care se va pronunţa pe viitor dacă acest proiect intruziv aduce mai multe beneficii sau introduce mai multe riscuri pentru asigurarea drepturilor şi libertăţilor persoanelor.

Ce este această tehnologie de recunoaştere facială? 

Ei bine, această tehnologie presupune prelucrarea automatizată a imaginilor, care constă în identificarea unor caracteristici faciale specifice persoanei fizice, precum ochii, nasul şi gura, extragerea unor caracteristici esenţiale din datele biometrice, cum ar fi măsurările faciale pornind de la o imagine captată, inclusiv prin reprezentarea matematică a întregii imagini care rezultă din analiza componentelor principale ale acesteia şi duce la identificarea persoanei. Soluţia de recunoaştere facială care se doreşte implementată în România va trebui să poată executa căutări după o imagine „în litigiu” într-o bază de date de până la 2.000.000 de înregistrări, în maxim 5 secunde, într-o bază de date care va putea cuprinde mai mult de 10% din toată populaţia României. Altfel spus, BigBrother devine o realitate în România şi vom plati cu toţii cu preţul vieţii noastre private pentru binele comun, în condiţiile în care un astfel de sistem nu şi-a dovedit eficacitatea, fiind interzis de exemplu în San Francisco, Somerville din Massachusetts şi Oakland, California.  Conform unui anunţ recent, chiar şi California urmează sa adopte o lege de interzicerea a camerelor utilizate de poliţie şi care folosesc tehnologia de recunoaştere facială, ca o măsură de protecţie a vieţii private.

În România acest proiect a fost iniţiat de Inspectoratul General al Poliţiei Române care a lansat deja o achiziţie publică pentru operaţionalizarea sistemului de identificare şi recunoaştere facială NBIS (Naţional Biometric Identification System) şi interconectarea acestuia cu autorităţile de aplicare a legii din Uniunea Europeană. Prin implementarea acestei tehnologii, Poliţia Română urmăreşte să crească gradul de combatere şi elucidare a cazurilor asociate furtului de identitate, a documentelor pierdute sau furate, identificarea suspecţilor care comit sau intenţionează să comită fapte de natură penală (terorism, infracţiuni cu violenta, etc.).

Am studiat cu interes Caietul de sarcini - sistem de recunoastere faciala şi am constatat cu surpriză faptul că în cadrul acestor criterii de atribuire a contractului, ponderea pentru „Eficacitatea algoritmului de căutare/comparare” este de doar 30%, fiind pe aceeaşi treaptă cu preţul ofertei. Restul factorilor de evaluare vizează caracteristici hardware care nu afectează acurateţea funcţionarii software-ului de recunoaştere faciala.  Un alt aspect care mi-a întărit îngrijorarea privind viabilitatea sistemului de recunoaştere faciala este faptul că Autoritatea nu a impus prin documentaţia achiziţiei cele mai utilizate condiţii de participare atunci când sunt vizate proiecte de o asemenea amploare şi sensibilitate: demonstrarea capacităţii tehnice şi profesionale şi situaţia economica şi financiară a ofertantului. Prin urmare, operatorii care vor depune o oferta nu vor trebui să dovedească faptul că deţin resursele financiare suficiente pentru a duce la bun sfârşit un proiect de o asemenea amploare şi importanţă şi nici nu vor trebui să dovedească că au experienţă în implementarea unei soluţii similare sau măcar că personalul care se va ocupa de instalarea sistemului este calificat şi deţine experienţă specifică în astfel de proiecte.

Care este legislaţia naţională şi europeană care reglementează această tehnologie?

Am facut următorul pas logic şi am căutat articole din legislaţia românească şi europeană care reglementează acest tip de prelucrări de date personale şi am găsit Legea nr. 363/2018 şi Directiva 680/2016.

Astfel, conform dispoziţiilor art. 10 şi 11 din Legea 363/2018, prelucrarea datelor sensibile (biometrice) prin mijloace automate este interzisă, cu excepţia cazului în care prelucrarea este reglementată expres de lege, şi sunt instituite măsuri corespunzătoare pentru protejarea drepturilor, a libertăţilor şi a intereselor legitime ale persoanei vizate. Mai mult, utilizarea unui sistem ce ridica suspiciuni privind intruziunea în viaţa privată a persoanelor ar trebui înainte de toate să treacă printr-o evaluare a impactului asupra protecţiei datelor cu caracter personal (DPIA), obligatorie pentru acest tip de prelucrări conform Deciziei nr. 174/2018 a Autorităţii Naţionale de Supraveghere.

Având în vedere că vorbim despre implementarea unei tehnologii noi care prezintă un risc ridicat pentru drepturile şi libertăţile persoanelor şi care va putea fi utilizat pe întreg teritoriul României, consider că Poliţia Română ar fi trebuit să consulte autoritatea naţională de supraveghere atunci când a planificat achiziţia acestui sistem în vederea includerii în caietului de sarcini a unor cerinţe funcţionale specifice care să ofere garanţii suficiente în ceea ce priveşte protecţia datelor personale, adică respectarea conceptului de privacy by design (vezi art. 25 din GDPR).

În privinţa legislaţiei europene m-am consultat cu un specialist în domeniu, Sergiu Bozianu - Preşedinte al Asociaţiei pentru Protecţia Vieţii Private, Fost Director Adjunct -  Direcţia Generală de Supraveghere şi Conformitate la Centrul Naţional pentru Protecţia Datelor cu Caracter Personal al Republicii Moldova, realizând următoarea analiză succintă:

"Având elementele constitutive relevate, constatăm cu certitudine că acestor operaţiuni de prelucrare a datelor nu sunt opozabile cerinţele GDPR în măsura în care datele colectate în scopurile enunţate nu vor fi prelucrate în alte scopuri decât cele care cad sub incidenţa Regulamentului, în conformitate cu prevederile art. 9 alin. (1) din Directiva 680. Chiar dacă cerinţele Directivei 680 nu au aplicabilitate directă pentru statele membre cum ar fi în cazul GDPR, pentru asigurarea respectării dreptului la viaţa privată în legătură cu prelucrarea datelor cu caracter personal în sectorul poliţienesc aceste trebuinţe reprezintă un imperativ.

În acest sens, art. 10 din Directiva 680/2016 stabileşte expres şi fără drept de interpretare că: prelucrarea datelor genetice, prelucrarea datelor biometrice pentru identificarea unică a unei persoane fizice [.....] este autorizată numai atunci când este strict necesară şi sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile persoanei vizate şi numai atunci când este autorizată de dreptul Uniunii sau de dreptul intern

Pentru a putea aprecia caracterul conform al acestei intenţiei ale IGP, se impun următoarele întrebări:

  • Art. 12-18, cum se vor realiza drepturile persoanelor vizate şi în ce măsură vor fi asigurate/restrânse, inclusiv perioada pentru care nu vor fi informaţi;
  • Art. 22, care sunt măsurile organizatorice şi tehnice puse în aplicare de către persoana împuternicită, care aparent este de drept privat;
  • Art. 24, care este actul normativ care stabileşte condiţiile de evidenţă a prelucrărilor de date: în special care s-ar referi la: destinatarii datelor, categoriilor de persoane vizate, eventualul transfer către o ţară terţă, temeiul juridic al prelucrării, termenul limită pentru ştergere a datelor, măsurile generale tehnice de securitate asigurate.
  • Art. 27, dacă a fost efectuat impactul asupra protecţiei datelor cu caracter personal înainte de a prelucra categoria specială de date prin intermediul dezvoltării unei noi tehnologii.
  • Art. 28, dacă în prealabil a fost consultată Autoritatea de supraveghere, inclusiv care a fost poziţia acesteia pe caz, cu specificarea aspectelor esenţiale;
  • Art. 36-37, dacă se va efectua transferul către ţări terţe şi care vor fi situaţiile opozabile;
  • Art. 41, care este Autoritatea responsabilă de asigurarea protecţiei datelor cu caracter personal în cazul unor astfel de operaţiuni de prelucrare a datelor şi care sunt competenţele efective ale acesteia.

De menţionat că aşa cum opinează CEDO în numeroasele sale hotărâri, simplul fapt al colectării şi înregistrării de către o autoritate publică a datelor cu caracter personal ale unei persoane vizate – reprezintă o ingerinţă în viaţa privată, care poate avea loc doar dacă este prevăzută de LEGE şi este necesară într-un stat democratic. Suplimentar pot să comunic că în Republica Moldova încă în perioada anilor 2015-2016, de către Î.S. CRIS ,,Registru” actuala Agenţie Servicii Publice – instituţie publice responsabilă de gestionarea mai multor registre de stat cum ar fi: (Registrul de stat al populaţiei, Registrul de stat al unităţilor de drept, Registrul de stat al transporturilor auto etc.) a intenţionat în regim de testare a unui sistem similar de recunoaştere facială. În acel caz, instituţia vizată a solicitat poziţia Autorităţii de supraveghere – Centrului Naţional pentru Protecţia Datelor cu Caracter Personal care şi-a expus poziţia, înaintând un set de cerinţe similare celor descrise supra pentru a fi asigurat regimul juridic al protecţiei datelor cu caracter personal."

Opinii


Ultimele știri
Cele mai citite