Update 23 August 2016: 

ApTI: Ce înțelegem până acum: SII Analytics – o încălcare a vieții private „mai bună, mai structurată, mai rapidă”

Update : 
 
Răspunsul SRI trimis către presă nu doar că nu clarifică nimic din textul inițiat, ci practic ne confirmă indirect toate suspiciunile. Răspundem punctual cu mai multe întrebări:
 
"Proiectul "SII Analytics - Sistem informatic de integrare și valorificare operațională și analitică a volumelor mari de date" este destinat asigurării unei capacități superioare de analiză a bazelor de date ale principalelor instituții din România. Obiectivul platformei este de a spori considerabil viteza de căutare a informației relevante în bazele de date deja existente. 
 
Practic, în loc să interogheze sisteme diferite, neuniformizate informatic și procedural, instituțiile statului vor putea accesa informațiile integrat, rapid și eficient. Sistemul nu colectează date noi, ci le analizează, pe baza unor algoritmi, pe cele existente. "
 
Aceaste afirmații sunt corecte, dar nu contrazic cu nimic ceea ce am concluzionat noi.
Problema și întrebarea cheie rămâne: Face SRI copii după bazele de date ale acelor instituții?
Răspunsul din caietul de sarcini și interpretarea comunicatului SRI pare pozitiv. În acest context, această "mega-baza-de-date" ar fi o mină de aur pentru SRI și alte instituții în care vor putea căuta orice și oricând fără a fi ținuți de mandate de la judecători sau alte bariere procedurale.
 
"Rapiditatea în accesarea bazelor de date este impusă ca necesitate de amenințările specifice instituțiilor de intelligence din România - terorism, migrație ilegală, crimă organizată, pentru a căror contracarare este necesară o primă reacție în timp foarte scurt. "
 
Informația nu este gresită, dar vorbim de un proiect pentru eGuvernare și nu de un proiect legat de alte domenii. Răspunsul dovedește însă că proiectul SRI va avea alt scop decât cel declarat inițial (ceea ce este ilegal din punct de vedere al procesării datelor personale).
 
"Proiectul are drept scop modernizarea și eficientizarea activităților interne ale instituțiilor cu atribuții în prevenirea și combaterea fenomenelor de terorism, crimă organizată, corupție și evaziune fiscală, respectiv a instituțiilor publice beneficiare (MAI, MP, MFP, DGAF, SRI)."
 
Informația este din nou corectă, dar incompletă. Ceea ce nu spune SRI este faptul că MFP nu poate să aiba acces direct la datele MAI, acest lucru fiind deja declarat ilegal de către Curtea Europeană de Justiție în cazul Bara vs. CNAS&ANAF (C201-14), ca urmare a interpretării Directivei 95/46/EC și a Legii 677/2001 privind protecția datelor cu caracter personal. 
Deci practic sistemul SII Analytics "va dribla" legea.
 
"Proiectul presupune un sistem de audit complex din punct de vedere al respectării legislației în vigoare, precum și al normelor de securitate privind accesul la datele stocate, orice interogare fiind jurnalizată automat și analizată în sensul evitării oricărei forme de abuz."
Aceasta este o eroare prin informare incompletă. Dacă SRI ar fi menționat legea în vigoare ca fiind 677/2001, i-am fi întrebat de respectarea principiilor datelor personale (datele au fost colectate într-un scop, de ce le folosiți în al scop?), unde este analiza de impact asupra datelor personale, cine este auditorul extern al sistemului, cine face analiza tehnică a sistemului, de unde vom ști că jurnalul de log-uri este corect, etc? Dar în mod intenționat SRI nu menționează această lege (ci preferă termenul vag de "legislație în vigoare"), pentru că ei consideră că nu li se aplică lor. Deci datelor cetățenilor nu sunt protejate nicicum, pentru că autoritățile competente nu pot să îi verifice. 
 
Întrebările fundamentale rămân:
    - proiectul va aduce datele tuturor cetățenilor într-un singur loc, fără posibilitatea reală de control. Cum se împacă aceasta cu legile României și ale Uniunii Europene?
  -  ce caută echipamentele și software-ul de interceptare în proiectul ce ține de eGuvernare?
    - ce caută soluția de recunoaștere facială în proiectul ce ține de eGuvernare? 
    - ce caută SRI în eGuvernare, în general, și în acest proiect, în special? Era o organizație eligibilă?
 
Reamintim că pentru orice proiect pe fonduri europene care contrazice flagrant nu doar legile românești, ci și normele europene (jurisprudența Curții Europene de Justiție, Directiva 95/46/EC și Noul Regulament privind datele personale, Carta UE privind drepturile fundamentale), România va trebui să dea banii înapoi din propriul buzunar, iar fondurile vor putea fi blocate dacă sunt cheltuite pe alte activități decât cele din caietul de sarcini sau din call-ul de proiecte.
    
(3) România este stat de drept, democratic şi social, în care demnitatea omului, drepturile şi libertăţile cetăţenilor, libera dezvoltare a personalităţii umane, dreptatea şi pluralismul politicreprezintă valori supreme, în spiritul tradiţiilor democratice ale poporului român şi idealurilor Revoluţiei din decembrie 1989, şi sunt garantate.
 
Continuăm să cerem:

 

- anularea licitației și a proiectului care încalcă drepturile fundamentale;

- includerea în condițiile de accesare a fondurilor europene, în mod explicit, a interdicției folosirii acestora pentru încălcarea sau limitarea drepturilor cetățenilor;

- dezbaterea publică a rolului exact al SRI în societatea românească, inclusiv a legislației conexe, ca și a garanțiilor eficiente pentru oprirea abuzurilor de acest tip, precum și a transparenței instituționale pentru orice proiect care depășește cadrul original de securitate națională.

 

 

SRI vrea să folosească fonduri europene pentru supravegherea generalizată a tuturor cetățenilor deghizat în eguvernare

08.08.2016

SRI a câștigat un proiect pe fonduri europene (axa 2 – OS 2.3. Creșterea utilizării sistemelor de e-guvernare) prin care intenționează să achiziționeze software și hardware de 25 de milioane de Euro pentru „consolidare și asigurarea interoperabilității sistemelor informatice”. 

Proiectul, numit „SII Analytics”, are un potențial de supraveghere generalizată a întregii populații a României – un adevărat sistem informatic Big Brother – nefiind prevăzută nicio măsură de limitare a accesului SRI sau al altor instituții publice la datele personale colectate și integrate în acest sistem.

 

Principalele probleme ale proiectului:

1. Supraveghere generalizată prin combinarea bazelor de date

Proiectul își propune să aducă împreună baze de date de la majoritatea instituțiilor publice românești și să permită căutarea avansată în acestea a oricăror informații despre toți cetățenii. De exemplu prin capitolul de „analiză comportamentală”, orice cetățean ar putea avea o fișă „de bună purtare” (constituită din informații adunate din toate bazele de date guvernamentale), inclusiv viitorii parlamentari, judecători, procurori sau antreprenori, fișe ce pot fi folosite în scopuri nelimitate. Acestea pot fi corelate cu alte informații publice (de ex. Informațiile de pe un cont de Facebook), pentru crearea de profile individuale.

2. Lipsa oricăror garanții și potențialul de abuz

Prin agregarea bazelor de date, orice persoană din cele peste 1000 de persoane ce vor avea acces la sistem vor avea posibilitatea să îl folosească în orice scop personal, fără a putea fi controlate efectiv sau fără ca cetățeanul să știe.  E.g. Vânzătorul unui apartament („prieten SRI”) poate să aibă informații despre potențialul financiar al cumpărătorului (ce mașină are, când a cumpărat-o, precum și ce mașini a avut înainte, ce venituri are, ce credite etc).

3. Bani europeni pentru încălcarea drepturilor europene

Proiectul a fost depus pe 9.06.2016, la o zi după ce apelul pentru fondurile europene structurale (axa 2 – OS 2.3) a fost lansat public, și a fost aprobat foarte repede, în ciuda faptului că acesta încalcă în mod flagrant documentele constitutive ale Uniunii Europene, în speță dreptul la viața privată și la protecția datelor  cu caracter personal (Art 7 și 8) din Carta drepturilor fundamentale a Uniunii Europene.[1]

4. Rolul SRI în eGuvernare & scopul ascuns al proiectului

SRI nu are nicio competență pe domeniul eGuvernării sau pe „dezvoltarea functiei de preventie, detectare si luare de masuri pentru reducerea redundantei platilor in zona publica”, care sunt scopurile declarate ale proiectului. Mai mult, anumite capitole din proiect (vezi capitolele de „Recunoaștere facială” sau „Interceptarea comunicațiilor” din documentul explicativ) ne indică faptul că proiectul are de fapt și un scop nedeclarat – acela de supraveghere generalizată a întregii populații. De exemplu, baza de date de recunoaștere facială cu aprox. 50-60 de milioane de imagini frontale (gen carte de identitate sau pașapoarte), la care SRI are acces nelimitat și nesupravegheat, nu are nici o utilitate/justificare în „prevenirea fraudei”, așa cum pretinde SRI în descrierea proiectului, fiind de fapt o formă de spionare a vieții private a tuturor cetățenilor.

 

O analiză de interpretare a caietului de sarcini care ne ridică aceste suspiciuni majore o regăsiți în documentul de explicații mai detaliate.

 

Semnatarii solicită de urgență:

-      anularea licitației și a proiectului care încalcă drepturile fundamentale;

-      includerea în condițiile de accesare a fondurilor europene, explicit, a interdicției folosirii acestora pentru încălcarea sau limitarea drepturilor cetățenilor.

-      dezbaterea publică a rolului exact al SRI în societatea românească, inclusiv a legislației conexe, ca și a garanțiilor eficiente pentru stoparea abuzurilor de acest tip și transparenței instituționale pentru orice proiect care depășește cadrul original de securitate națională.

 

 

Semnatari

ActiveWatch

Asociația pentru Apărarea Drepturilor Omului în România – APADOR -CH

Asociația pentru Tehnologie și Internet – ApTI

Centrul de Resurse Juridice

Miliția Spirituală


ActiveWatch / CC BY 3.0