Premium
Asociaţia Specialiştilor în Confidenţialitate şi Protecţia Datelor din România atrage atenţia că Regulamentul general de protecţia datelor nu este respectat de instituţiile publice şi că din cei 3.993 de medici de familie care efectuează testare rapidă antigen, 96,07% folosesc adresele de email configurate prin servicii publice gratuite adresate persoanelor fizice, şi nicidecum companiilor, fapt ce poate permite unor terţe părţi să aibă acces la datele cu caracter personal, conform Agerpres.
"În luna ianuarie 2022, ASCPD a realizat un al doilea studiu privind evaluarea canalelor de comunicare utilizate de medicii de familie care efectuează testare rapidă antigen (din lista publicată pe site-ul Ministerului Sănătăţii la data de 28.01.2022) (...) Din analiza adreselor de email utilizate de medicii de familie rezultă că foarte multe dintre acestea (circa 96%) sunt configurate prin servicii publice gratuite adresate persoanelor fizice şi nicidecum companiilor. Aşadar, adresele de email pot aparţine medicilor, asistentelor, dar chiar şi foştilor angajaţi. Practic, sunt adrese de email folosite la comun de mai multe persoane, pentru care nu există o evidenţă exactă a accesărilor. În plus, anumite servicii publice, precum Yahoo sau Gmail, oferă acces la conţinutul emailurilor unor terţe părţi pentru îmbunătăţirea serviciilor, fără să dea posibilitatea utilizatorilor să se opună acestui lucru. Fără îndoială Yahoo şi Google au implementat măsuri de securizare a datelor, dar Operatorii (respectivele cabinete medicale) nu au luat nicio măsură de control şi verificare pentru a constata cine are acces la respectivele adrese de email", a arătat luni ASCPD într-un comunicat de presă.
Potrivit ASCPD, la aproape 4 ani de la intrarea în aplicare a Regulamentului UE 679/2016 încă se întâlneşte un număr îngrijorător de mare de autorităţi publice sau entităţi private care utilizează soluţii de servicii gratuite de comunicare şi transfer de date (ex. Yahoo Mail, Google Mail, Whatsapp), iar din acest motiv trage un semnal de alarmă asupra riscurilor specifice utilizării acestor soluţii în scop profesional.
ASCPD susţine că atât acest studiu, cât şi cel din iulie 2021, realizat pe o serie de instituţii publice din România, evidenţiază că multe dintre adresele de email "au fost folosite pentru a crea conturi pe platforme online care ulterior au fost compromise, iar datele utilizatorilor au fost dezvăluite unor părţi neautorizate".
"Deşi nu au fost dezvăluite direct datele stocate pe aceste conturi de email, s-au format premisele pentru ca acestea să fie atacate ulterior în practică. Se cunoaşte că doar 35% din utilizatori folosesc parole diferite pentru conturi diferite, deci e posibil ca pentru 13-52% din cazuri să fi fost compromisă şi parola efectivă a contului de email în situaţia reutilizării ei (...) Unde au fost utilizate emailurile de către instituţii? Pe platforme comerciale ca de exemplu MySpace (reţele sociale), Minecraft (jocuri online), DriveSure (platforma de vânzări auto), Evony (jocuri online), Heroes of Newwerh (jocuri online), R2Games (jocuri online), Zynga (jocuri online), LinkedIn (reţele sociale), Adobe (furnizor de servicii de editare online), ceea ce demonstrează folosirea adreselor de email ale instituţiilor în alte scopuri decât cele oficiale. Prelucrarea de date prin intermediul adreselor de email ridică câteva probleme mari de securitate. În primul rând, cine are acces la datele din emailuri şi în al doilea rând, unde ajung datele din aceste emailuri?", se menţionează în comunicat.
Din studiile ASCPD mai rezultă că "36% dintre adresele de email au apărut în baze de date care au fost compromise de hackeri de-a lungul timpului".
"Aici discutăm de folosirea acestor adrese de email în alte scopuri decât cele oficiale, adică în interesul companiilor şi mai curând în scopuri personale, pentru configurarea conturilor pe diverse site-uri de jocuri online, magazine online sau reţele de socializare, ceea ce ridică o mare suspiciune asupra compromiterii credenţialelor de acces la emailuri şi, bineînţeles, la compromiterea întregului conţinut al acestora. Se cunoaşte că majoritatea utilizatorilor folosesc o singură parolă de accces pentru toate serviciile online, iar dacă aceasta a fost compromisă, este evident că e foarte posibil ca toate serviciile asociate acesteia să fi fost compromise. Nu în ultimul rând, serviciile de email gratuit de tip Yahoo / Gmail sunt oferite de companii americane, iar prin folosirea lor, operatorul face un transfer de date cu caracter personal în Statele Unite, care necesită implementarea unor măsuri tehnice şi organizatorice adecvate pentru protejarea datelor, precum criptarea şi pseudonizarea, măsuri care, de cele mai multe ori, nu se implementează practic", subliniază ASCPD.
Conform sursei citate, instituţiile publice nu realizează că în momentul în care utilizează un astfel de serviciu gratuit realizează şi un transfer extracomunitar de date, inclusiv date personale, de obicei în SUA, lucru care contravine cu Decizia Curţii Europene de Justiţie în cauza Schrems 2, atunci când a fost invalidată Decizia numită Scutul de Confidenţialitate încheiat între UE şi SUA.
ASCPD atrage atenţia că nu este vorba doar de emailuri, ci şi de servicii gratuite de mesagerie utilizate de instituţii precum DSP pentru a comunica de exemplu rezultate la testele COVID pacienţilor şi deciziile de carantinare sau izolare.
"Utilizarea emailului şi a soluţiilor de mesagerie gratuită este o realitate şi în instituţiile sanitare sau de învăţământ din România unde majoritatea datelor personale aparţin minorilor sau sunt date speciale privind sănătatea pacienţilor", arată ASCPD.
Asociaţia precizează că orice cetăţean poate să refuze categoric să trimită emailuri atunci când o autoritate publică îi solicită documente sau informaţii pe un astfel de email gratuit şi să sesizeze operatorul atunci când primeşte mesaje în interes profesional de la autorităţi de pe aceste adrese.
"Dacă suntem o instituţie publică, putem să luăm legătura cu Serviciul de Telecomunicaţii Speciale pentru configurarea unor emailuri profesionale", a mai menţionat ASCPD.
