Pericolele implementarii cartilor electronice de identitate in Romania (partea I)

Noile acte de identitate electronice sunt in proiect a fi introduse incepand cu jumatatea anului 2011.

Acestea vor contine, pe langa suportul fizic clasic (card-ul propriu-zis), si un cip electronic pe care vor fi stocate, printre altele, si o parte din amprentele digitale ale posesorului.

Aici incepe problema noastra.

Pe langa procedeul amprentarii in sine, procedeu care este de regula asociat si aplicat numai infractorilor, premiza colectarii, la nivel national a unui numar atat de mare de amprente in format electronic ridica o serie intreaga de probleme tehnice, juridice si etice asupra carora ne vom apleca in acest articol si in partile ce-i vor urma.

Din punctul nostru de vedere, prima si poate cea mai grava dintre aceste probleme este reprezentata de procedura in sine. Cu alte cuvinte, CINE ne va colecta amprentele, CINE le va procesa, CINE le va stoca si CINE le va gestiona ulterior procedurii de stocare pe cip-ul cartii electronice de identitate ?

Raspunsul este unul singur: institutiile statului, abilitate in acest sense si imputernicite de lege.

Trecem, momentam, peste motivatia oficiala a colectarii acestor date. Presupunem ca exista o necesitate justificata in acest sens: actele de identitate vor deveni astfel mai sigure, vom fi mai protejati impotriva falsurilor, a criminalilor, a teroristilor si a incapacitatii statului de a securiza mai eficient, si ne-electronic, vechile carti de identitate.

In cele de mai jos vom arata modul in care s-au descurcat instutiile statului cu gestionarea si punerea la punct a unui sistem similar, cel al colectarii datelor biometrice pentru pasapoartele electronice.

Asadar, din luna ianuarie 2009, la Serviciu Pasapoarte ce tine de judetul Ilfov au inceput sa fie emise noile tipuri de pasapoarte electronice, pasapoarte ce contin, similar cu ceea ce vom gasi in noile carti de identitate, datele biometrice ale posesorului (imagine faciala, amprente digitale) stocate in interiorul unui cip electronic.

La trei luni de la debutul acestui proiect pilot, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) a efectuat un control tehnic si juridic la Serviciul Pasapoarte mai sus mentionat, control ce a avut ca si rezultat raportul NR. 6233/14.04.2009, raport adresat in mod direct Presedintelui Senatului Romaniei.

Vom cita mai jos, intre ghilimele, o parte din concluziile cele mai grave si remarcabile ale acestui raport, impreuna cu explicatiile si punctele noastre de vedere, prezentate distinct:

1) „Procedura preluarii imaginii faciale si a impresiunilor digitale cat si procedura depunerii si solutionarii cererilor pentru eliberarea documentelor de calatorie in strainatate, actele care trebuie prezentate de solicitanti la depunerea cererilor […] se stabilesc prin normele metodologice de aplicare a legii. Pana la data de 10 aprilie 2009 nu a fost emis un act normativ care sa reglementeze aceste proceduri, in cazul documentelor electronice. Normele metodologice existente, privind regimul liberei circulatii a cetatenilor romani in strainatate, nu contin prevederi referitoare la procedura preluarii imaginii faciale si a impresiunilor digitale. Prin Hotarare de Guvern, s-a prevazut ca punerea in circulatie a pasapoartelor electronice se face incepand cu data de 31 decembrie 2008.”

Nota noastra:

Cu alte cuvinte, Guvernul Romaniei a dispus punerea in circulatie a pasapoartelor electronice, la vremea respectiva, fara a exista normele de aplicare a legii. La Serviciul pasapoarte Ilfov, in particular, „prelucrarea datelor prin preluarea imaginii faciale si a impresiunilor digitale a inceput la 5.01.2009 fara a fi fost adoptate in prealabil normele metodologice de aplicarea a legii”, dupa cum se arata in raport.

2) „In acelasi timp, consimtamantul persoanelor vizate nu poate fi considerat expres si neechivoc, solicitantii fiind obligati ca, o data cu completarea concomitenta a cererilor pentru eliberarea pasaportului electronic si a celui temporar sa se supuna colectarii obligatorii a datelor biometrice. Imaginea faciala si impresiunile digitale intra in categoria datelor cu caracter special avand o functie de identificare de aplicabilitate generala, protejate conform art. 8 din Legea nr. 677/2001. In acest sens, colectarea datelor biometrice pentru solicitantii de pasapoarte temporare, in vederea includerii in pasaportul electronic, reprezinta o incalcarea a prevederilor art. 8, avand in vedere ca nu exista o dispozitie legala expresa care sa impuna colectarea datelor biometrice o data cu depunerea cererii pentru eliberarea pasaportului temporar sau o autorizatie emisa de ANSPDCP”.

Nota noastra:

Amendamentele Patriarhiei Romane la proiectul de lege au prevazut insistent, la vremea respectiva, posibilitatea cetatenilor de a refuza pasaportul electronic din motive religioase, urmand a li se putea oferi alternativa unui pasaport temporar. Iata ca autoritatile au colectat date biometrice SI DE LA PERSOANELE CARE AU DORIT NUMAI UN PASAPORT TEMPORAR, lucru care este nu numai ilegal, ci si imoral in raport cu refuzul persoanei respective de a avea un pasaport electronic tocmai pentru a nu se supune acestei colectari !

3) „Reprezentantii entitatilor controlate nu au putut dovedi daca sunt stocate in baza de date in mod corect numai doua amprente digitale […] iar nu zece amprente care sunt in prezent preluate de la solicitanti, la nivelul SCPEEPS Ilfov. De asemenea, reprezentantii entitatilor controlate nu au putut indica si dovedi care sunt cele doua amprente stocate pe mediul de stocare electronic, cu specificarea in formatul de stocare a degetului respectiv.”

Nota noastra:

In mod normal, dupa cum prevad normele UE, trebuiesc colectate, ca si date biometrice, numai imaginea faciala si impresiunea digitala a doua degete. Autoritatile romane au colectat, la Serviciul Pasapoarte Ilfov,  impresiunile digitale a ZECE degete, nefiind nici macar in stare sa sorteze ulterior cele doua impresiuni obligatorii pentru a face pasaportul valabil (aratatorul stang si aratatorul drept).

Deci, nu numai ca s-a facut un abuz prin colectarea si stocarea unui numar mai mare de date biometrice decat prevad normele legale europene, ci mai mult, din acest motiv pasaportul risca sa fie lovit de nulitate si neacceptat ca fiind valid pe aeroporturile internationale.

4) „Formularele pentru eliberarea pasapoartelor electronice, elaborate de DGP si utilizate momentan numai de SPCEEPS Ilfov nu contin acordul expres pentru prelucarea datelor biometrice, informatii privind colectarea si prelucarea acestor categorii de date, destinatarii datelor, fapt care contravine art. 8 si 12 din Legea 677/2001.”

Nota noastra:

Viitorul posesor de pasaport electronic (si de orice act electronic sau ne-electronic, in general) are dreptul legal sa stie ce institutii vor prelucra sau vor avea acces la datele lui biometrice. In acest caz, acest drept a fost incalcat cu buna stiinta de autoritati.

5) „DGP nu a adoptat suficiente masuri de asigurare a securitatii datelor personale, nefiind stabilita obligatia de a se utiliza de fiecare utilizator al aplicatiei dedicate user name, parola si cardul de acces si nu sunt implementate log-urile de acces, potrivit Ordinului nr. 52/2002 privind aprobarea cerintelor minime de securitate a prelucrarii de date cu caracter personal.”

Nota noastra:

Iata una dintre cele mai grave si halucinante probleme semnalata de acest raport ! Nu stim cine si de ce a stocat aceste date. In mod normal, si legal, ele ar fi trebuit sa fie scrise exclusiv pe cip-ul pasapoartului, in niciun caz stocate pe un sistem informatic local.

Evident este ca ele au fost stocate si, mai mult decat atat, au fost stocate intr-o aplicatie care nici macar nu prevede folosirea de credentiale de acces. Mai mult, eventualele incercari de fraudare a sistemului NU AU FOST INREGISTRATE NICAIERI, neexistand log-uri de acces.

Iata deci, pe scurt, o parte din problemele care au fost semnalate la nivel oficial in cazul colecatrii de date biometrice destinate pasapoartelor electronice. Nu ne impiedica nimic sa credem ca nereguli la un nivel cel putin similar cu cele de mai sus se vor petrece si in cazul unei viitoare campanii de colectare a datelor biometrice destinate cartilor de identitate electronice.

Institutiile sunt aceleasi si tin tot de statul roman. Personalul, ca si nivel de pregatire, este acelasi. Nivelul de incompetenta si coruptie este acelasi.

Salariile, ce-i drept, sunt altele, cu 25% mai mici, ceea ce se va traduce si in motivatie si atentie in campul muncii cu 25% mai redusa.

Avem, asadar, motive reale de ingrijorare. Institutiile statului nu ne protejeaza. Cu toate ca, in cazul Seriviciului Pasapoarte Ilfov, a existat totusi un control, acesta a avut loc la un interval de TREI LUNI dupa data de punere in functiune a sistemului.

Iar asta in contextul in care aveam de-a face cu O SINGURA institutie care elibera exclusiv pasapoarte electronice la nivel national ! (evident, nu vom avea aceeasi situatie si in cazul cartilor de identitate electronice)

Pai in trei luni … sa fim noi sanatosi cate date personale se pot fura dintr-un sistem informatic de stocare nesecurizat !

Dar ce se poate face cu aceste date biometrice odata ajunse pe mana unor retele de crima organizata ? La ce pot fi ele folosite, practic, pentru a ne face rau si pentru a ne pune pe noi si familiile noastre in fata unor amenintari dintre cele mai grave ?

Va urma …

de Lucian Cornianu, Presedinte  ACESDS