Area51, here be raliens

Personal site of Alex Railean

Ce presupune conformitatea cu GDPR?

Posted by on 2018 Oct 24, Wed in Technology / programming, Education

Notă: acest articol este publicat într-o formă redactată.

Din data de 25 mai 2018 a intrat în vigoare GDPR (General Data Protection Regulation). Voi explica în termeni simpli, în baza unui exemplu, care sunt câteva din cerințele fundamentale, care trebuie satisfăcute pentru ca afirmația dată să fie justă. Ceea ce urmează, e bazat pe experiența mea de cercetare în domeniul usable privacy for IoT (Internet of Things) în cadrul proiectului Privacy&Us.

Înainte de a porni la drum, te atenționez că nu sunt un jurist. Povestirea mea e mai degrabă una inginerească, adresată programatorilor sau altor oameni care au tangențe cu elaborarea sistemelor software, care într-un mod sau altul "ating" date personale. În același timp, mă adresez și omului de rând, care vrea să fie informat despre ceea ce se întâmplă în societate. Pentru a verifica independent veridicitatea afirmațiilor mele, ești încurajat să consulți textul propriu-zis.

Transparență

Unul din pilonii de bază a GDPR este "informed consent", adică "consimțământ conștient".

The basic requirements for the effectiveness of a valid legal consent are defined in Article 7 and specified further in recital 32 of the GDPR. Consent must be freely given, specific, informed and unambiguous.

De exemplu, dacă apeși butonul "Sunt de acord" când te înregistrezi pe un site, trebuie să înțelegi care sunt implicațiile acestei decizii. Aceasta, la rândul său, implică faptul că sistemul este complet transparent, iar utilizatorii știu ce se petrece cu datele lor.

În linii generale, asta se reduce la cunoașterea răspunsurilor la câteva întrebări cruciale. Răspunsurile nu pot fi îngropate sub un morman de hârtie, ci trebuie să fie la suprafață. Pe site-ul xxxxxxxxxx putem găsi doar unele răspunsuri:

Întrebare Răspuns oferit pe xxxxxxxxxx
care date sunt colectate? Presupunem că e adresa email, numele și prenumele, țara și localitatea, numărul de telefon.
cu ce scop se colectează? "Datele personale vor fi utilizate pentru xxxxxxxxxx xxxxxxxxxx"
cine are acces la ele?
cât timp vor fi păstrate datele?
unde sunt păstrate datele?

E clar că nu sunt toate răspunsurile pe loc, așadar nu poate fi vorba de consimțământ informat, cum prevăd canoanele GDPR.

Mai mult ca atât, ca inginer sunt conștient de faptul că atunci când browserul deschide un site, pe server se transmit și alte date, care nu sunt explicit declarate în acele câmpuri: adresa IP (tot se consideră „informație cu caracter personal”), tipul browserului (de exemplu, Firefox sau Chrome) sau sistemul de operare (Windows, Android, etc.), printre altele...

La prima vedere, aici nu este nimic suspect. Totuși, orice om care elaborează un sistem (nu doar programatorii, ci și managerii care îi organizează), trebuie să anticipeze unele scenarii negative. Să zicem, dacă într-o zi la putere vine un dictator care zice „hai să-i presăm pe vorbitorii limbii X”, îi va prinde bine o listă în care ai toate numele, numerele de telefon, adresele de email și limbile pe care le preferă browserul acestui om. Sau dacă lista asta ajunge în mâinile unor criminali, care se vor gândi de la cine să stoarcă bani în primul rând, le va prinde bine aceeași listă, în care scrie „negru pe alb” cine are ultimul model de iPhone. Sau altfel, dacă este prezentă și adresa ta IP în listă, le va fi ușor să-ți coreleze identitatea cu niște comentarii anonime (sau un pseudonim) de pe unele site-uri supuse lor.

Pe lângă toate astea, trebuie să înțelegi că astăzi justiția în Moldova este atât de pliabilă, încât e ușor să obții orice decizie, ca mai apoi cineva să pretindă că „extragerea acestor date de pe server a fost complet legală”. „Justiția” te va obliga să divulgi aceste date, în numele securității statului, iar dacă opui rezistență, vor găsi un articol, care după un pic de acrobatică mentală, va fi aplicabil asupra ta.

Acțiune explicită

consent must be unambiguous, which means it requires either a statement or a clear affirmative act. Consent cannot be implied and must always be given through an opt-in, a declaration or an active motion, so that there is no misunderstanding that the data subject has consented to the particular processing.

În general, asta se rezolvă printr-o bifă separată, pe care o activezi ca să exprimi explicit acordul tău cu colectarea acestor date. Așadar, nu este suficient să adaugi o remarcă de tip „atenție, prin apăsarea butonului 'Înregistrare' tu ne dai acordul să preluăm datele”, trebuie să ai o bifă sau un buton separat prin care exprimi acordul cu colectarea datelor, și alt buton prin care zici că te înregistrezi pe site.

Controller, processor

Imagineză-ți că ești un fermier din Porumbeni, care cultivează zarzavaturi, preia comenzi prin Internet și livrează produse clienților. Ești expert în agricultură, dar nu și în tehnologii. Când auzi cuvântul „server”, ți se năzare „sever” sau „север”.

Clienții tăi îți dau numele lor și adresa, că altfel nu le poți livra roșiile și vinetele. Ai rugat pe cineva să-ți facă un web-site, care este găzduit într-un data centru modern din Chiperceni. Când se înregistrează cineva pe site, datele care ți-au fost încredințate ție, fizic - sunt păstrate în Chiperceni; deși utilizatorii o făceau pe site-ul porumbeni-fresh.md, pe care figura numele companiei tale și era afișată fotografia ta. Cu alte cuvinte, omul care se înregistrează pe site, consideră că stabilește o relație cu tine, și nu cu un oarecare administrator de sisteme sau o întreprindere din Chiperceni.

În acest exemplu, compania ta (tu ești fermierul) controlează informația, iar data centrul din Chiperceni o procesează în numele tău. Așadar, tu faci ceea ce știi mai bine, iar ei fac ceea ce știu ei mai bine, și toți sunt fericiți.

Conform prevederilor GDPR, utilizatorul trebuie să cunoască cine procesează datele, și cine le controlează. În cazul specific xxxxxxxxxx xxxxxxxxxx despre care discutăm, noi nu știm cine sunt aceste entități. Cititorul atent va vedea, că datele sunt salvate pe serverele Google, deoarece pagina folosește serviciul Google Forms, respectiv Google e „data processor”. Va partaja oare Google datele cu persoane terțe? În ce mod ei protejează datele?

Dreptul la rectificarea datelor colectate

Articolul 16 spune că trebuie să existe o interfață, prin care un utilizator poate modifica datele personale pe care le-a introdus în sistem. Să zicem, dacă am scris acolo că mă cheama „Zorzonel Ariceli”, iar apoi am observat că din greșeală am scris cu un singur „L” (corect e „Aricelli”), trebuie să fiu capabil să rectific datele. Pe site însă nu există facilități de redactare.

Dreptul de a șterge datele

Articolul 17 spune că sistemul trebuie să permită utilizatorilor să șteargă datele despre ei.

The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay.

Site-ul nu oferă un formular prin care pot cere ștergerea datelor despre mine.

Obligația de a desemna un „data protection officer”

Articolul 37 afirmă că trebuie să fie numită o persoană responsabilă, căreia i se pot adresa utilizatorii atunci când au careva întrebări sau probleme legate de prelucrarea datelor personale:

The controller and the processor shall designate a data protection officer ... The controller or the processor shall publish the contact details of the data protection officer

Pe site nu se indică aceste detalii. Acolo se spune despre unele persoane implicate: xxxxxxxxxx, xxxxxxxxxx, xxxxxxxxxx. Cine din ei răspunde de datele personale? Toți? Nimeni?

Ce zice legislația moldovenească?

Legea 133 privind protecţia datelor cu caracter personal, are și ea de spus câte ceva la această temă. Pe alocuri e aliniată cu GDPR și promovează idei similare:

  • Art. 5 (2): ”Consimţămîntul privind prelucrarea datelor cu caracter personal poate fi retras în orice moment de către subiectul datelor cu caracter personal”. Cum îl retrag?
  • Art. 13 (1.e): ”... informaţii privind modul de exercitare a dreptului de intervenţie asupra datelor cu caracter personal.” Cum o fac?
  • Art. 14 (a): ”Orice subiect al datelor cu caracter personal are dreptul de a obţine de la operator sau persoana împuternicită de către acesta, la cerere şi în mod gratuit: ... rectificarea, actualizarea, blocarea sau ştergerea datelor cu caracter personal”. Cum rectific?
  • Art. 13 (1): ”La prelucrarea datelor cu caracter personal, operatorul este obligat să ia măsurile organizatorice şi tehnice necesare pentru protecţia datelor cu caracter personal împotriva distrugerii, modificării, blocării, copierii, răspîndirii, precum şi împotriva altor acţiuni ilicite, ...” - ținem ”în minte” această cerință, vom reveni la ea.
  • Art. 32 (1): ”Prezentul articol se aplică în cazul transmiterii către un alt stat, ...” + (3) ”poate avea loc doar cu autorizarea Centrului”. Să presupunem că s-a făcut o careva înțelegere cu Google, ca aceste date să se păstreze anume într-un data centru gestionat de Google în Moldova, sau că aceasta a fost autorizat de Centrul Naţional pentru Protecţia Datelor cu Caracter Personal.

Concluzie

Am evidențiat doar unele aspecte superficiale a ”aisbergului GDPR”. Tema este atât de complexă, încât deseori chiar și acei care ar trebui să înțeleagă toate nuanțele - nu le înțeleg (publicația poate fi descărcată gratis depe Sci-hub).

Este important ca acei care gestionează datele personale, s-o facă cu cap și cu grijă. Cred că cel mai bine a spus-o Boromir:

Ce presupune conformitatea cu GDPR?

Am văzut că și afirmația despre respectarea legii locale poate fi pusă la îndoială. De fapt, aceasta ar putea pune în pericol toată operațiunea, din cauza unor „grave încălcări a legislației și a drepturilor cetățenilor”.

Bonus - ce e de făcut?

Pentru xxxxxxxxxx

  • Să nu urmați sfatul unui om pe Internet, care spune că nu e jurist, fără de a consulta un jurist
  • Mai sus am enumerat o listă de întrebări la care nu oferă răspuns pagina - aceste răspunsuri trebuie să fie disponibile
  • Să vă gândiți la următoarele:
    • prin ce dispozitive se accesează datele colectate? (laptop, telefoane mobile, etc.)
    • e securizat fiecare din aceste dispozitive?
    • sistemul de operare e actualizat
    • sistemul de operare nu a fost instalat de pe un disc obținut din surse dubioase
    • accesul la sistem e protejat cu o parolă diferită de 11111
    • conturile Google, cu care se accesează datele nu folosesc nici ele parole triviale, sau care se reutilizează pe alte site-uri (mai ales acelea pe care le-ați deschis în Moldova); ați activat „two-factor authentication”
    • sistemul nu cumva e o versiune antică de Android sau iOS, care a fost abandonată de producător încă în '45?
    • E cert că nu e instalat un keylogger pe acest sistem?
    • Cine mai cunoaște parola?
    • Cine mai are acces fizic la sistem? (adică, e capabil să conecteze la el un flash disk, să încarce sistemul de pe CD, etc.)
    • E același sistem, prin care intrați pe Odnoklassniki?
  • Dacă copii a fișierului sunt salvate uneori și pe computer, aceste fișiere sunt criptate?
  • Dacă circulează copii a datelor în cadrul echipei - cum le transmiteți între voi?

Pentru inginerul conștient

  • Întotdeauna acordă-ți întrebarea „ce rău se poate întâmpla, dacă datele ajung la persoane terțe?”
  • Citește despre DPIA (data protection impact assessment), e un proces de analiză, prin care se află răspunsurile la întrebarea anterioară și se propun soluții pentru fiecare scenariu
  • În calitate de material inspirațional, citește „Computer power and human reason” de Joseph Weizenbaum și „Certainties and doubts - a philosophy of life” de Anatol Rapoport, ca să conștientizezi cât de mare e responsabilitatea de pe umerii tăi.

No feedback yet


Form is loading...