La ora la care scriu acest articol, Primarul Sectorului 1 al Capitalei, doamna Clotilde Armand, a lansat inițiativa Tichete anti-criză energetică. Ideea nu este una rea: locuitorii Sectorului 1 pot primi vouchere de 1000 de lei pe care le pot folosi pentru investiții pentru următoarele obiective:
- creșterea eficienței utilizării energiei,
- stimularea producerii locale de energie din surse regenerabile,
- creșterea gradului de conștientizare și reducerea fenomenului de sărăcie energetică,
- îmbunătățirea calității mediului prin reducerea emisiilor de gaze cu efect de seră.
Totul bun și frumos, da? Nu, în niciun caz, fiindcă în buna tradiție a autorităților române de a face ceva util, a fost făcut pe genunchi. Astfel, site-ul a fost înregistrat pe data de 12 Nov – acum 5 zile practic.
Da, știu, de câteva luni probabil s-a lucrat la site, abia acum 5 zile l-au înregistrat. Dar hai să ne uităm puțin prin site. În primul rând, avem acolo un cod de Facebook Connect. De ce? Nu știm, el este acolo:
Unealtă de filtrare a cookie-urilor care să blocheze Facebook Connect? Mnope, nu ne complicăm cu așa ceva, ia mai dă-i naibii pe ăștia de la UE, ce atâtea reguli și chestii! Mergem mai departe, ia să vedem ce colectăm:
CNP? Serie și număr buletin? Număr de telefon? Foarte drăguț, îmi spune și mie cineva pentru ce este nevoie de aceste informații? O să ziceți că exagerez, dar aveți puțintică răbdare. Unul dintre principiile cheie ale GDPR este principiul transparenței, prin care ești obligat ca operator de date să asiguri o informare completă a persoanei vizate despre toate prelucrările pe care le faci cu datele ei personale. În cazul de față, singura informare despre prelucrare o găsim aici:
Adică nimic – nu tu scop explicit, temei legal de prelucrare, terțe părți implicate în prelucrare, timp de stocare, drepturi ale persoanelor vizate și cum pot fi ele exercitate și așa mai departe. Bun, dar astea țin de legislație și de obligativitatea fiecărui operator de date personale – persoane juridice, fizice, autorități șamd – de a le respecta. Primăria Sector 1 este însă deasupra acestor chestiuni insignifiante, gen legislație europeană sau respectarea drepturilor omului, deci mergem mai departe.
Completăm toate datele (la câmpul CNP ai un verificator de CNP, nu știu cum funcționează dar ia doar CNP-uri valide; mă rog, și ale persoanelor decedate), răspundem la întrebări, ajungem la final:
Yeeey, SMS de confirmare! Minunat, practic pot injecta în această jucărie oricâte numere de telefon ca să primească confirmări? Și eventual apoi să fie sunați! Mmmm, love this! Principiul corectitudinii datelor, failed! Principiul minimizării datelor, failed! Limitări legate de scop, transparență, failed!
Despre asta vorbim… despre „respectarea legii” versus respectarea legii.
6 comentarii Adaugă comentariu
GDPR se aplica in egala masura autoritatilor? Adica nu e normal ca o primarie sa aiba CNP-ul cetatenilor? Parca nu as pune primaria pe acelasi palier cu un spammer. De asemenea, uitandu-ma pe alte siteuri de primarie (s3, s4 de ex) si alea au facebook connect. Oare nu e cumva biased postul tau, in acest context?
GDPR se aplică în egală măsură autorităților, bineînțeles! Excepție fac doar autoritățile care se ocupă de siguranța națională, prevenirea infracționalității, chestii de astea. Dar au și ele regulile lor, nu se poate fără reguli.
Faptul că alții au FB Connect nu înseamnă că respectă legea – nu o respectă nici ei. Nu este deloc biased, legile se aplică la fel pentru toți…
ZIc ca e biased pentru ca individualizezi o primarie si o identifici cu primarul, desi inca cel putin 2 alte primarii au probleme similare. Oarecum legat de GDPR, din pacate, din postura de utilizator de servicii, mi se pare ca a afectat un pic mediul concurential: aveam aplicatii de android cumparate din US, dezvoltate de companii mici, care au fost retrase de pe magazinul Google din tarile UE, pentru ca era prea costisitor si : „GDPR rules were designed for companies with deepest pockets in the tech industry, and we are sad that small operation like ours is no longer able to provide official services to users in Europe. „. Ca si aici, la cazul concret cu primaria: o initiativa care mie mi se pare ok devine semnificativ mai dificil de implementat de catre autoritati, din cauza GDPR. In acelasi timp, spamul din contul meu de yahoo nu pare sa fi suferit prea mult…
Eu nu văd niciun Facebook Connect, sau vreun cookie, sau vreun request de tracking, cel puțin fără a fi completat până la capăt formularul cu pricina.
De acord cu faptul că ar trebui să fie mai elaborat capitolul 9 din regulament, dar e cale lungă până la clasificarea site-ului ca fiind făcut „pe genunchi”. Poate doar dpdv al GDPR-iștilor, că altfel, pare bine făcut tehnic.
Și cel mai important e că te scapă de dosarul cu șină și de stat la coada din primărie. Eu unul prefer varianta asta, chit că nu și-au bătut capul prea mult cu explicații despre cine sunt procesatorii și cât timp o să-mi păstreze CNP-ul. Astea sunt amănunte (da, cerințe legale, dar nu esențiale) care se pot face și ulterior pentru cei 0.001% care ar putea fi interesați de right to be forgotten.
– „Eu nu văd niciun Facebook Connect, sau vreun cookie, sau vreun request de tracking, cel puțin fără a fi completat până la capăt formularul cu pricina.” – uite-l în poză.
– „e cale lungă până la clasificarea site-ului ca fiind făcut „pe genunchi”. Poate doar dpdv al GDPR-iștilor, că altfel, pare bine făcut tehnic.” – mai puțin faptul că pot trimite SMS-uri aiurea. Așa, la o primă vedere.
– „Astea sunt amănunte (da, cerințe legale, dar nu esențiale)” – astea sunt cerințe ce derivă din Convenția Europeană a Drepturilor Omului. Alea pentru care unii au murit și mor. Dar ok, drepturile omului sunt un moft, ce ne batem atâta capul cu ele…
> uite-l în poză.
Poate că a fost când ai verificat tu, dar acum nu pare să mai fie, Încearcă un refresh și eventual un update pe articol.
> mai puțin faptul că pot trimite SMS-uri aiurea
Corect, soluția corectă ar fi fost o integrare cu firmele de telefonie mobilă (complicat, nu doar tehnic, ci și legal) sau să renunțe complet la solicitarea numărului de telefon. Din câte știu eu, nu avem încă în RO o posibilitate de identificare digitală a cetățenilor, bănuiesc că asta a fost soluția de compromis. Nu poți face ceva ieftin, repede și eficient fără să-ți asumi niște riscuri.
> astea sunt cerințe ce derivă din Convenția Europeană a Drepturilor Omului
Așa o fi, nu mă pricep. Dar hai să nu punem semnul egal între GDPR și dreptul la viață, liberate, educație și demnitate. Legislația trebuie și ea aplicată cu discernământ și în funcție de context. Dacă vor fi persoane lezate, să-și asume primăria lui Clotilde consecințele legale.
> e cale lungă până la clasificarea site-ului ca fiind făcut „pe genunchi”
?