Play
Ascultă RFI Romania
Play
Ascultă RFI France
Ascultaţi


Guvernul promite că datele personale din cloud-ul guvernamental nu vor ajunge la SRI. „E nevoie de o dezbatere amplă”

sri.jpg

SRI ar urma să gestioneze datele din cloudul guvernamental
Sursa imaginii: 
Facebook/SRI

Guvernul promite că datele personale ale românilor nu vor intra în posesia SRI, odată cu implementarea Cloud-ului guvernamental. Este vorba de proiectul finanțat cu 375 de milioane de euro prin PNRR prin care statul intenționează să unifice într-o singură infrastructură IT toate sistemele ministerelor, instituțiilor și autorităților centrale și locale. Aceste date nu vor putea fi vizualizate și accesate de Serviciul Român de Informații (SRI), care va asigura doar securitatea cibernetică a acestui sistem, susține Ministerul Digitalizării, într-un răspuns oferit în contextul controverselor iscate în jurul acestui proiect. La RFI, directorul executiv al Asociației pentru Tehnologie și Internet, Bogdan Manolea, spune că aceste asigurări nu sunt suficiente. În primul rând, este nevoie de o dezbatere publică reală, nu de ordonanțe de urgență, atrage atenția Bogdan Manolea.

Bogdan Manolea: Vorbim despre o propunere de ordonanță de urgență, care, din punctul nostru de vedere nu este o urgență. Nu este nicicum definită urgența în expunerea de motive care vine o dată cu această ordonanță?

Reporter: Ar trebui discutată în Parlament? La asta v-ați gândit?

BM: Ar trebui discutată și în Parlament. Dar până să ajungă în Parlament cred că ar trebui să fie o dezbatere mult mai largă. Nu vorbim doar de partea de date personale și acces al autorităților, ci de întregul cadru care ar trebui să creioneze cloud-ul ca element esențial în tot procesul de digitalizare. Să nu mai vorbim de faptul că este vorba despre o sumă substanțială ce va fi alocată către această zonă. Atunci, este bine ca de la început, într-o discuție transparentă și publică, Guvernul să stea la discuție cu toți partenerii și să vedem care sunt nevoile și dacă, într-adevăr, formula propusă este cea mai bună.

Rep: Cu privire la acele date și gestionare lor, ce temeri aveți?

BM: Acum vă răspund și la partea cu datele. Pe partea cu date personale, cred că trebuie să le împărțim în două categorii. Avem, pe de o parte, datele de conținut, care, în mod normal, ar trebui să aparțină doar așa numitelor entități găzduite, așa cum spune ordonanța de urgență. Lucrul acesta se poate face atâta vreme cât ar fi clar în proiectul de ordonanță de urgență că ei sunt operatorii acestor date și că furnizorii serviciului de cloud sunt doar niște împuterniciți. Dar, în același timp, vorbim și de așa numitele date de trafic, care privesc meta bazele, toate informațiile legate de cine și ce accesează din cloud-ul guvernamental. Ori, aceste informații, chiar dacă nu sunt datele pe care le pun entitățile găzduite în sine, ele trebuie să fie prelucrate pentru securitatea cloud-ului respectiv. Atunci când le colectezi pentru securitatea cloud-ului, ideal ar fi să fie o entitate civilă care să se ocupe de lucrul acesta. La ora actuală, propunerea, așa cum vine de la ministerul de resort, spune că ar trebui să se ocupe STS împreună cu SRI, făcând o diferențiere puțin bizară între atribuțiile fiecărei părți și neexplicând foarte clar de ce s-a ajuns la această soluție.

Rep: Datele cetățenilor și ale firmelor din viitorul cloud guvernamental, infrastructura IT ce ar urma să găzduiască aceste sisteme informatice, publice, centrale nu vor putea fi vizualizate și accesate de către Serviciul Român de Informații, care va asigura doar securitatea cibernetică a acestui sistem. Asta susține Ministerul Digitalizării. Vi se pare satisfăcător acest răspuns?

BM: Din păcate, răspunsul meu este că depinde. Depinde de cum va fi configurat cloud-ul respectiv. Depinde ce drepturi de acces vor fi alocate către aceste entități care se ocupă de securitate. Depinde de setările aduse sistemului. Depinde de atât de multe elemente încât, din punctul nostru de vedere, nu ar trebui să fie reglementate printr-o politică tehnică. Ar trebui ca cel puțin principiile să fie foarte clar clarificate încă din ordonanța de urgență.

Rep: Dumneavoastră spuneți că deoarece avem de-a face cu date de natură personală, care sunt foarte importante la nivel personal, dar și la nivel de business, ar trebui gestionate cu mare grijă, iar cei care au acces la ele să nu fac abuz. Am înțeles bine?

BM: Exact. Nu spun doar eu lucrurile astea. Datele cu caracter personal au o legislație specifică care este reglementată la nivel european din 2018 de GDPR, de un regulament al Uniunii Europene. Ca atare, ești obligat ca în momentul în care prelucrezi date cu caracter personal să îndeplinești anumite cerințe de securitate și de proceduri pe care trebuie să le implementezi. Cu atât mai mult cu cât vorbim despre un cloud guvernamental care, prin esența lui, va găzdui un număr impresionant de astfel de date. Cu atât mai mult trebuie să fii foarte atent.

Rep: Dacă ar fi transmiteți un mesaj simplu, concret către Guvern și cei care se ocupă de acest cloud, care ar fi el?

BM: Cel mai direct mesaj este că trebuie să existe o dezbatere publică în care să se discute modul în care acest cloud poate să îndeplinească prevederile din GDPR cu privire la datele cu caracter personal și care sunt cele mai bune instituții care trebuie să fie implicate în realizarea și administrarea cloud-ului respectiv.

Rep: Până acum ați simțit o deschidere din partea autorităților, în speță a Guvernului, în legătură cu ajustarea lucrurilor pentru ca mesaje critice, cum a fost și al dumneavoastră, să își găsească un ecou în îmbunătățirea lucrurilor, în final?

BM: Momentan nu am primit niciun răspuns la mesajul pe care l-am transmis vinerea trecută și prin care am cerut, conform Legii 52/2003, inclusiv o dezbatere publică pe acest subiect. Putem doar să sperăm  că ministerul va organiza o dezbatere publică. Legal e obligat să facă acest lucru.