Câteva ONG-uri au acuzat zilele trecute Serviciul Roman de Informații (SRI) că va demara un amplu program de supraveghere în masă cu bani europeni. E vorba de un proiect prin care SRI intenționează să achiziționeze software și hardware de 25 de milioane de Euro pentru „consolidarea și asigurarea interoperabilității sistemelor informatice” a unor instituții publice (MAI, MP, MFP, DGAF).

Răspunsul SRI – temeri confirmate

Deși scrisoarea inițiată de ONG-uri se adresa multor instituții naționale și europene (Comisia Europeană, Ministerul Fondurilor Europene, Primul Ministru, MCSI, Comisia de control a SRI, CSAT), până în acest moment doar SRI a venit cu un comunicat de presă care însă ridică mai multe semne de întrebare și confirmă o parte din temerile exprimate de semnatarii scrisorii. Pesemne că SRI ne ia de proști și ne anunță că Sistemul informatic de integrare și valorificare operațională și analitică a volumelor mari de date (SII Analitics), care urmează să primească finanțare, nu colectează date noi, ci le analizează, pe baza unor algoritmi, pe cele existente. Serios? Nu a existat nici o secundă suspiciunea că SRI va colecta date noi prin acest proiect – ar fi chiar culmea! Dar conform comunicatului SRI, ar trebui să fim liniștiți și mulțumiți că nu finanțăm operațiuni de colectare de date sau interceptare a comunicațiilor din fonduri europene! Trebuie să ai tupeu să scrii asemenea comunicat, să dai dovadă de un profund dispreț față de cetățenii a căror siguranță se presupune că o asiguri, tratându-i de idioți. Îngrijorarea ONG-urilor și a tuturor celor care au protestat împotriva finanțări proiectului nu este că vor fi colectate date noi, ci că datele cu caracter personal a milioane de români, date deja existente și obținute prin integrarea și agregarea bazelor de date de la diverse instituții vor fi accesate discreționar, abuziv, încălcându-se dreptul la viață personală și alte drepturi fundamentale. Sigur că statul poate accesa și procesa date cu caracter personal, dar nu oricum, ci conform unor proceduri previzibile, transparente, cu un scop precis și definit. Pentru aceasta există directive europene, iar unele state, cum e Franța au legi speciale și o autoritate administrativă independentă – Commission Nationale de l’Informatique et des Libertés (CNIL) – care veghează ca datele cu caracter personal să fie tratate conform legii în vigoare și care e solicitată să se pronunțe inclusiv atunci când e vorba de date ce au legătură cu siguranța națională sau apărare. Cu referire la aceasta temere, SRI ne asigură solemn că «Proiectul presupune un sistem de audit complex din punct de vedere al respectării legislației în vigoare». Care legislație, ce fel de audit, auditor selectat pe ce criterii? Nimic! Sau termenul de audit complex ar trebui să ne facă să dormim liniștiți și să credem SRI pe cuvânt

Tăcerea instituțiilor și răspunsul într-o ureche al SRI sunt doar începutul poveștii. Scrisoarea ONG-urilor nu a făcut decât să zgândăre pojghița sub care se ascunde un noian de probleme, majoritatea vechi, din păcate. Să le luăm pe rând.

Finanțări europene pentru activități care contravin directivelor europene?

Mai întâi, proiectul față de care au protestat ONG-urile pe motiv că ar conține potențialul unei supravegheri generalizate a populației nu e primul proiect de acest fel finanțat prin fonduri europene. SRI a mai accesat fonduri europene pentru proiecte cu potențial de supraveghere în masă și în trecut. În perioada 13.02.2015-15.12.2015, SRI a derulat un proiect similar, numit „SII Infrastructură – Sistem informatic integrat de interoperabilitate între bazele de date ale principalelor instituții ale statului”, în valoare de 74.997.580,00 RON, autoritatea de management fiind Ministerul pentru Societatea Informaţională. Ca și proiectul care a stârnit indignarea ONG-urilor și a mai multor cetățeni, și proiectul în cauză prelua informațiile necesare de la mai multe instituții publice, prin asigurarea interoperabilităţii dintre bazele de date ale acestora. Ceea ce nu setrece cu vederea e faptul că o instituție publică, să zicem MAI, nu poate să acceseze direct bazele de date ale altei instituții, de exemplu MFP. Curtea Europeană de Justiție s-a pronunțat deja în acest sens în cazul Bara vs. CNAS&ANAF (C201-14). În acest sens, decizia CEJ este foare clară – Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date trebuie interpretată în sensul că se opune unei reglementări naționale precum cea în discuție în litigiul Bara vs CNAS &ANAF, care permite unei instituții publice a unui stat membru să prelucreze datele cu caracter personal care i‑au fost transmise de o altă instituție publică, în special datele privind veniturile persoanelor vizate, fără ca acestea din urmă să fi fost informate în prealabil cu privire la transmitere și cu privire la prelucrare. Prin urmare, oricare ar fi reglementarea națională care permite în cazul de față Sistemului Informatic Integrat (SII) să își desfășoare activitatea, aparent există indicii temeinice ca ea ar contraveni prevederilor directivei 95/46/CE, din moment ce în ambele proiecte pentru care SRI a primit finanțare europeană se vorbește de accesarea integrată și rapidă a bazelor de date a diverselor instituții publice.

Paradox românesc – un sistem total secret pentru a spori transparența

Și aici survine o altă mare problemă – reglementarea în baza căreia funcționează SII este… secretă. SII, prin intermediul căruia sunt depozitate și gestionate informații adunate de la toate instituțiile statului,. este înființat în anul 2003 ca o componentă a Sistemul Electronic Naţional. La rândul său, Sistemul Electronic Național reprezintă, conform legii 161/2003, un sistem informatic de utilitate publică, creat în scopul asigurării accesului la informaţii publice şi furnizării de servicii publice către persoane fizice şi juridice. Rețineți, vă rog, cuvintele cheie – informație publică, serviciu public, utilitate publică. Operatorii sistemului, conform legii, sunt trei instituții – Inspectoratul General pentru Comunicaţii şi Tehnologia Informatiei din subordinea Ministerului Comunicaţiilor şi Tehnologiei Informatiei și Ministerul Administraţiei Publice și Sistemul Informatic Integrat (SII). Includerea acestui SII ca o componentă a Sistemului Electronic Național face azi ca SRI, în cadrul căruia funcționează mașinăria numită SII, să fie eligibil pentru finanțare pe programe de e-guvernare. Problema e că SII este creat și funcționează în baza unei hotărâri secrete din 2003 a Consiliului Suprem de Apărare a Țării, prezidat la acea vreme de Ion Iliescu, ceea ce ne pune pe noi, cetățenii, în imposibilitatea de a avea orice control asupra felului în care informațiile respective sunt utilizate. Conform relatărilor presei de la acea vreme, decizia CSAT a fost luată la cererea lui Radu Timofte, care descria SII astfel: «o mașinărie imensă, din domeniul IT, care conține date și informații, stocate în baza unor protocoale încheiate cu 11 sau 21 de instituții ale statului». După patru luni de la publicarea legii 161/2003 în Monitorul Oficial, Guvernul a emis o hotărâre de guvern prin care operaționaliza funcționarea SII, hotărâre contestată în instanță, dar fără succes, de APADOR-CH. Și iată așa, în mod paradoxal, o lege care își propune să crească transparența instituțiilor și accesul la informații de interes public (161/2003), ajunge să genereze contrariul său – un sistem complet secret și netransparent care, după toate probabilitățile, încalcă directiva europeană privind protectia datelor cu caracter personal. Și dacă mai există vreun dubiu pentru cineva în urma citirii acestor rânduri, atunci trebuie spus clar – da, ați înțeles corect, Sistemul Informatic Integrat, această mega-bază de date conținând informații despre milioane de cetățeni, e în funcțiune de de 13 ani. Asta înseamnă că în acest răstimp SRI și alte instituții ale statului au schimbat între ele – cel mai probabil ilegal – informațiile cu caracter personal a milioane de români. Înseamnă că, în esență, în România există un sistem informatic care permite SRI supravegherea în masă încă din 2003.

În acești 13 ani, SII a fost elefantul din cameră, despre care prea puțini au știut și de care încă și mai puțini au vorbit. A venit vremea să numim pe nume elefantul și să acționăm în consecință. Comisia de control a SRI din Parlament ar trebui să se auto-sesizeze și să verifice conformitatea legislației de funcționare a SII cu directiva europeană în materie de protecție a datelor personale și cu legislația internă. Ministerul Fondurilor Europene va trebui să ceară comisiei respective o anchetă pe acest subiect, să se asigure că nu finanțează cu bani europeni activități care contravin directivelor europene. Nu în ultimul rând, CSAT trebuie să demareze urgent procedura de desecretizeze a legii de înființare a SII – e o ironie absolută ca un sistem creat cu scopul maximizării accesului la informații publice și a transparentizării să funcționeze în baza unor legi secrete. Nu putem sta cu mâinile în șolduri așteptând ca elefantul din cameră să se evapore tacticos. Iar dacă vom sta cu mâinile în șolduri, vom sfârși prin a fi striviți de elefantul nostru.

***