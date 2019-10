00:20

Prin această scrisoare deschisă ne exprimăm îngrijorarea cu privire la respectarea principiilor fundamentale ce ţin de respectarea vieţii private, prin punerea în aplicare a sistemului de recunoaştere facială ce urmează a fi achiziţionat de Inspectoratul General al Poliţiei Române prin procedura de achiziţie cu numărul CN1014432 (1), formulând totodată mai multe cereri în mod public.(1) http://sicap-prod.e-licitatie.ro/pub/notices/c-notice/v2/view/100069755?fbclid=IwAR2R8so4QmYTLdHr1Abfx2FlE0Oecunc04_rbKtdSaF_gaPFReNbJjHHYX4Atragem atenţia asupra obligaţiei autorităţilor publice de a respecta şi ocroti viaţa intimă, familială şi privată, în temeiul Art. 26 (1) din Constituţia României, art. 151 din TFUE, art. 8 din COE şi art. 71 din Noul Cod Civil - Dreptul la viaţă privată.Subliniem faptul că organizaţiile semnatare nu se poziţionează împotriva implementării de noi tehnologii menite să aducă un plus de siguranţă locuitorilor României, susţinând în schimb o abordare responsabilă a acestora, respectând dreptul la viaţă privată, conform legislaţiei naţionale şi europene aplicabile.Considerăm că decizia implementării unui sistem de monitorizare în masă, care vizează toţi locuitorii României, ar fi trebuit luată, conform cerinţelor legale, în urma unui proces real şi transparent de evaluare a riscurilor, care să implice atât Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cât şi societatea civilă. Lipsa acestui proces ne determină să privim cu scepticism atât legalitatea implementării acestui sistem, cât şi capacitatea de a-şi îndeplini scopul fără a aduce atingeri drepturilor tuturor locuitorilor României.Redactarea Caietului de sarcini desconsiderând obligaţiile privind instituirea unor garanţii adecvate pentru drepturile şi libertăţile persoanelor va avea drept consecinţă achiziţia unui sistem de recunoaştere facială care nu va putea fi folosit în condiţii de legalitate. Inspectoratul General al Poliţiei Române, din subordinea Ministerului Afacerilor Interne, trebuia să facă o analiză de impact înainte de a demara orice acţiune legată de prelucrarea datelor cu caracter personal, cum ar fi achiziţionarea aplicaţiei software, şi să includă criterii fundamentale care să asigure respectarea principiilor "privacy by design" şi "privacy by default". Toate organizaţiile semnatare susţin introducerea unei noi tehnologii privind creşterea gradului de combatere şi elucidare a infracţiunilor, ce respecta dreptul la viaţă privată al persoanelor vizate, precum şi celelalte criterii prevăzute în lege. Subliniem faptul că interoperabilitatea datelor personale trebuie să se bazeze pe transparenţă şi respectarea principiilor colectării datelor cu caracter personal, astfel încât cetăţenii să poată avea încredere că datele lor sunt prelucrate corespunzător, fără a exista riscurile unui dezechilibru.Prin urmare vă solicităm să vă asiguraţi că aţi urmat toţi paşii necesari pentru a oferi posibilitatea acestui sistem să devină funcţional, eficacitatea acestuia să fie una optimă, în conformitate cu dispoziţiile legale, fără a aduce atingere drepturilor şi libertăţilor persoanelor. Vă solicităm să ţineţi cont de următoarele noastre propuneri pentru a obţine conformitatea soluţiei tehnice privind implementarea sistemului de recunoaştere facială.Situaţia premisăÎn urma publicării unui comunicat de presă (2) la începutul acestui an, în data 27.08.2019 a fost publicat în Sistem informatic colaborativ pentru mediu performant de desfăşurare al achiziţiilor publice (SICAP) anunţul cu numărul de participare CN1014432 privind achiziţionarea unei soluţii informatice pentru recunoaştere facială + training, în cadrul proiectului "Dezvoltarea sistemului de identificare şi recunoaştere facială (NBIS) şi interconectarea acestuia cu autorităţile de aplicare a legii din UE prin intermediul sTESTA", autoritate contractantă fiind Inspectoratul General al Poliţiei Române, din subordinea Ministerului Afacerilor Interne.(2) https://www.politiaromana.ro/ro/stiri-si-media/comunicate/proiect-european-implementat-de-politia-romanaUtilizarea sistemelor de recunoaştere facială a făcut subiectul multor controverse pe plan mondial motiv pentru care achiziţia unei astfel de tehnologii a atras imediat atenţia organizaţiilor din România dedicate protecţiei drepturilor şi libertăţilor persoanelor. Pentru introducerea unei astfel de tehnologii, considerăm ca este primordial dialogul şi consultarea cu părţile interesate, anterior emiterii Caietului de sarcini pentru achiziţia sistemului de recunoaştere facială, astfel încât redactarea cerinţelor de achiziţie să îndeplinească criteriile privind respectarea vieţii private.Întrucât acest dialog nu a avut loc, venim proactiv în sprijinul Autorităţii contractante prin analiza documentaţiei acestei achiziţii şi am constatat:- lipsa îndeplinirii cerinţelor de ordin tehnic, referitoare la securitatea prelucrărilor de date, obligatorii pentru o funcţionare în condiţiile legii a unui asemenea sistem.- lipsa transparenţei privind implementarea sistemului în acord cu principiile privind respectarea vieţii private- lipsa de informaţii privind măsurile de securitate puse în etapa de utilizare a soluţiei tehnice- lipsa informaţiilor privind modul de exercitare a drepturilor persoanelor vizate- lipsa unei evaluări prealabile a impactului asupra datelor personale- lipsa unei consultări prealabile cu autoritatea naţională de supraveghere (ANSPDCP)- ponderea mică a corectitudinii algoritmului - conform criteriilor de atribuire a contractului menţionate în Caietul de sarcini al achiziţiei, ponderea pentru "Eficacitatea algoritmului de căutare/comparare" este de doar 30%.Toate aceste aspecte ne întăresc temerile că soluţia informatică, aşa cum este ea prezentată în Caietul de sarcini, va expune persoanele vizate unui risc iminent de încălcare a dreptului la viaţă privată.Am solicitat o serie de clarificări (3) Autorităţii contractante însă răspunsul acesteia ne-a sugerat că în momentul conceperii Caietului de sarcini (4) nu au fost urmate etapele obligatorii conform legislaţiei naţionale. Subliniem faptul că ignorarea acestor aspecte în momentul conceperii cerinţelor Caietului de sarcini, va avea inevitabil repercusiuni ireversibile asupra persoanelor vizate ce pot fi afectate de sistemul de recunoaştere facială.(3) https://ascpd.ro/wp-content/uploads/2019/09/solicitare.pdf(4) https://ascpd.ro/wp-content/uploads/2019/09/licitatie-recunoastere-faciala.rar În conformitate cu Art. 32 din Legea nr. 363/2018, precum şi Decizia Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 174 din 18 octombrie 2018, autoritatea contractantă (Inspectoratul General al Poliţiei Române) avea obligaţia: realizării unei evaluări a impactului prelucrărilor de date (DPIA); consultarea prealabilă cu Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.Autoritatea contractantă (Inspectoratul General al Poliţiei Române) nu a putut confirma existenţa acestei evaluări sau a îndeplinirii acestei obligaţii.Conform art. 11 din Legea nr. 363/2018, adoptarea unei decizii întemeiate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce un efect juridic negativ pentru persoana vizată sau care o afectează în mod semnificativ este interzisă, cu excepţia cazului în care prelucrarea este reglementată expres de lege, fiind prevăzute garanţii adecvate pentru drepturile şi libertăţile persoanei vizate, inclusiv dreptul de a obţine intervenţia umană din partea operatorului. Autoritatea contractantă nu a indicat existenţa unei reglementări exprese de lege care să vizeze utilizarea de sisteme de recunoaştere faciala şi nici garanţii adecvate pentru drepturile şi libertăţile persoanei vizate.Am solicitat cerinţele Autorităţii contractante cu privire la funcţionalităţile sistemului de recunoaştere facială care vor asigura respectarea prevederilor art. 13 şi art. 16-21 din Legea nr. 363/2018. Autoritatea contractanta nu a indicat asemenea cerinţe în documentaţia achiziţiei.Conform dispoziţiilor art. 25 al Regulamentului General privind Protecţia Datelor (Regulamentul UE 679/2016) prin care se instituie obligativitatea asigurării protecţiei datelor începând cu momentul conceperii ("privacy by design") şi pe toată durata de viaţă a sistemului ("privacy by default"), autoritatea contractantă avea obligaţia de a institui măsuri tehnice şi organizatorice adecvate încă din momentul elaborării Caietului de sarcini al procedurii în cauză. Autoritatea contractantă nu a indicat asemenea cerinţe cuprinse în documentaţia achiziţiei.Conform dispoziţiilor art. 33 din Legea nr. 363/2018, atunci când discutăm despre utilizarea de noi tehnologii, mecanisme sau proceduri care implică un risc ridicat la adresa drepturilor şi libertăţilor persoanelor vizate, este necesară consultarea autorităţii naţionale de Supraveghere. Autoritatea contractanta nu a indicat existenţa unei consultări cu autoritatea de supraveghere.Conform art. 49 din Legea nr. 363/2018, interoperabilizarea sistemelor de evidenţă a datelor cu caracter personal este posibilă numai cu consultarea prealabilă a autorităţii de supraveghere. Autoritatea contractantă nu a putut indica existenta unei consultări cu autoritatea de supraveghere.Subliniem faptul că Autoritatea contractantă nu a oferit solicitărilor noastre răspunsuri clare şi complete aşa cum impune legea achiziţiilor publice, practic refuzând să ne răspundă, invocând faptul că solicitările noastre nu vizează aspecte de ordin tehnic. Ori, din punctul nostru de vedere, măsuri tehnice şi organizatorice adecvate pe care implementarea unui asemenea sistem le implica, vizează tocmai aspecte de ordin tehnic.Mai mult, Autoritatea contractantă menţionează în răspunsul la solicitările de clarificări (5) că "După finalizarea contractului şi semnarea procesului verbal de recepţie fără obiecţiuni, înainte de trecerea în producţie a sistemului, IGPR va respecta toate normele şi prevederile legale în vigoare". Din analiza modului de exprimare, înţelegem că IGPR va achiziţiona tehnologia de recunoaştere facială fără respectarea cerinţelor legale în vigoare, urmând să îşi asume respectarea legislaţiei în etapa subsecventă de punere în funcţiune. O astfel de abordare ne arată că este foarte puţin probabil ca un sistem funcţional să respecte legislaţia în vigoare atâta timp cât la momentul achiziţiei măsurile tehnice şi organizatorice adecvate impuse de legislaţia în vigoare au fost omise în momentul întocmirii Caietului de sarcini al achiziţiei.(5) https://ascpd.ro/wp-content/uploads/2019/09/Raspunsuri-clarificari-semnat.pdf Riscurile asociate sistemelor de recunoaşterea facialăCâteva dintre riscurile asociate acestui tip de prelucrări: false potriviri - identificarea eronată a persoanelor; discriminare - sistemele de recunoaştere facială au o eficienţă mult mai redusă în cazul persoanelor BME (Black Male Adult), a femeilor, dar mai ales a copiilor. Aceste erori creează şi consolidează categoriile discriminate pe baza genului şi rasei, cu efecte negative din punct de vedere social; abuzuri - fără existenţa unor reglementări clare privind condiţiile de utilizare ale unui asemenea sistem, utilizarea abuzivă a acestuia este foarte probabilă; schimbarea comportamentului - va determina schimbarea comportamentului persoanelor pentru a se conforma comportamentului general acceptat de societate. Persoanele se vor teme să participe la anumite tipuri de evenimente de teama de a nu fi asociaţi unei numite categorii de persoane (evenimente sportive, concerte, manifestaţii publice etc.).Prevederile legislaţiei europeneÎn conformitate cu prevederile art. 9 alin. (1) din Directiva 680, operaţiunilor de prelucrare automată pentru identificarea unică a persoanei fizice, cu generarea unor decizii individuale automatizate care pot genera efecte juridice negative pentru subiecţii de date, în vederea combaterii şi elucidării cazurilor asociate furtului de identitate, a documentelor pierdute, identificarea suspecţilor care comit sau intenţionează fapte de natură penală (terorism, infracţiune cu violentă etc.) nu le sunt opozabile cerinţele Regulamentului general privind protecţia datelor (GDPR), în măsura în care datele colectate în scopurile enunţate nu vor fi prelucrate în alte scopuri decât cele care cad sub incidenţa Regulamentului.Chiar dacă cerinţele Directivei 680 nu au aplicabilitate directă pentru statele membre cum ar fi în cazul GDPR, pentru asigurarea respectării dreptului la viaţa privată în legătură cu prelucrarea datelor cu caracter personal în sectorul poliţienesc aceste trebuinţe reprezintă un imperativ.În acest sens, art. 10 din Directiva 680/2016 stabileşte expres şi fără drept de interpretare că: prelucrarea datelor genetice, prelucrarea datelor biometrice pentru identificarea unică a unei persoane fizice (...) este autorizată numai atunci când este strict necesară şi sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile persoanei vizate şi numai atunci când este autorizată de dreptul Uniunii sau de dreptul intern.Pentru a putea aprecia caracterul conform al acestei achiziţii ale IGPR, se impun următoarele întrebări:- Art. 12-18, cum se vor respecta drepturile persoanelor vizate şi în ce măsură vor fi asigurate/restrânse, inclusiv perioada pentru care nu vor fi informaţi; - Art. 22, care sunt măsurile organizatorice şi tehnice puse în aplicare de către persoana împuternicită, care aparent este de drept privat; - Art. 24, care este actul normativ care stabileşte condiţiile de evidenţă a prelucrărilor de date în special care s-ar referi la: destinatarii datelor, categoriilor de persoane vizate, eventualul transfer către o ţară terţă, temeiul juridic al prelucrării, termenul limită pentru ştergere a datelor, măsurile generale tehnice de securitate asigurate. - Art. 27, dacă a fost efectuat impactul asupra protecţiei datelor cu caracter personal înainte de a prelucra categoria specială de date prin intermediul dezvoltării unei noi tehnologii. - Art. 28, dacă în prealabil a fost consultată Autoritatea de supraveghere, inclusiv care a fost poziţia acesteia pe caz, cu specificarea aspectelor esenţiale; - Art. 36-37, dacă se va efectua transferul către ţări terţe şi care vor fi situaţiile opozabile; - Art. 41, care este Autoritatea responsabilă de asigurarea protecţiei datelor cu caracter personal în cazul unor astfel de operaţiuni de prelucrare a datelor şi care sunt competenţele efective ale acesteia.De menţionat că, aşa cum opinează CEDO în numeroasele sale hotărâri, simplul fapt al colectării şi înregistrării de către o autoritate publică a datelor cu caracter personal ale unei persoane vizate - reprezintă o ingerinţă în viaţa privată, care poate avea loc doar dacă este prevăzută de LEGE şi este necesară într-un stat democratic.Alte aspecte pe care nu pot fi ignorate:- Conform criteriilor de atribuire a contractului menţionate în Caietul de sarcini al achiziţiei, ponderea pentru "Eficacitatea algoritmului de căutare/comparare" este de doar 30%, fiind pe aceeaşi treaptă cu preţul ofertei, restul factorilor de evaluare vizând caracteristici hardware care nu afectează acurateţea funcţionarii software-ului de recunoaştere facială; - De asemenea, un alt aspect îngrijorător este lipsa cerinţelor privind demonstrarea capacităţii tehnice şi profesionale a ofertantului. Prin urmare, operatorii care vor depune o oferta nu vor trebui să dovedească că deţin experienţă în implementarea unei soluţii similare sau măcar faptul că personalul care se va ocupa de instalarea sistemului şi/sau instruirea personalului autorităţii contractante este calificat şi deţine experienţă specifică în astfel de proiecte; - Conform cerinţelor Caietului de sarcini, sistemul de recunoaştere facială va putea efectua căutări/verificări/comparaţii ale imaginilor faciale din bazele de date ale poliţiei asociindu-le cu cele provenite de la CCTV, webcam, telefoane mobile, reţele sociale, camere ATM. O monitorizare care integrează toate aceste sisteme care colectează date faciale, care poate surprinde persoanele în mediul public, dar şi din cel privat, este extrem de invazivă în viaţa privată a indivizilor. Este o prelucrare disproporţionată faţă de beneficiile teoretice pe care acest sistem le propune, teoretice deoarece aceasta tehnologie este încă în curs de dezvoltare şi pentru moment acesta rămâne nesigură.Exemple privind implementarea sistemelor de recunoaştere facială1. Utilizarea de către Poliţia South Wales (Marea Britanie) a tehnologiei automate de recunoaştere facială pentru prevenirea infracţiunilorSistemul a fost contestat, iar judecătorii au decis (6) că, deşi utilizarea unui sistem de recunoaştere facială automată constituie o ingerinţă în dreptul la viaţă privată, există o bază legală pentru aceasta, iar garanţiile oferite de poliţie privind respectarea drepturilor şi libertăţilor persoanelor vizate au fost proporţionale.În urma acestei decizii ICO, autoritatea de supraveghere din Marea Britanie a declarat (7) că "Între timp, orice forţe de poliţie sau organizaţii private care utilizează aceste sisteme ar trebui să fie conştiente de faptul că legislaţia şi ghidurile privind protecţia datelor încă se aplică." a declarat ICO.(6) https://www.judiciary.uk/judgments/r-v-the-chief-constable-of-south-wales-police-and-others/(7) https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/09/statement-high-court-judgement-frt-south-wales-police/2. Utilizarea de către Poliţia Metropolitană Londoneză (Marea Britanie) a tehnologiei automate de recunoaştere facială pentru prevenirea infracţiunilorPoliţia Metropolitană din Londra a testat în perioada august 2016 - iulie 2018 un sistem de recunoaştere facială. Conform datelor făcute publice de poliţia londoneză (8), în perioada de testare a sistemului au fost declanşate 104 alerte din care 102 s-au dovedit a fi eronate, în timp ce doar două au fost confirmate. Asta înseamnă o rată a falselor potriviri de peste 98 %.(8) https://www.met.police.uk/SysSiteAssets/foi-media/metropolitan-police/disclosure_2018/april_2018/information-rights-unit---mps-policies-on-automated-facialrecognition-afr-technologyScenarii de risc asociate achiziţiei:- Sistemul nu va putea funcţiona din cauza lipsei măsurilor tehnice şi organizatorice adecvate impuse de legislaţia în vigoare. Cu alte cuvinte, bani aruncaţi pe fereastră.- Sistemul nu va funcţiona în mod legal, iar toate persoanele care vor fi identificate de acest sistem vor putea contesta în instanţă legalitatea acestuia.- Persoane supuse acestui tip de monitorizare în masa vor face plângere împotriva utilizării acestui sistem invocând încălcarea drepturilor şi libertăţilor acestora;- Falsele potriviri vor genera neîncrederea românilor în eficacitatea acestui sistem, scăzând astfel şi mai mult încrederea în capacitatea Poliţiei Române de a asigura un grad adecvat de siguranţă.Opinăm că implementarea unui asemenea tip de tehnologie trebuie sa fie ferm reglementat şi supus unui control strict pentru a se evita eventuale utilizări abuzive sau care ar avea ca efect încălcarea drepturilor şi libertăţilor persoanelor vizate şi totodată scăderea încrederii populaţiei în instituţia Poliţiei Române, al cărei slogan vi-l amintim: "Siguranţă şi încredere".Pentru conformitatea soluţiei tehnice solicităm analiza următoarele acţiuni propuse:1. anularea procedurii de achiziţie în cauză; 2. identificarea sau elaborarea unui cadru legal care să reglementeze expres un astfel de sistem de monitorizare în masă; 3. efectuarea unei evaluări a impactului prelucrărilor de date pentru acest tip de prelucrare; 4. consultarea societăţii civile cu privire la utilizarea unui sistem de recunoaştere facială; 5. consultarea autorităţii cu privire la rezultatul evaluării impactului prelucrărilor pentru a stabili împreună cu aceasta măsurile corespunzătoare care vor fi instituite pentru protejarea drepturilor, a libertăţilor şi a intereselor legitime ale persoanei vizate; 6. redactarea unui nou Caiet de sarcini care să cuprindă cerinţe exprese privind măsurile tehnice şi organizatorice pe care sistemul trebuie sa le cuprindă încă din momentul conceperii; 7. stabilirea la cel puţin 70% a ponderii criteriului de selecţie privind "Eficacitatea algoritmului de căutare/comparare", acesta fiind de departe cel mai important aspect al acestui sistem; 8. impunerea de criterii de selecţie în ceea ce priveşte demonstrarea capacităţii tehnice şi profesionale prin solicitarea demonstrării existenţei unei experienţe similare prin implementarea unui sistem similar şi solicitarea de recomandări emise de beneficiari, precum şi solicitarea dovezilor privind deţinerea unui specialist în data privacy care va asista pe toată perioada de implementare a sistemului şi a trainingului personalului autorităţii contractante.Semnatari: Asociaţia Specialiştilor în Confidenţialitate şi Protecţia Datelor (www.ascpd.ro) Marius Dumitrescu, Preşedinte Asociaţia pentru Tehnologie şi Internet - ApTI (www.apti.ro) Bogdan Manolea, Director Executiv Asociaţia pentru Protecţia Vieţii Private (www.privacy.md) Sergiu Bozianu, Preşedinte Asociaţia pentru Respectarea Drepturilor Omului (www.ardom.ro) Maria Pop, Preşedinte