Mulțumiri domnului Radu Puchiu pentru contribuția sa.
Odată cu publicarea celor două OUG-uri , 381 și 39 așteptările pentru o interacțiune electronică simplificată între administrație și cetățeni au crescut. La acest lucru au contribuit și declarațiile date de reprezentanți ai administrației dar și de nevoia tot mai acută de a accesa cât mai ușor serviciile publice de la distanță, mai ales în criza provocată de coronavirus.
Totodată, deși documentele mai sus amintite sunt dedicate stimulării utilizării documentelor electronice, în administrația publică au apărut numeroase semne de întrebare din partea celor care le aplică, generate în special de dificultatea acestora de a le corela cu prevederile Regulamentului eIDAS.
Voi încerca, în continuare să ofer puțină claritate și câteva posibile soluții de îmbunătățire în acest subiect.
Simplificând un pic, orice sistem de lucru cu publicul are două mari obiective:
- Securitatea – informația să fie accesibilă doar celor îndreptățiți;
- Irefutabilitatea – acțiunile electronice să nu poată fi contestate de autor, să fie opozabile acestuia.
În viața reală aceste deziderate sunt în egală măsură importante atât pentru administrație cât și pentru cetățeni. Pe de o parte, cetățenii ar trebui să se asigure că site-ul sau documentul aparțin cu adevărat administrației publice, pe de altă parte, administrația trebuie să se asigure că documentele eliberate sunt corecte și complete și, mai ales, fără erori. Pentru că, de exemplu, dacă cetățeanul suferă individual consecințele fiind victima phishing-ului sau furtului de date, în cazul administrației publice greșeala afectează un număr mare de cetățeni.
Pentru administrația publică securitatea și irefutabilitatea sunt în mare parte exprimarea preocupării de a nu comunica date personale altcuiva decât persoanei vizate precum și a nevoii ca documentul să producă efecte juridice într-o eventuală acțiune în justiție.
Și în practică dar și pentru ușurința demersului aceste aspecte pot fi în bună măsură separate.
Identitatea electronică – eID
Identitatea electronică este cheia utilizării unui site guvernamental, a posibilității vizualizării de date confidențiale în acesta, a legalității consecințelor unor acțiuni precum apăsarea unui buton sau a completării unui formular web.
Uniunea Europeană, prin regulamentul eIDAS consideră că identitatea este în bună măsură un subiect statal, el poate fi abordat de către terți privați doar ” pe baza unui mandat ” sau ” recunoaștere de respectivul stat membru”, cu alte cuvinte este o decizie de oportunitate guvernamentală. Pentru o necesară coerență la nivelul UE diversele metode de identificare sunt grupate formal în 3 categorii de nivele de încredere ”scăzut”, ”substanțial” și ”ridicat”, regulamentul 15022 din 2015 prevede amănunțit criteriile pe baza cărora se va face încadrarea. Statele membre comunică iar Comisia Europeană publică o listă cu sistemele de identificare notificate de statele membre în vederea recunoașterii reciproce și asigură un mecanism tehnic de interoperabilitate denumit ”nod eIDAS”. Astăzi 35 de state membre s-au integrat în această rețea, nu și România a cărei perspectivă este îndepărtată, proiectul aferent fiind în faza achiziție publice. Însă lipsa mecanismului tehnic nu împiedică utilizarea soluțiilor naționale sau a celor internaționale în baza unor aranjamente tehnice individuale.
Astfel o instituție publică trebuie să-și aleagă nivelul de încredere solicitat pentru accesarea portalului propriu în zona acestuia care conține date confidențiale, apoi să se asigure că respectivul nivel este real. Din fericire, OUG 38/2020 prevede prin Art.5 (3) ”Înscrisurile semnate cu semnătură electronică avansată, care sunt transmise prin utilizarea unor mecanisme de autentificare de nivel substanțial sau ridicat, sunt asimilate, în ceea ce privește condițiile și efectele lor, cu înscrisurile sub semnătură privată.”
Așadar, mutatis mutandis, nivelul ”substanțial” este echivalat cu prezentarea personală la ghișeu iar nivelul ”scăzut” ca fiind echivalentul primirii documentului prin poștă, semnat olograf (întrucât instituția publică nu deține specimene de semnătură ale contribuabililor iar documentul nu este asumat verbal la ghișeu trimiterea poștală are natural un nivel mai redus de încredere).
Cum poate o instituție evalua acest nivel de încredere?
În primul rând acesta trebuie să fie asumat și declarat de către furnizorul identității electronice folosite. Apoi această declarație va fi evaluată de instituția acceptator prin:
- verificarea prezenței pe lista UE3 sau
- verificarea existenței unui mandat sau a unei recunoașteri naționale (prin legislație sau prin ordin al președintelui ADR) sau
- verificarea informațiilor publicate de furnizor în corelare cu condițiile impuse de Reg.1502/2015, inclusiv prin prisma reputației furnizorului.
Ultimul punct este mai dificil, o abordare mai eficientă fiind evaluarea utilizărilor anterioare – spre exemplu un sistem de identitate electronică utilizat în mediul bancar pentru internet banking poate fi cu siguranță acceptat ca fiind minim ”substanțial” având în vedere că acesta este deja obligat să respecte multe norme și este supravegheat tehnic de autorități.
Deși ar fi rezonabil ca atribuirea unui nivel de încredere să fie valabilă și pentru sistemele proprii – portaluri proprii cu utilizatori înrolați direct – acest aspect nu este impus de eIDAS putând fi eventual sugerat de către utilizarea terminologiei specifice în OUG 38.
Utilizarea eID
Având astfel un portal care permite în condițiile de securitate cerute de lege interacțiunea cu cetățenii rămâne de asigurat irefutabilitatea acestei interacțiuni, iar pentru aceasta avem 2 variante:
- Dacă interacțiunea este bazată pe butoane, formulare web, etc. atunci toate aceste interacțiuni sunt înregistrate în sistemele de baze de date aferente portalului adăugând la acțiune informații precum IdSesiune, IdUser, etc. Astfel aceste date constituie, în sensul Art.280 Cod Procedură Civilă, un ”registru al profesionistului” iar Art.283, 284 contribuie la statul juridic de ”deplină credință”.
- Pentru a simplifica discuția tehnică același Art.5.3 introduce ca singură condiție identificarea tehnică a unui document încărcat de utilizator prin asocierea la acesta a unei semnături avansate, așadar documentele semnate avansat sunt o metoda tehnică mai sigură juridic decât interfețele grafice. Astfel este încurajată experiența utilizatorului bazată pe încărcare de documente.
Așadar, pentru a oferi servicii corecte din punct de vedere legal și administrativ, o instituție publică are posibilitatea și trebuie să-și evalueze nivelul de încredere al portalurilor sau site-urilor de interacțiune cu publicul.
Întrucât Art.20. GDPR - Dreptul la portabilitatea datelor – nu se aplică instituțiilor publice, ar fi fost necesară o prevedere expresă în OUG 38 care să oblige operatorul portalului să furnizeze utilizatorului o copie contra-semnată a formularului / datelor imediat după colectare, momentan rămâne la nivel de bună-practică.
Documentele electronice
Dar ce facem cu documentele electronice care se supun acelorași cerințe de securitate și irefutabilitate?
Spre deosebire de interacțiunea cu un site, un document electronic are avantajul universalității (poate fi folosit și în alte scopuri determinate ulterior) și portabilității (își păstrează valoare legală și la mutarea /copierea sa în alt sistem, respectiv nu ridică pretenții în privința modalității de transfer, poate fi și email) dar și dezavantajul unei mai mari complexități tehnice pentru utilizator. Pentru a minimiza aceste dificultăți Comisia Europeană a emis Decizia 1506/20154 prin care stabilește standarde tehnice pentru formate de document (limitaândt la PDF, XML, CMS) și tipuri de semnare (avansat, calificat). O semnătură avansată este identică tehnic uneia calificate, diferența fiind dată de statul special (notificat) al furnizorului certificatului care a fost utilizat pentru semnare.
Tehnologia certificatelor folosite pentru semnare permite în egală măsură criptarea documentelor, așadar, teoretic, o instituție ar putea publica toate documentele criptate cu cheia destinatarului și astfel doar destinatarul le-ar putea înțelege – o altă abordare, perfect validă, a securității.
În cazul semnării documentelor avem trei categorii în ordine descrescătoare a complexității: semnătură calificată, semnătură avansată iar tot ce nu se încadrează în acestea este astfel considerat semnătură simplă. În cadrul unei semnări simple întră un simplu text în email, o scanare a unui document, etc. O semnătură avansată asigură atât integritatea documentului cât și asocierea sa unei persoane identificabile iar semnătura calificată oferă garanții cu privire la identitatea semnatarului. Acum putem înțelege logica Art.5.3:, dacă o semnătură avansată conține toate datele necesare pentru a identifica o persoană, atunci nu mai contează proiectarea bazei de date care ar trebui să asigure aceeași identificare.
Cum alege instituția publică tipul de semnătură solicitat ?
Însă, în zona documentelor electronice, Art.5.2 al OUG 38 cere autorității să stabilească singură tipul de semnătură pentru fiecare tip de formular/serviciu. Este, în esență, o stimulare a reformei administrative întrucât instituția publică va trebui, pentru fiecare document, să-și pună câteva întrebări:
- care este scopul / efectul documentului primit de la cetățean ? Este acest efect critic și ireversibil ?
- care este minimum de date personale necesar pentru atingerea scopului ? (întrebare impusă, de altfel, și de GDPR)
- care sunt datele personale dezvăluite de procesul administrativ ? Sunt acestea simple (nume, adresă) sau date sensibile (CNP, biometrice) ?
Să luăm câteva exemple relevante:
Pentru primul caz, petiție pe L544 prin care se solicită publicarea de date pe portalul național de date deschise ce nu are un efect direct asupra petiționarului, nu are nevoie de identificarea acestuia pentru atingerea scopului, răspunsul nu dezvăluie date personale – poate deci fi solicitată o semnătură simplă.
O declarație de auto-impunere, spre exemplu pentru stabilirea taxei de salubritate, este reversibilă (poate fi oricând rectificată), necesită identificarea completă a declarantului în vederea regăsirii sale în baza de date iar efectul (comunicarea sumei de plată) nu reprezintă date personale. – poate fi solicitată o semnătură avansată, cu menținea că această semnătură poate fi bazată pe un certificat emis chiar de instituția în cauză.
O declarație bilanț anual a cărei incorectitudine este penalizată ca evaziune fiscală, nu este rectificabilă (este aplicată o amendă la rectificarea după termen), produce efecte publice atât pentru companie cât și pentru administratorul acesteia necesită în schimb o semnătură calificată sau un sistem de autentificare cu grad minim ”substanțial”.
Acestea sunt doar câteva exemple din multitudinea interacțiunilor cu publicul. Ar fi poate de dorit ca un ghid sau metodologie cu caracter orientativ pentru această analiză să fie publicat de către MDRAP, eventual cu sprijinul INA.
Ce alegem?
Avem așadar două situații de realționarerelaționare digitală cu publicul: portaluri bazate pe diverse nivele de încredere și prelucrări de documente ad-hoc bazate pe semnături electronice.
În zona de mijloc există, conform eIDAS, serviciul de distribuție electronică înregistrată5 care, cu o utilizare foarte semănătoare poștei electronice, asigură prezumția atât a identităților cât și a integrității datelor. (N.B. Poate fi o potrivită temă de gândire pentru STS!)
Din păcate astăzi instituțiile publice aleargă pe ambele culoare simultan, construiesc sisteme care implementează atât identitate cât și semnare documente.
Care soluție este mai bună ? Depinde de priorități! Un portal oferă o experiență de utilizare net mai bună, grade de sofisticare superioare precum plata online sau pre-completarea câmpurilor cu informații deja aflate în posesia instituției. Pe de altă parte, un sistem bazat pe documente PDF permite arhivarea de către utilizator, desemnarea altei persoane pentru completarea lui urmând ca titularul doar să-l semneze și, în general, solicită mai puțină încredere în buna funcționare a instituției publice.
Câteva soluții practice
Așadar, fiecare instituție publică, în acest nou context, va trebui să-și aleagă direcția proprie.
Dacă alege soluția portalului cu nivel de identificare minim ”substanțial”, principala problema cu care se va confrunta este, în esență, problema stocului de utilizatori. Avem următoarele posibilități concrete:
- Utilizatorii actuali au fost înrolați în baza unor proceduri care corespund condițiilor minime pentru ”substanțial” – se va realiza un tabel de corespondență între condiții și procedură. Eventual Sse modifică portalul pentru a atașa semnături avansate documentelor.
- Portalul este modificat tehnic astfel încât să reutilizeze identități cu nivel minim ”substanțial” furnizate de un terț. Eventual Sse atașează o semnătură avansată.
- Se recurge la un alt portal care are deja utilizatori înrolați cu nivel de încredere ”substanțial” și semnături avansate.
Citeste intreg articolul si comenteaza pe Contributors.ro
