​Mii de români și-au pozat cărțile de identitate, și-au făcut un selfie și un video scurt pentru a-și face un cont în aplicația de mobil ROeID și a obține o identitate digitală și un singur set de date de acces (nume de utilizator și parolă) în platformele IT ale statului. Aspru criticată pentru erori și lipsa de utilitate, aplicația nu are nici analiza de risc (DPIA) privind datele personale colectate, caz investigat acum de Protecția Datelor.

Sebastian Burduja și Dragoș Vlad la lansarea RoeIDFoto: MCID

Aplicația ROeID a fost dezvoltată de Autoritatea pentru Digitalizarea României și lansată în versiune beta în luna mai a acestui an, în prezența ministrului de atunci al Digitalizării, liberalul Sebastian Burduja, după o finanțare europeană de 74 milioane de lei.

Autoritățile au promis atunci că aplicația va permite accesul centralizat la toate serviciile publice, fără să mai fie nevoie să reținem zeci de conturi și parole diferite, și că aplicația va fi ușor de utilizat, rapidă, eficientă și la un click distanță de administrația publică.

La aproape 6 luni de atunci, lucrurile nu sunt deloc așa, ba din contră, aplicația ROeID pare să fi complicat accesul la sistemele IT ale statului și sunt probleme și cu o posibilă încălcare a Regulamentului UE privind protecția datelor (GDPR). Să le luăm pe rând.

5 pași pentru crearea unei identități digitale și multe alte click-uri pentru a accesa prea puține sisteme IT ale statului

Pentru a-ți crea identitatea digitală ai nevoie de un telefon smartphone Android sau iPhone, pe care să-ți instalezi aplicația de mobil ROeID și de cartea de identitate.

Crearea contului ROeID durează câteva minute și are 5 pași:

  • 1. Deschizi aplicația și introduci datele personale prin fotografierea buletinului
  • 2. Faci un selfie din aplicație
  • 3. Filmezi un clip video mișcând capul
  • 4. Filmezi în continuare cartea de identitate
  • 5. Înregistrezi un clip audio-video în care citești textul afișat de aplicație

Odată validată solicitarea, primești un mesaj de confirmare pe adresa de e-mail (numele de utilizator) furnizată în procesul de înregistrare și o notificare în aplicația mobilă ROeID de unde îți stabilești mai departe o parolă.

Cu acest set unic de date de acces ar trebui teoretic să te poți înregistra în orice sistem IT al statului care se va interconecta la ROeID, care vor avea opțiunea de login, de conectare cu ROeID, marcată printr-un buton specific – „Autentificare cu ROeID”.

  • Problema este că după tot acest proces greoi constați că aplicația nu face decât să te direcționeze către alte sisteme IT unde ești nevoit să dai alte click-uri ori să introduci alte date.

Cel mai mare beneficiu este că aplicația este interconectată cu Ghișeul.ro (de unde poți plăti online cu cardul taxe și impozite locale ori la ANAF, poți să-și scoți cazierul judiciar de la MAI ori să-ți faci asigurare obligatorie pentru locuință de la PAID).

Din aplicația ROeID mai poți accesa doar platforma POSF a ANRE prin care poți schimba furnizorul de energie și gaze naturale, Punctul Unic de Contact electronic (PCU) și sistemele IT ale primăriilor din Alba Iulia și din Sectorul 6 din București.

Foarte mulți utilizatori care și-au făcut cont în aplicație au lăsat zeci de recenzii negative în magazinul Play al Google acuzând că aplicația nu face decât să redirecționeze către alte site-uri.

Iată un astfel de comentariu:

  • „O aplicație nefolositoare pentru utilizatorul final. Este de fapt o aplicație de redirecționare către alte site-uri. Nu văd nici un motiv să îți lași datele personale în această aplicație. Dacă vrei să intri pe ghișeul.ro, de exemplu, îți faci cont acolo și aia e...mai simplu și mai sigur. Bani aruncați de la bugetul de stat pentru nimic.”

Ca să accesezi Ghișeul.ro din ROeID e nevoie de 8 pași

HotNews.ro a testat aplicația și într-adevăr simpla obținere a identității digitale nu simplifică autentificarea în sistemele IT ale statului.

Pentru a accesa Ghișeul.ro a trebuit să facem 8 operațiuni:

1. Am deschis aplicația pe telefonul mobil prin autentificarea cu amprentă

2. Am selectat aplicația Ghișeul.ro

3. Am introdus datele unice de acces în ROeID: numele de utilizator și parola

4. Am trimis cerere de autorizare în aplicația ROeID

5. Am autorizat din aplicație cererea de autentificare

6. Am deschis din nou platforma Ghișeul.ro

7. Am acceptat ce date personale îmi colectează ROeID

8. Am intrat în sfârșit în Ghișeul.ro

Să spunem că vrei să accesezi Ghișeul.ro de pe laptop. În acest caz trebuie să dai click pe butonul „autentificare cu ROeID”. Se va deschide o fereastră în care trebuie să reiei totul de la pasul 3 - introduci userul și parola din ROeID, autorizezi cererea de autentificare din aplicația instalată pe telefon etc.

  • În aceste condiții e legitim să te intrebi: de ce ai face atâtea operațiuni când poți accesa Ghișeul.ro direct prin userul și parola cu care te-ai înregistrat deja anterior în această platformă?

Situația se repetă și în cazul în care vrei să accesezi de pe aplicația de mobil celelalte sisteme interconectate la ROeID.

ADR nu a făcut analiza de risc cerută de GDPR privind datele colectate prin ROeID. Ce explicații dă

În condițiile în care prin aplicația ROeID sunt colectate foarte multe date personale, ADR a comunicat recent într-un răspuns către expertul în servicii de e-guvernare Andrei Nicoară că nu a făcut o analiză de impact DPIA asupra protecției datelor personale și că nici nu ar fi nevoită.

  • „Nu a fost cazul unei analize de impact DPIA asupra datelor prelucrate prin intermediul aplicației ROeID, deoarece ROeID nu creează evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care să se bazeze pe prelucrarea automată, inclusiv crearea de profiluri și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă”, spune ADR.

În plus, autoritatea condusă de Dragoș Vlad spune că nu ar fi justificată nici motivația invocată de petent privind obligativitatea analizei de impact în baza unei decizii ANSPDCP (Autoritatea pentru protecția datelor personale), dacă deja s-a efectuat o evaluare a impactului asupra protecției datelor ca parte a unei evaluări generale a impactului în contextul adoptării actelor normative respective".

16.000 de români și-au făcut conturi ROeID. Ce garanții de securitate a datelor dă ADR

HotNews.ro a solicitat ADR să explice ce alte evaluări ar fi fost făcute asupra aplicației ROeId care nu ar mai justifica analiza de risc DPIA din GDPR.

În răspunsurile transmise HotNews.ro, Autoritatea pentru Digitalizarea României (ADR) susține în continuare că utilizarea ROeId ar simplifica accesul la serviciile publice.

  • „RoelD este o platformă centralizată care asigură identificarea şi autentificarea unică pentru cetățeni în ideea accesării de servicii publice puse la dispoziție de către organismele din sectorul public, servicii furnizate de către platforme interconectate cu aceasta. Astfel utilizarea platformei RoelD simplifică accesul la serviciile publice şi contribuie la creşterea gradului de utilizare.
  • De asemenea, platforma vine în sprijinul instituțiilor astfel încat nu mai este nevoie ca fiecare să îşi dezvolte, auditeze şi administreze platforme de identificare la distanță prin mijloace video, ceea ce implică numeroase costuri suplimentare, dar aduce şi un plus în dezvoltarea, cunoaşterea şi utilizarea serviciilor publice, deoarece sunt mult mai uşor de accesat (după obținerea identității electronice este suficientă o singură autentificare pentru a folosi mai multe servicii).
  • Platforma RoelD este singura platformă de identificare la distanță prin mijloace video interconectată la DPABD, fapt ce contribuie la creşterea gradului de securitate privind furnizarea serviciilor de identificare la distanță.”, susține ADR.

Autoritatea spune că „până în acest moment au fost create 16.000 de conturi în sistemul ROeID”.

În privința garanțiilor de securitate pentru datele personale ADR susține că „securitatea platformei este asigurată de echipamentele de securitate cibernetică achiziţionate în cadrul proiectului.”

Autoritatea mai arată că soluția tehnică și procedura de identificare video a persoanei la distanță din cadrul platformei ROeId a fost evaluată de LL-C (Certification) Czech Republic - un organism de evaluare a conformității în concordanță cu prevederile Regulamentului UE 910/2014 privind identificarea electronică.

  • „Analiza de risc este o obligație a Regulamentului 910/2014 - Articolul 19 prevede că furnizorii de servicii de încredere calificați și necalificați trebuie să ia măsuri tehnice şi organizatorice adecvate pentru a gestiona riscurile prezentate pentru securitatea serviciilor de încredere pe care le furnizează.
  • Acest lucru necesită ca ADR să efectueze o evaluare a riscurilor pentru a se asigura că nivelul de securitate este proporţional cu gradul de risc şi pentru a minimiza impactul incidentelor de securitate.
  • ADR a demarat un proces pentru alinierea la standardele ISO 27.000.”, spune ADR.

Tot în procesul de analiză a riscurilor, autoritatea spune că, potrivit unui alt Regulament UE (2015/1502) a luat măsuri pentru a reduce la minimum riscul ca identitatea persoanei să nu fie cea pretinsă, luând în considerare, de exemplu, riscul utilizării unor dovezi pierdute, furate, suspendate, revocate sau expirate.

  • „Astfel măsurile analizate s-au bazat pe factorul de autentificare inerent, care presupune un factor de autentificare care se bazează pe o caracteristică fizică a unei persoane fizice şi în cazul căruia subiectul trebuie să demonstreze că prezintă respectiva caracteristică fizică.
  • Un alt factor analizat l-a constituit minimizarea riscului de modificare a datelor de identificare personală, fapt ce a necesitat cerinţa de asigurare cu privire la dovedirea şi verificarea identităţii.”, menționează ADR.

VEZI AICI EXPLICAȚIILE ADR PENTRU HOTNEWS.RO

Tudor Galoș, expert GDPR: Aplicația ROeID ar trebui să aibă analiza DPIA. Riscurile sunt uriașe

Asigurările de securitate oferite de ADR nu sunt suficiente din prisma Regulamentului UE privind protecția datelor, este de părere Tudor Galoș, expert în GDPR.

Acesta a explicat pentru HotNews.ro de ce ar fi nevoie de analiza de risc DPIA.

  • „Evaluarea impactului asupra protecției datelor sau Data Protection Impact Assessment (DPIA) este de fapt o analiză de risc formală asupra unei prelucrări de date cu caracter personal, dacă aceasta este susceptibilă a genera un risc ridicat pentru drepturile și libertățile persoanelor fizice.
  • Articolul 35 din GDPR dă câteva situații în care realizarea DPIA este obligatorie – utilizarea sistemelor AI în decizii automate, prelucrări pe scară largă de categorii speciale de date gen sănătate, monitorizarea pe scară largă a unei zone publice.
  • Autoritatea de protecție a datelor personale din România – ANSPDCP – a dat decizia 174 din 18 octombrie 2018 care obligă operatorii de date personale să facă DPIA în alte câteva situații, gen prelucrarea pe scară largă a datelor personale ale persoanelor vulnerabile prin mijloace automate sau pentru reclame targetate, prin utilizarea unor sisteme inovatoare sau prin tehnologii noi – inclusiv IOT, Smart TV, Connected Cars etc, sau prin sisteme de localizare gen GPS / geolocation.
  • În cazul ROeID, vorbim de un sistem tehnologic ce oferă tuturor cetățenilor României posibilitatea de a obține o identitate digitală cu care se pot autentifica în toate platformele guvernamentale.
  • Ținând cont și de faptul că vorbim de un proiect de cloud guvernamental și de un proiect de interoperabilitate instituțională, acest sistem devine o „cheie” digitală a fiecărui cetățean la toate seturile sale de date ce pot fi accesate la toate instituțiile Statului Român.
  • Sistemul prelucrează date biometrice – informațiile biometrice luate din poza de la procesul de autentificare, de la poza actului de identitate (pentru comparație), de la sample-ul audio-video (probabil pentru a vedea dacă cetățeanul este în viață, nu există niciun scop declarat).
  • Riscurile privind drepturile și libertățile persoanelor fizice sunt uriașe, și doar la o primă vedere putem identifica riscuri de furt de identitate, riscuri de utilizare a identității furate (deepfake cu tot cu imagine și voce sintetizate), riscuri de acces ilegitim la date (nu știm cine/cum are acces la aceste date în afară de cetățean).
  • Mai mult, nu există nicio notificare de prelucrare a datelor personale detaliată așa cum se cere în articolele 12 - Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate și 13 - Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată din GDPR, link-ul din site trimite către o notificare de prelucrare a datelor personale de la ADR.
  • O analiză DPIA trebuie să includă, conform aliniatului 7 din articolul 35 din GDPR, următoarele aspecte:
    - o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;
    - o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;
    - o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate și măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu GDPR, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale altor persoane interesate.
  • Răspunsul ADR nu spune nimic despre descrierea sistematică a operațiunilor de prelucrare, nu spune nimic despre proporționalitate (ni se spune de exemplu că toate înregistrările audio-video sunt stocate – cât timp, unde, de ce?), ne vorbește doar vag despre securitatea datelor personale; însă analiza DPIA trebuie să cuprindă toate riscurile privind drepturile și libertățile persoanelor vizate, nu doar riscurile referitoare la incidente de securitate.
  • Măsurile de adresare a riscurilor, conform răspunsului ADR, se încadrează strict în clasificarea dată de standardele de securitate ISO/IEC 27001 și 27002 – insuficiente pentru adresarea tuturor riscurilor privind drepturile și libertățile persoanelor vizate.
  • Să vă dau un exemplu: dacă un decident politic solicită și primește acces la o înregistrare video sau la datele personale ale unei persoane vizate, acest lucru nu reprezintă un incident de securitate cibernetică întrucât accesul i-a fost acordat conform unei proceduri existente.
  • Însă acest lucru ar reprezenta o gravă încălcare a drepturilor și libertăților persoanei vizate!
  • În cadrul răspunsului ADR, ni se mai oferă o informație interesantă, anume faptul că deși măsurile de securitate sunt conform standardelor de securitate ISO/IEC 27001 și 27002, „ADR a demarat un proces pentru alinierea la standardele ISO 27000”, a declarat pentru HotNews.ro Tudor Galoș.

Protecția Datelor a deschis o investigație în cazul ROeID

Contactată de HotNews.ro în acest caz, Autoritatea națională pentru protecția datelor cu caracter personal (ANSPDCP) a comunicat că are deschisă deja o investigație în urma unei solicitări anterioare.

  • „În vederea soluţionării unei sesizări primite anterior, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a demarat deja o investigație, aflată în curs de soluționare, cu privire la condițiile de prelucrare a datelor cu caracter personal prin intermediul aplicației ROeID, aplicație gestionată de Autoritatea pentru Digitalizarea României.”, a comunicat pentru HotNews.ro Autoritatea.

VEZI AICI PRECIZĂRILE ANSPDCP