Pages: 1 2 3 4 5 ...6 ...7 8 9 10 11 12 ... 37 >>
Mi-am aruncat un ochi doar într-o doară peste protocolul dintre SRI și Parchetul General făcut public vineri, pentru că nu am crezut că voi găsi ceva interesant. Cu toate acestea două aspecte mi-au sărit în ochi:
1. SRI și-a extins domeniul de competența printr-un “protocol” la infracțiunile grave.
În mod special – având în vedere rolul jucat de fosta Securitate - în momentul în care s-a făcut legea SRI (14/1992), i s-au luat orice atribuții de investigare penală și a fost lăsat doar cu “culegerea de informații”, cu excepția infracțiunilor cu privire la securitatea națională și terorism.
Deci adăugarea la colaborare pentru “infracțiuni grave” este pur și simplu o extindere a domeniului de competența dincolo de orice lege. (termenul de infracțiune gravă este definit prin legea 31/2002 art 2 (b) si este o listă extrem de lungă – redusă nițel în 2012). (a scris mai pe larg Georgiana Iorgulescu de la CRJ)
2. SRI- ul avea acces la toate datele de trafic fără limită. Le dădea și altora.
Mi-a sărit în ochi si art 37 al Protocolului:
Parchetul sau parchete teritoriale pot solicita, în scris, Serviciului stabilirea istoricului poziției geografice și caracteristicile tehnice (IMSI, IMEI) al terminalului mobil, în conditiile legii speciale.
N.b: Sublinierea le aparține autorilor documentului!
Aceste date sunt date de trafic informaționale, nu date de conținut, dar care – așa cum am mai precizat în nenumărate rânduri pe acest blog – ridică niște probleme deosebite dpdv al protecției vieții private. Dacă veți să vedeți cum arată în practica aruncați-vă un ochi aici.
Din câte deduc din data documentului, acesta a fost semnat la 4.02.2009 de către Parchet, moment în care era în vigoare legea 298/2008 (care ar trebui sa fie acea lege specială) privind păstrarea datelor de trafic informațional (ce a fost ulterior declarată neconstituțională la 8.10.2009). Aceasta înseamnă că exista deja o procedura legală (în art 16) care prevedea accesul procurorilor la datele de trafic, prin aprobarea instanței și prin obținere de la operatori, în vreme ce SRI avea un cec în alb (în art. 20, de altfel unul din motivele declarării neconstituționalității legii) de care se vede că a profitat la maximum. (și nimeni nu stie dacă nu mai profită și astăzi).
Întrebarea logică urmează:
Dacă procurorii aveau un instrument legal de acces legal la date prevăzut destul de clar în art 16 și care prevedea cum pot obține datele de la operatori, atunci de ce aveau nevoie de “ajutorul SRI”?
Cred ca sunt 2 posibile răspunsuri:
1. Ajutorul SRI în accesul la datele de trafic era necesar din motive de timp și certitudine. Pe de o parte operatorul nu știa de accesul la datele de trafic si deci o posibilă atenționare a persoanelor vizate (care oricum ar fi fost o infracțiune) ar fi fost imposibilă. Pe de altă parte dacă SRI avea deja toate datele (adică nu trebuia să le ceară), probabil accesul la ele ar fi fost mult mai rapid.
SAU
2. Ajutorul SRI în accesul la datele de trafic era necesar pentru că nu puteau fi obținute legal. Deci în loc să apeleze la procedura din art 16, procurorii erau interesați de datele de trafic în mod informal fie pentru că un mandat nu ar fi fost dat de către judecător, fie pentru că de fapt nu doreau să le folosească în rechizitoriu, ci erau informații utile pentru alte scopuri: de la presiune pe inculpat să recunoască faptele (în varianta optimistă) până la șantaj (în varianta pesimistă).
Cert este ca în ambele cazuri protocolul ne demonstrează un singur lucru: că este inutil să se stabilească proceduri legale pentru a asigura drepturile și libertățile fundamentale în accesul la date, dacă ele nu sunt dublate de măsuri de verificare ca procedurile să nu pot fi driblate cu ușurința.
Nici măcar nu mai pun întrebarea dacă această activitatea ar fi trebuit să fie sistată, iar protocolul actualizat, după decizia CCR din 8 octombrie 2009. Dar înțelegem poate cu alți ochi presiunile pentru a fi adoptată o noua lege pentru păstrarea datelor de trafic.
Întorcându-ne în prezent, nu putem să notăm că chiar dacă nu avem acum o lege de păstrarea a datelor de trafic, întreg sistemul de acces la datele operatorilor, ca și la interceptări telefonice – dacă este să extindem discuția – este lipsit de orice măsuri legale, tehnice și practice de protecție, mai ales dacă ele pot fi modificate printr-un protocol secret. Adică sistemul actual un cec în alb pentru abuzuri. Iar exemplele recente din Georgia și Macedonia ne arată că de fapt e doar o problemă de timp și nivel de moralitate a celor ce au acces la sistem pentru a exploata sistemul după cum doresc.
Din păcate nu cred ca încă suntem în fața unei discuții sincere și credibile despre măsurile de siguranță pe care un astfel de sistem trebuie să le aibă, câtă vreme majoritatea vocală ce critică sistemul actual – de obicei pe la TV – nu doar ca au procese pe rol și deci un interes direct în a scăpa basma curată, dar și amestecă dezinformări cu fapte reale, de iese un fel de Caragiale 2.0 amestecat cu un Dadaism post-modernism. Deci varză.
Așă că scriu nota asta pentru viitor. Ca să fie.
PS: Mi se pare extrem de interesant ca chiar seful DNA din acea perioada spune ca unele dispozitii din acel protocol erau ilegale.
Un nou proiect de lege vrea să reglementeze “economia de acces” în România. Adică – mai pe înțelesul tuturor firme – Uber, AirBNB, Indiegogo, Freelancer.com și altele asemenea au nevoie de mai multe reguli.
E un moment bun să discutăm ideea. Proiectul este pe masa Comisiei de ITC, iar în 26 aprilie va fi o dezbatere (probabil prima și ultima) pe acest proiect de lege. Dacă vă considerați afectați și vreți să participați, cereți acest lucru la adresa de e-mail cti AT cdep PUNCT ro.
Dar eu personal aș prefera să avem un context mai larg și nu să luăm doar exemplul companiilor amintite de mai sus, ca să răspundem la niște întrebări esențiale.
Principiul pus în practică de legea 365/2002 în România și de directiva de e-commerce în Europa este relativ simplu: serviciile online (denumite servicii ale societății informaționale) nu se autorizează în prealabil. Acum pare și logic, dar în anul 2000 era mai vag: cum ar fi fost ca cineva care vrea să facă un site de orice tip să treacă printr-o comisie de birocrați ca să primească o autorizație?
De la orice principiu, există și excepții unde există reglementări mai laxe sau mai stricte – de la zona de protecție a consumatorilor în contractele la distanță până la emiterea de monedă electronică – cu sancțiuni în consecință (de la amenzi până la neprimirea unei autorizații de a fi furnizor de monedă electronică).
Ei, bine noua reglementare identifică o altă categorie, denumită generic „economie de acces”, care ar trebui să fie reglementată. De ce ar trebui reglementată? Nu este deloc clar. M-aș fi așteptat să fi fost identificate niște probleme (sau relații sociale) pe care aceste noi economii le creează și care, după cum s-a dovedit, practic nu pot fi rezolvate altfel decât printr-o lege. În afară de conflictele dintre Uber și taximetriști, n-am auzit în spațiul public românesc o altă nemulțumire clară.
Dacă avem un răspuns la întrebarea precedentă, ar trebui să vedem cum anume se dorește reglementarea. Este normal să impun niște obligații care oricum există în alte legi (de ex., protejarea datelor personale prin Legea 677/2001, securitatea informatică, plata taxelor pe care le datorează)?
Pentru obligațiile suplimentare, nu cumva ele îi schimbă companiei modul de business din găzduitor în terț de încredere (de exemplu „să verifice autenticitatea și conformitatea documentelor”)? Nu cumva ele trebuie să schimbe conduita unui furnizor? (de tipul „să dețină documente care să autentifice caracteristicile bunului”)?
Și dacă reglementarea creează un rol care de fapt nu există, cum ar fi „suportul local al platformei tehnologice”? Deci ar trebui ca Indiegogo, de exemplu, să facă un contract cu o firmă românească? Serios?
Și care sunt sancțiunile? Amenda contravențională să zicem că ar putea să aibă un sens, dar cum s-ar aplica „interzicerea funcționării platformei tehnologice”? Facem o listă neagră pentru ISP-iști? Angajăm polițiști ai Internetului care să-i prindă pe acei furnizori din România care o folosesc ilegal?
În fine, deși proiectul vorbește chiar în primul articol de „promovarea și sprijinirea domeniului” , din text nu reiese nicicum acest aspect, pentru că vorbim doar de obligații și sancțiuni. Inclusiv partea de autoreglementare de fapt nu este așa ceva (pentru că spune doar că termenii și condițiile vor fi aplicabile și apoi se impun iar obligații).
Realist vorbind, niciuna dintre aceste platforme care deja există nu au în România cine știe ce piață importantă, deci reacția instinctivă ar fi probabil să plece sau să refuze să accepte furnizori din România. În unele cazuri, cum ar fi Freelancer.com, probabil că ar duce la limitarea a mii de mici profesioniști să își găsească clienți. Sau să învețe să folosească un VPN. Sau să plece din țară.
Ceea ce poate nu ne dăm seama acum este că o astfel de lege închide ușa în nas oricărui viitor serviciu care ar putea fi făcut de vreun inovator român. Sau îi zicem să plece în Marea Britanie sau în SUA, pentru că aici e riscant.
Și atunci revenim la întrebarea inițială din titlu: Servicii online de tipul Uber și AirBnB: vrem reglementare, autoreglementare sau doar să plece?
Deocamdată, prin acest proiect de lege, se pare că vrem să plece toți și să creăm bariere pentru alții ca ei în viitor.
Poate o soluție mai bună ar fi să identificăm întâi problemele și apoi să discutăm aspectele de mai sus. Și dacă încercăm o autoreglementare sau co-reglementare, ar trebui să le expunem problemele celor din industrie și să înțelegem cum le văd ei rezolvate. Asta dacă dorim să rezolvăm problemele de fond.
Articol publicat si pe blogul Trusted.ro.
Textele proiectului actual:
Expunerea de motive a legii em894.pdf
Textul adoptat de Senat em894.pdf
Ministerul Comunicațiilor și Societății informaționale pune pe pagina de proiecte de acte normative un nou proiect de lege (datat 6 septembrie 2016) care propune, pentru a cincea oară, ca toți cetățenii români care cumpără cartele pre-pay să își dea datele de identificare. Proiectul de lege, ca și expunerea de motive dar și modul ascuns în care l-au publicat (informația nu apare pe prima pagina la zona de Ultima Oră, ca de obicei) nu fac decât să dovedească că de fapt nu contează argumentele și decizia este luață.
Să fim clari: știam din diverse surse că se pregătește un nou proiect de lege pe acest subiect. Știam de cel puțin un an jumătate ca există "un grup de lucru de experți" care lucrează pe acest proiect. Știam că SRI-ul, care a susținut public și proiectele trecute, deși fuseseră depuse de niște parlamentari sau MCSI, insistă pe acest subiect. Ba chiar îin urma unei scrisori deschise am fost invitați la guvern șă discutăm pe aceaste teme. Deci îl așteptam.
Dar textul propus și mai ales expunerea de motive este un model cronic de lipsă de respect pentru instituții și drepturi fundamentale - Curtea Constituțională sau Curtea Europeană de Justiție. Să vă explicăm:
Mai există și posibilitatea sabotajului din interior - cine a scris proiectul a vrut să-l facă astfel încât să fie sigur că nu o să treacă niciodată testul de neconstituționalitate. În acest caz, a reușît deplin!
PS: N-am mai scris pe blogul asta, pentru ca e mai mult o chestiune de implementare a legii, dar daca n-ati auzit faimosul proiect SII Analytics, e bine sa cititi despre cel mai mare proiect de supraveghere generalizata din Romania. Asa, macar sa stiti ca exista…
Astăzi, 1 iulie 2016 intră în vigoare Regulamentul UE 910/2014 (numit și EIDAS) care practic stabilește noile reguli unitare la nivel european cu privire la semnătura electronică și alte servicii adiacente (Secțiunea 4 și următoarele). Regulamentul este un instrument juridic al Uniunii Europene de directă aplicare, astfel incât legile naționale care contravin acestuia sunt de facto abrogate.
Astfel, eu zic că sunt 5 mari chestiuni pe care le stabilește Regulamentul EIDAS (și multe mai micuțe sau de nișă) și care au importanță pentru Românnia:
Pentru alte detalii va recomand să lecturați textul integral al Regulamentului EIDAS, inclusiv partea de considerente introductive care explică mai clar anumite aspecte.
Update 24.05.2016 - ANSDPCP anunta ca au amendat ANAF cu 16 000 de RON, dar nu dispun stergerea datelor publicate ilegal. Deci problema ramane. Cel putin dpdv al raspunderii civile delictuale, fapta ilicita este dovedita.
ANAF a publicat zilele trecute pe Internet o bază de date cu aproape 200.000 de cetățeni români care ar avea datorii de peste 1500 de RON către fisc. Chiar dacă este o măsură care deocamdată a făcut deliciul presei pentru numele de personalități care au datoriii la fisc, problema este de o gravitate imensă, în opinia mea, încălcând în mod flagrant principiile prelucrării datelor personale.
Sunt 2 categorii majora de probleme:
A. Probleme juridice
Faptul că ANAF nu înțelege ce înseamnă publicarea într-un spațiu deschis la Internetul rezultă și din răspunsul dat către colegii de la AvocatNet pe un articol similar. Pe scurt, ANAF consideră că este o incalcare a vietii private, dar este minoră. Ca singur argument este o decizie a Comisiei pentru Drepturile Omului din 1985 cititi textul integral nu doar rezumatul de pe prima pagina!) care, evident că nu vorbește despre publicarea pe Internet (care în 1985 era încă în scutece, iar www nici nu exista), ci despre conflictul între publicarea informației cu privire la o datorie către fisc într-un Registrul public vs. legea accesului la informații publice. Ori echivalentul acelui mecanism în 2016 nu este publicarea pe Internet, ci a acorda acele date persoanale dacă cineva îți face o cerere pe Legea accesului la informațiile publice 544/2001.. Ori de fapt acest aspect a fost clarificat deja de decizia ICCJ 37/2015, care explică ca numele și prenumele trebuie anonimizate pe accesul la informații publice.
2. Argumente de bun simț:
În concluzie nu pot decât să sper că in ceasul al 15-lea autoritatea pentru protecția datelor va interveni în această problemă. Daca ar fi în vigoare noul Regulement pentru protecția datelor, aș cere public și o amenda de 20 de milioane de euro. Dar pe care să o plătească șefii ANAF.
Până atunci îi impulsionez pe cei care apar pe acea listă să își apere drepturile – fie pe legea 677/2001, fie pe codul civil. Avantajul unei acțiuni pe codul civil este că puteți cere și despăgubiri – lucru absolut logic, mai ales dacă ați contestat sumele în instanță sau ați apărut eronat în listă. Dacă acționați pe dreptul de opoziție (vezi aici formular ajutător), nu uitați să cereți cf art 15 (4) și lista terților cărora le-au fost dezvăluite datele dvs. personale, răspunsul promițând să fie unul delicios.
Cea mai gravă problemă este însă cea de imagine – faptul că una din cele mai mari colecționare de date persoanale ale cetățenilor României își permite nu doar să facă o asemene acțiune fără o reacție promptă din partea autorităților competente duce în derizoriu orice discuție cu privire la protecția datelor personale în România.
PS: Recunosc în schimb că anumite informații de acolo pot fi considerate de interes public, dacă vorbim de accesul la informație – dar aceasta nu justifică în niciun mod publicarea întregii liste, cu atât mai mult într-un format reutilizabil și indexabilă de motoarele de căutare.
Am fost astazi la dezbaterea “Garantii legale pentru respectarea drepturilor omului în cadrul metodelor speciale de supraveghere”.
Două chestiuni:
1. Prezentarea făcută la eveniment referitoare la garanții - în principal m-am referit la cele de transparență și tehnice - legate de activitatea de interceptări (mai multe detalii despre eveniment vezi aici). E doar o încercare rapidă, pentru că nu am avut prea mult timp pt cercetarea în detaliu a subiectului, dar sper să fie mai degrabă un input bun de discuție (evident, dacă se vrea…):
2. Am aflat la dezbatere de două cazuri șocante povestite de judecători legate de interceptări:
Nu stiu cum sunt altii, dar cand aud povestile astea, ma gandesc ca niste oameni ar fi trebuit sa-si dea demisia. Cel putin.
Iar prezentarea mea e un SF din alta lumea fata de realitate…
Am rezistat aprope o saptamina sa comentez toate urgentele legate de a cincea tentativa anuntata pentru înregistrarea cartelelor pre-pay, profitata a fi impinsa pe agenda politică de atentatele de la Bruxelles.
Am profitat de mesajul de ieri al premierului Ciolos pentru (inca) o invitatie la argumente, studii si analize. Si nu doar ne trebuie x sau y, pentru ca asa vrea A sau B. Scrisoarea deschisă completă mai jos. Astept cu interes și răspunsul!
Domnule Prim Ministru Dacian Cioloș,
Ați zis ieri o vorbă mare: “Cred că e important să ne învățăm în societatea românească să discutăm așezat și să luăm decizii în cunoștință de cauză.”
Și noi credem la fel. Și noi așteptăm cu interes vremea când o să discutăm așezat. Cu argumente și fapte. Cu analize de impact serioase, bazate pe cifre. Cu atenție la impactul asupra drepturilor fundamentale pentru proiectele de lege care au fost deja declarate cel puțin o dată neconstituționale.
Dar, din păcate, ce am văzut în ultimele 2 luni este departe de declarația dvs.
Vă reamintim:
Domnule Prim-Ministru, dorim să fim profesioniști și să facem ca la Bruxelles – nu cu informații prin presă că există un grup de lucru interministerial care lucrează, ci cu documente și argumente concrete despre proiectele de lege care pot afecta drepturile fundamentale ale cetățenilor. Dorim să discutăm cu documentele pe masă despre:
După cum spuneam, așteptăm dezbaterea reală cu argumente pentru toate proiectele de mai sus. Pentru primul pas, așteptăm calendarul discuțiilor așezate.
Cu respect,
Bogdan Manolea, Asociația pentru Tehnologie și Internet (ApTI)
Ioana Avădani, Centrul pentru Jurnalism Independent
Mircea Toma, ActiveWatch
Georgiana Iorgulescu, Centrul de Resurse Juridice – CRJ
Mihail Bumbeș, Miliția Spirituală
Maria-Nicoleta Andreescu, APADOR-CH
Ovidiu Voicu, Centrul pentru Inovare Publică
Elena Calistru, (Asociația) Funky Citizens
Cătălin Hegheș, Asociatia pentru Minți Pertinente – AMPER
Ca un follow-up la insemnarea anterioare se pare ca am avut dreptate in cinismul meu si a fost mai important să avem un OUG rapid si nu o discutie asezata.
Ca OUG-ul adoptat peste noapte are probleme majore, nu este nicio surpriza - sunt mai multe articole care deja abordează problema pe toate fatetele importante:
Eu continui să cred că dacă vrem ca Decizia CCR sa aibă și un rezultat corect, iar pe de alta parte MJ-ul să își mai spele din rușine, atunci soluția ar fi să avem o discuție așezată (și complexă in același timp) despre garanții tehnice și juridice a unui sistem functional pe termen lung.
Altfel, probabil o sa avem fie o respingere a OUG de către Parlament sau, și mai rău, o viitoare actiune in fata CCR, care are toate sansele să aibă succes. Oricare dintre acestea pot să creeze probleme cu mult mai mari decât cea actuală.
E adevărat, putem sa ignoram toate problemele inca o data si sa speram ca nu se va intampla nimic.