IMM Invest, platforma de sprijin a întreprinderilor românești, între lipsa de transparență și prelucrarea excesivă a datelor cu caracter personal. Consultant GDPR: „Un risc major de securitate...”

În vreme ce statele membre ale comunității europene au lansat diverse programe de sprijin pentru întreprinderile mici și mijlocii (IMM), încă de la debut platforma IMMINVEST, promisă de ministrul Finanțelor Publice, Florin Cîțu, a plesnit chiar în primele clipe de la lansare, în data de 17 Aprilie 2020. Acum, după sprijinul oferit de Serviciul de Telecomunicații Speciale, platforma ImmInvest.ro a beneficiat de o recentă relansare. Din păcate, după cum adesea se întâmplă în cazul proiectelor guvernamentale românești, noul proiect nu vine doar cu soluții pentru IMM-uri, ci și cu o lipsă de transparență în privința prelucrării datelor cu caracter personal, precum și cu o colectare excesivă a diverselor categorii de informații, fără a detalia prea mult din scopurile, modul de prelucrare și perioada de stocare a acestor date personale. Din punct de vedere al GDPR-ului, acest aspect reprezintă o breșă de securitate. Din nefericire, această constatare vine și cu o politică de utilizare a cookieurilor insuficient detaliată și argumentată. 

Re-lansarea recentă a platformei ImmInvest.ro  a reprezentat un prilej pentru o discuție tehnică cu Tudor Galoș, consultant în protecția datelor cu caracter personal. 

De altfel, interfața platformei este una cât se poate de simplă, poate chiar simplistă. Ca în orice proiect instrumentat de Guvernul liberal, platforma pare să reprezinte și o bună modalitate de PR și reclamă. Motiv pentru care, un citat cu caractere îngroșate ne comunică deja succesul acestui demers: un demers care a cedat din prima, dar a fost resuscitat în cea de-a doua lună de stare de urgență. 

„IMM Invest este cel mai mare program de sprijinire al IMM-urilor din ultimii 30 de ani”. 

Așa să fie?

Maxima îi este atribuită actualului ministru al Finanțelor Publice, domnului Florin Cîțu.

sursa captură: imminvest.ro

Să fie primit!

„Din punctul de vedere al protecției datelor cu caracter personal, politica de utilizare a cookieurilor nu detaliază ce fel de cookieuri sunt folosite de exemplu și consider că aceasta este o problemă de transparență, de lipsă de transparență. 

La o primă analiză a cookieurilor existente, pe care deja am făcut-o, pot spune că nu este ok. Sunt 11 cookieuri, printre care vorbim de cookieuri de la Google, legate de Google Analytics, care generează, de exemplu, informații despre trafic. 
------

În toamna anului trecut, autoritatea de reglementare din Franța, care se ocupă de confidențialitatea datelor, a amendat Google cu 50 de milioane de euro, pentru accesul agenților de publicitate la datele personale ale utilizatorilor, după cum relata Euronews. Comisia Națională pentru Informatică și Libertate (CNIL) a arătat, potrivit sursei citate, că Google LLC a primit pedeapsa financiară pentru o „lipsă de transparență, informații inadecvate și lipsa unui consimțământ valabil privind personalizarea anunțurilor”.

Aceasta a reprezentat prima intervenție a Comisiei Naționale pentru Informatică și Libertate (CNIL), care a făcut uz de Regulamentul pentru protecția datelor al UE, cunsocut drept GDPR. 

------

Astfel, cei de la ImmInvest văd ce trafic au pe site, dar din păcate, Google înregistrează clar ce firme sau ce oameni au vizitat această platformă. 

Adică este vorba despre o problemă de transparență. Bunăoară, ImmInvest ar fi putut alege o soluție, conformă GDPR, de monitorizare a traficului, adică să-și pună propriul său „numărător” de trafic pe site. Nu înțeleg de ce au optat pentru Google Analytics. 

Google Analytics îl aplici, spre exemplu, atunci când vrei să faci retargetare și remarketare. Mă îndoiesc că cei de la IMMInvest doresc să facă retargetare/remarketare. Nu înțeleg scopul.

Iar într-al doilea rând, Google colectează enorm de multe date și nu știm ce fel de date colectează. În Franța, pentru acest aspect a fost amendat Google: lipsa transparenței, exact din cauza a ceea ce înseamnă Google Analytics. 

Nu ți se explică prea bine ce date sunt colectate despre tine. Tu intri pe site-ul ImmInvest.ro, aplici și foarte multe informații pe care le introduci acolo le vede și Google.

Ceea ce este un risc major de securitate. 

Ei bine, chestia aceasta nu este vizibilă decât dacă cercetezi site-ul și te uiți la ce cookieuri sunt prezente”, a declarat Tudor Galoș, consultant în protecția datelor cu caracter personal (GDPR) pentru Ziar de Cluj.

De altfel, trebuie spus faptul că de la lansarea acestui program, platforma ImmInvest nu a fost accesibilă chiar din prima zi (17 Aprilie 2020), aspect care l-a determinat pe ministrul de Finanțe, Florin Cîțu, să noteze pe pagina personală de facebook cum că programul coordonat de minister a fost ținta unor atacuri mișelești din partea oponenților săi politici, o remarcă cât se poate de exagerată.

sursa captură: florincîțu/paginapersonalădefacebook

Platforma ImmInvest a cedat chiar din prima clipă din care a devenit publică, iar din această cauză în proiect au fost cooptați specialiștii din cadrul serviciilor de securitate românești. 

Astfel încât varianta updatată a acestei platforme, aflată la a doua naștere și relansată recent a fost realizată sub patronajul direct și prin intermediul specialiștilor din cadrul serviciilor românești de securitate. 

Poate tocmai din cauza acestui fapt, modul în care sunt colectate datele cu caracter personal, contrar criteriilor GDPR, ridică mari semne de întrebare în privința transparenței. 

Un proiect menit să vină în sprijinul întreprinderilor mici și mijlocii se achită doar formal de protecția datelor cu caracter personal, aspect de o gravitate considerabilă, ținând cont de faptul că prin intermediul unei politici de cookieuri prea puțin transparente, a unor cookieuri precum Google Analytics, datele colectate prin intermediul acestei platforme prezintă o doză însemnată de vulnerabilitate.

„Dacă ne uităm puțin la site, nu este decât un S.A. acest Fond Național de Garantare a Creditelor, pe structura unui IFN (instituție financiar nebancară –n.r.).

Dar obligațiile rămân aceleași, nu există o asemenea excepție de la obligativitatea de a fi transparent. 

Ideea este următoarea: dacă facem un magazin sau deschidem o locație de întrajutorare pentru diverse persoane, să spunem vulnerabile, prin definiție, persoanele vulnerabile care vizitează aceste spații, nu vor să se știe neapărat că au intrat acolo, să spunem la o cantină socială. 

Pentru mulți reprezintă un aspect sensibil. 

E ca și cum zece firme și-ar monta în acea cantină niște camere video proprii, pentru a urmări cine a intrat, ce a mâncat, cât timp a stat și a ieșit. 

Aceasta este și problema cookieurilor. Dacă pui niște cookieuri pe un site, atunci trebuie să explici de ce le pui. 

„De ce am pus Google Analytics acolo?” 

Erau niște soluții mai conforme GDPR, adică mai puțin intruzive? Bineînțeles că erau: unele se pot pune pe server, altele se pot pune în cloud, dar Google Analytics este foarte, foarte mult peste ceea ce vrea să facă acest Fond Național de Garantare a Creditelor.  

O.K. Aș fi înțeles dacă s-ar fi spus: „Vrem să facem retargetare și remarketare a creditelor, adică dacă nu ai aplicat încă pentru un astfel de credit, vei aplica în viitor”. Altfel, nu mi se pare în regulă. 

Iar în ceea ce înseamnă politica aceasta a datelor cu caracter personal, sunt mai multe aspecte în zona datelor personale, aici, există o notă de informare cu privire la datele cu caracter personal, un PDF, care prezintă generic scopurile, adică derularea relațiilor de muncă, derulare contract convenție, pază securitate a bunurilor. Și cam atât. 

Adică, spune cine este operatorul, dar trebuie să detaliezi scop cu scop. Adică formularea precisă a scopurilor, altfel e generic: „Dom’le, vreau să-ți prelucrez datele pentru că vreau să mă protejez”. O.K. Ce înseamnă acest „vreau să mă protejez?”

„De ce date ai nevoie de la mine pentru a fi sigur că nu intru cu bâta peste tine sau nu fac un atac informatic asupra ta?” 

Acest aspect presupune să fii mai explicit. 

Ce fel de date colectezi, ce categorii de date personale colectezi, cui le mai dai, pentru că sunt câteva bănci partenere, cine va avea acces la aceste date, ce se întâmplă cu ele, cât timp sunt stocate? Toate aceste aspecte trebuie detaliate. 

O altă declarație, ceva mai lungă, de 6 pagini, privind datele cu caracter personal, unde într-adevăr găsim mai multe detalii, dar astea sunt chestii copiate din GDPR, fiind copiate toate princiipiile de la Art.5, temeiurile legale de la Art 6, categoriile de date. Într-adevăr, aici sunt foarte multe categorii de date. Dar trebuie să intrăm în scop. Adică trebuie să explici de ce ai nevoie de fiecare categorie

De exemplu, codul numeric personal (CNP).

De ce ai nevoie de codul meu numeric personal? Pentru a compara, bunăoară, ceea ce deține Registrul Comerțului cu ceea ce introduc eu? Pentru ce anume este nevoie de acest CNP? Ca să respect legea anti money laundering, legea de prevenire a spălării banilor, de curând upgradată?

(Legea nr 129/11.07.2019 pentru prevenirea si combaterea spalarii banilor si finantarii terorismului, precum si pentru modificarea si completarea unor acte normative). 

„Imagini preluate de la camerele de luat vederi din incintă”. Suntem pe un site web. Ce camere de luat vederi avem aici?”, adaugă Tudor Galoș, consultant GDPR. 

Prin urmare, o serie de aspecte și criterii sunt luate copy-paste din legea privind GDPR, nefiind argumentată suficient politica de cookieuri, scopul și modul de stocare al informațiilor cu caracter personal. Astfel, nu este argumentat, pe etape, necesitatea colectării unei categorii sau alteia de date. 

„GDPR-ul aduce o responsabilitate operatorilor de date, în sensul în care obligă să fie transparenți, dar pe înțelesul oamenilor.

Să spunem că mergi să te cazezi la un hotel, unde ți se cere să completezi o fișă unde se regăsește seria și numărul actului de identitate. Ai tot dreptul din lume să întrebi „de ce?”

Probabil 99% din hoteluri nu știu să-ți spună, de fapt, este vorba de o Hotărâre de Guvern, care transpune în legislația națională o Directivă U.E. privind antiterorismul, în care atunci când te cazezi, oriunde într-o unitate din cadrul Uniunii Europene, trebuie să precizezi perioada cât stai, aproximativ ce faci și, bineînțeles, detaliile actului de identitate. Iar aceste fișiere sunt stocate 5 ani. Pentru că este o obligație legală, dată de o HG care transpune în legislația națională o Directivă a Uniunii Europene în domeniul protecției împotriva terorismului. Asta înseamnă o explicație. Și e atât de simplu. De așa ceva este nevoie și la acest site”, apreciază Tudor Galoș.

Sub o formă sau alta, platforma ImmInvest se achită de aceste obligații privind GDPR-ul mai mult formal. 

„Trist este că 99,99% din instituțiile statului și cam 70% dintre firmele din România procedează la fel. Totuși, nu este drept, ținând cont de faptul că în România au fost aplicate multe amenzi în zona de GDPR. 

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a aplicat destule amenzi pentru foarte multe firme românești, pentru încălcarea GDPR, pentru lipsa respectării unor astfel de principii, inclusiv a unor astfel de principii precum transparența. 

Ne-am aștepta de la instituțiile statului să fie mai conforme, mai ales că au lângă autoritatea care poate fi consultată în această privință”, a declarat consultantul GDPR, Tudor Galoș.

Din această perspectivă, adică a protecției și prelucrării datelor cu caracter personal, platforma IMMInvest nu se poate lăuda cu respectarea unui asemenea criteriu precum transparența. 

„Transparența și prelucrarea excesivă a datelor, prin faptul că este pus un cod de Google Analytics. Probabil, mulți se vor întreba care e problema cu Google Analytics? Pentru simplul motiv că în Franța a luat acea amendă de 50.000.000 de EURO exact pentru acest motiv: nu se știe ce faci cu datele. 

Mă voi referi din nou la exemplul camerei video: amplasezi o cameră video și spui: „Ce mare lucru? Filmez lumea pe stradă”. Însă, o cameră video, spre exemplu, poate filma infraroșu. Să înregistreze temperatura oamenilor. Poate face recunoaștere facială, iar pe baza acestei recunoașteri faciale, poate crea niște profiluri: această persoană trece printr-o anumită zonă de 5 ori pe zi, cealaltă persoană, de 3 ori pe zi. Ia uite! Acea persoană este fericită, întrucât sunt algoritmi care detectează gradul de fericire al unei persoane, în funcție de zâmbet, de trăsături. Ce vârstă are, uită-te că schiopătează, are această boală etc. 

De aceea, în cazul Google Analytics, noi nu știm ce date colectează, ce fac cu acele date. 

DE CE punem un cod de Google Analytics pe un site destinat întrajutorării firmelor din România în cadrul unui program guvernamental?

Aceste aspecte trebuie să fie foarte simple, foarte directe și transparente”, a conchis consultantul în protecția și prelucarea datelor cu caracter personal, Tudor Galoș, pentru Ziar de Cluj.

În privința modului de prezentare a platformei IMMInvest, Tudor Galos consideră că realizarea acesteia este una simplistă, dar răspunde informațiilor basic de care poate avea nevoie vizitatorul.  

„Este simplistă, dar este destul de clară din punctul de vedere al utilizării. Cred că este destul de simplă și utilizabilă.

Ce nu pot aprecia, într-adevăr, este partea asta de GDPR și transparență.

Ținând cont de faptul că, după cum este precizat în partea de jos a platformei, „site-ul este realizat de serviciile de telecomunicații speciale”, să înțelegem că nu punem cod de Google Analytics?!” 

În mod firesc, în cazul unei asemenea platforme dirijate de la nivelul Ministerului de Finanțe chiar de către Florin Cîțu, platformă care nu răspunde criteriilor de transparență, autosesizarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal ar fi de la sine înțeleasă. Dar în practică, acest lucru este foarte puțin probabil să se întâmple. 

GDPR reprezinta Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

GDRP a fost publicat în Jurnalul Oficial al Uniunii Europene L119/4 mai 2016, a intrat în vigoare la 25 mai 2016. 

A devenit aplicabil din 25 mai 2018 la nivelul întregii Uniuni Europene, inclusiv în România. 

Scopul constă în asigurarea transparenței cu privire la prelucrarea datelor personale și impunerea unor mijloace de control pentru protejarea acestora, ceea ce se traduce printr-un control mai mare la nivel individual în ceea ce privește modul în care sunt folosite datele noastre personale.  
GDPR reprezintă o evoluție normală a modului în care se utilizează datele personale, în contextul în care totul, de la telefonul inteligent pe care îl folosim, până la site-urile și aplicațiile pe care le accesăm, colectează date despre noi.

 

 

 

 

 

featured image: captură imminvest.ro

 

 

Adauga comentariu