Aici descoperim
dreptul tehnologiei

big-data-protection-cyber-security-concept-with-shield-icon-cyber-space_34629-736.jpg

Criptarea este una dintre măsurile pe care trebuie să le pună în aplicare orice organizație care prelucrează date cu caracter personal, iar acest articol îți va explica ce este criptarea, tipurile de criptare și cum trebuie implementată criptarea.

Când spun că relația dintre criptare și GDPR este una deschisă, am în vedere faptul că deși introducerea criptării este necesară, ea nu este suficientă pentru a asigura conformitatea la GDPR, deoarece organizația trebuie să pună în practică și alte măsuri tehnice și organizatorice adecvate.  De exemplu, organizația ar trebui să introducă și pseudonimizarea datelor. Când spun că relația dintre criptare și GDPR este una complicată am în vedere faptul că introducerea criptării trebuie realizată în urma unei evaluări de risc adecvate pentru a descoperi care categori de date cu caracter personal necesită o criptare mai puternică și care este cea mai bună soluție de criptare pe care și-o poate permite o organizație la momentul T. Totodată, între criptare și GDPR este o relație pe termen lung, așadar măsurile implementate ar trebui reevaluate și îmbunătățite constant.

Prin urmare, ce vreau să spun, pe scurt, este că dacă ai criptat datele nu înseamnă că respecți automat GDPR, dar dacă nu ai criptat deloc datele există un risc mare să încalci GDPR.

În concluzie, trebuie să criptăm. 

 

Și totuși… ce este criptarea? 

  • Criptarea este o funcție matematică care codifică datele astfel încât numai utilizatorii autorizați să le poată accesa.
  • Este o modalitate de a proteja datele cu caracter personal împotriva prelucrării neautorizate sau ilegale ale acestora, precum și o modalitate prin care puteți demonstra conformitatea cu principiul securității.
  • Criptarea protejează informațiile stocate pe dispozitivele mobile și statice și în transmisie și există o serie de opțiuni diferite de criptare disponibile.
  • Ar trebui să luați în considerare criptarea împreună cu alte măsuri tehnice și organizatorice, ținând seama de beneficiile și riscurile pe care le poate oferi.
  • Ar trebui să aveți o politică care să guverneze utilizarea criptării, inclusiv formarea corespunzătoare a personalului.
  • De asemenea, trebuie să fiți la curent cu orice orientări specifice sectorului care vi se aplică, deoarece acestea pot prevedea obligativitatea utilizării criptării.

 

KIT GDPR Premium

 

 

Criptarea și stocarea datelor

  • Criptarea datelor în timpul stocării asigură o protecție eficientă împotriva prelucrării neautorizate sau ilegale.
  • Cele mai moderne sisteme de operare au încorporată o criptare completă a discului. De asemenea, puteți cripta fișiere individuale sau crea containere criptate.
  • Unele aplicații și baze de date pot fi configurate pentru a stoca date în formă criptată.
  • Stocarea datelor criptate prezintă în continuare riscuri reziduale. Va trebui să le abordați în funcție de context, de exemplu prin intermediul unei politici de securitate. 

 

Criptarea și transferul de date

  • Criptarea datelor cu caracter personal în timpul transferului asigură o protecție eficientă împotriva interceptării de către un terț.
  • Trebuie să utilizați canale de comunicații criptate atunci când se transmit date cu caracter personal printr-o rețea nesigură.
  • Puteți cripta datele înainte de a le transmite pe un canal nesigur și asigurați-vă că acestea sunt în continuare protejate. Cu toate acestea, un canal securizat oferă garanția că conținutul nu poate fi înțeles dacă este interceptat. Fără metode de criptare suplimentare, cum ar fi criptarea datelor în sine înainte de transmitere, datele vor fi criptate numai în timpul tranzitului.
  • Transferul de date criptate încă prezintă riscuri reziduale. Va trebui să le abordați în funcție de context, cum ar fi prin intermediul unor politici organizatorice. 

 

Te-ar putea interesa și:

 

Câte tipuri de criptare există?

  • Cele două tipuri de criptare utilizate în prezent la scară largă sunt criptarea simetrică și asimetrică.
  • În cazul criptării simetrice, aceeași cheie este folosită pentru criptare și decriptare. În schimb, în cazul criptării asimetrice, sunt utilizate chei diferite pentru criptare și decriptare.
  • Când se utilizează criptarea simetrică, este esențial să vă asigurați că cheia este transferată în siguranță, de exemplu prin intermediul unui canal de comunicare diferit. 
  • Tehnica hashing-ului criptografic este uneori asimilată cu criptarea, dar este important să se înțeleagă că criptarea și hashing-ul nu sunt concepte identice și sunt utilizate în scopuri diferite.

 

Cum ar trebui să implementăm criptarea?

  • Când implementați criptarea, este important să luați în considerare patru lucruri: alegerea algoritmului corect, alegerea dimensiunii corecte a cheii, alegerea software-ului corect și păstrarea cheii în siguranță.
  • În timp, se pot descoperi vulnerabilități în algoritmii de criptare care îi pot face în cele din urmă nesiguri. Ar trebui să evaluați periodic dacă metoda dumneavoastră de criptare rămâne adecvată.
  • Este important să se asigure că dimensiunea cheii este suficient de mare pentru a proteja împotriva unui atac de-a lungul duratei de viață a datelor. Prin urmare, ar trebui să evaluați dacă dimensiunile cheii dumneavoastră rămân adecvate.
  • Software-ul de criptare pe care îl utilizați este, de asemenea, esențial. Trebuie să vă asigurați că orice soluție pe care o implementați respectă standardele actuale, cum ar fi FIPS 140-2 și FIPS 197.
  • De asemenea, trebuie să vă asigurați că păstrați cheile în siguranță și că aveți procese în funcțiune pentru a genera chei noi atunci când este necesar.

 

Sursa: ICO

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 



maxresdefault-1200x675.jpg





În prezent, mulți specialiști emit opinii dacă termoscanarea este legală sau este ilegală. Am o dublă specializare care îmi permite să ofer o opinie fundamentată pe subiectul termoscanării. Sunt avocat în Baroul București specializat pe dreptul tehnologiei și al protecției datelor și profesionist în protecția datelor acreditat de IAPP. Articolul de mai jos a fost publicat inițial pe platforma juridice.ro.

I. Introducere, noțiune și context

În România, masura luării temperaturii a fost introdusă în mod obligatoriu prin Ordinul MS-MAI nr. 874/2020. În situațiile unde munca de la domiciliu nu este posibilă, organizațiile (publice sau private) vor asigura triajul epidemiologic constând în controlul temperaturii personalului și/sau al vizitatorilor.

Totodată, potrivit art. 3 alin. 1 din Legea nr. 190/2018 „Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”

Întrucât nu există în prezent în România nicio lege care să permită utilizarea temoscanării prin prelucrarea datelor, în măsura în care se înregistrează date, termoscanarea se poate realiza doar cu acordul explicit al persoanei vizate.

II. Termoscanarea, RGPD și Legea nr. 190/2018

(1) Este termoscanarea o activitate de prelucrare de date cu caracter personal în temeiul RGPD?

Da, potrivit art. (4) pct. (2) din RGPD, termoscanarea poate fi o activitate de prelucrare de date cu caracter personal în temeiul RGPD[1] în măsura în care datele cu caracter personal sunt înregistrate într-un sistem de evidență.

Cu toate acestea, simpla luare a temperaturii prin utilizarea unui temometru și fără a permite înregistrarea nu reprezintă o activitate de prelucrare în temeiul RGPD. Însă, deși luarea manuală a temperaturii cu termometre clasice sau non-contact nu reprezintă o prelucrare în temeiul RGPD, riscurile cu privire la drepturile omului (stigmatizare, excluziune socială, discriminare etc) sunt în continuare prezente, de aceea, organizațiile ar trebui să implementeze măsuri concrete pentru drepturile omului chiar dacă se merge pe termometrizare manuală.

KIT GDPR Premium

 

(II) Se încadrează temperatura corpului în noțiunea de date cu caracter personal?

Da, temperatura corpului se încadrează în noțiunea datelor cu caracter personal[2] așa cum vom arăta în cele ce urmează și, mai mult decât atât, se încadrează în noțiunea datelor cu caracter special[3] (datele privind starea de sănătate) având un regim de prelucrare în condiții mai stricte față de datele cu caracter personal obișnuite așa cum vom arăta în continuare.

Potrivit art. 4 pct. 1, date cu caracter personal înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”).

Pentru a analiza dacă temperatura corpului în contextul termoscanării este o dată cu caracter personal în temeiul RGPD, vom avea în vedere cele patru elemente folosind raționamentul propus de Comitetul European pentru Protecția Datelor în Avizul nr. 4/2007 privind conceptul de date cu caracter personal (denumit în continuare CEPD)[4]:
– „orice informație”;
– „referitoare la”;
– „persoană fizică identificată sau identificabilă”;
– „persoană fizică.”

1.Primul element: „Orice informații”

Din punctul de vedere al naturii informațiilor, conceptul de date cu caracter personal cuprinde orice afirmație referitoare la o persoană, prin urmare temperatura corpului poate fi o dată cu caracter personal, în măsura în care sunt respectate și celelalte condiții.

2. Al doilea element: „referitoare la”

Discutăm, în acest caz, despre o legătură de cauzalitate între informație și persoana fizică.

Potrivit CEPD[5]„informaţiile pot fi considerate că „se referă” la o persoană atunci când acestea sunt despre persoana respectivă. (…) În multe situaţii, această legătură poate fi uşor stabilită. (…) Cu toate acestea, pot fi menţionate unele situaţii în care nu este întotdeauna la fel de clar (…) dacă informaţiile „se referă” la o persoană (…). Pentru ca datele „să se refere” la o persoană, trebuie să existe un element „conţinut” SAU un element „scop” ORI un element „rezultat”.

(…)

Elementul „conţinut” este prezent în cazurile în care – în conformitate cu percepţia cea mai evidentă şi obişnuită dintr-o societate a cuvântului „se referă” – informaţiile sunt oferite cu privire la o anumită persoană, indiferent de scopul urmărit de operator sau de o parte terţă ori de impactul pe care informaţiile respective îl pot avea asupra persoanei vizate.

(…)

Elementul „scop” poate determina, de asemenea, dacă informaţiile respective „se referă” la o anumită persoană. Acest element „scop” există atunci când datele sunt utilizate sau este probabil că vor fi utilizate, ţinând seama de toate circumstanţele legate de cazul specific, în scopul evaluării, tratării într-un anumit fel sau a influenţării statutului sau a comportamentului unei persoane.”

Cu privire la elementul „scop” facem precizarea că datele privind temperatura unei persoane sunt utilizate în scopul permiterii accesului într-o incintă, prin urmare, datele se referă la o persoană fizică mergând pe raționamentul propus de CEPD.

3. Al treilea element: „identificată sau identificabilă”



Potrivit CEPD[6]„În termeni generali, o persoană fizică poate fi considerată ca fiind „identificată” atunci când, în cadrul unui grup de persoane, acesta/aceasta „se distinge” de ceilalţi membri ai grupului. (…) În consecinţă, persoana fizică este „identificabilă” atunci când, cu toate că persoana nu a fost încă identificată, este posibil să se realizeze acest lucru (acesta este înţelesul sufixului „-bil”).

(…)

Identificarea se realizează, în mod obişnuit, cu ajutorul informaţiilor denumite „identificatori” şi care prezintă o legătură extrem de privilegiată şi strânsă cu o anumită persoană. Exemplele se pot referi la semnele exterioare ale înfăţişării persoanei precum înălţimea, culoarea părului, îmbrăcămintea etc. sau o calitate a persoanei care nu poate fi percepută imediat, precum, profesia, funcţia sau numele etc. (…)”

Exemplul 1: Organizația ABC utilizează termometre digitale non-contact în vederea realizării triajului epidemiologic. Organizația ABC SRL are amplasate sisteme CCTV pentru a monitoriza video incinta locației. Sistemele CCTV au rază directă către zona unde se ia temperatura angajaților, având vizibilitate directă către fața angajatului care urmează să fie termoscanat și către ecranul dispozitivului. La data de 25 mai 2020, ora 14.14, angajatului Y i se ia temperatura, iar rezultatul este 37.4. La aceeași dată și oră (25 mai 2020, ora 14.14), responsabilul cu supravegherea sistemului CCTV vede pe înregistrările CCTV fața angajatului și rezultatul temperaturii. Deoarece sunt colegi de muncă, responsabilul cu supravegherea sistemului CCTV cunoaște numele persoanei, prin urmare identificarea a fost realizată. Îl identifică drept Ion Ionescu. Mai departe există riscul ca responsabilul supravegherea sistemului CCTV să transmită altor colegi faptul că angajatului termoscanat (Ion Ionescu) nu i s-a permis accesul în locație deoarece a avut o temperatură de 37.4.

Exemplul 2: Organizația ABC utilizează camere termografice cu soft integrat în vederea realizării triajului epidemiologic. Aceste camere pot vedea și fața persoanei. Aceste camere sunt monitorizate de un responsabil uman pentru realizarea triajului epidemiologic. Deoarece are acces la imaginile faciale și la rezultatul temperaturii și cunoaște persoanele deoarece sunt colegi de muncă, responsabilul cu supravegherea camerelor poate identifica, în orice moment, persoanele termoscanate și poate spune ce temperatură au avut. Risurile sunt cu atât mai mari cu cât perioada de stocare este mai lungă sau mai multe persoane au acces la înregistrări.

Exemplul 3: Organizația ABC SRL a decis să oblige angajații să poarte dispozitive „wearable” (brățări) pentru a cunoaște în timp real temperatura oricărui angajat în orice moment al prezenței sale la locul de muncă în vederea realizării triajului epidemiologic. Pentru a ști cui aparține temperatura și cui nu i se va permite accesul în incintă, compania ABC SRL a introdus un element de identificare. Să spunem că a introdus numele persoanei. Prin urmare, în această ipoteză, organizația ABC cunoaște în orice moment ce temperatură are fiecare angajat și identificarea este realizată automat de softul dispozitivelor.

4. Al patrulea element: persoană fizică

Protecţia conferită de dispoziţiile Regulamentului se aplică persoanelor fizice, adică fiinţelor umane. Având în vedere că vorbim de temperatura unor persoane fizice în viață, nu mai este nevoie de argumente suplimentare.

În concluzie, temperatura corpului în contextul termoscanării poate fi o dată cu caracter personal în temeiul RGPD în funcție de contextul termoscanării și tehnologia utilizată.

 

(III) Este termoscanarea un proces decizional automatizat în sensul Legii nr. 190/2018?

Art. 3 alin. (1) din Legea nr. 190/2018 prevede că Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”

Temperatura corpului se încadrează în categoria datelor privind sănătatea.

Potrivit art. 22 din RGPD pentru a fi în situația unui proces decizional trebuie îndeplinite în mod cumulativ două condiții:
(1) Decizia este bazată exclusiv pe prelucrare automată și
(2) Decizia produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

Indiferent de tehnologia folosită pentru termoscanare (termometru digital non-contact care stochează date, camere termografice cu soft integrat sau dispozitive de tip „wearable”), suntem în prezența unui proces decizional automatizat deoarece sunt îndeplinite cumulativ ambele condiții de mai sus așa cum vom arăta în cele ce urmează.

Cu privire la îndeplinirea primei condiție, facem precizarea că nu există nicio implicare umană în luarea deciziei dacă să se permită sau nu accesul unei persoane. Decizia este luată în acest caz de o mașină care afișează temperatura. Nu există nicio intervenție umană care să aibă vreo influență asupra rezultatului termoscanării. Dacă temperatura este peste 37.3, persoanei nu i se va permite accesul și nu se ține cont de alți factori.

Cu privire îndeplinirea celei de-a doua condiție, facem precizarea că decizia poate produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă (discriminare, îngrădirea dreptului la muncă, stigmatizare etc.)

Având în vedere cele expuse mai sus, tragem concluzia că termoscanarea este un proces decizional automatizat în sensul art. 3 alin. (1) din Legea nr. 190/2018 coroborat cu art. 22 din RGPD și că ea poate fi realizată doar dacă nu se înregistrează deloc date cu caracter personal sau dacă s-a obținut consimțământul explicit al tuturor persoanelor.

KIT GDPR Premium

 

(IV) Încalcă termoscanarea RGPD?

Având în vedere că, așa cum am arătat la punctul anterior, termoscanarea este un proces decizional automatizat bazat pe prelucrarea datelor privind starea de sănătate (temperatura) interzis în mod expres de către Legea nr. 190/2018 în absența consimțământului explicit sau în absența unei legislații interne, considerăm că termoscanarea care înregistrează date este nelegală.

În prezent nu există nicio dispoziție legală care să permită termoscanarea cu înregistrarea datelor personale. Ordinul MS-MAI permite doar termoscanarea fără înregistrarea datelor.

În consecință operatorii care folosesc termoscanarea prin tehnologii care înregistrează date (termometru digital non-contact care stochează date, camere termografice cu soft integrat sau dispozitive de tip „wearable”) vor încălca principiul legalității prevăzut de RGPD (art. 5 alin. (1) lit. a)) și riscă amenzi care pot ajunge până la 4% din cifra de afaceri sau 20.000.000 euro.

(V) Este consimțământul din Ordinul nr. 3577/2020 valabil?

Potrivit art. 2 din Ordinul nr. 3577/302020, pe durata stării de alertă, pentru prevenirea răspândirii COVID-19, toți angajații din sectorul public sau privat acceptă verificarea temperaturii corporale la intrarea în sediu, la începutul programului și ori de câte ori revin în sediu.

A se observa faptul că Ministerul Muncii și Protecției Sociale a instuit o formă de consimțământ viciat care intră în contradicție cu prevederile RGPD. Potrivit RGPD, consimțământul este „o manifestare liberă de voință, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.[7]

(VI) Ce au de făcut organizațiile care introduc termoscanarea pentru a respecta RGPD?

Chiar dacă efectuarea triajului epidemiologic este o obligație legală potrivit legislației naționale, RGPD continuă să se aplice, iar companiile trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate a nu înregistra date personale atunci când măsoară temperatura, de exemplu să aleagă tehnologia care nu înregistrează date.

V. Tipuri de tehnologii

Ordinul MS MAI nu face diferențierea între tipurile de tehnologii disponibile și care pot fi utilizate în mod securizat astfel încât să nu se înregistreze date, de aceea considerăm că este necesară analizarea tipurilor de tehnologii disponibile pe piață pentru a descoperi gradul fiecăruia de intruziune în viața privată. Potrivit ICO, în situația termoscanării trebuie achiziționată tehnologia cu cea mai mică intruziune în viața privată.[8]Potrivit Autorității de Supraveghere din Cipru, organizațiile, înainte de a introduce termoscanarea, ar trebui să fie conștiente de capacitățile tehnice pe care le au termoscanarele și ce date cu caracter personal colectează.[9]

A. Temometre digitale non-contact

Acesta tehnologie prezintă riscuri mici pentru viața privată, cu toate acestea există posibilitatea de a se înregistra date, ca de exemplu în situația în termometrul digital non-contact are opțiunea de a memora ultimele măsurători sau de exemplu în situația în care un operator are instalate sisteme CCTV care înregistrează fața unei persoane și valoarea temperaturii pe ecranul termometrului.

Exemplu: Angajatului X i se ia temperatura printr-un termometru digital non-contact la accesul în incinta Organizației ABC care are amplasate sisteme CCTV care sunt surprind atât angajatul, cât și temperatura care apare pe termometrul digital. În aceste cazuri, se pot înregistra date deoarece sistemele CCTV pot înregistra date biometrice (imagini faciale) și rezultatul temperaturii.

Dacă se vor înregistra date personale, ne vom afla în situația unui proces decizional automat interzis de Legea nr. 190/2018 în absența consimțământului explicit, prin urmare consider că acest tip de tehnologii nu pot fi utilizate legal în România fără a avea acordul persoanelor.

B. Camere termografice cu soft integrat

Aceste tehnologii pot prezenta avantaje pentru anumite organizații deoarece nu mai este nevoie de intervenția unui operator uman. Aceste tehnologii înregistrează date cu caracter personal, prin urmare suntem de părere operatorii nu își pot întemeia prelucrarea pe Ordinul MS MAI și trebuie să găsească un temei legal potrivit RGPD.

Dacă se utilizează astfel de dispozitive, ne vom afla în situația unui proces decizional automat interzis de Legea nr. 190/2018 în absența consimțământului explicit, prin urmare consider că acest tip de tehnologii nu pot fi utilizate legal în România fără a avea acordul persoanelor.





C. Dispozitive de tip „wearable” (brățări, ceasuri etc)

Aceste tehnologii înregistrează date cu caracter personal și prelucrează datele în mod continuu atâta timp cât dispozitivul este utilizat de către persoana vizată, prin urmare considerăm că operatorii nu își pot întemeia prelucrarea pe Ordinul MS MAI și trebuie să găsească un temei legal potrivit RGPD.

Riscurile asociate acestor tehnologii sunt ridicate pentru că implică o prelucrare continuă și există riscul încălcării principiului limitării stocării (art. 5 alin. (1) lit. e) RGPD) și principiului reducerii la minimum a datelor (art. 5 alin. (1) lit. c) RGPD), precum și riscul încălcării celorlalte principii RGPD.

Dacă se utilizează astfel de dispozitive, ne vom afla în situația unui proces decizional automat interzis de Legea nr. 190/2018 în absența consimțământului explicit, prin urmare consider că acest tip de tehnologii nu pot fi utilizate legal în România fără a avea acordul persoanelor.

VI. Este termoscanarea o procedură medicală?

Vom analiza în continuare noțiunea de „procedură medicală” pentru a descoperi dacă termoscanarea realizată de către organizații pentru combaterea pandemiei COVID-19 este o intervenție medicală care poate fi realizată doar cu acordul informat al pacientului.

Definiție

Noțiunea de „procedură medicală” este consacrată de legislația română prin Legea drepturilor pacientului nr. 46/2003 sub noțiunea de „intervenție medicală”, noțiune pe care o vom analiza în cele ce urmează pentru a descoperi dacă termoscanarea realizată de către organizații pentru combaterea pandemiei COVID-19 este o intervenție medicală.

Noțiunea de „procedură medicală” nu există în legislația română, însă, deși nu are relevență din punct de vedere juridic, vom trece în revistă definiția oferită de Wikipedia „o activitate medicală desfășurată asupra unei persoane cu scopul de a îmbunătăți sănătatea, trata o boală sau cu scopul de a pune un diagnostic”.[10]

Potrivit Legii nr. 46/2003 prin intervenție medicală se înțelege „orice examinare, tratament sau alt act medical în scop de diagnostic preventiv, terapeutic ori de reabilitare.”

Definiția de mai sus cuprinde patru elemente esențiale care vor fi analizate în mod separat în acest articol pentru a descoperi dacă dacă termoscanarea realizată de către organizații pentru combaterea pandemiei COVID-19 este o intervenție medicală. Aceste elemente sunt următoarele:
1. „orice examinare, tratament sau alt act medical”;
2, „în scop de diagnostic preventiv”;
3. „în scop terapeutic”;
4. „în scop de reabilitare”.

Aceste patru elemente sunt strâns legate și pentru a descoperi dacă termoscanarea în acest context este o procedură medicală, aceste elemente trebuie analizate atât împreună, cât și separat.

– Primul element: orice examinare, tratament sau alt act medical”

Analiza gramaticală a textului de mai sus (existența conjuncției simple „sau” înainte de sintagma „alt act medical”) conduce către concluzia că, pentru a se încadra în noțiunea de intervenție medicală, examinările sau tratamentele trebuie să fie medicale, adică realizată de o persoană autorizată să practice medicina în România.

A interpreta în sens invers înseamnă a spune că orice intervenție, fie că este realizată de un medic sau nu, este un act medical.

Având în vedere cele expuse mai sus, consider că termoscanarea nu este o intervenție medicală deoarece nu este realizată în actualul context de către un medic, ci de personalul însărcinat cu această atribuție de către organizații. Tototdată, termoscanarea nu este realizată întotdeauna de către un operator uman, ci uneori este realizată de către anumite tehnologii cunoscute drept „termoscannere”.

– Al doilea element: „în scop de diagnostic preventiv”

Scopul termoscanării de către organizații în acest context nu este reprezentat de stabilirea unui diagnostic, ci de măsurarea temperaturii pentru a preîntâmpina contaminarea. Fiecare persoană fizică va decide dacă va merge la un medic pentru punerea unui diagnostic, organizațiile neavând această competență și/sau atribuție.

– Al treilea element: „în scop terapeutic”

Scopul termoscanării de către organizații în acest context nu este reprezentat de furnizarea de servicii de terapie, ci de măsurarea temperaturii pentru a preîntâmpina contaminarea. Fiecare persoană fizică va decide dacă va merge la un medic pentru servicii de terapie, organizațiile neavând această competență și/sau atribuție.

– Al treilea element: „în scop de reabilitare”

Scopul termoscanării de către organizații în acest context nu este reprezentat de furnizarea de servicii de reabilitarea, ci de măsurarea temperaturii pentru a preîntâmpina contaminarea și expansiunea pandemiei COVID-19.

Concluzia

După analiza detaliată a definiției intervenției medicale („orice examinare, tratament sau alt act medical în scop de diagnostic preventiv, terapeutic ori de reabilitare), rezultă în mod clar faptul că luarea temperaturii persoanelor, inclusiv prin termoscannere (termoscanare) în contextul triajului epidemiologic pentru prevenirea contaminărilor și evoluația pandemiei COVID-19, nu este o intervenție medicală. Mai mult decât atât, persoanelor cărora li se ia temperatura nu au calitatea de pacienți în înțelesul legislației române. Așadar, consimțământul informat al pacientului nu este necesar.

Însă, această procedură presupune riscuri majore pentru drepturile omului, riscuri pe care le vom analiza în cele ce urmează și vom propune câteva măsuri pentru a reduce la minimum aceste riscuri.

VII. Riscurile termoscanării

Având în vedere că această procedură poate da erori, precum și faptul că uneori modalitățile de triaj epidemiologic pot fi degradante pentru o ființă umană, enumerăm în cele de urmează o parte din riscurile asociate utilizării termoscanării. Aceste riscuri sunt cu atât mai mari cu cât Hotărârea nr. 24/2020 prevede doar obligativitatea acestei măsuri, însă nu instituie și garanții pentru drepturile omului.

(i) Riscul unor ingerințe în viața privată

În funcție de metodele utilizate, pot exista riscuri la adresa vieții private, iar amestecul oricărei organizații în viața privată a omului ar trebui redus la minimum. În principiu, organizațiile ar trebui să se abțină să prelucreze alte elemente ce țin de sfera privată a individului, cum ar fi alte probleme de sănătate, date privind membrii de familie, precum și orice alte date care nu au drept scop prevenirea răspândirii pandemiei.

(ii) Riscuri la adresa confidențialității datelor cu caracter personal

În funcție de metodele utilizate, mai ales în situațiile în care (i) nu se asigură securitatea datelor colectate, (ii) datele sunt stocate pe o perioadă mai mare decât este necesar pentru triajul epidemiologic, (iii) datele sunt dezvăluite către destinari neautorizați, (iv) sunt colectate mai multe date decât este necesar, (iv) nu se iau măsuri pentru anonimizare, iar identitatea persoanelor este dezvăluită, riscurile la adresa protecției datelor cu caracter personal sunt majore. Reamintim totodată faptul că temperatura corpului face parte, potrivit art. 9 din RGPD, din categoria datelor speciale, iar prelucrarea lor neconformă poate conduce către excludere socială, stigmatizare, discriminare.

(iii) Riscuri la adresa demnității umane

În situația în care se colectează temperatura prin metode degradante (exemplu: pistolul îndreptat asupra frunții) sau prin metode lipsite de discreție (exemplu: evacuarea însoțită de violență verbal din incintă), demnitatea omului este în pericol. Organizațiile ar trebui să își reamintească faptul că orice persoană, indiferent că este sănătoasă sau infectată, are dreptul la demnitate, drept inerent oricărei ființe umane.

(iv) Riscuri psihologice

În situația în care se utilizează metode degradante sau lipsite de discreție, respect sau umanitate, persoanele pot suferi traume psihologice. Metodele utilizate ar trebui adaptate fiecărei categorii de vârstă. Un pistol îndreptat la frunte care scanează temperatura corpului va avea un efect mult mai accentuat față de un copil decât față de un adult, iar prelucrarea neconformă a datelor și dezvăluirea identității poate contribui către fenomene precum etichetare, stigmatizare, bullying sau cyberbullying în școli și licee.

(v) Riscuri cu privire la exactitate

Întrucât măsurarea temperaturii poate da uneori erori (alte probleme de sănătate, temperatura ridicată din mediul exterior etc), există riscul ca persoanelor să nu li se permită accesul în locații în mod eronat.

(vi) Riscuri de infectare



În mod paradoxal, termoscanarea poate crește cazurile de infectare, mai ales când este urmată de măsura izolării persoanelor conform unor proceduri incorecte, de exemplu în situația în care o persoană care are temperatura ridicată, dar nu suferă de COVID-19 este izolată cu alte persoane care suferă de COVID-19.

VIII. Măsuri pentru a respecta legislația

În vederea reducerii la minimum a riscurilor față de drepturile și interesele omului, organizațiile trebuie să implementeze măsuri tehnice și organizatorice specifice pentru a nu se aduce prejudicii nejustificate drepturilor omului. Persoanele fizice păstrează, în toate cazurile, dreptul de a se adresa justiției pentru daune morale și/sau dreptul de a depune plângeri la ANSPDCP.

De asemenea, organizațiile trebuie să aleagă doar tehnologiile care nu prelucrează (stochează, înregistrează) date personale, deoarece, în caz contrar va deveni aplicabil art. 3 alin. (1) din Legea nr. 190/2018 (procesul decizional automatizat) și va trebui obținut consimțământul explicit al tuturor persoanelor vizate. În lipsa consimțământului explicit sau al unei legi interne care să permită înregistrarea datelor personale (care nu există în prezent în România), organizațiile nu vor avea un temei legal pentru prelucrare și pot fi sancționate pentru încălcarea principiului „legalității”.

Totodată, organizațiile trebuie să se asigure că, inclusiv în situația în care tehnologiile prelucrează (stochează, înregistrează) date personale, nu se vor înregistra manual date în diverse registre pe hârtie sau în format electronic, iar personalul este instruit corespunzător în acest sens. În această situație, în lipsa consimțământului explicit sau al unei legi interne care să permită înregistrarea datelor personale (care nu există în prezent în România), organizațiile nu vor avea un temei legal pentru prelucrare și pot fi sancționate pentru încălcarea principiului „legalității”.

KIT GDPR Premium

 

IX. Concluzii

1. Legislația națională care impune triajul epidemiologic prezintă lacune cu privire la instituirea unor garanții adecvate pentru drepturile omului;

2. Consimțământul angajatului cu privire la luarea temperaturii introdus de către Ordinul nr. 3677/2020 intră în conflict cu standardele consimțământului în temeiul RGPD și nu conține garanții pentru viața privată;

3. Deși termoscanarea nu este o procedură medicală, ea reprezintă riscuri pentru viața privată și pentru celelalte drepturi ale omului;

4. Deși prezintă riscuri pentru viața privată și celelalte drepturi ale omului, termoscanarea ar putea fi, în teorie, un instrument util pentru combaterea pandemiei COVID-19;

5. Având în vedere contextul și faptul că temperatura corpului face parte din categoria datelor sensibile, riscurile sunt majore, iar prelucrarea neconformă poate conduce către excludere socială, tratamente degradante, stigmatizare și discriminare;

6. Chiar dacă măsura este prevăzută de lege, RGPD continuă să se aplice, iar organizațiile publice și private trebuie să adopte măsuri tehnice și organizatorice specifice pentru protecția datelor cu caracter personal și să respecte celelalte obligații RGPD;

7. Potrivit Legii nr. 190/2018 (art. 3 alin. 1), dacă se vor înregistra date este necesar consimțământul explicit al angajaților sau o legislație internă care să permită înregistrarea datelor. Întrucât legislația nu există, singura variantă pe care o pot utiliza organizațiile care și înregistrează datele este consimțământul explicit. În lipsa acestui consimțământ, activitatea de prelucrare (procesul decizional automatizat) nu va avea un temei legal, iar organizațiile pot fi sancționate pentru încălcarea Legii nr. 190/2018.

8. Persoanele vizate păstrează dreptul de a se adresa justiției sau ANSPDCP pentru prelucrările neconforme;

9. Pentru nerespectarea RGPD, instituțiile publice riscă amenzi care pot ajunge până la 300.000 lei pentru fiecare abatere;

10. Pentru nerespectarea RGPD, operatorii privați riscă amenzi care pot ajunge până la 4% din cifra de afaceri.

 

Termoscanarea. Update 25 mai 2020. Două avocate din Baroul București au adresat 23 de întrebări către ANSPDCP cu privire la interpretarea termoscanării din prisma GDPR. Mai multe pot fi aflate aici

Potrivit petitiției, „(…) Măsurarea temperaturii prin tehnologii evoluate și invazive poate prezenta riscuri pentru viața privată și pentru celelalte drepturi ale omului. Deși prezintă riscuri pentru viața privată și celelalte drepturi ale omului, termoscanarea ar putea fi un instrument util pentru combaterea pandemiei COVID-19, iar organizațiile trebuie să găsească un echilibru între această activitate de prelucrare și drepturile persoanelor fizice. În contextul în care o parte din specialiștii în drept afirmă că termoscanarea nu cade, în nicio situație, sub incidența RGPD, există riscul ca organizațiile să nu se conformeze prevederilor RGPD ce poate avea ca urmări atât riscuri mari la adresa drepturilor și libertăților persoanelor vizate, cât și scăderea încrederii persoanelor ceea ce poate avea drept consecință frânarea procesului de combatere a pandemie. RGPD, pentru majoritatea organizațiilor, este o lege complexă și dificilă de aplicat, iar ANSPDCP este autoritatea care poate aduce o doză ridicată de conștientizare pentru a realiza atât combaterea pandemiei prin creșterea încrederii publicului, cât și evitarea prejudiciilor asupra persoanelor vizate prin alinierea organizațiilor la prevederile RGPD.”

 

Termoscanarea. Update 22 mai 2020:

Potrivit activenews.ro, ANSPDCP aduce clarificări:
  1. Dacă informațiile privind temperatura se înregistrează într-un sistem de evidență, GDPR se aplică și vorbim de date cu caracter personal. Comentariu autorului: vorbim de un sistem de evidență când se folosesc camere termale cu soft integrat sau dispozitive de monitorizare a temperaturii. De asemenea, chiar în situația unui temometru digital, putem vorbi de un sistem de evidență dacă este o cameră CCTV înreptată către persoana căreia i se ia temperatura și surprinde și stochează rezultatul scanării.
  2. Informarea persoanelor este necesară.
  3. Operatorii (organizațiile) pun în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu acest regulament. Prin urmare, GDPR se aplică în continuare inclusiv în stare de alertă.

 

Dacă ai întrebări, le poți adresa la adresa ruxandra.sava@legalup.

 

[1] A se vedea în acest sens art. (4) pct. 2 din RGPD: „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.
[2] A se vedea în acest sens art. (4) pct. 1 din RGPD: „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
[3] A se vedea în acest sens art. (9) din RGPD.
[4] A se vedea aici, link accesat 24.05.2020.
[5] A se vedea aici, link accesat 24.05.2020.
[6] A se vedea aici, link accesat 24.05.2020.
[7] A se vedea art. 4 pct. 11 din RGPD.
[8] „You should also think about whether you can achieve the same results through other, less privacy intrusive, means.”,a se vedea aici, link accesat 24.05.2020.
[9] A se vedea aici, link accesat 24.05.2020.
[10] Sursa aici, link accesat 17.05.2020.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



girl-playing-tablet-game-evening_23-2147833833.jpg




Protecția datelor cu caracter personal ale copiilor este un subiect important, iar părinții, educatorii și profesorii ar trebui să îi instruiască cu privire la siguranța lor pe internet. Procesul de instruire ar trebui să fie continuu. Rezumăm mai jos câteva informații și reguli elementare care ar trebui cunoscute de toți copiii care utilizează internetul.

Siguranța online a copiilor. Ce ar trebuie să știe copiii despre datele cu caracter personal? 

Datele personale sunt informații precum numele și prenumele, numărul de telefon, adresa de acasă, fotografie, interese și multe alte informații cu privire la o persoană.

Datele sensibile includ, de exemplu, religia, opiniile politice, informațiile despre sănătate și rasa.

Siguranța online a copiilor. Reguli și lucruri de ținut minte pentru copii: 

1. Nu dau datele mele personale sau datele familiei mele decât dacă părinții sau tutorii mei își dau acordul.

2. La școală cer să fiu informat despre colectarea datelor mele.

3. Școala trebuie să aibă grijă de securitatea datelor mele.

4. Nu încărc nimic online fără permisiunea părinților mei.

5. Cunosc faptul că orice urc pe internet rămâne acolo.

6. Nu apăs butonul de trimitere, notificare sau postare decât dacă am permisiunea părinților mei.

7. Comentez și încărc postări care nu dezvăluie date personale ale mele, ale familiei sau ale prietenilor mei.

8. Am citit cu atenție politica aplicațiilor / termenilor de utilizare a datelor înainte să accept.

9. Cer să fiu informat într-un limbaj pe înțelesul meu despre utilizarea datelor.

10. Nu răspund străinilor pe internet și nu comunic cu aceștia.

11. Mă gândesc de două ori înainte să trimit cuiva o fotografie cu mine.

12. Mă gândesc de trei ori înainte să urc pe internet o fotografie cu mine.

13. Aleg parole puternice care includ cel puțin 9 cifre constând din litere mari și minuscule, numere și simboluri, de exemplu Wfhg56818934Ns&*%!?

14. Nu spun parola nimănui.

15. Schimb parola des.

16. Nu folosesc calculatoare partajate.

17. Verific dacă dispozitivul are antivirus înainte să îl folosesc.

 

Vrei să afli mai multe despre cum îți poți proteja copilul în mediul online? Înscrie-te la cursul nostru online aici. 

 

Sursa: Autoritatea de supraveghere din Cipru

 

Te-ar putea interesa și:

 

KIT GDPR Premium

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



covid-19app.jpg




Aplicațiile COVID-19, brățările electronice sau ambele? Cât de periculoase sunt aceste tehnologii?
 
M-am apucat să studiez ca să vă răspund la curiozități. Frumos, documentat, din surse de încredere și cu ajutorul colegei Maria Enescu, care studiază Data Law la Bruxelles.
 
Probabil lucrarea noastră va fi publicată la jumătatea săptămânii următoare, însă, până atunci las câteva informații pentru a înțelege contextul.
 
Numeroase aplicații COVID-19 au fost deja dezvoltate și propuse spre utilizare cu suportul guvernelor în anumite teritorii și jurisdicții.
 
În Asia, se colectează un volum mare de date sensibile, iar viața privată este în pericol. În Europa, se pare că legislația este suficient de puternică (GDPR și e-Privacy) și se va merge pe prelucrarea unor date minime și anonimizate pentru a se diminua riscurile. Dar riscurile continuă să existe. Din punctul nostru de vedere, prelucrarea datelor, chiar dacă sunt anonimizate, prezintă în continuare riscuri, deoarece așa cum a subliniat EDPB , nicio tehnică de anonimizare nu este complet sigură, procesul putând fi inversat, iar persoana fizică poate fi identificată.
 
 
📲În Europa, Comitetul European pentru Protecția Datelor (EDPB) și Comisia Europeană au tras semnale de alarmă cu privire la riscurile asociate utilizării acestor aplicații și au lansat două ghiduri orientative care ar trebui urmate în procesul de dezvoltare al aplicațiilor.
 
📲În România nu există niciun punct de vedere oficial cu privire la lansarea unor astfel de aplicații, însă în luna aprilie în România, Orange, Telekom și Vodafone și alți operatori de telefonie mobile au acceptat să furnizeze informații legate de localizarea utilizatorilor către autorități.
 
📲În SUA, Apple și Google au anunțat la mijlocul lui mai faptul că vor îmbunătăți procesele de colectare ale datelor de localizare prin Bluetooth astfel încât să protejeze viața privată. Procesul dezvoltat de Apple și Google nu ar utiliza date de localizare și alte date cu caracter personal. Dacă telefoanele sunt apropiate unele de altele, telefoanele ar interacționa prin identificatori anonimi Bluetooth, iar procesul ar dura doar 15 minute astfel încât nu ar exista o urmărire ulterioară.
În timp ce o parte dintre specialiștii în domeniul privacy sunt sceptici cu privire la utilizarea datelor de către Apple și Google, aceștia din urmă spun că tehnologia va fi dezactivată atunci când nu este necesară.
 
📲Italia, a doua cea mai afectată țară de pandemia COVID-19, plănuiește să lanseze o aplicație de urmărire și localizare în parteneriat cu un start-up din Milano, Bending Spoons.
Comentariu personal: În măsura în care se vor realiza transferuri de date între guvern și acest start-up, riscurile la adresa confidențialității datelor sunt mari.
 
📲Franța introduce la 11 mai spre testare aplicația StopCOVID, care va colecta date bluetooth, iar nu date de localizare.
 
📲Coreea de Sud are deja două aplicații: Corona 100m și Corona Map. Corona 100m este o aplicație care avertizează utilizatorii dacă urmează să se apropie de o persoană infectată pe o rază de 100m. Aplicația a avut peste un milion de descărcări și utilizează o serie de date, printre care: locație, vârstă, sex, naționalitate, istoric medical. Cea de-a doua aplicație, Corona Map arată o hartă a persoanelor infectate, astfel încât utilizatorii să evite acele locații.
 
📲În Singapore există o aplicație voluntară de urmărire a contactelor, TraceTogether. Când utilizatorul utilizează aplicația, se colectează numărul de telefon și un ID anonim. Potrivit surselor, nu ar fi colectate date privind locația, ci doar semnale Bluetooth între telefoanele apropiate pe baza unor identificatori criptați anonimi. Cum nicio tehnică de criptare sau de anonimizare nu este complet sigură, accesul guvernului din Singapore la cheia de decriptare poate prezenta riscuri la adresa vieții private.
 
📲În India, a fost lansată o aplicație care a fost instalată de peste 50 de milioane de utilizatori în 13 zile. Aplicația prelucrează semnale bluetooth, date de geo-localizare, numele, date nașterii și informații sensibile biometrice. Absența unei legislații în protecția datelor în India înseamnă riscuri mari pentru viața privată și mulți utilizatori din India sunt îngrijorați de acest aspect.
 
📲În Israel există aplicația HaMagen care compară datele de localizare ale utilizatorilor cu bazele de date ale Ministerului Sănătății. Aplicația este voluntară, dar există riscuri asociate cu hacking-ul bazei de date și dezvăluirea neautorizată a datelor de localizare.
 
📲În Hong Kong, cei plasați în carantină sunt obligați să descarce și să utilizeze aplicația StayHomeSafe și să poarte brățara de localizare conectată la aplicație. În timp ce alte aplicații se focusează spre a limita interacțiunile, această aplicație se focusează spre limitarea mișcării.
Va urma 🙂
O parte din aplicații funcționează conform imaginii de mai jos:
 


building-1839464_1280-1200x800.jpg




Amplasarea de camere de supraveghere la bloc (de către Asociațiile de proprietari) sau acasă de către persoanele fizice trebuie să respecte GDPR. Pentru montarea nelegală, persoanele fizice și Asociațiile de proprietari pot fi amendate de Autoritatea de supraveghere din România (ANSPDCP).

În Austria, o persoană fizică a fost amendată în 2018 cu 2000 de euro pentru amplasarea nelegală de camere de supraveghere acasă. Potrivit răspunsului oficial al ANSPDCP și în România persoanele fizice pot fi amendate pentru nerespectarea GDPR. 

În România în cursul anului 2019, o Asociație de proprietari a fost amendată pentru amplasarea nelegală de camere de supraveghere la bloc.

Potrivit informațiilor oferite de Autoritatea de supraveghere din Austria, persoana fizică a fost amendată deoarece a amplasat camere de supraveghere acasă care supravegheau domenii din afara proprietății: aleea centrului rezidențial, străzi, clădiri și grădini din apropiere. Amenda a fost dată deoarece zona monitorizată nu se afla în proprietatea și în controlul persoanei fizice și era frecventată de către alte persoane.

Dacă dorești să amplasezi camere de supraveghere la bloc sau acasă, trebuie să cunoști faptul că GDPR îți interzice să monitorizezi mai mult decât este necesar. Prin urmare, dacă locuiești la casă, poți supraveghea curtea și gardul, însă nu poți supraveghea și aleea frecventată de alte persoane sau curtea vecinului. Dacă locuiești la bloc, nu poți monta camere de supraveghere care să surprindă vizitatorii atunci când sună la interfon sau camere care să surprindă holurile și alte locuri comune din bloc și nici camere de supraveghere care să surprindă priveliștea de pe balcon. Cu Asociațiile de proprietari, lucrurile stau puțin diferit și vom discuta despre modalitatea în care acestea pot monta camere de supraveghere la bloc în cele ce urmează.

Având în vedere că GDPR nu face diferențe între proprietari, chiriași sau vizitatori ai unui bloc, Asociațiile de proprietari nu pot monta camere de supraveghere la bloc chiar dacă au acordul tuturor proprietarilor. În acest sens, dacă se dorește unor astfel de camere de supraveghere la bloc, se poate folosi temeiul juridic al interesului legitim doar dacă s-a realizat o analiză juridică documentată a tuturor aspectelor. Analiza trebuie să fie reală, concretă, iar părerea proprietarilor și a chiriașilor ar trebui cerută.

Atunci când faci o astfel de analiză trebuie să ai în vedere următoarele:



1. Analiza trebuie documentată în scris și păstrată pentru un eventual control de la Autoritatea de Supraveghere.

2. Locația echipamentului. Locația echipamentului trebuie determinată cu atenție pentru a asigura conformitatea imaginilor capturate cu GDPR (a nu se supraveghea mai mult decât este necesar). Trebuie depuse toate diligențele pentru a poziționa camerele astfel încât acestea să asigure o acoperire limitată. Sistemul CCTV nu va fi utilizat în lifturi sau în alte locuri unde persoanele au o așteptare ridicată cu privire la confidențialitate. Camerele amplasate astfel încât să înregistreze spațiile exterioare sunt poziționate în așa fel încât să prevină sau să minimizeze înregistrarea proprietății private a trecătorilor sau a oricărei alte persoane.

3. Informarea. Locația camerelor CCTV va fi indicată și se vor lua măsuri pentru semnalizarea corespunzătoare a fiecărui loc unde se află o cameră CCTV în funcțiune. Semnalizarea corespunzătoare va fi de asemenea afișată în mod proeminent la intrare. Semnalizarea va include numele și detaiile de contact ale operatorului de date (Asociația de proprietari), precum și scopurile specifice pentru care camera CCTV este plasată în fiecare locație și indicații unde se pot obține informații mai multe (de exemplu: link și/sau cod QR către nota de informare de pe site).

KIT GDPR Premium

 

4. Depozitarea și stocarea

  • Înregistrările și echipamentul de monitorizare vor fi depozitate într-o manieră securizată într-o zonă cu acces restricționat. Accesul neautorizat în acea zonă nu va fi permis în nicio împrejurare. Zona va fi încuiată atunci când nu este ocupată de către personalul autorizat. Se va ține o evidență a accesului la înregistrări. Accesul la sistemul CCTV și la imaginile stocate va fi permis doar personalului autorizat. La momentul accesării imaginilor, doi membri ai personalului autorizat trebuie să fie prezenți. Se va întocmi un raport scris al accesului. Aceste rapoarte vor fi păstrate.
  • Se va ține o evidență a datei oricărei divulgări, împreună cu detalii despre persoana căreia i-au fost furnizate acele informații (numele acelei persoane și întreprinderea pe care o reprezintă), motivul cererii, precum și modalitatea în care cererea a fost rezolvată, în cazul unei contestații.
  • Datele vor fi furnizate ca răspuns al unor cereri autorizate într-un format permament, atunci când acest lucru este posibil. Dacă acest lucru nu este posibil, persoanei vizate i se va oferi posibilitatea să vizualizeze înregistrarea.
  • În circumstanțe relevante, înregistrările CCTV vor putea fi accesate de către organele de poliție sau vor putea fi furnizate instanțelor de judecată sau altor autorități publice atunci când legea impune.

5. Cererile persoanelor vizate 

  • Persoanelor fizice li se acordă dreptul de accesa înregistrările CCTV cu privire la ele însele, potrivit GDPR.
  • Persoanele fizice care trimit astfel de cereri vor trebui să furnizeze suficiente informații pentru a se putea asigura identificarea întregistrării cu privire la acestea. De exemplu, data, ora și locația.
  • Asociația de proprietari va răspunde acestor cereri într-un termen de o lună de la primirea cererii.
  • Asociația de proprietari își rezervă dreptul de a refuza accesul la înregistrările CCTV atunci când acest lucru ar duce atingere drepturilor prevăzute de lege ale unor persoanelor fizice sau ar putea prejudicia o investigație în curs de desfășurare.
  • Se va ține o evidență a datei când divulgarea a avut loc, împreună cu detaliile persoanei către care aceste informații au fost furnizate (numele persoanei și întreprinderea pe care o reprezintă), precum și cu motivele acestei cereri.
  • În activitatea de furnizare către o persoană a unei copii a datelor sale, se vor pune la dispoziție o fotografie/o serie de fotografii, o casetă sau un disc magnetic cu imaginile relevante. Totuși, imaginile altor persoane vor fi ascunse înainte ca aceste date să îi fie înmânate.
  • Atunci când înregistrarea conține imagini referitoare la terți, se vor lua măsurile necesare pentru a masca și a proteja identitatea acelor indivizi.

6. Durata minimă. Înregistrările vor fi stocate pe o durată minimă, dar nu mai mult de 30 de zile

Dacă ai nevoie de consultanță juridică și întocmirea documentației pentru montarea camerelor de supraveghere la bloc îmi poți scrie la adresa ruxandra.sava@legalup.ro.

Ce pot face dacă au fost montate camere de supraveghere la bloc nelegal?

Dacă s-au montat camere de supraveghere în mod nelegal și există riscul ca imaginile captate să fie dezvăluite către destinații neautorizate, ar trebui să comunici îngrijorările tale Asociației și să o îndrumi spre conformarea supravegherii CCTV cu GDPR astfel încât dreptul la viață privată să fie respectat. În situația în care nu se iau măsuri pentru a limita accesul la înregistrări, în situațiile în care imaginile captate sunt dezvăluite fără acordul tău sau fără a exista unui temei legal sau în alte situații (camere de supraveghere în lift, absența informării, nerepectarea drepturilor GDPR), te poți adresa cu o plângere la ANSPDCP sau îmi poți scrie la adresa ruxandra.sava@legalup.ro pentru a te ajuta cu mai multe informații.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



hands-holding-heart_23-2148172201.jpg




Într-o societate aflată în plină expansiune tehnologică și digitală, aplicațiile de sănătate precum Apple Health, Google Fit, Fitbit, Strava, SymTrac și multe altele au crescut exponențial, având un număr crescând de utilizatori de toate vârstele. Evident, obiectivul declarat al acestor aplicații este îmbunătățirea calității vieții prin monitorizarea constantă a sănătății, prin depistarea timpurie a unor simptome care ar putea indica o maladie, sprijinirea actului medical, și, nu în ultimul rând, promovarea unui stil de viață activ și sănătos, toate acestea prin simpla descărcare gratuită a aplicației și conferirea acordului cu privire la prelucrarea datelor cu caracter personal de către aceasta.

Este predictibil faptul că multiplele avantaje sunt, într-o formă sau alta, contrabalansate prin anumite aspecte mai puțin transparente.  Dacă în 2014, un articol publicat de către BBC News concluziona că aplicațiile de sănătate reprezintă ”vești bune”[1], prin numeroasele facilități puse la dispoziția utilizatorilor printr-un simplu click, tot BBC News, 5 ani mai târziu, trage un semnal de alarmă cu privire la aceste aplicații, afirmând că reprezintă un ”risc fără precedent pentru viața privată”.[2] Această schimbare de abordare se fundamentează, bineînțeles, pe sporirea preocupării legiuitorului, a celorlalte autorități relevante, precum și a utilizatorilor pentru protecția vieții private și a prelucrării legale a datelor cu caracter personal, având în vedere că aceste aplicații colectează o cantitate îngrijorătoare de date personale considerate ”date cu caracter special” în temeiul art. 9 RGPD (date privind sănătatea) și că acest tip de date merită o protecție suplimentară.

Te-ar putea interesa și:

1.Aplicațiile de sănătate – motive de îngrijorare

După cum am menționat deja, un prim motiv de îngrijorare este cantitatea vastă de date personale care sunt colectate. Aplicațiile de sănătate colectează date precum: numele utilizatorilor, detalii despre locație, despre dispozitiv, despre sistemul de operare, istoricul căutărilor de pe Internet, cookie-uri, adrese de e-mail[3], precum și, evident, informații legate de sănătatea fizică sau mentală a utilizatorilor. Cu privire la ultima categorie, aceste aplicații colectează date referitoare la: numărul de pași efectuați, activitatea fizică, calendarul menstrual, sarcina, dieta, alimentația, greutatea corporală, înălțimea, ritmul cardiac[4], nivelul glicemiei[5], simptome ale diverselor boli, progresul efectuat în tratarea anumitor boli și multe altele. De asemenea, aplicațiile mai recente oferă posibilitatea completării unui chestionar de către utilizatori în vederea atribuirii unui diagnostic și a unui eventual tratament în privința stării psihice a utilizatorului. De exemplu, în viitorul apropiat se apreciază că prin aceste aplicații se poate ajunge la concluzia că utilizatorul suferă de depresie, are anumite fobii sau că necesită anumite terapii comportamentale cognitive.[6]

Desigur, toate aceste date sunt colectate și prelucrate, în principiu, cu scopul prestării serviciului oferit prin aplicația respectivă sau având consimțământul expres al utilizatorului, având în vedere că acesta, în cazul celor mai multe aplicații de sănătate, este nevoit să introducă el însuși datele referitoare la propria sănătate (de exemplu, nivelul glicemiei măsurat în ziua respectivă, greutatea corporală, calendarul menstrual). Se poate afirma că introducerea manuală a acestor date echivalează cu un consimțământ expres al utilizatorului. Așadar, cerințele art. 6 și 9 ale RGPD ar fi satisfăcute. De asemenea, nu este prea dificil pentru aceste aplicații să obțină încrederea utilizatorilor, în virtutea așteptărilor acestora că datele lor privind sănătatea sunt manipulate într-o manieră similară modului în care instituțiile sanitare (spitale, clinici, cabinetele medicilor de familie etc.) manipulează datele pacienților. În realitate însă, s-a apreciat că aplicațiile de sănătate nu oferă un nivel de protecție a vieții private nici măcar comparabil cu cel oferit de instituțiile sanitare.[7]

Un al doilea motiv de îngrijorare este utilizarea abuzivă a datelor cu caracter special ale utilizatorilor colectate de către furnizorii aplicațiilor de sănătate. Concret, riscul rezidă în partajarea acestor date cu companii terțe. Așadar, scopul prelucrării acestor date excede semnificativ sfera prestării serviciului. S-a arătat printr-un studiu că, dintr-un eșantion de 24 de aplicații de sănătate, 19 dintre acestea partajează datele utilizatorilor cu companii terțe, fără acordul sau înștiințarea utilizatorului.[8]

 

KIT GDPR Premium

 

2. Aplicațiile de sănătate și transferurile de date. Unde pot ajunge datele tale?

2.1.Facebook, Alphabet, Oracle și alte companii

Aceste companii primesc datele utilizatorilor aplicațiilor de sănătate, le analizează și le utilizează pentru crearea de profiluri ale acelor utilizatori și pentru efectuarea de publicitate direcționată către aceștia. La prima vedere, nu ar fi nimic eronat ca o persoană care suferă de diabet și care utilizează o aplicație de monitorizare a nivelului glicemiei să vizualizeze în cronologia profilului său de Facebook oferte de produse alimentare adaptate dietei diabeticilor. Dimpotrivă, acest lucru ar putea veni chiar în sprijinul persoanelor vizate. Totuși, există și anumite riscuri care ar trebui luate în considerare.

Evident, simplul fapt al primirii în mod constant al unui număr nelimitat de mesaje comerciale nesolicitate de către un utilizator al unei aplicații de sănătate poate fi deranjant pentru acesta. Mai mult decât atât, toate aceste date, odată ajunse la anumite companii care le analizează, pot contribui la formarea unor profiluri extrem de detaliate despre fiecare dintre noi, utilizatorii de aplicații de sănătate. În ciuda faptului că majoritatea furnizorilor de astfel de aplicații declară că nu se partajează niciodată date precum numele utilizatorului[9] (deci identificarea acestuia nu este directă), prin combinarea acestor date medicale cu toate celelalte date deținute de Facebook, de exemplu, se poate identifica în mod facil utilizatorul (deci, avem de-a face cu o persoana fizică identificabilă, conform art. 4 RGDP) și i se poate crea un profil detaliat care se află acum la dispoziția gigantului de tehnologie, profil care poate fi ”vândut” mai departe către alte companii.

2.2.Companii de asigurări de viață sau de sănătate

Principalul motiv pentru care aceste companii ar fi interesate de datele privind sănătatea este posibilitatea de a analiza, înainte de încheierea unui contract de asigurare, gradul de risc al viitorului client, risc care s-ar putea concretiza în accesarea unui sume asigurate mai mari sau mai rapid.[10] Aplicațiile de sănătate ale unei persoane pot indica anumite obiceiuri sau boli care i-ar putea reduce semnificativ speranța de viață. Totuși, chiar dacă aceste companii de asigurări declară că nu iau decizii exclusiv pe baza datelor medicale ale clienților, se apreciază că se lasă cu siguranță influențate de acestea.[11] De exemplu, o persoană care este supraponderală, manifestă anumite probleme legate de ritmul cardiac, este sedentară și diabetică (toate aceste date fiind colectate de către aplicațiile de sănătate pe care această persoană le utilizează și partajate cu companiile de asigurări) ar putea ridica anumite semne de întrebare și ar putea fi privită cu scepticism de către compania de asigurări.

2.3.Bănci și alte instituții de credit

Similar principiului descris mai sus, și instituțiile de credit ar putea fi semnificativ influențate de istoricul medical al unui potențial client. Mai mult decât atât, acestea ar putea chiar refuza acordarea unui credit bancar[12] unei persoane care se constată că are probleme de sănătate și ar putea ca, în viitor, din cauza acestor probleme, să se afle în imposibilitatea de a-și îndeplini obligațiile contractuale (fie din cauză că a decedat sau din cauza unei incapacități de muncă).

 2.4.Companiile de recrutare și angajatorii

Același raționament este aplicabil. În general, angajatorii încearcă să evite angajații predispuși la a beneficia de concedii medicale prelungite, de indemnizații sau de concedii de maternitate[13]. Evident, acest lucru ar putea duce la discriminare, consecință valabilă și în cazul instituțiilor de credit sau al companiilor de asigurări. Acest lucru contravine în mod evident prevederilor RGPD, care prevede în art. 22 că ”Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau care o afectează în mod similar într-o măsură semnificativă”.

2.5.Instituții sanitare

În vreme ce unii medici recomandă ei înșiși pacienților utilizarea unor aplicații de sănătate (cu scopul efectuării programărilor și trimiterii rezultatului unor analize către medic)[14], s-a afirmat că datele privind sănătatea, odată ajunse la instituțiile sanitare, ar putea conduce la o discriminare între pacienți în materia acordării de servicii medicale avansate.[15].

3.Aplicațiile de sănătate. Ce putem face pentru a ne proteja confidențialitatea datelor privind sănătatea?

1. Să citim cu atenție sporită politicile de confidențialitate ale aplicațiilor de sănătate pe care le descărcăm;

2. Să configurăm setările de confidențialitate (ale aplicației, dar și ale telefonului)[16] astfel încât să putem beneficia de un nivel maxim de confidențialitate. De exemplu, în cazul Google Fit: să deconectăm toate aplicațiile terțe cu care această aplicație interacționează (Manage connected apps – Disconnect)[17]. În cazul Apple Health, putem să oprim accesul aplicației la senzorii de mișcare ai telefonului (Privacy – Motion&Fitness – oprirea opțiunii Fitness Tracking)[18] ;

3. Să urmărim cu atenție orice posibilitate de a bloca sau de a limita partajarea datelor noastre de către aplicația de sănătate cu aplicații/companii terțe, indicate prin butoane de tipul ”disagree” sau ”opt-out”[19];

4. Să utilizăm dispozitive la fel de eficiente pentru monitorizarea sănătății, dar care implică o tehnologie mai ”rudimentară” și, deci, mai puțin invazivă pentru viața privată. De exemplu, în locul unei aplicații care măsoară distanța parcursă și intensitatea unui antrenament, se recomandă utilizarea unui dispozitiv de măsurare a pulsului aplicat pe braț (care stochează aceste date doar pe dispozitiv, și nu le trimite către un server), iar apoi accesarea unei diagrame cardiace online (www.heart.org) pentru interpretarea rezultatelor obținute[20];

5. Să alegem cu grijă aplicațiile de sănătate pe care le folosim. De exemplu, aplicațiile recomandate de către un medic sunt mai susceptibile de a intra sub incidența legilor care guvernează protecția vieții private și a datelor cu caracter personal. De asemenea, se recomandă utilizarea unor aplicații de sănătate cu plată, deoarece, în cazul celor ”gratuite”, plătim de fapt cu datele noastre personale[21] (evident, nu este exclus ca și cele cu plată să prelucreze în mod abuziv datele noastre, însă incidența este mai scăzută).

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:



curiosity-gossip-deafness_140689-35.jpg




Este incontestabil faptul că astăzi spionajul cibernetic a căpătat o pondere semnificativă în „industria secretelor”, iar aplicațiile de spionaj pe telefon sunt din ce în ce mai utilizate. Asistăm la o scalare, o generalizare a fenomenului provenită din gradul ridicat de accesibilitate pe care îl prezintă mijloacele necesare obținerii de informații, o simplă aplicație pentru mobil putând realiza misiunea unei întregi divizii din trecut. 

Din acest punct de vedere, informațiile personale nu au fost niciodată mai vulnerabile.

Prin intermediul acestui articol dorim să prezentăm modul în care astfel de aplicații funcționează, cum este respectată confidențialitatea utilizatorilor, ce legislație este incidentă în domeniu și, cel mai important, cum putem să ne protejăm împotriva unor astfel de aplicații. 

Dorim să menționăm că nu recomandăm folosirea lor, iar după cum se va putea vedea în continuare, situațiile în care acestea pot fi folosite în mod legal sunt limitativ prezentate, acestea fiind, în general, atunci când dispozitivul se află chiar în proprietatea celui care dorește instalarea unei astfel de aplicații, de exemplu în cazurile sistemelor pentru monitorizarea activității copiilor sau tracking-ul pentru dispozitivele utilizate de către angajați în raporturile de muncă, în anumite limite și cu informarea prealabilă a acestora. Desigur, spionajul unui telefon se poate realiza și cu consimțământul explicit al persoanei. De asemenea, aceste aplicații pot fi folosite și pentru localizarea propriului telefon.

Aplicațiile de spionaj. Legislația incidentă

Cu privire la aplicațiile de spionaj, în ceea ce privește legislația din domeniu, menționăm protecția conferită informațiilor cu caracter personal, dar și anumite acte normative precum Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică)”, cunoscut drept Cybersecurity Act, stabilind cadrul UE pentru certificarea securității informatice și Directiva privind securitatea rețelelor și a informațiilor (NIS). De asemenea, pentru mai multe informații recomandăm și secțiunea dedicată securității cibernetice din cadrul site-ului Consiliului European. 





Ce presupune o aplicație de spionaj pentru telefonul mobil?

Pentru a ne putea proteja împotriva unor astfel de aplicații de spionaj este necesar să înțelegem cum funcționează.

Aplicațiile de spionaj pot fi descărcate direct, cel mai adesea venind contra unui cost moderat din Magazin Play sau App Store. Obținerea lor presupune o procedură simplă, dar este nevoie de accesul efectiv la dispozitivul pe baza căruia urmează a se obține informațiile, ele neputând a fi instalate, precum un cod de tipul virus, de la distanță și fiind nevoie de deblocarea unor opțiuni de securitate din cadrul telefonului. 

Astfel, odată instalată aplicația, aceasta urmează a fi „secretizată”, neregăsindu-se în lista aplicațiilor din telefon. Ea va putea fi accesată doar printr-o anumită modalitate specifică fiecărei aplicații, în general presupunând apelarea unui cod format din numere și simboluri.

Prin intermediul unui cont, dispozitivul „spionat” și dispozitivul pe care urmează să se acceseze datele urmează să fie sincronizate, astfel orice informație, precum lista apelurilor, SMS-urile, locația, pozele trimise, căutările în browser etc. urmează să apară chiar în timp real pe dispozitivul de destinație(i)

În plus, există și aplicații care îndeplinesc anumite scopuri specifice, precum cele pentru estomparea zgomotelor de fundal într-o anumită încăpere pentru a facilita ascultarea unei conversații(ii) sau cele pentru modificarea numelui expeditorului unui email.

Te-ar putea interesa și:

 

Aplicațiile de spionaj. Cum putem să ne protejăm împotriva acestora?

Întrucât cererea pentru securizarea informațiilor a crescut exponențial, piața s-a conformat acesteia și a adus aplicații ce pot satisface o astfel de nevoie. Chiar și atunci când dorim să obținem o astfel de aplicație trebuie să fim siguri că nu ascunde nici un interes întrucât pentru a putea securiza informațiile noastre, de cele mai multe ori, va avea nevoie de acces la acestea. Problema identificării apare din faptul că nu se pot face deosebiri substanțiale între aplicațiile menite a ne proteja și cele care doresc obținerea informațiilor noastre, mascând acest scop ilicit sub voalul oferirii protecției. 

Încurajăm folosirea aplicațiilor certificate și obținute din surse oficiale, iar dacă aveți suspiciuni în ceea ce privește dezvoltatorii unei aplicații pentru protecția și criptarea datelor, recomandăm ștergerea acesteia. De asemenea, realizate pentru situațiile de urgență, există aplicații care printr-o simplă comandă pot șterge toate informațiile de pe dispozitivul nostru.

Un indicator eficient al faptului că este posibil să fim victimele unei obțineri neautorizate de informații personale este consumul ridicat al bateriei dispozitivului în mod subit. Pentru a putea opera, aplicațiile de spionaj rulează în fundal pentru acumularea datelor și partajarea acestora, urmând să afecteze autonomia telefonului(iii).

De asemenea, vine de la sine înțeles că buna supraveghere a dispozitivului și restricționarea accesului unor terțe persoane asupra acestuia înlătura exponențial riscurile de a putea fi instalată o aplicație pentru obținerea neautorizată de informații. Însă, această bună practică trebuie să vină împreună și cu responsabilitatea din mediul online, însemnând navigarea unor site-uri de încredere și verificarea prealabilă deschiderii emailurilor a expeditorilor acestora.

În funcție de tipul de aplicație folosită putem obține securizarea informațiilor noastre prin modalități diferite. 

Cea mai importantă modalitate în acest demers este reprezentată de criptarea informațiilor din telefon. Astfel, apelurile, fișierele, SMS-urile, email-urile și înregistrările video stocate pe dispozitivul dumneavoastră urmează să fie codate, ceea ce poate împiedica accesarea acestora. 

O altă funcție utilă a aplicațiilor poate fi chiar ștergerea datelor la un anumit interval de timp dacă nu se dorește stocarea acestora, devenind aproape imposibilă recuperarea acestora și obținerea lor de către terțe persoane neautorizate.

Pe piața aplicațiilor pentru protecția datelor personale se pot găsi aplicații care chiar să ne și atenționeze atunci când suntem victima unui astfel de atac cibernetic, pe lângă îndeplinirea funcțiilor prezentate anterior.

O altă alternativă pentru protecția datelor personale poate fi stocarea acestora prin intermediul unei aplicații de tipul cloud, protecția fiind asigurată de dezvoltatorii acesteia. 

Dacă dorim confidențialitate și în ceea ce privește căutările noastre în mediul online, pe lângă opțiunile de anonimat oferite de browserele de pe piață putem obține și o aplicație dedicată acestui scop.



hacker-desktop-computer_24381-1188.jpg




Criminalitatea cibernetică ia amploare pe zi ce trece. Cu cât numărul utilizatorilor de internet devine mai mare, cu atât crește și numărul de astfel de infracțiuni înregistrate. Fie că ți s-a spart parola de la email, fie că un așa-zis angajat al unei bănci la care tu ai deschis un cont te-a sunat să-ți ceară date personale ca mai apoi să le folosească pentru a te jefui, ambele cazuri aduc în scenă o infracțiune cibernetică. 

Conform unui studiu realizat în America la finalul anului 2019, 43% dintre americani au fost victime ale unui atac cibernetic, FBI înregistrând doar în ultimul an peste 350.000 de plângeri personale în acest sens. Uniunea Europeană, de asemenea, a observat ritmul alarmant al creșterii acestor infracțiuni și lucrează la un nou proiect privind securitatea cibernetică prin ENISA( European Union Agency for Cybersecurity).

Secolul nostru cunoaște cel mai mare nivel de încălcare a datelor cu caracter personal și cel mai sever, manifestându-se la nivel mondial. Hackerii atacă la fiecare 39 de secunde, ceea ce aduce la un total de aproximativ 2444 de ori/zi(statistică realizată de Universitatea din Maryland), un drept fundamental fiind pus în pericol tot de atâtea ori.

Criminalitatea cibernetică. Încălcarea unui drept fundamental

Acest tip de infracțiune reprezintă un atac asupra confidențialității datelor cu caracter personal al persoanelor, încălcând, deci, un drept clar statuat în diverse legislații ale statelor din toată lumea, și, în special, în GDPR. Din acest motiv s-a început crearea unui sistem de protejare cibernetică și de prevenire a infracțiunilor cibernetice.

 




Recomandăm: Curs online securitate informatică

 

Conform REGULAMENTULUI nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), (1)Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (“carta”) şi articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care o privesc

 

Te-ar putea interesa și:

 

Criminalitatea cibernetică în România

În legislația noastră, această infracțiune – criminalitatea cibernetică se regăsește sub numele de „criminalitate informatică”.  Ea este reglementată prin Legea 161 din 19/04/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției, începând cu Titlul III.

Definiția ce i se atribuie prin legea menționată, fără a fi exhaustivă, este următoarea: 

   Art. 48. – Fapta de a introduce, modifica sau șterge, fără drept, date informatice ori de a restricționa, fără drept, accesul la aceste date, rezultând date necorespunzătoare adevărului, în scopul de a fi utilizate în vederea producerii unei consecințe juridice, constituie infracțiune și se pedepsește cu închisoare de la 2 la 7 ani.

   Art. 49. – Fapta de a cauza un prejudiciu patrimonial unei persoane prin introducerea, modificarea sau ștergerea de date informatice, prin restricționarea accesului la aceste date ori prin împiedicarea în orice mod a funcționării unui sistem informatic, în scopul de a obține un beneficiu material pentru sine sau pentru altul, constituie infracțiune și se pedepsește cu închisoare de la 3 la 12 ani.

 

 

KIT GDPR Premium

 

De ce au loc aceste atacuri și ce anume facilitează creșterea numărului lor?

1.Neglijența

Da. Neglijența, o eroare umană, reprezintă principalul factor care facilitează dezvoltarea atacurilor cibernetice. Un prim plan al acestui motiv este faptul că fiecare persoană trebuie să verifice site-urile pe care le accesează, să se asigure că acestea respectă termenii de confidențialitate înainte de a dezvălui orice tip de informație cu privire la viața lor privată.

De asemenea, trimiterea unor documente către conturi private, precum și copierea lor pe un USB, reprezintă o conduită greșită deoarece aceste device-uri pot fi unele furate(regulă aplicabilă în special în instituții, firme).

În acest caz, soluția este monitorizarea și controlul site-urile prin tehnologii avansate dedicate acestui scop.

Al doilea plan este marcat de modalitatea prin care codurile de securitate sunt stabilite. 60% din oameni aleg să folosească aceeași

parolă pentru fiecare cont pe care îl au. Mai mult decât atât, acestea au un nivel de securitate slab, fiind reprezentate de cuvinte sau date ușor deductibile. Astfel, dacă unul dintre conturi este spart, toate celelalte se află în pericol. 

Soluția în acest caz este evidentă: alegeți parole puternice, diferite pentru fiecare cont pe care îl aveți și notați-le într-un loc sigur care să nu fie un gadget(telefon, tabletă sau laptop). 

2. Favorizarea atacatorului

  • Multe studii arată că, de fapt, această dezvoltare a atacurilor cibernetice este cauzată de profilul atacatorului, de cunoștințele pe care acesta le are dar și de informațiile care îi sunt puse la dispoziție. Internetul cuprinde informații despre orice și tutoriale pentru orice tip de subiect, inclusiv despre modalitatea în care o persoană poate să realizeze o infracțiune(confecționarea unei bombe, spargerea unui cont). Prin urmare, infractorul zilelor noastre este foarte bine documentat și foarte bine pregătit.
  • Internetul este prezent în aproape fiecare casă din lume, nu este uimitor faptul că și numărul infracțiunilor a crescut semnificativ.
  • Un alt motiv ar fi independența locației și prezenței la locul desfășurării infracțiunii. Viteza de dezvoltare a internetului și a programelor destinate acestui tip de infracțiune. Viteza procesării informațiilor. 

 

Te-ar putea interesa și:

 

3. Lipsa unor sisteme de securitate puternice în cazul deținerii unui volum mare de informații. 

Criminalitatea cibernetică este din ce în ce mai frecventă. Cele mai multe atacuri informatice au ca victime firmele mici și mari. În cazul acestora, atacatorii urmăresc două lucruri:

– Obținerea unor informații. Cu titlu de exemplu enumerăm:

  • detalii financiare legate de afacerea respectivă;
  • detalii financiare ale clienților( datele cardurilor de credit);
  • date personale sensibile;
  • lista clienților;
  • infrastructura IT a firmei;
  • proprietatea intelectuală(secrete privind modalitatea de vânzare, viitoare produse ce urmează să fie lansate pe piață).

– Obținerea de foloase materiale, precum și spionarea competiției sau exprimarea unui punct de vedere politic sau social.

Din nefericire, aceste informații și foloase sunt ușor de obținut dacă nu s-a investit în crearea și implementarea unor sisteme, platforme de securitate puternice, profesionale.

 

Ca și concluzie cu rolul de a prezenta o soluție de combatere a acestui fenomen, cel mai potrivit consider că este următorul citat: „Aşa cum se observă, criminalitatea informatică a parcurs diverse etape evolutive, pornind de la simplul atac asupra unui calculator, folosind un virus, malware, troian, ajungând la atacul asupra unei întregi ramuri economice a unui stat. Pericolul criminalităţii informatice este cu atât mai mare cu cât implică preluarea unor date considerate cu caracter personal şi confidenţial care asigură accesul la resursele personale ale unei părţi componente a populaţiei ce face obiectul atacurilor; ca urmare sporirea protecţie împotriva acestor atacuri trebuie realizată încă din primele etape ale creării sistemelor informatice, înlăturându-se astfel pericolul propagării efectelor asupra utilizatorilor implicaţi în lucrul cu resursele de calcul.” (Nonsecuritatea – premisă a criminalităţii informatice- Ion IVAN, Daniel MILODIN, Cătălin SBORA).

 

Recomandăm: Curs online securitate informatică



double-exposure-image-investor-business-man-handshake-with-partner-with-digital-network-link-connection-graph-chart-stock-market-cityscape-background_33829-154.jpg





În acest articol vom discuta despre semnătura electronică și cum este ea reglementată în legislația română.

Autor: Andrei Adrian-Gabriel, student anul III, Facultatea de Drept, Universitatea din București

„Lovirea sau pălmuirea unei persoane, tăierea sau oferirea unui fir de păr, purtarea unui „inel de semnătură” care să ateste proveniența mesajului sau sigiliile de ceară au reprezentat doar căteva forme pe care semnăturile le-au cunoscut de-a lungul timpului. Prezente sub o formă sau alta încă de acum 3 milenii, semnăturile s-au făcut remarcate d-abia în secolul al VI-lea. Însă, generalizarea lor avea să vină la un mileniu depărtare, în secolele XVI și XVII, odată cu dezvoltarea educației, literaturii și a faptului că din ce în ce mai multe înțelegeri se făceau în scris.[i]

Semnătura electronică. Care este legislația incidentă în această materie?

Reglementarea în materie este oferită de către Regulamentul (UE) Nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE și de Legea nr.455 din 18 iulie 2001 privind semnătura electronică. Astfel, prin intermediul acestor noi reglementări, semnătura electronică a căpătat valență legală egală cu predecesoarea sa ca apariție, semnătura olografă.

Ce este semnătura electronică?

Conform Legii nr.455 din 18 iulie 2001 privind semnătura electronică, aceasta reprezintă date în formă electronică, care sunt atașate sau logic asociate cu alte date în formă electronică și care servesc ca metodă de identificare. Cu alte cuvinte, semnătura electronică vine în întâmpinarea nevoilor realizate de către semnătura olografică, astfel, oferă persoanei care citește un anumit document încrederea că acesta a fost realizat sau măcar asumat de către o anumită persoană. Întrucât documentele realizate prin intermediul mijloacelor moderne sunt ușor de modificat, aceasta mai oferă și certitudinea că nu au operat modificări asupra documentului, prin intermediul ei fiind identificabile data și ora la care a fost semnat documentul. Tehnic, ea reprezintă aplicarea unui nou șir de biți asupra documentului inițial.[ii]

 

Te-ar putea interesa și:

 

Ce nu este semnătura electronică?

Este foarte importantă acestă distincție întrucât uneori putem crede, în mod eronat, că un document este semnat și că aceasta are valoare legală, fără ca acest lucru să se întâmple în realitate. Astfel, semnătura electronică nu trebuie confundată cu aplicarea unui fișier digital care cuprinde semnătura noastră olografă asupra unui document, cu semnarea unui document prin intermediul unor tablete grafice, de exemplu, cu semnătura digitală, dar nici cu „mutarea” semnăturii electronice aplicată asupra unui document pe un altul, întrucât aceasta este strict legată de documentul pe care a fost aplicată.

 

Din ce este formată o semnătură electronică?

Există două tipuri de semnătură electronică, cea simplă și cea extinsă. Cea simplă, creată pe baza unui certificat digital simplu, nu are valoare juridică. Semnătura electronică extinsă este cea care produce efecte juridice și practic, de fiecare dată când ne referim în general la semnătura electronică, ne referim la aceasta. În acest sens, elocvente sunt și exemplele din jurisprudență în care instanțele au reținut că semnatura electronică produce efecte juridice precum Decizia nr.358/2009 a Curții de Apel Suceava[iii] și Decizia nr.520/2009 a Înaltei Curți de Casație și Justiție[iv]. Astfel, semnătura electronică este asimilată, în ceea ce privește condițiile și efectele sale, cu înscrisul sub semnătură privată. De asemenea, acesta are aceleași efecte ca actul autentic între cei care l-au subscris și între cei care le reprezintă drepturile. În cazurile în care, potrivit legii, forma scrisă este cerută ca o condiție de probă sau de validitate a unui act juridic, semnătura electronică îndeplinește această cerință dacă sunt respectate condițiile ce urmează a fi expuse. Conform normelor, semnătura electronică extinsă îndeplinește cumulativ patru condiții:

  1. este legată în mod unic de semnatar;
  2. asigură identificarea semnatarului;
  3. este creată prin mijloace controlate exclusiv de semnatar;
  4. este legată de datele în formă electronică, la care se raportează în așa fel încât orice modificare ulterioară a acestora este identificabilă.

Astfel, orice persoană care dorește să întrebuințeze o astfel de semnătură va avea nevoie, în definitiv, de patru  elemente, obținute, în general, de la un furnizor de certificate digitale:

  1. un dispozitiv denumit Token, care adesea va avea forma unui stick USB sau al unui alt echipament de tehnologie;
  2. un cod PIN care permite accesarea Tokenului;
  3. un certificat digital calificat emis de către furnizor care va fi dovada legăturii între semnatar și semnătură;
  4. un sistem de tip software care va permite folosirea facilă a semnăturii.

KIT GDPR Premium

 

Care sunt avantajele semnăturii electronice?

Această modalitate de individualizare prezintă avantajul celerității, acest lucru văzându-se în principal în cadrul firmelor, dar și de către persoanele care au un volum mare de documente de semnat. Aceasta își găsește utilitate și prin faptul că astăzi majoritatea documentelor sunt realizate cu ajutorul software-urilor, ponderea documentelor scrise de mână fiind din ce în ce mai mică. Un alt avantaj este reprezentat de faptul că aceasta iese din sfera strictă a persoanei semnatarului, putându-se semna, în anumite condiții, și în persoana unui terț. Prin structurile gândite de dezvoltatorii acesteia, semnătura electronică devine astfel și o formă mult mai sigură de individualizare a documentelor și a momentului semnării, un argument în acest sens fiind faptul că dispozitivul de semnare nu poate fi împrumutat sau înstrăinat.

Semnătura electronică reduce costurile unei firme întrucât documentele nu necesită să mai fie printate pentru a fi semnate, scanate și transmise ulterior.

 

Cum pot obține semnătura mea electronică?

Procesul este unul relativ simplu și pot exista diferențe de la un furnizor de certificate digitale la altul. În general, va fi necesară completarea unui formular, care adesea va putea fi completat și on-line, transmiterea documentelor și achitarea unei sume de bani, urmând ca furnizorul, pe baza datelor, să vă pună la dispoziție cele patru elemente menționate anterior, însă o precizare este importantă de făcut: semnătura electronică odată obținută nu este permanentă, aceasta fiind valabilă pentru o perioadă specifică de timp în funcție de pachetul ales și oferit de către furnizor, iar pentru menținerea acesteia este necesară o reînnoire.




 

Te-ar putea interesa și:

 



mail-communication-connection-message_36325-2232.jpg




Sistemele de e-mail și alte sisteme de comunicații sunt de obicei folosite zilnic pentru comunicarea în interiorul companiei, dar și în comunicarea cu exteriorul. Aceste comunicări pot conține date cu caracter personal.

În scopul prevenirii divulgării accidentale a datelor cu caracter personal prin trimiterea unor astfel de date altor destinatari, prin intermediul email-ului este necesară stabilirea unor proceduri clare în folosirea unor astfel de software.

Aceasta poate include asigurarea faptului că software-ul este configurat corect și actualizat în mod regulat.

Documentele sau comunicările care conțin date personale sensibile ar trebui să fie prelucrate și expediate cu deosebită atenție. Societatea ar putea stabili un e-mail pentru documentele care conțin date cu caracter personal care urmează să fie protejate cu parole când sunt trimise către destinatarii interni și externi.

Este recomandabil să includeți o notificare în toate e-mailurile și faxurile pe care le trimiteți pentru a avertiza destinatarii împotriva utilizării neautorizate, păstrării sau divulgării datelor cu caracter personal și informarea destinatarilor pentru a șterge și a notifica imediat organizația cu privire la trimiterea accidentală a oricăror date cu caracter personal.

Este indicat ca noii angajați, dar și personalul existent să beneficieze de formare periodică, astfel încât să fie bine informat și actualizat cu privire la procedurile adecvate de procesare și trimitere date personale. Ar trebui, de asemenea, să li se reamintească regulat să efectueze acțiunile de verificare necesare.

Te-ar putea interesa și:

 

Este recomandat ca personalul să nu “facă clic” pe orice alertă, ci să verifice cu atenție informațiile de alertă.

Pentru a reduce incidența și impactul mesajelor electronice care conțin date cu caracter personal trimise în mod eronat se pot implementa următoarele măsuri, prin configurarea software-ului de e-mail (de exemplu, Microsoft Outlook):

  • Toate e-mailurile sunt trimise după o întârziere de 1 minut.
  • Funcția de adresă de e-mail completă automată este dezactivată.
  • Alertă expeditor de e-mail atunci când există date sensibile în cadrul email.
  • Semnătura standardizată de e-mail care conține o notificare pentru a avertiza destinatarii împotriva utilizării neautorizate, păstrării sau divulgării datelor cu caracter personal și informarea expeditorului cu privire la incident.
  • Criptarea emailurilor sau a atașamentelor, trimiterea acestora printr-un canal criptat, sau transmiterea informațiilor prin alte mijloace sigure poate reduce riscul de transmitere a datelor cu caracter personal accidental sau interceptat de atacatori cibernetici.
  • În cazul în care criptarea mesajelor de poștă electronică nu este acceptată, luați în considerare transferarea datelor cu caracter personal într-un atașament care este protejat. Protecția poate fi asigurată prin criptarea sau prin protecția prin parolă – metode adesea furnizate de software. Parola trebuie comunicată separat.
  • Recomandabil de folosit un software de instalare anti-malware la serverul de e-mail, astfel încât software-ul realizează actualizări și scanări în mod regulat.
  • Înainte de a trimite e-mailuri, trebuiesc revizuiți toți destinatarii.
  • Deconectați-vă întotdeauna de la webmail-ul atunci când ați terminat de trimis e-mail. Acest lucru este deosebit de important pe un computer partajat.
  • Vă recomandăm să vă conectați la webmail numai atunci când furnizorul dvs. de webmail are o conexiune securizată (indicată printr-un lacăt în partea din dreapta jos a ferestrei browserului și literele “https: //” la începutul adresei site-ului).

KIT GDPR Premium

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta: