Unificarea datelor tuturor instituțiilor publice, în platforma de cloud guvernamental, nu e neapărat un lucru rău, însă depinde cine o face. Legiferarea acestui proiect, însă, lasă de dorit și duce la un pericol imens. Fără prevederi clare de protecție a datelor cetățenilor și fără limite stricte în accesarea datelor, actul normativ creează premisele spionării în masă a românilor. Practic, atât STS, cât și Autoritatea pentru Digitalizarea României vor putea urmări orice mișcare a cetățenilor.
Proiectul cloud-ului guvernamental, finanțat cu 500 milioane de euro din PNRR și elaborat de Executiv fix pe genunchi, a provocat un scandal imens în rândul societății civile și nu numai. Fără să țină seama de inadvertențele și pericolele semnalate, Guvernul este decis să aprobe actul normativ într-o formă care face ca România să devină un fel de China, țară care își supraveghează în mod abuziv populația.
Potrivit Guvernului, cloud-ul ar aduce avantaje populației prin implementarea conceptului prin care datele minimal necesare sunt solicitate o singură dată și prin interconectarea sistemelor informatice ale administrației, cu acces sigur, rapid și facil la servicii. În realitate, însă, hibele din proiectul de hotărâre de Guvern aduc cu ele riscul ca datele personale ale cetățenilor, aflate în bazele de date ale tuturor instituțiilor, să se transforme în dosare digitale cu absolut orice informație despre români. Printre neregulile semnalate de societatea civilă se numără nerespectarea OUG nr. 89/2022, reglementarea precară a garanțiilor drepturilor și libertăților cetățenești în platforma de cloud, precum și folosirea unor termeni ambigui și nerespectarea legislației privind protecția datelor cu caracter personal. Deși OUG nr.89/2022 stabilește faptul că Ministerul Cercetării, Inovării și Digitalizării (MCID), cu sprijinul ADR, STS și SRI, trebuie să emită un număr de 8 hotărâri de guvern care să reglementeze, fiecare în mod particular și unic, aspectele indicate expres în ordonanță, MCID a considerat că este suficient ca toate aceste 8 hotărâri, în complexitatea lor, să fie comasate într-una singură, numită generic “guvernanța platformei de cloud guvernamental”. Acest lucru poate da naștere la o seamă de inadvertențe și abuzuri asupra drepturilor și datelor cetățenilor, de către instituțiile implicate în administrarea platformei de cloud.
Fără limite
Fiecare operațiune pe care instituțiile o realizează în Platformă presupune o prelucrare a datelor cu caracter personal ale cetățenilor, date ce sunt folosite de către instituțiile publice în furnizarea de servicii publice către cetățeni. Astfel, conform Regulamentului General de Protecție a Datelor, cuvântul “prelucrare” are mai mult de 20 de înțelesuri, reprezentând fiecare acțiune care se poate realiza asupra datelor. Fie că vorbim de simpla stocare a datelor, realizată de serverele STS, fie că vorbim de colectarea și analizarea datelor, prin intermediul ADR, aceste operațiuni trebuie CLAR reglementate în privința limitelor de realizare a acestora, despre modul și momentul de timp în care aceste instituții au voie să prelucreze datele cetățenilor, precum și modul în care se poate realiza controlul acestor operațiuni de prelucrare a datelor. Mai mult, parcurgând obligațiile, responsabilitatea și drepturile instituțiilor implicate în platforma de cloud guvernamental, se poate observa în mod clar faptul că lipsește rigoarea reglementării.
Deși s-a acreditat ideea că SRI ar fi instituția care ar avea acces la datele personale ale cetățenilor, în fapt STS și ADR sunt cele care vor avea control nelimitat. Mai mult, reprezentanții STS sunt cei care au vehiculat în spațiul public, dar și în ședința inter-instituțională desfășurată pe 5 octombrie, că SRI ar prelucra datele gestionate de instituțiile din Cloud, deși, în realitate, singurele instituții care au acces și pot face acest lucru sunt STS și ADR. Totodată, STS este instituția care a militat extensiv pentru eliminarea ADR din relația directă cu instituțiile beneficiare din Cloudul Guvernamental, dorindu-și ca STS să încheie contracte direct cu acestea.
Prelucrare masivă a datelor personale
Reprezentanții societății civile au semnalat faptul că în platforma de cloud guvernamental nu va avea loc doar o prelucrare de date cu caracter personal, ci va avea loc o prelucrare masivă a datelor cu caracter personal. Curtea Constituțională, prin Decizia nr. 440 din 2014, a statuat faptul că prelucrarea reglementată nu respectă principiul proporționalității prelucrării de date și nu asigură confidențialitatea datelor, aducându-se atingere drepturilor fundamentale referitoare la viața intimă, familială și privată a persoanelor. În prezent, GDPR-ul prevede atât la nivel de preambul, cât și la nivel de conținut, faptul că operatorul de date prelucrează aceste date cu un scop clar, bine definit, ce derivă fie din consimțământul persoanei, fie din lege, fie dintr-un contract. HG-ul prezentat de MCID și ADR nu reglementează aceste situații și, mai mult decât atât, nu stabilește nici măcar obligativitatea ca toate aceste raporturi de împuternicire sau de delegare a responsabilității de prelucrare a datelor să fie făcute transparent, public, prin afișarea mandatului de împuternicire într-un mod în care cetățeanul să poată lua la cunoștință și să poată controla modul în care îi sunt prelucrate datele personale.