GDPR: criptarea datelor cu caracter personal – recomandari WP 29

Material tradus și adaptat de Adrian Vasiu, student la Facultatea de Drept a ULSB

Ce știm despre criptarea datelor cu caracter personal? Ei bine, nu mare lucru.

Tocmai de aceea Grupul de Lucru Articolul 29 a venit cu o declara╚Ťie, arat├ónd cum s─â cript─âm mai bine datele cu caracter personal ╚Öi ce trebuie s─â avem ├«n vedere.

GDPR – criptarea datelor by Avocatoo on Scribd


Grupul de lucru al protec╚Ťiei datelor ARTICOLUL 29

Declara╚Ťia Grupului de Lucru 29 cu privire la criptarea datelor ╚Öi la impactul asupra protec╚Ťiei indivizilor cu privire la prelucrarea datelor acestora pe teritoriul Uniunii Europene

Autorit─â╚Ťile de protec╚Ťie a datelor din Uniunea European─â, reprezentate ├«n cadrul Grupului de Lucru pe temeiul articolului 29 (WP29), consider─â c─â disponibilitatea unei cript─âri puternice ╚Öi eficiente este o necesitate pentru a garanta protec╚Ťia persoanelor cu privire la confiden╚Ťialitatea ╚Öi integritatea datelor lor care reprezint─â fundamentul elementar al economiei digitale. Orice obliga╚Ťie care vizeaz─â reducerea eficacit─â╚Ťii acestor tehnici pentru a permite accesul la datele criptate de c─âtre autorit─â╚Ťile de aplicare a legii ar putea afecta grav via╚Ťa privat─â a cet─â╚Ťenilor europeni.

Av├ónd ├«n vedere nevoia stringent─â de a echilibra diferitele interese publice, cum ar fi ├«ncrederea ├«n serviciile digitale pe de o parte ╚Öi urm─ârirea efectiv─â a infrac╚Ťiunilor pe de alt─â parte, ╚Öi pentru a proteja dreptul individual la confiden╚Ťialitate ╚Öi via╚Ť─â privat─â, Grupul de Lucru comunic─â urm─âtoarele mesaje-cheie pe aceast─â tem─â.

  1. Criptarea securizat─â este necesar─â pentu a asigura un flux bun ╚Öi sigur al datelor ├«ntre cet─â╚Ťeni, ├«ntreprinderi ╚Öi guverne.

Utilizarea pe scar─â larg─â a serviciilor oferite de tehnologiile informa╚Ťiei ╚Öi comunica╚Ťiilor a f─âcut din criptare un instrument critic utilizat pe scar─â larg─â pentru a garanta faptul c─â datele sunt securizate. Implementarea corect─â a algoritmilor ofer─â o garan╚Ťie rezonabil─â ├«n activit─â╚Ťi cum ar fi cump─ârarea de bunuri online, depunerea taxelor, utilizarea serviciilor bancare, trimiterea sau primirea de e-mailuri sau programarea unei consulta╚Ťii la un medic pot fi f─âcute ├«n siguran╚Ť─â.

F─âr─â criptare, via╚Ťa privat─â ╚Öi securitatea persoanelor pot fi compromise de fiecare dat─â c├ónd doresc s─â ├«ntreprind─â activit─â╚Ťi de zi cu zi. ├Äntr-adev─âr, utilizarea tehnicilor de criptare ca mijloc de garantare a confiden╚Ťialit─â╚Ťii, a integrit─â╚Ťii datelor ╚Öi ├«n procesul de autentificare a utilizatorilor au devenit condi╚Ťii indispensabile pentru func╚Ťionarea normal─â a infrastructurilor ╚Öi a serviciilor digitale oferite de acestea fiind acum folosit─â de mai mul╚Ťi operatori de date. Prin urmare, criptarea este absolut necesar─â ╚Öi de ne├«nlocuit pentru a garanta o maxim─â confiden╚Ťialitate ╚Öi integritate atunci c├ónd datele sunt transferate prin re╚Ťele deschise, cum ar fi Internetul, sau stocate pe dispozitive mobile precum smartphone-urile. ├Än mod ideal, aceast─â criptare ar trebui s─â cuprind─â ├«ntotdeauna ├«ntreaga comunicare, de la dispozitivul expeditorului la cel al destinatarului (criptarea end-to-end).

Pentru a oferi ├«ncredere, criptarea de ultim─â genera╚Ťie trebuie promovat─â ╚Öi prezentat─â publicului cu cea mai larg─â disponibilitate, criptare ce trebuie s─â fie puternic─â ╚Öi fiabil─â pentru a permite controlul public. Acest lucru permite cercet─âtorilor s─â studieze un astfel de software pentru a evalua ╚Öi a ├«mbun─ât─â╚Ťi eficien╚Ťa ╚Öi robuste╚Ťea acestuia, lucru ce ajut─â industria s─â implementeze aceste tehnici pentru servicii ce prezint─â ├«ncredere ╚Öi nu ├«n ultimul r├ónd fiabilitate. ├Än acest sens, ar trebui luate ├«n considerare capabilit─â╚Ťile de criptografie cuantic─â ├«n curs de dezvoltare.

Există, de asemenea, un interes public în implementarea criptării. Securizarea datelor cu caracter personal în perioada de lucru și în perioada de repaus este o piatră de temelie a încrederii de care avem nevoie pentru serviciile digitale, pentru a permite inovarea și creșterea economiei noastre digitale.

  1. Por╚Ťile de siguran╚Ť─â (backdoors) ╚Öi chei de siguran╚Ť─â (master keys) conduc la pierderea unor capabilit─â╚Ťi din criptare ╚Öi determin─â la utilizarea cript─ârii ├«ntr-un mod nesigur.

Criptarea permite, de asemenea, mascarea activit─â╚Ťilor infrac╚Ťionale. Aceasta reprezint─â o provocare pentru organele de aplicare a legii care ├«ncearc─â s─â acceseze comunica╚Ťiile sau datele ├«n aceste cazuri.

Unii consider─â c─â necesitatea aplic─ârii legii de a accesa datele infractorilor suspecta╚Ťi poate fi satisf─âcut─â prin implementarea de “backdoors” (por╚Ťi de siguran╚Ť─â – adic─â vulnerabilit─â╚Ťi implementate ├«n secret de c─âtre dezvoltator ├«ntr-un anumit software) sau “master keys” (chei de siguran╚Ť─â care permit decriptarea fiec─ârui mesaj criptat cu un software specific) ├«n software-ul de criptare. Acest lucru ar putea ├«nsemna c─â dezvoltatorii acestor tehnologii ar fi obliga╚Ťi s─â includ─â ╚Öi s─â pun─â la dispozi╚Ťia acestor organe de aplicare a legii, permi╚Ť├óndu-le s─â decripteze ╚Öi s─â ob╚Ťin─â accesul c─âtre datele respective.

Cu toate acestea, temelia matematic─â a criptologiei nu ofer─â baza pentru un ÔÇŁbackdoorÔÇŁ sigur, iar numeroase exemple din istorie au ar─âtat c─â aceste chei ╚Öi por╚Ťi de siguran╚Ť─â nu pot asigura o securizare eficient─â, uneori, chiar ╚Öi agen╚Ťiile de aplicare a legii[1] sau companiile specializate ├«n acest domeniu nu reu╚Öesc:

  • Bine cunoscuta descoperire a cheilor de siguran╚Ť─â din cadrul Administra╚Ťiei de Securitate a Transportului (TSA), chei ├«n materie fizic─â ce se folosesc pentru control la majoritatea valizelor de pe planet─â, se presupunea c─â sunt accesibile numai personalului TSA iar prin faptul c─â au fost descoperite a condus la concluzia c─â oricine poate deschide o ├«ncuietoare TSA.
  • Cryptolocker-ul global WannaCry, care a infectat zeci de mii de calculatoare ├«n sute de organiza╚Ťii din ├«ntreaga lume, a folosit instrumente concepute pentru a exploata vulnerabilit─â╚Ťile existente ├«n protocoalele de partajare a fi╚Öierelor. Aceste instrumente, create de o agen╚Ťie na╚Ťional─â de securitate major─â, au fost scoase la dispozi╚Ťia publicului ╚Öi apoi folosite de infractori pentru a crea Cryptolocker-ul WannaCry.
  • Compromiterea cheilor private a unui furnizor de certificate important a dus la spargerea unor certificate folosite ├«n servicii care sunt utilizate pe scar─â larg─â ╚Öi la compromiterea conturilor de e-mail ale activi╚Ötilor din Iran.Produc─âtorii ╚Öi furnizorii de servicii recunosc c─â nu pot asigura securitatea acestor por╚Ťi de siguran╚Ť─â care ar trebui s─â fie accesibile numai acestora[2]. Acest lucru inf─â╚Ťi╚Öeaz─â riscurile tehnologice care decurg din comportamentul organiza╚Ťiilor de a p─âstra secretul vulnerabilit─â╚Ťilor software.

Programele de criptare sunt utilizate la nivel mondial. Pentru a fi eficiente, por╚Ťile ╚Öi cheile de siguran╚Ť─â (ÔÇŁbackdoorsÔÇŁ ╚Öi ÔÇŁmaster keysÔÇŁ) ar trebui,┬á s─â fie schimbate numai ├«ntre organele de aplicare a legii la nivel mondial. Acest lucru ar conduce la diseminarea pe scar─â larg─â a acestora ╚Öi, astfel, nu ar mai conduce la implificarea riscurilor ca acestea s─â fie compromise.

F─âr─â criptare puternic─â ╚Öi eficient─â, datele cet─â╚Ťenilor, ale ├«ntreprinderilor ╚Öi ale guvernelor sunt supuse riscului. Av├ónd ├«n vedere importan╚Ťa securit─â╚Ťii serviciilor de zi cu zi – pe care ne baz─âm din ce ├«n ce mai mult at├ót noi, ├«ntreprinderile c├ót ╚Öi guvernele – orice sc─âdere a protec╚Ťiei oferite de criptare va conduce la daune mai mari dec├ót cele prin care s-ar fi putut ├«mpiedica accesul la datele criptate prin aplicarea legii.Mai mult, impunerea unor ÔÇŁbackdoorsÔÇŁ ╚Öi a unor chei de siguran╚Ť─â (ÔÇŁmaster keysÔÇŁ) pentru cet─â╚Ťenii ╚Öi organiza╚Ťiile care respect─â legea nu ar fi o m─âsur─â eficient─â ├«mpotriva infractorilor, deoarece ar continua s─â utilizeze sau s─â adapteze cea mai puternic─â criptare pentru a-╚Öi proteja datele, p─âstr├óndu-le ├«n siguran╚Ť─â, pun├ónd astfel organele de aplicare a legii ├«n dificultate. Ca rezultat, por╚Ťile ╚Öi cheile de siguran╚Ť─â nu ar face dec├ót s─â d─âuneze cet─â╚Ťenilor cinsti╚Ťi f─âc├ónd astfel ca datele lor s─â devin─â vulnerabile.

  1. Organele de aplicare a legii au deja o serie de competen╚Ťe legale ╚Öi instrumente specifice pentru a r─âspunde provoc─ârilor cript─ârii, permi╚Ť├óndu-le s─â acceseze datele de care au nevoie pentru a investiga ╚Öi a urm─âri astfel infractorii.

Organele de aplicare a legii din statele membre ale Uniunii Europene pot fi ├«mputernicite din punct de vedere juridic ├«n moduri prin care s─â poat─â ob╚Ťine accesul la date criptate, inclusiv date cu caracter personal, pentru investiga╚Ťii ├«n circumstan╚Ťele vizate. De exemplu, ├«n func╚Ťie de legisla╚Ťia fiec─ârui stat membru, aceste agen╚Ťii pot avea competen╚Ťa de a:

  • Pot accesa comunica╚Ťiile datelor de tip meta (metadata) ╚Öi datele necriptate de╚Ťinute de operatorii de date.
  • S─â foloseasc─â ingineria social─â pentru a se infiltra ├«n organiza╚Ťii infrac╚Ťionale.
  • S─â recurg─â la obligarea infractorilor sau persoanelor de interes s─â predea cheile de criptare.
  • S─â utilizeze instrumente de interceptare orientate, cum ar fi dispozitive IMSI (instrument conceput pentru a intercepta comunica╚Ťiile mobile din apropierea celui vizat) sau pot intercepta comunica╚Ťiile electronice, interceptare specific─â prin accesarea furnizorilor de comunica╚Ťii electronice ╚Öi de internet.
  • S─â utilizeze instrumente specifice ╚Öi direc╚Ťionate pentru a ghici sau intercepta o parol─â, a accesa documente ╚Öi/sau a ├«nregistra tastele ├«nainte de criptarea pe dispozitivul expeditorului sau dup─â decriptarea de c─âtre destinatar.
  • S─â ob╚Ťin─â cheile de criptare individuale care sunt p─âstrate de operatorii de date sau de servicii precum ÔÇŁescrow keyÔÇŁ.

Chiar dac─â aceste competen╚Ťe ridic─â probleme grave de confiden╚Ťialitate ╚Öi necesit─â garan╚Ťii juridice ╚Öi tehnice semnificative, ele par mai propor╚Ťionale ╚Öi mai pu╚Ťin periculoase dec├ót prin folosirea de por╚Ťi sau chei de siguran╚Ť─â (backdoors ╚Öi master keys).Aceste puteri permit organelor de aplicare a legii s─â acceseze cantit─â╚Ťi semnificative de date ca parte a competen╚Ťelor acestora de investigare. Acestea ar putea fi sus╚Ťinute cu instrumente cum ar fi ÔÇŁe-evidenceÔÇŁ care ar permite organelor de control s─â acceseze mai u╚Öor ╚Öi mai rapid datele deja disponibile, sub controlul sistemului judiciar.├Än plus, aplicarea legii ar trebui s─â se concentreze pe exercitarea ├«n totalitate a competen╚Ťelor pe care le posed─â deja: ├«n unele jurisdic╚Ťii s-ar fi putut acorda unele sau chiar toate competen╚Ťele enumerate mai sus, cu precizarea c─â ├«nc─â ace╚Ötia nu au ├«nceput ├«nc─â s─â le exercite practic. ├Än numeroase cazuri, investiga╚Ťiile ar fi putut fi de succes dac─â s-ar ├«mbun─ât─â╚Ťi doar capacitatea de interpretare a datelor deja existente.

  1. Concluzii și recomandări

Grupul de Lucru pentru Articolul 29 consider─â c─â:

1.┬á┬á┬á┬á Disponibilitatea unei cript─âri puternice ╚Öi de ├«ncredere este o necesitate ├«n lumea digital─â modern─â. Astfel de tehnologii contribuie ├«ntr-o manier─â de ne├«nlocuit la intimitatea noastr─â ╚Öi la securitatea ╚Öi siguran╚Ťa societ─â╚Ťii noastre.2.┬á┬á┬á┬á Criptarea trebuie s─â r─âm├ón─â standardizat─â, puternic─â ╚Öi eficient─â, doar dac─â furnizorii nu ar fi obliga╚Ťi s─â includ─â backdoors sau s─â furnizeze master keys. Oricare ar fi solu╚Ťia tehnic─â, nu se garanteaz─â siguran╚Ťa total─â a fi╚Öierelor dac─â furnizorii pentru servicii de criptare ├«╚Öi permit s─â includ─â por╚Ťi sau chei de siguran╚Ť─â ├«n programele lor.

  1. Organele de aplicare a legii au deja acces la cantit─â╚Ťi mari de date prin puterile ├«nvestite. Acest acces trebuie s─â r─âm├ón─â propor╚Ťional ╚Öi obiectivizat. Acestea ar trebui s─â se concentreze asupra ├«mbun─ât─â╚Ťirii capacit─â╚Ťilor acestora de a interpreta aceste date pentru a investiga ╚Öi a sanc╚Ťiona infractorii.

├Än numele Grupului de Lucru cu privire la Protec╚Ťia Datelor pentru Articolul 29, Andrea Jelinek

Grupul de Lucru Protec╚Ťia Datelor pentru Articolul 29

Material tradus și adaptat de Adrian Vasiu, student la Facultatea de Drept a ULSB

[1] Pozi╚Ťia EUROPOL ╚Öi ENISA – Pagin─â consultat─â la data de 29.05.2018 :https://www.enisa.europa.eu/publications/enisa-position-papers-and-opinions/onlawful-criminal-investigation-that-respects-21st-century-data-protection.

[2] Pozi╚Ťia Apple- Pagin─â consultat─â la data de 29.05.2018: https://www.apple.com/customer-letter/.


Vezi tot ce am scris despre GDPR aici si f─â-╚Ťi implementarea singur cu KIT-ul nostru.

Comments
Se incarca...
NU RATA!
Aboneaza-te la newsletter
Fii primul care sa primeasca ultimele stiri bune de citit dimineata la cafea.
Ramai conectat
close-link

ÔÇő















 
CUMPARA KITUL ACUM!
close-link