Despre siguranța pașaportului biometric și a datelor din el

  • Posted on: 28 January 2013
  • By: Redacția ApTI

28 ianuarie este ziua protecției datelor cu caracter personal. În 2013, ApTI își propune să vă prezinte, în săptămâna ce începe cu această dată, cinci subiecte (câte unul în fiecare zi) de interes pentru protecția vieții private și a datelor personale în societatea informațională de astăzi. Începem cu un articol despre securitatea pașaportului electronic și a datelor pe care le cuprinde.

În cadrul ApTI am facut deseori comentarii critice (spre exemplu aici) la adresa documentelor  electronice cu sau fără identificatori biometrici pe care guvernul României a decis să le implementeze, deseori după un simulacru de dezbatere publică. Am atras atenția asupra faptului că, dacă tot se decide implementarea unor astfel de măsuri, sunt două condiții esențiale de a fi implementate pentru a asigura încrederea în folosirea acestor documente electronice:

  • realizarea unui audit anual de securitate, de către experți independenți, ale cărui concluzii să fie disponibile public;
  • realizarea unui audit anual de impact asupra vieții private (privacy impact assesment), care trebuie să fie disponibil public în mod integral.

Pentru că am fost ignorați în mod constant în aceste cereri, am rugat un expert independent în securitate IT să ne ajute în realizarea unei analize empirice a securității pașaportului electronic românesc. Ce a ieșit – vedeți mai jos:

Reţinerea datelor şi accesul la datele reţinute: propuneri de modificări legislative

  • Posted on: 17 January 2013
  • By: Redacția ApTI

Reţinerea datelor de trafic, de localizare şi de identificare, de către furnizorii de servicii şi reţele de comunicaţii electronice a generat nenumărate controverse încă de la apariţia Directivei europene nr. 2006/24/UE.În România, prima lege (Legea nr.298/2008) prin care s-a dorit transpunerea directivei a fost declarată neconstituţională, Curtea Constituţională bazându-şi argumentele în principal încalcarea dreptului la viaţă privată prin obligaţia general aplicabilă de a păstra date care sunt legate în mod direct de comunicaţiile private ale tuturor cetăţenilor.

În 2012, o nouă lege privind reținerea datelor (Legea nr.82/2012)a fost adoptată de către Parlamentul României. Înainte de adoptarea legii, ApTI arăta că aceasta nu doar că nu rezolvă problemele de neconstituţionalitate ale legii anterioare, ci este chiar mai periculoasă decât aceasta, întrucât conţine o procedură vagă şi neclară de acces la date.

Concret, noua lege prevede că furnizorii sunt obligaţi să transmită datele reţinute către anumite autorităţi şi instituţii ale statului („organelor de urmărire penală, a instanţelor de judecată şi a organelor de stat cu atribuţii în domeniul securităţii naţionale”), la solicitarea acestora. Nu sunt însă detaliate şi procedurile şi condiţiile prin şi în care se realizează aceste solicitări.

Cu două mici excepţii (sau, mai bine spus, încercări de clarificare): indicarea faptului că respectivele solicitări ar urma să fie făcute în „aplicarea dispoziţiilor Codului de Procedură Penală, precum şi a celor din legile speciale în materie”, precum şi precizarea că solicitările organelor de cercetare ale poliţiei pot fi făcute doar cu aprobarea procurorului şi a judecătorului.

Reținerea datelor în Austria: Curtea Constituțională se adresează Curții de Justiție a Uniunii Europene

  • Posted on: 17 January 2013
  • By: Redacția ApTI

Articol preluat din Newsletter-ul EDRi 11.1

Curtea Constituțională a Austriei are rezerve în ceea ce privește compatibilitatea Directivei europene privind reținerea datelor cu prevederile Cartei Europene a Drepturilor Fundamentale Din acest motiv, cei 14 judecători ai Curții au adresat Curții de Justiție a Uniunii Europene (CJUE) o serie de întrebări cu privire la interpretarea Cartei Drepturilor Fundamentale a UE.

Această solicitare către CJUE are la bază o serie de plângeri adresate Curții Constituționale austriece împotriva reținerii datelor. Până în momentul de față, guvernul provinciei Carinthia, un angajat al unei companii de telecomunicații și un număr de 11 000 de indivizi s-au adresat Curții Constituționale.

Obligația de reținere a datelor a intrat în vigoare în Austria la 1 aprilie 2012. La scurt timp după aceea, organizația Austrian AK Vorrat a inițiat o campanie menită să strângă semnături în vederea sesizării Curții Constituționale. În doar câteva săptămâni, 11 139 de austrieci și-au exprimat susținerea față de această acțiune și dorința de a se alătura sesizării.

La 18 decemrbie 2012, judecătorii Curții Constituționale au anunțat că împărtășesc rezervele exprimate de către cetățeni. „În majoritatea covârșitoare a cazurilor, reținerea datelor generează îngrijorări pentru persoanele care nu prezintă niciun motiv pentru ca datele lor să fie reținute. Autoritățile obțin datele acestor indivizi și se află, ulterior, în posesia unor informații referitoare la comportamentul privat al acestora. În plus, există un risc crescut de abuzuri”, explică Gerhart Holzinger, președintele Curții Constituționale austriece. Acesta continuă: “Curtea Constituțională are obligația de a se adresa CJUE dacă are dubii în ceea ce privește interpretarea legislației Uniunii. Noi avem dubii în ceea ce privește compatibilitatea Directivei UE privind reținerea datelor cu drepturile garantate prin Carta Drepturilor Fundamentale a Uniunii Europene.”

Întrebări referitoare la propunerea de Directivă privind Strategia de securitate cibernetică

  • Posted on: 17 January 2013
  • By: Redacția ApTI

Articol preluat din Newsletter-ul EDRi 11.1

Comisia Europeană a anunțat că va iniția o propunere de Directivă privind Strategia de securitate cibernetică; schița acestei propuneri, care circulă la Bruxelles în această perioadă, pare complet greșită.

Prin această directivă, Comisia întenționează să poziționeze ENISA în centrul unei rețele care să funcționeze ca sistem de alertă timpurie pentru lucrurile rele care se întâmplă pe Internet, ceea ce este un lucru bun. Partea rea constă în faptul că, în loc să acționeze ca și catalizator pentru organele polițienești, organismele CERT și furnziorii de servicii, ENISA încearcă că creeze o rețea clasificată de agenții militare și de informații.

Este adevărat că mulți cetățeni ai Uniunii Europene au suferit de pe urma fraudelor online și că posibilitatea de a obține despăgubiri în astfel de cazuri variază semnificativ la nivelul UE (chestiune abordată recent în lucrarea „The Costs of Cybercrime"). Însă politicile adecvate pentru abordarea acestor chestiuni sunt deja cunoscute și includ: armonizarea și îmbunătățirea protecției consumatorului, consolidarea cooperării polițienești, notificarea cazurilor de încălcare a securității și o politică prin care industria să furnizeze și să certifice echipamente conectabile la rețea care sunt sigure în mod implicit („by default”). Astfel de măsuri intră în mod clar în competența UE și unele dintre ele sunt deja implementate, cum ar fi prevederile referitoare la notificarea încălcării securității din propunerea de Regulament privind protecția datelor sau noul Centru European pentru Criminalitate Cibernetică. Aceste propuneri ar trebui urmărite și implementate cu rigurozitate.

Însă propunerea de directivă reprezintă o încercare de a militariza securitatea în spațiul cibernetic. Lucru care se întâmplă deja în câteva state membre; spre exemplu, Marea Britanie a alocat 640 milioane de lire (aproximativ 770 milioane de euro) pentru securitatea cibernetică, pentru perioada 2011-2015, însă GCHQ (agenția britanică de informații) a obținut 59% din această sumă. Poliția, care are, de fapt, responsabilitatea prinderii infractorilor, a primit suma aproape nesemnificativă de 5 milioane de lire (aproximativ 6 milioane de euro) pe an. Astfel, în loc să aloce poliției resursele de care are nevoie pentru a prinde și pedepsi infractorii din spațiul cibernetic, guvernul britanic a decis să direcționeze cea mai mare parte a banilor către spioni, astfel încât aceștia să poată comite și mai multe infracțiuni cibernetice (chiar dacă în alte țări).

Președinția irlandeză a Consiliului UE propune distrugerea dreptului la viață privată al cetățenilor

  • Posted on: 14 January 2013
  • By: Redacția ApTI

Articol preluat de pe site-ul edri.org

Președinția irlandeză a Consiliului Uniunii Europene a distribuit un „document de discuție” privind protecția datelor cu caracter personal ale cetățenilor, înainte de ședința Consiliului pentru Justiție și Afaceri Interne care va avea loc la Dublin săptămâna aceasta. Fiind prima țară care exercită președinția Consiliului în „Anul european al cetățeanului”, ne-am așteptat ca Irlanda să propună noi metode pentru protecția cetățenilor. Primele sugestii sunt, într-adevăr, noi, dar cu siguranță nu vizează protecția drepturilor fundamentale ale cetățenilor.

Spre exemplu, pornind de la situația actuală din Irlanda, companiile ar putea să facă orice vor cu datele cu caracter personal, fără să se teamă de eventuale sancțiuni. Sancțiunile, cum ar fi amenzile, „ar trebui să fie opționale sau cel puțin condiționate de existența unui avertisment prealabil sau a unei mustrări”. Cu alte cuvinte, faceți ce vreți, în cel mai rău caz veți primi un avertisment.

Desigur, propunerile de politici adesea sună mai rău în teorie decât sunt în realitate. Însă în acest caz trebuie doar să ne uităm la practicile actuale din Irlanda pentru a vedea cum arată o astfel de abordare. Controversele din jurul bazei de date PULSE a poliției irlandeze ne arată cum ar putea arăta lumea spre care pare că vrea să ne conducă Președinția irlandeză.

În 2007, Comisarul irlandez pentru protecția datelor și poliția irlandeză au căzut de acord în legătură cu crearea unei structuri de „autoreglementare”. În 2010, un judecător a identificat, într-un raport privind regimul irlandez de reținere a datelor, abuzuri grave care aveau loc în contextul acestui sistem de autoreglementare. Abuzurile au trecut neobservate de către autoritatea pentru protecția datelor, care aprobase crearea acestui regim și care a ales să nu ia nicio măsură imediată împotriva poliției.

Conferința Mondială privind Telecomunicațiile Internaționale: ce s-a întâmplat și ce înseamnă pentru Internet

  • Posted on: 20 December 2012
  • By: Redacția ApTI

Articol preluat din Newsletter-ul EDRi 10.24

După două săptămâni de negocieri intense, Conferința Mondială privind Telecomunicațiile Internaționale (WCIT) a adoptat o versiune revizuită a Regulamentelor privind Telecomunicațiile Internaționale (ITR), un tratat controversat care a fost văzut de mulți ca o încercare a Uniunii Internaționale a Telecomunicațiilor (UIT) și a statelor sale membre de a prelua controlul asupra Internetului.

Conferința a fost considerată drept un succes de către cele 89 de state membre ale UIT care au semnat tratatul revizuit. Între timp, alții au atras atenția asupra faptului că această conferință nu a reușit să genereze consensul statelor membre, astfel că 55 dintre acestea, inclusiv Canada, Statele Unite, Australia, Marea Britanie și alte câtva state europene, nu au semnat tratatul.

Ce s-a întâmplat, de fapt, în Dubai? În mod clar, punctul central al negocierilor l-a constituit întrebarea dacă Regulamentele ar urma să acopere și Internetul și chestiuni de politici publice referitoare la Internet. În pofida asigurărilor repetate ale Secretarului General al UIT, Dr Hamadoun Toure, referitoare la faptul că Regulamentele nu vizează Internetul sau guvernanța Internetului, a fost clar faptul că delegații s-au găndit la Internet în momentul în care au discutat despre Preambulul Regulamentelor și despre alte prevederi referitoare la spam și securitate.

După o săptămână de impas, lucrurile s-au oprit atunci când delegația Iranului a solicita un vot cu privire la includerea „dreptului statelor membre de a accesa servicii de telecomunicații internaționale” în Preambulul Regulamentelor. Propunerea a fost făcută în momentul în care delegațiile discutau despre includerea unui text referitor la drepturile omului în același Preambul. Amendamentul a fost adoptat cu 77 de voturi pentru, 33 împotrivă și 8 abțineri. Pentru multe state membre occidentale, acest moment a reprezentat punctul culminant, pe fondul îngrijorărilor referitoare la alte prevederi și la rezoluția controversată referitoarela Internet, inclusă într-un „pachet” propus de către Președintele WCIT, Mohamed Nasser Al Ghanim (Emiratele Arabe Unite).

Președintele a subliniat de mai multe ori faptul că respectivul „pachet” reprezenta un text de compromis, care avea scopul de a conduce la un „echilibru delicat” între diferitele interese. „Pachetul” introducea o referire la „obligațiile privind drepturile omului” în Preambului Regulamentelor, parțial cu scopul de a liniști îngrijorările referitoare la potențialele implicații negative pentru libertatea de exprimare și dreptul la viață privată care ar fi putut să apară ca rezultat al prevederilor privind securitatea și spamul. O altă clauză clarifica faptul că Regulamentele nu abordează chestiuni legate de conținut în ceea ce privește serviciile de telecomunicații internaționale.  

Alianța Globală împotriva Pornografiei Infantile – deconectată de la realitate?

  • Posted on: 20 December 2012
  • By: Redacția ApTI

Articol preluat din  Newsletter-ul EDRi 10.24

În urmă cu doi ani și jumătate, Comisarul European pentru Afaceri Interne, Cecilia Malmström propunea măsuri de blocare a accesului la Internet la nivel european, întrucât unele țări, în frunte cu Statele Unite ale Americii, nu au îndepărtat materialele online reprezentând abuzuri asupra copiilor. Săptămâna trecută, același comisar a lansat „Alianța Globală împotriva Pornografiei Infantile”, ca urmare a unei propuneri venite din partea SUA.

După propunerea inițială privind blocarea, au existat multe eșecuri referitoare la protecția copiilor în mediul online. Comisia Europeană a fost forțață în mod repetat să admită faptul că nu deține date statistice referitoare la situația existență la nivel european, deși a cheltuit milioane de euro ani de-a rândul pe proiecte de tipul „un Internet mai sigur”. Răspunzând la o întrebare parlamentară, Comisia a trebuit să recunoască faptul că (deși a finanțat linia pentru apeluri de urgență și sistemul „notificare și eliminare” – „notice and takedown”) nu deține date referitoare la „investigațiile și urmăririle penale efectuate în cazuri de publicare de materiale online cu abuzuri împotriva copiilor sau de accesare de astfel de materiale la nivelul Uniunii Europene” și nici date rezultate din activitățile liniilor de urgență pentru raportarea de abuzuri online împotriva copiilor, finanțate în cea mai mare parte a ultimei decade.

În același timp, Comisia Europeană a observat cum state vecine au dezvoltat strategii represive care utilizează „protecția copiilor” ca și justificare. Turcia a folosit „măsuri voluntare” pentru a evita obligațiile legale ale statului. Furnizorii sunt obligați să implementeze sisteme de blocare, în timp ce listele de blocare sunt alcătuite de către o comisie ne-independentă. Ne putem aștepta ca răspunsul Turciei față de decizia Curții Europene a Drepturilor Omului din 19 decembrie 2012 să aibă la bază stilul european de „măsuri voluntare”, și nu o încercare de a asigura conformitatea între practicile impuse și obligațiile legale. În mod similar, Rusia a introdus un sistem general de blocare și cenzură, prin a cărui implementare sunt blocate materiale perfect legale și sigure. Am văzut cum Interpolul, o organizație care se presupune că reprezintă aproape toate forțele polițienești din lume, alocă resurse pentru a menține o listă de blocare a „celor mai rele dintre cele mai rele” materiale online cu abuzuri asupra copiilor. În loc să folosească resursele de care dispune pentru a îndepărta și investiga cele mai rele dintre cele mai rele site-uri web cu abuzuri asupra copiilor, Interpol a ales să-și dedice timpul și banii pentru a susține o politică superficială și ale cărei potențiale beneficii nu au fost niciodată demonstrate.

Pages