Datele personale, tot mai la îndemâna infractorilor

Incidentele grave privind bazele de date au ajuns la o frecvenţă îngrijo­rătoare. Tot mai des apar ştiri de­spre greşeli şi omisiuni ale compa­niilor ori autorităţilor în protecţia da­telor personale, iar atacurile in­for­matice sunt la ordinea zilei. A­ces­te date devin o marfă căutată de infractori, având în vedere că din ce în ce mai multe operaţiuni financiare se realizează fără prezenţa efectivă a persoanei în cauză. Le­gis­laţia nu ne ajută decât parţial, întrucât o serie de date rămân ac­cesibile tot în virtutea legii.

Odată cu generalizarea In­ternetului, companiile au început să-şi cree­ze ba­ze de date ale clien­ţi­lor prin diferite mecanisme on­line. Dezvoltarea reţelelor soc­ia­le şi a afa­cerilor online au făcut ca informaţiile despre noi, sub cele mai di­fe­rite aspecte, să fie incluse în atât de multe baze de date, încât ne sca­pă de sub control. Practic, oferim informaţii personale la tot pasul, la o plată online sau la o simplă o lo­gare. Pe de altă parte, bazele de date circulă, se vând şi se cumpără precum orice altă marfă.

Unele baze de date sunt create de firme-fantomă (prin diferite ofer­te) special pentru a fi folosite în sco­puri frauduloase. Cu datele personale din cartea de identitate, res­pec­tiv nume, CNP, adresă, in­frac­torii pot provoca atât pagube materiale, cât şi de imagine. Fur­tul de identitate pentru deva­li­za­rea conturilor şi obţinerea diferi­te­lor servi­cii şi beneficii (abonamente de tele­fo­nie mobilă, deschi­de­rea unui card de credit etc.) au ajuns la ordi­nea zilei.

Accesările neautorizate se înmulţesc
Numărul incidentelor referitoare la datele personale s-a în­mul­ţit în ultima vreme, inclusiv la ba­zele de date aflate în posesia instituţiilor statului. Luna trecută a avut loc un scandal legat de Ghişeul.ro, unde accesul la aplicaţia pentru pla­ta taxelor şi a im­po­zitelor către stat se făcea pe ba­za codului nu­meric personal. Or, acesta poate fi aflat foarte uşor, printr-o simplă cău­tare pe net. Da­că persoana res­pectivă şi-a făcut o firmă, de exemplu, CNP-ul acesteia e disponibil în Monitorul Ofi­cial. Aşa că practic ori­cine putea ac­cesa informaţii de­spre debitele unei persoane vizate, defalcate pe ani, inclusiv natura a­cestora (taxe, impozite sau amenzi). Alt scandal recent se referă la Casa de Asigu­rări de Sănătate a jude­ţu­lui Bis­tri­ţa-Năsăud, care a publicat pe pagina sa de Internet o listă a persoa­ne­lor care au realizat venituri din activităţi independente, pentru care au fost emise decizii de impu­nere şi care conţinea datele per­so­nale a peste 300 de persoane fizice (nume, prenume, localitate, nu­­mă­rul şi data deciziei de impu­ne­re, suma datorată). Astfel de ne­glijenţe în protecţia bazelor de date s-au întâmplat şi la alte autorităţi publice din ţară. În urma sesiză­rilor primite, Autoritatea Naţio­na­lă de Supraveghere a Prelucrării Date­lor cu Caracter Personal a sanc­ţio­nat aceste instituţii, iar re­pre­zen­tanţii Autorităţii au decla­rat că îşi vor intensifica activită­ţi­le de control cu privire la legalita­tea prelucrării codului numeric personal în cadrul sistemelor electronice şi apli­caţiilor informatice, inclusiv cele de plată online.

Pe lângă aceste neglijenţe, au loc tot mai frecvent atacuri informatice. Luna trecută, baza de date a Western Union a fost spartă de cinci persoane care au făcut diver­se tranzacţii frauduloase. În martie, trei tineri au spart baza de da­te a unei clinici private şi au a­me­ninţat că publică datele pe In­ter­net dacă nu primesc 300.000 de euro. Şi exemplele pot continua.

Inclusiv scandalurile interna­ţio­­­nale pe această temă ne a­fec­tea­ză din cauza prezenţei pe Inter­net. Go­ogle, de exemplu, a colectat in­for­maţii personale din greşeală, in­clu­siv în România, prin serviciul Street View (nume şi adrese de e-mail sau alte informaţii). Un alt scan­dal in­ter­naţional a avut drept protagonis­tă compania Apple, ca­re a colectat da­te personale prin in­ter­mediul te­le­foanelor iPhone, exis­tente pe piaţă.
Luna trecută a avut loc un imens scandal internaţional cu PlayStation Network (cu 70 de mi­lioane de utilizatori la nivel mondial). În urma unui atac informa­tic au fost furate nume, adrese, da­ta naş­terii,  inclusiv informa­ţiile ban­care ale celor care au cum­părat jo­curi sau filme online de la această companie.  Iar la începu­tul acestui an s-a iscat un alt scandal, când Fa­cebook a vrut să facă pu­blice datele personale ale utili­za­torilor (adrese şi numere de te­le­fon) pentru dezvoltatorii de aplicaţii. La reacţia ex­perţilor în securitate, decizia a fost suspendată. Facebook e plin de a­pli­caţii false, astfel încât datele personale ale utilizatorilor pot ajunge pe mâna unor firme dubioase şi pot fi folosite pentru fraude online.

Legislaţia din Romånia
În România sunt două legi esen­ţiale care se referă la protecţia date­lor: Legea nr. 677/2001 pentru protecţia persoanelor cu privi­re la prelucrarea datelor cu caracter perso­nal şi libera circulaţie a a­cestor date şi Legea 506/2004 pri­vind prelucra­rea datelor cu caracter personal şi protecţia vieţii private în sectorul co­municaţiilor elec­tronice.

Acestea par să fi devenit însă in­suficiente, atât din cauza inventi­vităţii în domeniul fraudelor, cât şi a „concurenţei” altor legi, care per­mit răspândirea acestor date. De exemplu, obligaţiile referitoare la publicitatea în Monitorul Ofi­cial a unor activităţi comerciale sau chiar tranzacţii civile fac ca da­tele din bu­letin să fie accesibile oricui. Fiind publice, aceste date au început să fie preluate şi publicate pe diferite site-uri de informa­ţii comerciale sau de altă natură.

Drepturile persoanelor vizate
Legea 677/2001 spune că orice prelucrare de date cu caracter personal poate fi efectuată numai dacă persoana vizată şi-a dat consimţă­mântul în mod expres şi neechivoc. Datele cu caracter personal destina­te a face obiectul prelucrării trebuie să fie colectate în scopuri de­ter­minate, explicite şi legitime. A­cestea trebuie stocate într-o formă care să permită identificarea per­soa­nelor vizate strict pe durata ne­cesară realizării scopurilor în care datele sunt colectate şi în care vor fi ulterior prelucrate. Deci datele personale furnizate pentru o tranzac­ţie online, de exemplu, trebuie eli­mi­nate din sistem imediat după în­cheierea tranzacţiei respective şi nu pot fi folosite pentru oferte ulterioare sau alte scopuri decât cu consimţământul expres al persoanei în cauză. Oricine are dreptul de a cere în orice moment şi fără nicio justificare ştergerea informa­ţii­lor personale dintr-o bază de date destina­te prelucrării în scop de mar­ke­ting direct sau destinate să fie dez­vă­lui­te unor terţi într-un ase­menea scop.

Chiar şi când datele se află în po­sesia autorităţilor publice per­soa­­­na vizată are dreptul de a se o­pune în orice moment, din moti­ve întemeiate şi legitime legate de si­tuaţia sa particulară, ca date ca­re o vizează să facă obiectul unei prelucrări, cu excepţia cazurilor în care există dispoziţii legale contrare. În caz de opoziţie justificată prelucra­rea nu mai poate viza datele în cauză.

Persoanele vizate se pot adresa cu plângere autorităţii pentru pr­o­t­ec­­ţia datelor sau direct justiţiei. Ori­ce persoană care a suferit un pre­­judiciu în urma unei prelu­crări de date cu caracter personal, efectuată ilegal, se poate adresa ins­tanţei competente pentru repa­ra­rea acestuia.

Instanţa competentă este cea în a cărei rază teritorială domici­lia­ză reclamantul. Cererea de che­ma­re în judecată este scutită de taxă de timbru.

Răspunderea deţinătorilor de baze de date pentru protecţia acestora
Odată cu dezvoltarea operaţiunilor comerciale online, majoritatea firmelor colectează datele personale ale clienţilor. Deţinătorii bazelor de date trebuie să ştie că poartă răspunderea pentru protecţia acestora, indiferent dacă s-au produs încălcări ale drepturilor din motive de neglijenţă sau din cauza unor atacuri informatice.
Cosmina Simion, coordonatorul departamentului de proprietate intelectuală, media şi tehnologie DLA Piper, a explicat cui îi revine şi în ce constă răspunderea dacă o bază de date e supusă unui atac informatic şi sunt furate datele, precum şi ce e de făcut dacă pur şi simplu au fost erori în sistem şi alţii au putut accesa baza de date.

„În situaţia operatorilor de date cu caracter personal, precum şi a ori­căror persoane împuternicite de acestea să le opereze bazele de date cu ca­racter personal trebuie avute în vede­re rigorile impuse de Legea 677/2001. Mai exact, ei sunt obligaţi să aplice mă­surile tehnice şi organizatorice pentru protejarea acestor date împotriva distrugerii accidentale sau ilegale, pier­derii, modificării, dezvăluirii sau accesului neautorizat. Aceste măsuri au fost detaliate de către Avocatul Poporului (precursorul Auto­ri­tăţii Naţionale de Supraveghere a Pre­lu­crării Datelor cu Caracter Personal) prin Ordinul nr. 52/2002 privind aprobarea Cerinţelor minime de securitate a prelucrărilor de date cu caracter personal şi se referă în principal la autorizarea utilizatori­lor, parolarea computerelor, execuţia co­piilor de siguranţă, instruirea perso­nalului care are acces la datele cu caracter personal, etc. Operatorii ar trebui să ştie că nerespectarea obligaţiilor pri­vind securitatea datelor constituie contravenţie, dacă nu este săvârşită în astfel de condiţii încât să constituie in­frac­ţiune. Ei sunt pasibili de a fi supuşi u­nui control din partea Autori­tăţii Na­ţionale pentru Protecţia Datelor cu Ca­racter Pe­r­so­nal, a Autorităţii Naţionale pentru Pro­tecţia Consumatorului, precum şi a altor autorităţi pe care persoa­nele afectate le pot sesiza cu privire la si­tuaţia ce a generat divulgarea neautorizată a acestor date.

Şi prevederile Legii nr. 506/2004 cu privire la prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice con­ţin prevederi similare în privinţa mă­surilor de securitate pe care furni­zo­rul de servicii trebuie să le adopte.  În plus, se prevede obligaţia furnizo­rului ca, în cazul existenţei unui risc cu privire la securitatea datelor cu ca-racter personal, să informeze persoa­ne­le vizate cu pri­vire la acesta, cât şi a­su­pra conse­cin­ţe­lor ce decurg şi a posi­bi­li­tă­ţi­lor de remediere. Neres­pectarea aces­tor prevederi constituie de asemenea contravenţie şi se sancţionează conform legii.

În funcţie de natura prejudiciului cauzat, persoanele individuale pot in­tenta acţiune în instanţă împotriva fur­nizorului de servicii pentru repararea acestuia, pe baza dispoziţiilor de drept comun.

Răspunderea furnizorului pentru scurgerea de date faţă de persoana pre­judiciată nu este înlăturată de situaţia unui atac informatic. Autorul atacului informatic este de asemenea incriminat de legislaţia românească, în funcţie de natura şi gravitatea faptei pe tărâ­mul dreptului penal sau civil. În acest sens, prin Legea nr. 64/2004, România a ratificat Convenţia de la Budapesta privind criminalitatea informatică, do­cu­ment ce conţine prevederi specifice cu privire la încadrarea unor astfel de fapte ca infracţiuni împotriva confi­den­­­­ţialităţii, integrităţii şi disponibi­li­tăţii datelor şi sistemelor informatice.” (Cristina Simion)