Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) România a realizat două studii privind modul în care este făcută comunicarea prin email în instituțiile publice și în rândul medicilor de familie din România.
Concluziile acestor studii arată că protecția datelor cu caracter personal utilizată în cele două căi de comunicare lasă de dorit:
- adresele de email au fost folosite pentru a crea conturi pe platforme online care ulterior au fost compromise, iar datele utilizatorilor au fost dezvăluite unor părți neautorizate.
- deși nu au fost dezvăluite direct datele stocate pe aceste conturi de email, s-au format premizele pentru ca acestea să fie atacate ulterior. În practică se cunoaște că doar 35% din utilizatori folosesc parole diferite pentru conturi diferite, deci e posibil ca pentru 13-52% din cazuri să fi fost compromisă și parola efectivă a contului de email în situația reutilizării ei.
UNDE AU FOST UTILIZATE EMAILURILE?
Pe platforme comerciale ca de exemplu MySpace (rețele sociale), Minecraft (jocuri online), DriveSure (platforma de vânzări auto) Evony (jocuri online), Heroes of Newwerh (jocuri online), R2Games (jocuri online), Zynga (jocuri online), LinkedIn (rețele sociale), Adobe (furnizor de servicii de editare online), ceea ce DEMONSTREAZĂ folosirea adreselor de email ale instituțiilor în alte scopuri decât cele oficiale.
Din analiza adreselor de email utilizate de medicii de familie rezultă că foarte multe dintre acestea (circa 96%) sunt configurate prin servicii publice gratuite adresate persoanelor fizice și nicidecum companiilor. Așadar, adresele de email pot aparține medicilor, asistentelor, dar chiar și foștilor angajați. Practic sunt adrese de email folosite la comun de mai multe persoane, pentru care nu există o evidență exactă a accesărilor. În plus, anumite servicii publice, precum Yahoo sau Gmail, oferă acces la conținutul emailuri-lor unor terțe părți pentru îmbunătățirea serviciilor, fără să dea posibilitatea utilizatorilor să se opună acestui lucru.
Se observă, de asemenea, că 36% dintre adresele de email au apărut în baze de date care au fost compromise de hackeri de-a lungul timpului. Aici discutăm de folosirea acestor adrese de email în alte scopuri decât cele oficiale, adică în interesul companiilor și mai curând în scopuri personale, pentru configurarea conturilor pe diverse site-uri de jocuri online, magazine online sau rețele de socializare, ceea ce ridică o mare suspiciune asupra compromiterii credențialelor de acces la emailuri și, bineînțeles la compromiterea întregului conținut al acestora. Se cunoaște că majoritatea utilizatorilor folosesc o singură parolă de accces pentru toate serviciile online, iar dacă aceasta a fost compromisă, este evident că e foarte posibil ca toate serviciile asociate acesteia să fi fost compromise.
Utilizarea emailului si a soluțiilor de mesagerie gratuita este o realitate și in instituțiile sanitare sau de învățământ din România unde majoritatea datelor personale aparțin minorilor sau sunt date speciale privind sănătatea pacienților.
Persoana responsabilă care ar putea sesiza și depune efort de a schimba acest mod de comunicare neprofesionist este chiar Responsabilul cu protecția datelor care am putea spune că lipsește în majoritatea acestor organisme publice, deși acestea sunt obligate să-l desemneze și să notifice ANSPDCP, conform GDPR.
Propunerea legislativă pentru digitalizarea administraţiei publice prin eliminarea hârtiei din fluxul intern şi inter-instituţional, prevede faptul că “Toate instituțiile publice vor utiliza, pentru corespondența prin poștă electronică, doar adrese ale căror domenii sunt deținute de respectivele instituții sau de către o altă instituție publică”.
CE PUTEM FACE?
Ca cetățeni putem să refuzăm categoric să trimitem emailuri atunci când o autoritate publică (primărie/ spital/școală) ne solicită să trimitem documente sau informații pe un astfel de email gratuit și să sesizăm operatorul atunci când primim mesaje în interes profesional de la autorități de pe aceste adrese.
Dacă suntem o instituție publică, putem să luăm legătura cu Serviciul de Telecomunicații Speciale (STS) pentru configurarea unor emailuri profesionale.
Toate organismele publice au, conform art.37 din GDPR, obligativitatea numirii și notificării către ANSPDCP a unui Responsabil cu protectia datelor. Implicarea, mod real, a unui specialist în activitatea curentă a unui organism public conduce la creșterea nivelului de conformitate cu cerințele și obligațiile legale în domeniul protectiției datelor cu caracter personal.
Consilier Juridic,
LUNG Camelia