M.A.I. a răspuns celor 21 de întrebări ale Forului Ortodox Român

selectiiimg

La solicitarea Forului Ortodox Român, reprezentat în mod legal de Av. Mihaela Dobre si Ion Ghigheanu, în baza contractului de asistenţă juridică şi reprezentare nr. 115324 din 03.02.2009 şi a împuternicirii avocaţiale, în temeiul Legii nr. 544/2001 privind liberul acces la informaţii de interes public, în vederea lămuririi unor aspecte privind caracteristicile legale şi tehnice ale paşapoartelor biometrice şi ale noilor permise auto, am primit astăzi, 24.02.2009, precizările solicitate pe care le supunem dezbaterii publice.

Subliniez, deocamdată, doar două aspecte: mai întâi ca permisele de conducere auto nu au micro-chipuri, apoi că răspunsurile M.A.I., chiar dacă au venit prompt, nu reuşesc să lămurească dilemele noastre. Cazul rămâne deschis.

Serviciul de Comunicare al M.A.I.:

Urmare a cererii dumneavoastră, formulată în baza Legii nr. 544/2001 privind liberul acces la informaţiile de interes public, cu modificările şi completările ulterioare, vă comunicăm faptul că aspectele referitoare la caracteristicile legale şi tehnice ale paşapoartelor biometrice v-au fost comunicate prin adresa nr.3622101 din 20.02.2009 a Direcţiei Generale de Paşapoarte.

În ceea ce priveşte noul model de permis de conducere precizăm că acesta nu este un document electronic neavând inclus un microcip. Acesta este realizat în conformitate cu prevederile Directivei 2006/126/EC pentru modificarea şi completarea Directivei 91/439/EC privind permisul de conducere şi cu standardele ISO 7810, 7816-1 şi 10373.

Prevederile comunitare cuprinse în aceste directive au fost implementate prin emiterea mai multor acte normative, printre care menţionăm O.m.a.i. nr.1455/2006 privind forma, dimensiunile şi conţinutul permisului de conducere, publicat în Monitorul Oficial al României nr.822/05.10.2006. În acest ordin sunt prezentate caracteristicile şi elementele de securitate pentru prevenirea falsificării permiselor de conducere. Un element care asigură o protecţie sporită este acela că datele personale sunt gravate cu laser în straturile interioare ale documentului. Prevederea legală conform căreia codul numeric personal al titularului este cuprins în conţinutul permisului de conducere este cuprinsă la art.1 din anexa la O.M.A.I. nr.1455/2006.

Direcţia Generală Paşapoarte:

Urmare memoriului dvs. adresat Direcţiei Generale de Paşapoarte în temeiul Legii nr. 544/2001 privind liberul acces la informaţii de interes public în vederea lămuririi unor aspecte privind caracteristicile legale şi tehnice ale paşapoartelor biometrice şi ale noilor premise auto, conform competenţelor specifice, precizăm următoarele:

În conformitate cu actele normative care reglementează atribuţiile Direcţiei Generale de Paşapoarte, această structură nu are competenţe legale privind emiterea permiselor auto, sens în care nu ne putem pronunţa asupra aspectelor supuse atenţiei cu privire la emiterea acestor documente.

Precizăm, totodată, că la art. I pct. 1 din O.U.G. nr. 94/2008 pentru stabilirea unor măsuri privind punerea în circulaţie a paşapoartelor electronice, precum şi producerea altor documente de călătorie este prevăzută competenţa Companiei Naţionale “Imprimeria Naţională” S.A de a produce, cu titlu de exclusivitate, în condiţiile Regulamentului Consiliului (CE) nr. 2252/2004 şi ale Deciziei Comisiei nr. C(2005)409, paşapoarte electronice, precum şi alte documente. Dispoziţiile art. II alin. (1) din acelaşi act normativ stabilesc că personalizarea paşapoartelor electronice se realizează de către Centrul Naţional Unic de Personalizare a Paşapoartelor Electronice din structura Direcţiei Generale de Paşapoarte din cadrul Ministerului Administraţiei şi Internelor.

Totodată, în conformitate cu dispoziţiile art. II alin. (3) din actul normativ sus-menţionat, “Compania Naţională “Imprimeria Naţională” S.A este abilitată să procure şi să pună la dispoziţia Ministerului Administraţiei şi Internelor şi a Ministerului Afacerilor Externe echipamentele şi produsele soft necesare pentru personalizarea paşapoartelor electronice, colantelor uniforme de viză şi colantelor pentru vize biometrice, asigurând comunicaţiile şi serviciile necesare funcţionării neîntrerupte a întregului sistem de emitere, gestionare şi eliberare a documentelor sus-menţionate.

În ceea ce priveşte informaţiile solicitate în cuprinsul memoriului, conform competenţelor, vă comunicăm următoarele (am inserat în comunicatul Direcţiei Paşapoarte şi întrebările F.O.R., n.n):

1.Care sunt caracteristicile (aprobate prin lege) ale documentului electronic românesc – paşaport şi permis de conducere – (tip de memorie, tip de criptare, model de RFID utilizat, rolul microchip-ului în gestionarea informaţiilor, câte nivele de securitate s-au proiectat pentru protecţia informaţiilor, cum se poate proteja informaţia la distrugere sau suprascriere)?

Forma şi conţinutul paşaportului electronic au fost stabilite în Anexa 3 a H.G. nr. 557/2006 privind stabilirea datei de la care se pun în circulaţie paşapoartele electronice, precum şi a formei şi conţinutului acestora, cu modificările şi completările ulterioare. Celelalte informaţii la care faceţi referire pot fi furnizate doar de producătorul paşaportului simplu electronic, stabilit prin O.U.G. nr. 94/2008 pentru stabilirea unor măsuri privind punerea în circulaţie a paşapoartelor electronice, precum şi producerea altor documente de călătorie.

2.Care sunt standardele europene şi naţionale care au stat la baza proiectării arhitecturii interne a paşaportului românesc, în formatul actual cuprinzand mediu de stocare electronica a datelor?

Standardele pentru elementele de securitate şi elementele biometrice integrate în paşapoarte şi în documentele de călătorie emise de statele membre, respectiv specificaţiile tehnice aferente dispozitivelor de securitate sunt stabilite prin:

Regulamentul Consiliului (CE) nr. 2252/2004 al Consiliului Uniunii Europene privind standardele pentru elementele de securitate şi elementele biometrice integrate în paşapoarte şi în documente de călătorie emise de statele membre

Decizia Comisiei nr. C(2005)409 pentru stabilirea specificaţiilor tehnice aferente dispozitivelor de securitate şi elementele biometrice integrate în paşapoarte şi documentele de călătorie eliberate de statele membre, completată prin:

– Decizia Comisiei nr. C(2006) 2909

– Biometrics Deployment of EU Passports – EU Passport Specification

– ICAO Doc 9303, Parts I, II, III – Specifications for Machine Readable Travel Documents

– ICAO Machine Readable Travel Documents – Development of a logical data structure – LDS for optional capacity expansion technologies.

3.Care este instituţia investită cu protecţia şi accesul la datele înscrise în noile acte cu mediu de stocare electronica a datelor?

Structurile care au atribuţii legale privind eliberarea paşaportului simplu electronic, respectiv verificarea identităţii titularului şi autenticităţii documentului de călătorie, cu respectarea actelor normative care reglementează prelucrarea datelor cu caracter personal.

După înmânarea paşaportului către titular, acesta are obligaţia de a păstra documentul de călătorie în condiţii care să nu implice riscul deteriorării, distrugerii sau pierderii acestora, de a nu îl înstrăina decât autorităţilor competente, conform dispoziţiilor art. 20 din Legea nr. 248/2005 privind regimul liberei circulaţii a cetăţenilor români în străinătate, cu modificările şi completările ulterioare.

4.Ce instituţie şi la ce nivel (Punct de trecere a Frontierei, Unitate de Poliţie, Primărie, Spital, Consulat/Ambasadă, Autorităţi din alte ţări) are dreptul de actualizare şi/sau modificare a informaţiilor conţinute în mediile de stocare electronica a datelor cuprinse in pasapoarte/permise de conducere (Dispozitiv de Identificare prin Radiofrecvenţă DIRF (RFID) sau altceva). În acest caz este inclus, ca etapă obligatorie, şi acordul prealabil al posesorului documentului?

Informaţii despre condiţiile în care se pot efectua modificări ale datelor din dispozitivul integrat fără contact din paşaportul electronic pot fi furnizate doar de producătorul paşaportului electronic.

5.Care este procedura de supraveghere a autorităţilor cu privire la corectitudinea utilizării informaţiilor stocate pe microchip-uri în scopul strict al identificării persoanei?

şi

6.Care este procedura de auditare a autoritatilor privind utilizarea corectă a informaţiilor stocate? Cine face auditul acestor autorităţi? Cine asigură auditarea nivelului de criptare a documentelor şi a metodologiei folosite ?

Procedura de supraveghere şi control al prelucrărilor de date cu caracter personal este prevăzută la art. 21 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare. Astfel, în conformitate cu dispoziţiile art. 21 alin. (3) din acest act normativ, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal “monitorizează şi controlează sub aspectul legalităţii prelucrările de date cu caracter personal care cad sub incidenţa prezentei legi.”

La nivel european, prin Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului din 18 decembrie 2000 privind protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituţiile şi organele comunitare şi privind libera circulaţie a acestor date, a fost desemnată ca autoritate independentă de supraveghere, Autoritatea Europeană pentru protecţia datelor, care, conform art. 41, “răspunde de respectarea de către instituţiile şi organele comunitare a drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special, a vieţii private a acestora.”

7.Care este actul normativ ce prevede sancţionarea instituţiilor cu atribuţii în materie, în cazul încălcării normelor de utilizare a informaţiilor stocate în microchip?

Capitolul 8 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, prevede contravenţiile şi sancţiunile aplicabile în cazul încălcării dispoziţiilor legale referitoare la prelucrarea datelor cu caracter personal.

8.Care este garanţia (în condiţiile în care nu au apărut normele de aplicare a OUG 207/2008) că vor fi respectate prevederile art. 7 din Legea 248/2005 modificată prin OUG 207/2008 privind regimul de circulaţie al cetăţenilor români în străinătate?

Dispoziţiile art. 32 şi 33 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, care sancţionează prelucrarea nelegală a datelor cu caracter personal.

9.Care este modalitatea de achiziţie a echipamentelor şi serviciilor aferente implementării sistemului de emitere a paşapoartelor / permiselor de conducere cu medii de stocare a informaţiilor biometrice?

şi

10.Care este istoricul modalităţii de achiziţie a echipamentelor şi serviciilor aferente implementării sistemului de emitere a paşapoartelor electronice (studiu de fezabilitate, proiect tehnic, punctaje tehnice acordate, etc) şi care sunt criteriile care au stat la baza declarării câştigătorului. Totodată, care sunt costurile implementării noilor acte de identitate biometrice şi de unde provin fondurile necesare?

Prin dispoziţiile art. 4 din H.G. nr. 557/2006 privind stabilirea datei de la care se pun în circulaţie paşapoartele electronice, precum şi a formei şi conţinutului acestora, cu modificările şi completările ulterioare, “pentru confecţionarea paşapoartelor electronice pentru cetăţenii români” a fost abilitat Secretariatul General al Guvernului, prin Regia Autonomă “Administraţia Patrimoniului Protocolului de Stat”, în calitate de producător, să organizeze, în colaborare cu Ministerul Administraţiei şi Internelor şi Ministerul Afacerilor Externe, procedura de licitaţie, în conformitate cu prevederile legale privind achiziţiile publice.

De la data aderării la Uniunea Europeană, prevederile Regulamentului Consiliului (CE) nr. 2252/2004 şi ale Deciziei Comisiei nr. C(2005)409 sunt obligatorii şi direct aplicabile în România, iar statul român a amânat, cu acordul Comisiei Europene, punerea în circulaţie a paşapoartelor electronice până la data de 1 iulie 2008, dată care nu a putut fi respectată din cauza imposibilităţilor obiective argumentate de exigenţa respectării dispoziţiilor legislaţiei naţionale armonizate privind achiziţiile publice.

Având în vedere că era necesară luarea unor măsuri pentru încadrarea în termenul-limită de punere în circulaţie a respectivelor documente, şi anume 31 decembrie 2008, astfel cum a fost prorogat ulterior prin H.G. nr. 571/2008 pentru modificarea şi completarea H.G. nr. 557/2006, întrucât fusese deja declanşată procedura necontencioasă împotriva României, premergătoare acţiunii în constatarea neîndeplinirii obligaţiilor în faţa Curţii de Justiţie a Comunităţii Europene, la data de 24 iunie 2008 a fost adoptată O.U.G. nr. 94/2008 pentru stabilirea unor măsuri privind punerea în circulaţie a paşapoartelor electronice, precum şi producerea altor documente de călătorie, întrucât aceste elemente au constituit situaţii extraordinare vizând interesul public şi contribuie la îndeplinirea obligaţiilor asumate de România, potrivit calităţii sale de stat membru al Uniunii Europene, şi la evitarea acţionării ţării noastre în justiţie în faţa Curţii de Justiţie a Comunităţii Europene.

Direcţia Generală de Paşapoarte nu are în competenţă aspecte referitoare la modalitatea de achiziţie a echipamentelor şi serviciilor aferente implementării sistemului de emitere a paşapoartelor electronice, la costurile implementării acestor documente şi la fondurile necesare în acest scop, sarcină ce revine Companiei Naţionale “Imprimeria Naţională” – S.A.

11.Ce studii de vulnerabilitate şi risc există asupra mediilor de stocare a informaţiilor biometrice sau a softurilor de scriere a noilor acte de identitate biometrice?

La Comisia Europeană, în cadrul comitetului “Articolul 6”, a fost înfiinţat un grup de lucru numit Bruxelles Interoperability Group (BIG), care a studiat vulnerabilităţile şi riscurile asupra mediilor de stocare ale paşapoartelor electronice, ale cărui rapoarte au fost prezentate în şedinţele comitetului.

12.Care este standardul internaţional aplicat în România privind funcţionarea sistemelor care lucrează cu date personale?

La nivel internaţional, a fost adoptată la Strasbourg, la data de 28 ianuarie 1981, Convenţia pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal; la nivelul Uniunii Europene, prelucrărilor de date cu caracter personal, efectuate total sau parţial prin mijloace automatizate, precum şi prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă sau care sunt destinate să facă parte dintr-un sistem de evidenţă, li se aplică prevederile Regulamentului (CE) nr. 45/2001 al Parlamentului European şi al Consiliului din 18 decembrie 2000 privind protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituţiile şi organele comunitare şi privind libera circulaţie a acestor date, respectiv ale Directivei nr. 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

13.De la ce distanţă pot fi citite mediile/dispozitivele de stocare a informaţiilor biometrice din paşapoarte / permise de conducere utilizând dotarea actuală a autorităţilor din România?

Informaţiile cu privire la distanţa de la care pot fi citite mediile/dispozitivele de stocare a informaţiilor biometrice sau a softurilor de scriere a paşapoartelor biometrice pot fi furnizate de producătorul acestui document de călătorie.

14. De la ce distanţă pot fi citite mediile/dispozitivele de stocare a informaţiilor biometrice din paşapoarte/ permise de conducere utilizând tehnologia existentă la nivelul autorităţilor din ţările membre ale UE şi SUA?

Conform ICAO Doc 9303, maxim 10 cm.

15.Sunt garantate următoarele cerinţe de confidenţialitate şi securitate a informaţiilor cu caracter personal? Cum?

a. sistemul să permită doar identificarea persoanei prin citirea informaţiilor de pe document (inscripţionate sau conţinute în mediul/dispozitivul de stocare a informaţiilor biometrice) dar nu şi înregistrarea lor pentru utilizarea ulterioară (de ex.: cei care citesc documentul – paşaport / permis de conducere etc. – nu pot salva informaţiile pentru o utilizare ulterioară în orice alt scop);

b. sistemul să permită interogări (cercetarea bazei de date) doar pe bază de mandat şi să se poată extrage informaţii (prin orice mijloc – imprimare, tipărire etc.) numai aferente persoanelor înscrise pe mandat.

Informaţiile despre arhitectura şi securitatea sistemului cât şi despre caracteristicile hardware şi software ale cititoarelor de paşapoarte electronice pot fi furnizate doar de producătorul acestui document de călătorie.

16.Precizaţi temeiul legal potrivit căruia posesorul paşaportului/permis de conducere poate să verifice daca informaţiile inscripţionate pe document – paşaport / permis de conducere etc. – şi cele stocate în mediile/dispozitivele de stocare a informaţiilor biometrice sunt identice şi că nu există informaţii suplimentare nelegale sau pentru care nu şi-a dat acordul în scris.

În conformitate cu dispoziţiile art. 4 alin. (1) din Regulamentul Consiliului nr. 2252/2004, “persoanele cărora li se emite un paşaport sau document de călătorie au dreptul să verifice datele cu caracter personal conţinute în paşaport sau în documentul de călătorie şi, dacă este cazul, să ceară rectificarea sau suprimarea lor”.

De asemenea, la art. 14 alin. (4) din proiectul hotărârii Guvernului pentru modificarea şi completarea H.G. nr. 94/2006 pentru aprobarea normelor metodologice de aplicare a Legii nr. 248/2005 privind regimul liberei circulaţii a cetăţenilor români în străinătate, aflat în curs de elaborare, este prevăzută posibilitatea ca, la ridicarea paşaportului simplu electronic de la sediul serviciului public comunitar pentru eliberarea şi evidenţa paşapoartelor simple, titularul să poată solicita verificarea datelor înscrise în mediul de stocare electronică.

17.Care este procedura legală privind consimţământul posesorului documentului în cazul modificării informaţiilor din mediul/dispozitivul de stocare a informaţiilor biometrice?

Informaţii despre condiţiile în care se pot efectua modificări ale datelor din dispozitivul integrat fără contact din paşaportul electronic pot fi furnizate doar de producătorul paşaportului electronic. În conformitate cu art. 15 alin. (7) şi (8) din Legea nr. 248/2005, în situaţia în care titularul sau reprezentantul legal al acestuia constată faptul că datele înscrise în paşaportul simplu electronic sunt incomplete sau inexacte, trebuie să sesizeze autoritatea emitentă, care este obligată să îi elibereze un nou document, fără plata taxelor şi tarifelor aferente eliberării acestuia.

18.Care este fundamentarea juridică şi/sau tehnică potrivit căreia o memorie pasivă, cu rol de stocare a informaţiilor, în format criptat nu a fost considerată ca suficientă pentru a fi inclusă în paşaportul electronic?

Conform ICAO Doc 9303, dispozitivul integrat fără contact este un circuit pasiv (“memorie pasivă”) fără sursă de alimentare. Informaţiile tehnice despre dispozitivul integrat fără contact utilizat în paşaportul electronic românesc pot fi furnizate de producătorul acestui document de călătorie, respectiv Compania Naţională “Imprimeria Naţională” S.A.

19.Care este actul normativ în temeiul căruia se impune inserarea în cuprinsul documentelor, paşaport/ permis de conducere şi CNP-ul posesorului alături de toate celelalte informaţii?

În conformitate cu dispoziţiile art. 6 din O.U.G. nr. 97/2005 privind evidenţa, domiciliul, reşedinţa şi actele de identitate ale cetăţenilor români, codul numeric personal „reprezintă un număr semnificativ ce individualizează o persoană fizică şi constituie singurul identificator pentru toate sistemele informatice care prelucrează date cu caracter personal privind persoana fizică.” Prin urmare, introducerea codului numeric personal în paşaport este necesară pentru identificarea titularului acestuia şi evitarea folosirii frauduloase a documentului de călătorie.

20.Care este procedura legală prin care posesorul documentului poate verifica informaţiile conţinute în dispozitivul de stocare a informaţiilor biometrice?

În conformitate cu dispoziţiile art. 4 alin. (1) din Regulamentul Consiliului nr. 2252/2004, “persoanele cărora li se emite un paşaport sau document de călătorie au dreptul să verifice datele cu caracter personal conţinute în paşaport sau în documentul de călătorie şi, dacă este cazul, să ceară rectificarea sau suprimarea lor”.

Mai mult, în proiectul hotărârii Guvernului pentru modificarea şi completarea H.G. nr. 94/2006 pentru aprobarea normelor metodologice de aplicare a Legii nr. 248/2005 privind regimul liberei circulaţii a cetăţenilor români în străinătate, aflat în curs de elaborare, postat spre dezbatere publică pe pagina de internet a Ministerului Administraţiei şi Internelor, la secţiunea „Transparenţă decizională”, este prevăzută posibilitatea ca, la ridicarea paşaportului simplu electronic de la sediul serviciului public comunitar pentru eliberarea şi evidenţa paşapoartelor simple, titularul să poată solicita verificarea datelor înscrise în mediul de stocare electronică.

21. A fost consultată Autoritatea de Supraveghere a Datelor cu Caracter Personal cu privire la introducerea mediului/dispozitivului de stocare electronică datelor biometrice ale persoanei? În acest sens există un act oficial în care să fie exprimată poziţia acestei autorităţi faţă de noile reglementări legislative privind paşapoartele/permisele de conducere?

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a avizat favorabil proiectul actului normativ ce a devenit O.U.G. nr. 207/04.12.2008, publicată în M.Of. nr. 831/10.12.2008.

Sursa: Blogul lui Rafael Udrişte



Lasă un răspuns

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s