Asociatia pentru Tehnologie si Internet (ApTI), unul dintre ONG-urile care au avertizat luni ca SRI ar vrea sa dezvolte 'un adevarat sistem informatic Big Brother, cu un potential de supraveghere generalizata a intregii populatii a Romaniei, nefiind prevazuta nicio masura de limitare a accesului SRI sau al altor institutii publice la datele personale colectate si integrate in acest sistem' sustine ca reactia si precizarile SRI transmise luni presei de catre Serviciu nu fac decat sa confirme suspiciunile ridicate, iar intrebarile fundamentale raman.

Sigla SRIFoto: SRI

Asociatia pentru Tehnologie si Internet (APTI), al carei director executiv este Bogdan Manolea, jurist specializat pe legislatia online, a publicat marti o noua analiza punctuala a precizarilor transmise luni de SRI dupa ce patru ONG-uri, printre care si ApTI, au avertizat asupra unui sistem IT pe care se pregateste sa-l implementeze Serviciul Roman de Informatii si care ar avea un potential de supraveghere generalizata a intregii populatii a Romaniei, fara a fi prevazuta nicio masura de limitare a accesului SRI sau al altor institutii publice la datele personale colectate si integrate in acest sistem.

  • Redam mai jos reactia ApTI la precizarile facute in urma cu o zi de SRI:

"Raspunsul SRI trimis catre presa nu doar ca nu clarifica nimic din textul initiat, ci practic ne confirma indirect toate suspiciunile. Raspundem punctual cu mai multe intrebari:

"SRI:'Proiectul "SII Analytics - Sistem informatic de integrare si valorificare operationala si analitica a volumelor mari de date" este destinat asigurarii unei capacitati superioare de analiza a bazelor de date ale principalelor institutii din Romania. Obiectivul platformei este de a spori considerabil viteza de cautare a informatiei relevante in bazele de date deja existente.

Practic, in loc sa interogheze sisteme diferite, neuniformizate informatic si procedural, institutiile statului vor putea accesa informatiile integrat, rapid si eficient. Sistemul nu colecteaza date noi, ci le analizeaza, pe baza unor algoritmi, pe cele existente. "

Aceaste afirmatii sunt corecte, dar nu contrazic cu nimic ceea ce am concluzionat noi.

Problema si intrebarea cheie ramane: Face SRI copii dupa bazele de date ale acelor institutii?

Raspunsul din caietul de sarcini si interpretarea comunicatului SRI pare pozitiv. In acest context, aceasta "mega-baza-de-date" ar fi o mina de aur pentru SRI si alte institutii in care vor putea cauta orice si oricand fara a fi tinuti de mandate de la judecatori sau alte bariere procedurale.

"SRI:'Rapiditatea in accesarea bazelor de date este impusa ca necesitate de amenintarile specifice institutiilor de intelligence din Romania - terorism, migratie ilegala, crima organizata, pentru a caror contracarare este necesara o prima reactie in timp foarte scurt. "

Informatia nu este gresita, dar vorbim de un proiect pentru eGuvernare si nu de un proiect legat de alte domenii. Raspunsul dovedeste insa ca proiectul SRI va avea alt scop decat cel declarat initial (ceea ce este ilegal din punct de vedere al procesarii datelor personale).

"SRI: 'Proiectul are drept scop modernizarea si eficientizarea activitatilor interne ale institutiilor cu atributii in prevenirea si combaterea fenomenelor de terorism, crima organizata, coruptie si evaziune fiscala, respectiv a institutiilor publice beneficiare (MAI, MP, MFP, DGAF, SRI)."

Informatia este din nou corecta, dar incompleta. Ceea ce nu spune SRI este faptul ca MFP nu poate sa aiba acces direct la datele MAI, acest lucru fiind deja declarat ilegal de catre Curtea Europeana de Justitie in cazul Bara vs. CNAS&ANAF (C201-14), ca urmare a interpretarii Directivei 95/46/EC si a Legii 677/2001 privind protectia datelor cu caracter personal.

Deci practic sistemul SII Analytics "va dribla" legea.

"SRI:'Proiectul presupune un sistem de audit complex din punct de vedere al respectarii legislatiei in vigoare, precum si al normelor de securitate privind accesul la datele stocate, orice interogare fiind jurnalizata automat si analizata in sensul evitarii oricarei forme de abuz."

Aceasta este o eroare prin informare incompleta. Daca SRI ar fi mentionat legea in vigoare ca fiind 677/2001, i-am fi intrebat de respectarea principiilor datelor personale (datele au fost colectate intr-un scop, de ce le folositi in al scop?), unde este analiza de impact asupra datelor personale, cine este auditorul extern al sistemului, cine face analiza tehnica a sistemului, de unde vom sti ca jurnalul de log-uri este corect, etc? Dar in mod intentionat SRI nu mentioneaza aceasta lege (ci prefera termenul vag de "legislatie in vigoare"), pentru ca ei considera ca nu li se aplica lor. Deci datelor cetatenilor nu sunt protejate nicicum, pentru ca autoritatile competente nu pot sa ii verifice.

Intrebarile fundamentale raman:

  • proiectul va aduce datele tuturor cetatenilor intr-un singur loc, fara posibilitatea reala de control. Cum se impaca aceasta cu legile Romaniei si ale Uniunii Europene?
  • ce cauta echipamentele si software-ul de interceptare in proiectul ce tine de eGuvernare?
  • ce cauta solutia de recunoastere faciala in proiectul ce tine de eGuvernare? 
  • ce cauta SRI in eGuvernare, in general, si in acest proiect, in special? Era o organizatie eligibila?

Reamintim ca pentru orice proiect pe fonduri europene care contrazice flagrant nu doar legile romanesti, ci si normele europene (jurisprudenta Curtii Europene de Justitie, Directiva 95/46/EC si Noul Regulament privind datele personale, Carta UE privind drepturile fundamentale), Romania va trebui sa dea banii inapoi din propriul buzunar, iar fondurile vor putea fi blocate daca sunt cheltuite pe alte activitati decat cele din caietul de sarcini sau din call-ul de proiecte.

Reamintim si art 1 alin (3) din Constitutia Romaniei:

(3) Romania este stat de drept, democratic si social, in care demnitatea omului, drepturile si libertatile cetatenilor, libera dezvoltare a personalitatii umane, dreptatea si pluralismul politic reprezinta valori supreme, in spiritul traditiilor democratice ale poporului roman si idealurilor Revolutiei din decembrie 1989, si sunt garantate.

Continuam sa cerem:

- anularea licitatiei si a proiectului care incalca drepturile fundamentale;

- includerea in conditiile de accesare a fondurilor europene, in mod explicit, a interdictiei folosirii acestora pentru incalcarea sau limitarea drepturilor cetatenilor;

- dezbaterea publica a rolului exact al SRI in societatea romaneasca, inclusiv a legislatiei conexe, ca si a garantiilor eficiente pentru oprirea abuzurilor de acest tip, precum si a transparentei institutionale pentru orice proiect care depaseste cadrul original de securitate nationala", arata APTI.

HotNews.ro a scris luna trecuta ca Serviciul Roman de Informatii (SRI), prin Unitatea Militara 0929 Bucuresti, a demarat o licitatie deschisa pentru implemenarea unui sistem IT al carui scop este 'dezvoltarea functiei de preventie, detectare si luare de masuri pentru reducerea redundantei platilor in zona publica, prevenirea fraudei si abuzurilor si cresterea eficientei in actul guvernamental", contract cu finantare UE, avand o valoare estimata fara TVA de peste 114,4 milioane lei (peste 25,5 milioane de euro), potrivit unui anunt publicat duminica in Sistemul Electronic de Achizitii Publice (SEAP).

Intrebat luni de presa in legatura cu avertismentul ONG-urilor fata de proiectul SRI, Dragos Tudorache, Ministrul interimar al Comunicatiilor si seful Cancelariei premierului Ciolos, a declarat: "Am discutat cu colegii de la Ministerul Fondurilor Europene si am inteles ca SRI va prezenta niste explicatii tehnice pentru a lamuri ce face si ce nu face acest sistem. SRI a aplicat pe aceasta schema de finantare catre autoritatea de management de la Ministerul Fondurilor Europene, a fost prima institutie care a avut un proiect pregatit si a fost supus spre analiza. Analiza a fost pozitiva si toate criteriile erau indeplinite".

Pentru detalii citeste: Licitatie de peste 25,5 milioane de euro la SRI intr-un sistem IT pentru reducerea redundantei platilor publice, prevenirea fraudei, coruptiei sau evaziunii fiscale