Înregistrarea cartelelor pre-pay în scopurile 112. Merge?
Un nou proiect de OUG aduce în discuție publică obligativitatea înregistrării cartelelor pre-pay pentru îmbunătățirea serviciului 112, care ridică - în mod inevitabil - probleme legate de date personale și viață privată. Scopurile propuse legate de 112 merită o analiză separată, în contextul GDPR și al datelor personale colectate, care este obiectivul principal al acestui articol. Nu e scurt, că nu are cum.
O ciorbă reîncălzită
Deci avem un nou proiect de legiferare a obligativității înregistrării cartelelor pre-pay. Al șaselea. De data asta, nu mai vorbim despre folosirea acestor date în scopul “combaterii terorismului” sau “depistarea infractorilor”, ci pentru a fi transmise către serviciul 112 (SNUAU nu îmi place cum sună.)
Și de data asta vorbim de o propunere făcută pe genunchi. Pe lângă faptul că un asemenea proiect nu poate fi adoptat prin OUG conform Constituției (motiv pentru care ne-am plâns la Avocatul Poporului), să spui că proiectul nu are niciun impact asupra drepturilor omului (când știi foarte bine că există o decizie a CCR din 2014 pe acest subiect) sau că nu are niciun impact asupra mediului de afaceri (de parcă înregistrarea în 6 luni a datelor personale pentru 9,9 milioane de cartele active e un mizilic) denotă un amatorism greu de înțeles la un grup de lucru făcut exact sub egida primului ministru.
O decizie clară
N-aș dori să intru din nou în detalii pe fondul problemelor ridicate de o asemenea măsură. Cert este că și Curtea Constituțională, în decizia din 2014, a subliniat foarte clar că:
“reținerea și păstrarea datelor constituie în mod evident o limitare a dreptului la protecția datelor cu caracter personal, respectiv a drepturilor fundamentale protejate constituțional referitoare la viață intimă, familială și privată, la secretul corespondenței, precum și libertatea de exprimare”
Nu e vorba de o limitare absolută - evident! - deci trebuie studiat fiecare propunere în parte. Pentru cei interesați de argumentația juridică pe larg, fac referire la amicus curiae făcut de ApTI în 2014 și care intră în detalii.
O bucată GDPR
Totuși, există ceva major care s-a schimbat din 2014 încoace, și anume a intrat în vigoare Regulamentul GDPR privind protecția datelor personale. Aceasta ar însemna că Guvernul României, care face o astfel de propunere legislativă, care are de-a face cu datele personale ale celor 10 milioane de posesori de cartele telefonice pre-pay (cf. datelor ANCOM, 2018 - pag 33) să înțeleagă că nu este un detaliu. Ar fi trebuit să avem o evaluare a unui impact asupra datelor personale (a.k.a DPIA art 35, GDPR), care să atingă aspectele esențiale (respectarea principiilor, scop, date prelucrate, durată, măsuri de securitate, destinatari etc.), nu să avem două precizări generice în nota de fundamentare și un termen de păstrare de 10 ani, care este mai degrabă o aplicare a principiului data maximisation.
Două scopuri
Și totuși, scopul fiind (măcar parțial) diferit față de propunerile trecute, acestea merită o analiză separată. Analiza o facem de la datele publice (raportul 112 și cele două documente legate de OUG - nota de fundamentare și propunerea), pornind tocmai de la GDPR și dreptul la viață privată.
Din câte deduc din textul propunerii și al notei de fundamentare, de fapt sunt două scopuri total distincte pentru a cere înregistrarea datelor utilizatorilor pre-pay:
- Scopul de a da amendă celor care sună în mod abuziv.
Cred că pot să am un sentiment de empatie pentru cei care lucrează în sistem și vor acest lucru. Când activitatea ta, care este esențială pentru salvarea vieților omenești, este redusă la 50% pentru că unii abuzează de un sistem gratuit, este evident că trebuie să faci ceva.
Dar, înainte să ajungem la soluție, ar trebui să vedem problemele. Din raportul de la 112, cam 25% din apelurile la 112 din ultimele 6 luni sunt considerate abuzive (și se face distincția între non-urgente și abuzive). Sper ca abuziv să fie efectiv exemplul unor idioți care sună aiurea-n tramvai să vorbească cu cineva sau a unora care nu zic nimic, și nu doar un copil sau o persoană în vârstă, care sună din greșeală.
Ei bine, dintre apelurile abuzive, vreo 80% vin de pe cartele pre-pay, iar 20% de pe abonamente mobile. Deci, am avut 272 540 de apeluri la 112 considerate abuzive, în cazuri în care știi cine a sunat.
Atunci, dacă soluția este să dai amendă, în primul rând ar trebui să vedem dacă este eficientă soluția! Au fost date 272 540 de amenzi în 2019? Sau măcar 100.000? Sau 50.000? Sau 10.000? Atunci de ce vrei să afli încă 1 milion de date personale, dacă tu la 200.000 nu faci față?
Și problema merge și mai departe: din cei care primesc amendă, câți au înțeles problema și nu au mai sunat abuziv, dar au sunat când a fost cazul? Sau a scăzut numărul de apeluri de la telefoane cu abonament cu 50%, după ce s-au dat 100 de amenzi?
Și o întrebare complicată și poate chiar ofensatoare: oare procentajul celor care sună abuziv la 112 de pe pre-pay nu e legat de faptul că este un serviciu de telecomunicații folosit cu precădere de o populație mai puțin educată sau de copii sau persoane cu venituri reduse? Și atunci nu bănuiți că o amendă sau perspectiva unei amende este ineficientă?
Ceea ce vreau să subliniez aici este că soluția la orice problemă nu este o lege sau o amendă, ci uneori educația sau morala dau rezultate mai bune (apud Lessig, Code is Law).
Cert este că nu avem aceste informații și facem multe supoziții. Și la fel va face și CCR.
Iar când CCR a declarat neconstituțională o lege la fel de lacunară pentru sancționarea de infractiuni, este extrem de improbabil ca o va considera constitutituțională pentru sancționarea unor contravenții.
- Scopul de a te putea ajuta serviciul 112 când suni la ei.
Ei, aici începe să aibă sens! Cum să nu vrei să știe serviciul 112 că este “Ion Popescu” cel care sună și nu mai poate vorbi, pentru că are un atac de cord? Și este Ion Popescu care stă pe Strada Speranței, parter, deci știe exact unde să ajungă serviciul de ambulanță… Acesta este argumentul celor de la 112 pentru strânge datele tuturor celor 10 milioane de cartele de pe piață.
Dintre toate motivele pentru s-au folosit pentru a se justifica înregistrarea cartelei de-a lungul anilor, ăsta este primul care are într-adevăr substanță. Și chiar nu sunt ironic.
Problema este modul cum este propus și nivelul de obligativitate.
În primul rând, dacă vreau ca serviciul 112 să știe unde mă găsește, nu știu dacă datele din buletin au un sens atât de important pentru salvarea mea. Mai important e sa știe că sunt Ion Popescu, nu că în buletin mă cheamă Rică Venturiano. Nici că adresa din bolentin este Strada Speranței, parter, dar de fapt eu stau la Strada Cimitirului, parter. Poate mai important este să știe că am diabet sau crize de epilepsie.
De aceea, eu văd datele astea importante de transmis la 112, dar atunci când utilizatorul vrea (deci consimțământ, și nu printr-o obligație legală). Deci n-aș vedea nicio problemă în faptul să existe o campanie de informare, prin care oamenii să fie încurajați să dea datele acestea către 112, când își cumpără o cartelă. De orice fel. Sau prin aplicația 112. Și atunci rezolvi orice problemă de datele personale.
Doar că atunci ar fi logic ca datele respective să nu fie folosite la altceva - nici la Fisc, nici la Poliție, nici la amendarea mea și nici măcar la operatorul de telefonie - ci doar către 112 care să le folosească doar atunci când suni și doar în scopul salvării tale.
Dar nu cu copie de buletin trimisă pe e-mail, că atunci nu facem decât să creăm posibilitatea unor baze de date personale cu 10 milioane de intrări! Care vor fi abuzate mai devreme sau mai târziu.
În acest context, nici nu mai are sens obligativitatea sistemului, poate cu excepția celor care cred că statul are un rol patern, în care trebuie să te ajute să treci strada chiar și când tu nu vrei asta.
Pentru că scopul serviciului 112 nu trebuie să fie să știe cine sună să anunțe urgența, ci unde este urgența!
Pe de o parte, dacă vrem să salvăm cât mai mulți oameni, de ce nu se poate suna la 112 fără cartelă in România? Din punct de vedere tehnic, telefoanele pot suna la 112 fără cartellă și echipamentele din rețelele operatorilor pot fi configurate să preia apelurile de la telefoane fără cartelă, că doar vorbim de un serviciu gratuit și obligatoriu pentru toți operatorii. Iar alte state permit asta.
Pe de altă parte, dacă nu le dam voie să sune celor fără nicio cartelă în telefon, atunci înseamnă că prioritatea 0 nu e salvarea de cât mai multe vieți. Dacă asta e situația, atunci care mai este scopul înregistrării cartelelor?
Deci, dacă scopul este de a fi ajutat când am nevoie, atunci soluția este crearea metodelor și încurajarea persoanelor să-și dea datele voluntar către serviciul 112. Și nu a celor din buletin, ci a celor necesare scopului. Mai multe, dar OK conform cu GDPR (dacă se impun limitele și măsurile necesare, evident).
S-ar putea sa fie mai scump decât o bază de date făcută de operatori pe banii lor, dar cu siguranță este cu mult mai eficient!
Localizarea telefonului mobil pentru scopurile serviciului 112
Iarăși este un subiect ce atinge probleme de date personale și viață privată. Fiind vorba de o informație de geo-localizare, mă gândeam că măcar aici vom avea un DPIA.
Din păcate nu; există doar indicii în nota de fundamentare:
- se identifică temeiul legal (art. 6 alin. 1 lit. c-e din GDPR) și se propune introducerea acestuia în mod specific în actul normativ (?!?!?! - deci temeiul legal este legea care citează temeiul legal legea??), și
- se parașutează un termen de stocare a datelor de 10 ani (“calcul mediu al termenelor de prescripție ale infracțiunilor reglementate”), deși propria citare îi contrazice (“Conform EENA Public Safety Answering Points Global Edition-December 2018, marea majoritate a statelor au reglementată perioada minimă de stocare a datelor între 3 luni și 5 ani”).
Dincolo de perioada de stocare și modul în care se pune temeiul legal al colectării într-un act normativ (de parcă asta îl creează, nu analiza scopurilor), probabil că problemele nu sunt așa de complicate ca în cazul înregistrărilor de la 112, fiind vorba evident de un apel făcut de tine pentru protejarea intereselor vitale (art. 6 alin. 1 lit. c, GDPR), care este unul din temeiurile cele mai largi.
Concluzia
Cei care propun astfel de acte normative ar trebui să ia în calcul în mod serios aspectele legate de GDPR și date personale, pentru a nu ajunge să facă propuneri care nu se susțin. Din câte observ, propunerea legislativă pare a fi fost trimisă și către ANSPDCP, deci măcar un aviz din partea lor ar trebui să primească.
Dar, în final îmi permit o întrebare:
Știe cineva cine este Responsabilul cu privire la protecția datelor (DPO - obligatoriu cf. art. 37 par 1 lit. a), GDPR) sau datele de contact de la Guvernului României? Dar al MCSI? (la STS am găsit datele de contact aici).
Add new comment