Starea democrației 2023

  • Posted on: 24 March 2024
  • By: Redacția ApTI

Pe 21 martie, coaliția ONG-uri pentru cetățean, din care face parte și ApTI, a lansat raportul Starea democrației în 2023. La acest document, ajuns la cea de-a treia ediție, au contribuit Centrul pentru Inovare Publică, CeRe: Centrul de Resurse pentru participare publică, ActiveWatch și ApTI.  

Raportul este o sinteză a principalelor derapaje de la valorile democratice înregistrate în anul 2023. Așa cum s-a întâmplat constant în ultimii ani, continuă declinul lent, dar sigur, al democrației. Intrăm în super-anul electoral 2024 cu instituții slăbite și cu cetățeni hărțuiți atunci când își revendică drepturile.

Noi am adunat, curatoriat și pus în context drepturile digitale în România - sau, mai degrabă, îngrădirea treptată a acestora. Am arătat și că, în fața securității cibernetice, una e legea pentru cetățean și alta pentru instituțiile statului. Toate, în timp ce, deasupra capetelor tuturor celor din societatea civilă și presă, plutește amenințarea spyware-ului și a monitorizării în scop de intimidare.

Capitolul redactat de ApTI este cel despre libertarea de exprimare și dreptul le viață privată pe internet, pe care-l reproducem aici, în întregime:

Vine DSA - hai cu notificarea la ANCOM

Regulamentul UE privind serviciile digitale (DSA) a intrat parțial în vigoare, inclusiv în etapa de nominalizare a unei instituții în rolul de coordonator de servicii digitale. În România, instituția desemnată este ANCOM, care și-a făcut propriul proiect de lege de implementare în așteptarea datei de 17 februarie 2024 când intră pe deplin în vigoare.

Acest proiect - adoptat de Camera Deputaților în februarie 2024 - introduce o obligativitate care nu există în Regulamentul UE. Astfel, o obligație de notificare a tuturor “serviciilor intermediare” la ANCOM, prezentă în proiectul de lege, s-ar putea traduce de facto într-un proces de înregistrare obligatorie a tuturor website-urilor care au conținut generat de utilizator (inclusiv, de exemplu, mass- media online care au secțiune de comentarii). Din ceea ce cunoaștem nicio altă țară nu a propus acest lucru, iar o obligație valabilă doar pentru furnizorii cu domiciliul în România ar încălca principiul pieței libere a Uniunii Europene și ar fi contrară esenței Regulamentului de a fi o piața unică.

Textul legislativ nu menționează colaborarea cu societatea civilă, nici cu experții din mediul universitar, deși Regulamentul european face explicită importanța includerii acestora în implementarea DSA. Omisiunile acestea fac ca întreg procesul de colaborare al instituției coordonatorului de servicii digitale cu societatea civilă și mediul academic să fie supusă capriciilor instituționale.

Cenzura pe internet și puterea disproporționată de a decide despre conținutul online oferită serviciilor militare și secrete

Într-un interviu acordat de generalul Anton Rog, șeful Cyberint din Serviciul Român de Informații (SRI), acesta declara faptul că SRI-ul poate și e obligat să intervină, inclusiv închizând site-uri, dacă un partid utilizează acțiuni hibride (de propagandă și dezinformare) la alegeri. Închiderea unor site- uri sau blocarea accesului cetățenilor la site-uri nu este o formă eficientă de combatere a unor încercări de manipulare a voinței populare. Nu există nici un mecanism de control civil sau de contestare a deciziilor de blocare, acestea fiind, în spirit, echivalente cenzurii.

În acest context reamintim că a fost declarată constituțională și e în vigoare noua lege a securității cibernetice a României, care lărgește atribuțiile pe care le are SRI inclusiv pentru "campanii de propagandă sau dezinformare" și care obligă persoanele care oferă servicii de securitate cibernetică să divulge informații despre vulnerabilitățile de securitate ale clienților unui număr de instituții, printre care SRI, STS, MApN și SPP. Această lege adaugă o nouă obligație unui spectru foarte larg și vag definit de persoane, juridice ori private, de a raporta vulnerabilitățile de securitate pe care le descoperă pe propriile platforme.

TikTok e rele

Interzicerea TikTok „pe motive de securitate” a reprezentat o distragere de la problema reală a folosirii de către această platformă a datelor cu caracter personal ale tuturor utilizatorilor.

Atât administrația Biden, cât și state membre ale Uniunii Europene, precum Estonia, Franța, Belgia, Danemarca și Olanda, au publicat interdicții de folosire a aplicației TikTok pe
telefoanele funcționarilor publici. În România, Directoratul Național de Securitate Cibernetică (DNSC) a recomandat interzicerea TikTok pe dispozitivele instituțiilor publice, în urma unei analize de securitate efectuată de Serviciul Român de Informații (SRI). Colectarea, folosirea și partajarea cu terți a datelor cu caracter personal e invocată ca motiv în toate aceste decizii, însă aceste practici nu sunt specifice TikTok - ele sunt întrebuințate de toate marile platforme de social media.

Decizia de interzicere distrage și de la chestionarea competenței personalului DNSC și SRI în ceea ce privește modul de protejare a datelor cu caracter personal. Lipsa unei comunicări din partea Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal pe această temă poate indica folosirea protecției datelor cu caracter personal ca un pretext pentru a reglementa și restrânge accesul cetățenilor la aplicații și servicii pe Internet.

Încercarea plină de zel de a legifera deepfake-urile se lovește de bariere de înțelegere a tehnologiei

Propunerea de lege cu privire la „deepfake” - adoptată de Senat și trecută de comisiile din Camera Deputaților în 2023 și dezbătută în februarie 2024 în plenul Camerei, dar întoarsă la comisii - scoate la suprafață confuzii grave făcute de legiuitori, atât legat de cum funcționează tehnologia cât și de cum pot fi prevenite înșelăciunile grave făcute prin intermediul deepfake-urilor. Textul pune în aceeași definiție materialul deepfake construit cu ajutorul inteligenței artificiale cu conținutul creat „cu ajutorul realității virtuale”. În timp ce scopul unui deepfake este să fie verosimil și credibil, greu de deosebit de conținutul real, este clar că realitatea virtuală e un concept care se referă la simulări și materiale digitale diferite și separate de realitatea verosimilă.

Proiectul de lege permite publicarea unui deepfake atâta timp cât este însoțit de un avertisment care ocupă minim 10% din suprafața materialului. Aceasta constituie o supra-reglementare din două motive: în primul rând există deja o infracțiune definită în art. 362 al Codului Penal (Alterarea integrității datelor informatice), în al doilea rând, deepfake-urile sunt deja reglementate într-un mod neutru în raport cu tehnologia prin Regulamentul AI Act al Uniunii Europene care urmează să intre în vigoare în 2024. În propunerea deputaților, orice conținut deepfake care nu este marcat este ilegal.

Acest tip de legiferare, care folosește termeni vag definiți și care adresează o singură tehnologie, expune cetățenii atât la o interpretare a legii care nu e previzibilă cât și la limitarea dreptului la exprimare.

Viața privată e o glumă pentru sectorul public. Și nu numai

Ministra educației, Ligia Deca, afirma, în aprilie 2023, că pornirea permanentă a camerelor video din sălile de clasă poate reprezenta o posibilă soluție în combaterea violenței din școală. Curtea europeană a drepturilor omului a clarificat încă din 2017, în cazul Antović and Mirković v. Montenegro, că supravegherea continuă a orelor de curs încalcă dreptul la viață privată. Ulterior, instituții de învățământ precum Liceul „Onisifor Ghibu” din Oradea au declarat că vor adopta soluții de recunoaștere facială a persoanelor care intră în incinta instituției. Asociația pentru Tehnologie și Internet (membră a Coaliției ONGuri pentru cetățean) a trimis o sesizare către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) o sesizare cu privire la folosirea la intrarea în școli, a sistemelor de monitorizare cu recunoaștere facială, precum și cu privire la proiectul de lege PLX 776/2023 care caută să extindă monitorizarea în spațiul public pe care o pot implementa instituțiile din domeniul siguranței publice. Atât actul normativ, cât și sistemele implementate de instituții de învățământ, nu oferă garanții adecvate de prelucrare a datelor cu caracter personal, iar folosirea unor astfel de sisteme poate duce la auto-cenzura comportamentului cetățenilor în spațiul public.

Lansarea aplicației de mobil ROeID, pe 25 mai 2023, de către Ministerul Cercetării, Inovării și Digitalizării (MCID) și Autoritatea pentru Digitalizarea României (ADR), este un exemplu foarte bun al atenției selective pe care autoritățile o oferă colectării și prelucrării datelor cu caracter personal pentru aplicația care ar permite identificarea cetățenilor în sisteme de e-guvernare. Procesul de înregistrare în aplicație implică trimiterea unei poze cu buletinul și încărcarea unui clip video, însă aplicația omite să publice măcar nota de informare obligatorie legată de prelucrarea datelor cu caracter personal, pe iOS și Android. Nici în 2024 această notă de informare nu a fost inclusă în aplicație. Plângerea ApTI către ANSPDCP nu a primit încă niciun răspuns.

Scurgerea datelor cu caracter personal a peste 17.000 de persoane din aplicația de mobil dezvoltată de partidul AUR a rămas, și ea, nesancționată. Vulnerabilitatea tehnică care a dus la expunerea datelor a fost, totuși, remediată ulterior.

Furtul datelor personale de pe website-ul Camerei Deputaților, inclusiv ale premierului Marcel Ciolacu, a fost mai întâi minimizat în declarația inițială a Camerei, apoi a devenit subiect de ping-pong într-o serie de declarații publice ale diverselor instituții cu încercări de a găsi vinovatul în instituțiile care ar fi trebuit să fie responsabile pentru securizarea datelor.

Amintim de nivelul de “competență” al instituțiilor publice rezumat în fraza celebră ”incidentele, amenințările, riscurile sau vulnerabilitățile de securitate cibernetică au un caracter profund ilicit" - text primit în scris într-un document public în dezbaterea pe marginea legii securității cibernetice din 2022 de la Ministerul Cercetării, Inovării și Digitalizării. Acum vedem și practic incompetența, în ciuda adoptării urgente a unei legi excesive și în ciuda responsabilităților date instituțiilor militarizate din România.

Până la urmă tot plătim cu datele noastre

Compania Meta, care deține Facebook, a lansat un abonament pe care utilizatorii îl pot plăti pentru a se asigura că datele lor personale nu vor fi folosite pentru a le livra reclame personalizate. Pentru un simplu cetățean, abonamentul ar costa aproximativ 1.255 RON anual, doar pentru a își exercita un drept fundamental pe Facebook. Alte companii producătoare de aplicații similare ar putea urma acest exemplu, iar, dat fiind că, în medie, un telefon are 35 de aplicații instalate, costul confidențialității unui singur cetățean s-ar putea ridica la 44.075 RON. Asociația noyb (None of Your Business) a înaintat două plângeri împotriva practicilor Meta către autoritatea pentru protecția datelor din Austria. Prima plângere argumentează că acest cost este inacceptabil de mare, iar a doua, că o dată ce un utilizator și-a oferit consimțământul să fie monitorizat și să i se livreze reclame personalizate în baza datelor sale (refuzând să plătească abonamentul), acest consimțământ este greu de retras. Utilizatorii români ai Meta pot alege să facă plângeri similare către ANSDPCP (pentru aspectele legate de datele personale) sau ANPC (pentru informațiile înșelătoare pentru consumatori).

Scandalul spyware care a zdruncinat Europa și monitorizarea jurnaliștilor și activiștilor

De-a lungul anului 2023, multiple investigații - atât jurnalistice cât și publicate de experți în securitate cibernetică - au documentat folosirea programelor software de tip spyware pentru a infecta și apoi monitoriza dispozitivele jurnaliștilor, activiștilor și a oponenților politici ai guvernelor din întreaga lume. În Grecia, atât politicieni din partidul de opoziție PASOK cât și jurnaliști au pornit procese împotriva folosirii spyware-ului (Predator, în acest caz). Tot în Grecia, unei victime, un cetățean american, i-a fost infectat dispozitivul cu Predator. În Polonia, una din victimele infectării cu alt program de tip spyware, Pegasus, a fost un primar care era afiliat opoziției politice. În 2023, Galina Timchenko a devenit prima jurnalistă din Rusia ale cărei dispozitive au infectate cu Pegasus în timpul unei vizite în Germania. La final de 2023, Pegasus a fost descoperit pe telefoanele a două persoane din societatea civilă din Serbia.

Comisia Europeană a înființat Comisia de anchetă pentru investigarea utilizării Pegasus și a altor programe spion de supraveghere echivalente (PEGA), iar aceasta a publicat o serie de recomandări (care nu au caracter obligatoriu pentru statele membre UE). Organizații din societatea civilă, din rețeaua European Digital Rights, au cerut Comisiei PEGA să interzică folosirea software-ului de tip spyware.

European Media Freedom Act (EMFA) este un act legislativ al Uniunii Europene care stabilește o serie de reguli privind independența media, inclusiv siguranța jurnaliștilor. Acordul negociat, însă, nu conține garanții esențiale împotriva măsurilor de supraveghere care vizează jurnaliștii ceea ce ridică probleme importante din perspectiva drepturilor digitale. Astfel, EMFA menționează explicit faptul că securitatea națională este o responsabilitate a fiecărui stat membru în parte, ceea ce le permite autorităților să folosească în continuare software de monitorizare a jurnaliștilor, sub acest pretext.

Impas în efortul de a scana comunicațiile private online ale tuturor cetățenilor Uniunii Europene și de a valida vârsta cetățenilor pe internet

Un proiect de lege controversat al Comisiei Europene, supranumit #ChatControl, a ajuns într-un impas major. Această propunere de regulament, menită să protejeze copiii și să oprească diseminarea materialului cu abuzuri sexuale care implică persoane minore, își propunea să scaneze comunicațiile private online ale tuturor persoanelor, pe teritoriul UE, cu ajutorul Inteligenței Artificiale să impună validarea vârstei, atunci când aceștia vizitează website-uri.

Atât cercetătorii în domeniul securității cibernetice cât și societatea civilă din UE au fost foarte vocali împotriva acestei propuneri de regulament, argumentând că măsurile pun în pericol siguranța și confidențialitatea cetățenilor, sunt disproporționate și riscă să dăuneze inclusiv copiilor. Guvernele Franței, Germaniei și Poloniei au refuzat, în special, propunerea Comisiei privind scanarea în masă a mesajelor private care ar fi spart criptarea.

Președinția spaniolă a Consiliului UE a recunoscut, în cele din urmă, că nu se așteaptă că va reuși să ajungă la un acord între statele membre ale UE înainte de sfârșitul anului 2024.

În același registru, câțiva parlamentari PNL au lansat spre largă dezbatere publică un proiect de lege care vizează verificarea vârstei copiilor, pe internet. Părintelui i s-ar conferi o putere absolută asupra comportamentului minorului pe internet. Mai mult decât atât, acest proiect de lege ar încălca dreptul la o viață privată a copilului, precum și a autonomiei și a exprimării de sine a copiilor pe internet. Opinia ApTI cu privire la acest proiect poate fi găsită aici.

 

Add new comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.