Cinci organizații ale societății civile – Societatea Academică din România (SAR), Active Watch, Asociația Miliția Spirituală, Asociația pentru Apărarea Drapturilor Omului în România – Comitetul Helsinki (APADOR-CH) și Asociația pentru Tehnologie și Internet (ApTi) au adresat comisiei de control a SRI din Parlament o sesizare prin care cer investigarea proiectului SII Analytics al SRI. Asa cum Romania curata a mai relatat, exista suspiciunea că SRI ar fi intervenit la înalţi oficiali ai guvernului Cioloş pentru aprobarea acestui proiect, ba chiar şi la primul ministru, şi că ultima tranşă a acestui proiect survine pe fondul unor încălcări constituţionale mai vechi, acoperite prin decizii ale CSAT a căror constituţionalitate nu a fost verificată.
Cele cinci organizații semnatare consideră că tematica sesizării „se circumscrie exact misiunii” Comisiei de control a SRI, iar faptele asupra cărora parlamentarii sunt sesizați „crează un precedent periculos pentru democraţia noastră, contravine dreptului european şi bunei gestionări a fondurilor europene”. În sesizarea propriu-zisă se arată că există suspiciunea că SRI ar fi fost favorizat înaintea și în cadrul procedurii de licitație a proiectului din Fondul European de Dezvoltare Regională (FEDR), licitație la care, de altfel, a existat un singur ofertant.
Redăm, mai jos, integral, sesizarea trimisă Comisiei SRI din Parlament:
„În atenţia Comisiei comune permanente a Camerei Deputaţilor şi Senatului pentru exercitarea controlului parlamentar asupra activităţii SRI
Stimate doamne, stimaţi domni.
Prezenta sesizare se referă la modul de atribuire a sumei de 119.824.244,18 lei prin Fondul European de Dezvoltare Regională (FEDR), Programul Operațional Competitivitate 2014-2020, Axa Prioritară 2 – Tehnologia Informației și Comunicației (TIC) pentru o economie digitală competitivă, Prioritatea 2.3. Consolidarea aplicațiilor TIC pentru guvernare electronică, e‐learning, OS 2.3. Creșterea utilizării sistemelor de e-guvernare, Acțiunea 2.3.1 Consolidarea și asigurarea interoperabilității sistemelor informatice dedicate serviciilor de e‐guvernare tip 2.0 centrate pe evenimente din viața cetățenilor și întreprinderilor, dezvoltarea cloud computing guvernamental și a comunicării media sociale, a Open Data şi Big Data.
Axa Prioritară 2 este gestionată de către Ministerul pentru Societatea Informațională, Organism Intermediar pentru Promovarea Societății Informaționale.
Faptele
Prezenta sesizare vizează elemente care, în aprecierea noastră, conduc la o suspiciune rezonabilă de favorizare din partea Autorității de Management (Ministerul Fondurilor Europene) și a Organismului Intermediar pentru Promovarea Societății Informaționale (Ministerul pentru Societatea Informațională) a unei entități publice în procedura de atribuire a unui proiect finanțat prin FEDR. Suspiciunea de favorizare se bazează pe urmatoarele aspecte:
Referitor la etapa anterioară depunerii proiectelor:
- Dezbaterea publică cu privire la Ghidul Solicitantului aferent apelului de proiecte descris mai jos a durat doar 5 zile, iar apelul de proiecte a fost publicat la doar 3 zile după închiderea dezbaterii publice. Timpul între publicarea apelului de proiect de către Organismul Intermediar și depunerea proiectului a fost de numai 7 ore;
- Ghidul Solicitantului a fost publicat în Monitorul Oficial la mai mult 1 lună de la publicarea apelului de proiecte și declararea câștigătorului, nerespectându-se astfel prevederile Legii 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative.
Referitor la etapa depunerii de proiecte și evaluarea proiectului:
- Entitatea publică în cauză a fost unicul aplicant în cadrul apelului lansat;
- Conform Ghidului Solicitantului, entitatea publică nu întrunește condițiile de eligibilitate pentru acordarea finanțării în cadrul apelului descris mai jos;
- Proiectul în cauză încalcă în mod flagrant documentele constitutive ale Uniunii Europene, în speță dreptul la viața privată și la protecția datelor cu caracter personal (Art. 7 și 8) din Carta Drepturilor Fundamentale a Uniunii Europene.
În cele ce urmează, vom detalia aspectele mai sus menționate și care stau la baza prezentei plângeri:
- Dezbaterea publică cu privire la Ghidul Solicitantului aferent apelului de proiecte descris mai jos a durat doar 5 zile, iar apelul de proiecte a fost publicat la doar 3 zile după închiderea dezbaterii publice
Ministerul pentru Societatea Informațională, Organism Intermediar pentru Promovarea Societății Informaționale a deschis în data de 9 iunie la ora 9:00 Apelul 1 din Acţiunea 2.3.1 – ”Consolidarea şi asigurarea interoperabilităţii sistemelor informatice dedicate serviciilor de e-guvernare tip 2.0 centrate pe evenimente din viaţa cetăţenilor şi întreprinderilor, dezvoltarea cloud computing guvernamental şi a comunicării media sociale, a Open Data şi Big Data” – SECTIUNEA BIG DATA (vezi Anexa 1)
Acest apel finanța proiecte cu valoare de minimum 1 milion și maximum 26 de milioane de euro, valoarea apelului fiind de 40 de milioane de euro, prin urmare s-ar fi putut finanța cel mult 40 de proiecte de valoare minimă sau 1 proiect de valoare maximă (26 de milioane) și altele de valoare mică sau medie.
Serviciul Român de Informații (SRI) – principalul serviciu de informații din România specializat în culegerea, analizarea şi valorificarea informaţiilor obţinute în interiorul ţării și parte integrantă a sistemului naţional de apărare, ordine publică şi siguranţă naţională – a fost singura entitate publică care a depus proiectul, intitulat „SII ANALYTICS – Sistem Informatic de integrare și valorificare operațională și analitică a volumelor mari de date”, în aceeași zi în care a fost lansat apelul, i.e. 9 iunie la ora 16:37 (vezi Anexa 2).
- Ghidul Solicitantului a fost publicat în Monitorul Oficial la mai mult 1 lună de la publicarea apelului de proiecte și declararea câștigătorului, nerespectându-se astfel etapele de tehnică legislativă prevăzuți prin Legea 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, articolul 11
Succesiunea actelor/operațiunilor care au premers depunerea proiectului intitulat “SII Analytics – Sistem Informatic de integrare și valorificare operațională și analitică a volumelor mari de date” ridică o serie de întrebări privitor la modul în care funcționarii implicați în etapa de pregătire a apelului au respectat principiile transparenței, concurenței și egalității de tratament.
Astfel, în perioada 1-6 iunie 2016, Ministerul Fondurilor Europene pune în dezbatere publică Ordinul privind Ghidului Solicitantului pentru acest apel pentru doar 5 zile, urmând ca la doar 3 zile apelul de cereri de proiecte să fie lansat.
Pe data de 07 iunie 2016, Ministrul Fondurilor Europene a emis Avizul nr. 47.451, privind aprobarea Ghidului Solicitantului, în baza căruia secretarul de stat de la Ministerul Comunicațiilor a emis Ordinul nr. 282/2016 privind aprobarea Ghidului solicitantului, pe care îl trimite spre publicare către Monitorul Oficial, conform Legii 24/2000. Următorul pas era ca Ordinul 282/2016 să fie publicat în Monitorul Oficial, așa cum prevede legea. Numai după publicarea acestui act administrativ în Monitorul Oficial ar fi urmat să se deschidă apelul de proiecte, așa cum se întâmplă în toate proiectele cu finanțare europeană (exemple aici, aici, aici sau aici).
Pe data de 9 iunie 2016, Ministrul pentru Societatea Informațională a lansat apelul de proiecte cu toate că ordinul de aprobare a Ghidului nu era încă publicat în Monitorul Oficial. Ordinul de aprobare a Ghidului a fost publicat în Monitorul Oficial pe data de 27 iulie 2016. În aceeași zi, SRI depune proiectul SII ANALYTICS. Pe data de 17 iulie 2016, SRI deja lansa prin intermediul Sistemul Electronic de Achizitii Publice (SEAP) licitația pentru dezvoltarea sistemului SII Analytics, cu toate că la acea dată ordinul de aprobare a Ghidului Solicitantului nu era încă publicat în Monitorul Oficial și, deci, nu producea efecte juridice.
Art. 11 din Legea 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative prevede expres că în vederea intrării în vigoare, legile și celelalte acte normative adoptate, incluisv ordinele și alte acte normative emise de conducătorii organelor administrației publice centrale de specialitate se publică în Monitorul Oficial al României. Nu sunt supuse regimului de publicare în Monitorul Oficial al României actele normative clasificate, potrivit legii. Așadar, un act normativ produce efecte juridice abia după publicarea sa în Monitorul Oficial. În acest sens, Ghidul Solicitantului este un act administrativ normativ a cărui nepublicare în Monitorul Oficial atrage inexistența acestuia la data acordării finanțării.
- Entitatea publică în cauză a fost unicul aplicant în cadrul apelului lansat
Proiectul SRI este singurul proiect înregistrat în sistem, aspect care, în practica Curții Europene de Audit, naște suspiciuni cu privire la nereguli în ceea ce privește asigurarea unu cadru concurențial și respectarea principiului egalității de tratament. Depunerea imediată (în 7 ore de la lansarea pe site a Ghidului Solicitantului) a unui proiect de către entitatea publică poate conduce la suspiciunea că această entitate a știut ce conține apelul și cererea de finanțare, posibil înainte ca acestea din urmă să fie publicate pe site-l ministerului. Supoziția pornește de la constatarea că doar simpla gestiune în MySMIS2014 a unei propuneri de proiect cu toată documentația pregătită durează câteva ore, dezvoltarea ei și pregătirea anexelor, a documentelor semnate, a bugetului, a studiului de fezabilitate și a proiectului tehnic, obținerea aprobărilor pe linie ierarhică, toate acestea necesitând mult mai mult timp de pregătire decât câteva ore.
Orice situaţie de single bidding (un singur competitor) este suspectă de fraudă, conform Curţii Europene de Audit şi ar fi trebuit investigată.
- Conform Ghidului Solicitantului, entitatea publică în cauză nu ar fi eligibilă în a obține finanțare în cadrul apelului descris mai jos
Scopul finanțării nu este transparent, întrucât Apelul 1 din Acţiunea 2.3.1 se centra pe „evenimentele de viață ale cetățenilor”, dar nicăieri în Ghidul Solicitantului nu se menționează care sunt cele 36 de astfel de evenimente. Mai jos este lista cu evenimentele de viață a căror digitalizare și interconectare ar face obiectul finanțării:
- Stare civilă:naștere – căsătorie – divorț – deces
- Activitatea Agenților Economici: înființare, vânzare, modificare statut – obținere surse de finanțare – desfășurare activitate companie – faliment lichidare – constituire contracte, – înregistrare pentru plata taxe
- Drepturi și Obligații Cetățenești:– eliberare acte identitate, – obținere pașaport, -obținere permis conducere, – înregistrare autovehicul, – asigurări opționale și obligatorii,- cumpărare închiriere casă, – înregistrare plată taxe PF
- Muncă, Familie și Protecție Socială: – servicii căutare loc de muncă, – asistență accidente de muncă, -pensionare, -înscrierea alocației persoane cu handicap, – obținere îndemnizatie de creștere a copilului, – adopții
- Afaceri Externe:– emigrare în România, – obținerea cetățeniei, – obținerea unei vize
- Parcurs Educațional: – gimnaziu/ liceu/ universitate, – înscrierea la bibliotecă
- Servicii Medicale:programare consult medical într-un spital
- Promovare Turism:ghiduri și informații de călătorie.
Observând lista de evenimente mai sus menționată, opinăm că SRI nu este eligibil conform Ghidului pentru că nu gestionează, nu coordonează și nici nu susține servicii publice ce vizează evenimentele de viață de mai sus, la fel cum nici nu contribuie la dezvoltarea acestora.
În plus, în Ghid sunt menționate spre exemplificare câteva instituții publice centrale care ar putea fi finanțate pe fiecare din categoriile de mai sus: Ministerul Afacerilor Externe, Ministerul Afacerilor Interne, Ministerul Muncii, Ministerul Justiției, Ministerul Finanțelor Publice, Ministerul Educației. SRI nu apare în această enumerare.
Așadar SRI nu are nici o competență pe domeniul eGuvernării sau pe „dezvoltarea funcției de prevenție, detectare și luare de măsuri pentru reducerea redundanței plăților în zona publică”, așa cum sunt scopurile declarate ale proiectului.
- Proiectul în cauză încalcă în mod flagrant documentele constitutive ale Uniunii Europene, în speță dreptul la viață privată și la protecția datelor cu caracter personal (Art. 7 și 8) din Carta Drepturilor Fundamentale a Uniunii Europene, ca și legislația europeană și românească în domeniu
Proiectul își propune să facă activități de Business Intelligence în mai multe baze de date cu date personale și uneori chiar date personale din categorii speciale (date financiare, de sănătate, din domeniul de aplicare a legii, date fiscale) fără nici un fel de impact asupra vieții private.
Toate aceste date personale au fost colectate în alt scop (după caz în scopuri fiscale, acces la servicii de sănătate, pentru aplicarea legii) de către instituții diverse, iar acum vor fi folosite de către alte instituții într-un scop general și ambiguu (de „optimizare a activităților statului pentru reducerea fraudelor” după proiect, și de „combatere a terorismului” după declarațiile SRI). Nici una dintre persoanele vizate nu a fost informată de această colectare sau aceste scopuri, iar această colectare nu intră în excepțiile legii 677/2001 (sau a viitorului Regulament de protecție a datelor ce întră în vigoare în 25 mai 2018). Mai mult, drepturile persoanelor vizate sunt ignorate complet de proiect.
În detaliu, scopul proiectului depus și acceptat este unul confuz, așa cum reiese din coroborarea informațiilor reieșite din caietul de sarcini al proiectului sau răspunsurile transmise presei de către SRI. Pe de o parte, la insistențele societății civile, SRI a confirmat că acest proiect nu este un proiect de eGuvernare, declarând că „este un sistem care duce la modernizarea României și care, în domeniul de intelligence, ne aduce și pe noi în lumea civilizată”. În aceste condiții, devine evident că folosirea unei linii de finanțare de la Uniunea Europeană pe probleme de eGuvernare pentru acest proiect de intelligence, în condiții oricum îndoielnice, nu are cum să nu ridice serioase semne de întrebare. Pe de altă parte, în Caietul de sarcini, se afirmă că e vorba de un proiect pentru promovarea eGuvernării și de combatere a fraudelor (“prevenție, detectare și luare de măsuri pentru reducerea redundanței plăților în zona publică, prevenirea fraudei și abuzurilor și creșterea eficienței în actul guvernamental” – pag.5, paragraful 3).
Menținerea scopului ambivalent și neclar al proiectului – intelligence versus e-guvernare – crește semnificativ riscul încălcării legislației interne și a normelor europene privind protecția datelor personale.
Proiectele finanțate din fonduri europene trebuie să se supună aplicării Legii 677/2001 cu privire la protecția datelor cu caracter personal, ca implementarea Directivei 95/46/EC. În comunicatul de presă emis de SRI în 2016, se precizează că “Proiectul “SII Analytics – Sistem informatic de integrare și valorificare operațională și analitică a volumelor mari de date” este destinat asigurării unei capacități superioare de analiză a bazelor de date ale principalelor instituții din România. Obiectivul platformei este de a spori considerabil viteza de căutare a informației relevante în bazele de date deja existente. (…) Practic, în loc să interogheze sisteme diferite, neuniformizate informatic și procedural, instituțiile statului vor putea accesa informațiile integrat, rapid și eficient. Sistemul nu colectează date noi, ci le analizează, pe baza unor algoritmi, pe cele existente.” Conform Caietului de Sarcini, proiectul vrea să aducă împreună surse de date, care înseamnă baze de date – cam orice informație structurată tabelar pusă la dispoziție de către “instituțiile beneficiare” – e.x. ANAF, MAI, CNAS etc. – pct 2.19.3.1. – “cel puțin 28.000 de tabele cu cel puțin 500.000 de coloane şi cel puțin 35.000.000.000 de înregistrări” (pag. 95, secțiunea 2.19.3.1.1 Depozite de date comune, primul punct). Mai mult, caietul de sarcini precizează că datele colectate nu vor fi șterse probabil niciodată (“vor fi stocate pe termen indefinit numai la nivelul componentelor offline ale sistemului” – pag 144), ceea ce contrazice flagrant legislația privind protecția datelor personale.
Mai mult, Curtea Europeană de Justiție s-a pronunțat deja într-un caz similar de transfer ilegal de date personale între două instituții publice – Bara vs. CNAS&ANAF (C201-14)– și a stabilit că Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date trebuie interpretată în sensul că se opune unei reglementări naționale precum cea în discuție în litigiul Bara vs CNAS &ANAF, care permite unei instituții publice a unui stat membru să prelucreze datele cu caracter personal care i-au fost transmise de o altă instituție publică, în special datele privind veniturile persoanelor vizate, fără ca acestea din urmă să fi fost informate în prealabil cu privire la transmitere și cu privire la prelucrare.
Prin urmare, oricare ar fi reglementarea națională care permite în cazul de față Sistemului Informatic Integrat (SII) să își desfășoare activitatea, aparent există indicii temeinice ca ea ar contraveni prevederilor Directivei 95/46/CE și a legii 677/2001, din moment ce în ambele proiecte pentru care SRI a primit finanțare europeană se vorbește de accesarea integrată și rapidă a bazelor de date a diverselor instituții publice și nu pentru un proiect de „intelligence”.
Atât Legea 677/2001 cu privire la protecția datelor cu caracter personal și Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice stipulează necesitatea obținerii consimțământului neechivoc al persoanei în cauză pentru a i se folosi datele cu caracter personal. Excepțiile de la Legea 677/2001 cu privire la protecția datelor cu caracter personal se referă la situațiile în care datele sunt folosite cu caracter statistic (sub anonimat însă) și când există indicații că prelucrarea datelor se face sub incidența existenței unei probleme de siguranță națională.
Pe de altă parte, dacă proiectul este pe zona de intelligence – ceea ce l-ar face însă neeligibil pentru un proiect de e-guvernare – atunci este încălcată Legea 51/1991 privind siguranța națională a României. Conform acestei legi, mijloacele de obținere a informațiilor necesare siguranței naționale nu trebuie să lezeze, în nici un fel, drepturile sau libertățile fundamentale ale cetățenilor, viața particulară, onoarea sau reputația lor, ori să îi supună la îngrădiri ilegale. Activitatea de culegere de informații se face doar în baza unui mandat de siguranță națională, emis în baza unei cereri de autorizare care trebuie să cuprindă: date sau indicii din care să rezulte existența uneia dintre amenințările la adresa siguranței naționale pentru a cărei prevenire, descoperire sau contracarare este necesară emiterea mandatului. Interconectarea unor baze de date integrale, conținând informații cu caracter personal a zeci de mii de persoane, fără existența unei amenințări la adresa siguranței naționale, este o încălcare a libertăților și drepturilor fundamentale.
Considerăm, în concluzie, că proiectul „SII Analytics”, are un potențial de supraveghere generalizată a întregii populații a României, nefiind prevăzută nici o măsură de limitare a accesului SRI sau al altor instituții publice la datele personale colectate și integrate în acest sistem și încalcă atât legislația internă, cât și cea europeană, în materie de protecție a datelor cu caracter personal.
Având în vedere suspiciunile descrise mai sus, vă rugăm să analizați sesizarea noastră.
Organizațiile semnatare:
Societatea Academică din România (SAR)
Active Watch
Asociația Miliția Spirituală
Asociația pentru Apărarea Drapturilor Omului în România – Comitetul Helsinki (APADOR-CH)
Asociația pentru Tehnologie și Internet (ApTi)”