Bu hafta Federal İdari Dava Odası, Yürütme Organına talimat verdi CUID.AR uygulama veritabanını silin2020'den bu yana salgın sırasında sağlık kartını yönetmek, aşı ve COVID-19 testleriyle ilgili verileri dağıtmak ve yönetmek için kullanılıyor.
Ancak buna ek olarak Alberto Fernández Hükümeti, Ulusal Kamu Yönetiminin yargı bölgelerinin, birimlerinin ve kuruluşlarının Vatandaş verilerini “aktarın, devredin veya değiştirin”Bu da Bakanlar Kurulu Başkanına ulaşarak gizliliği etkiledi ve potansiyel olarak veri sızıntısı olasılığını artırdı.
Kişisel veriler bir değerli varlıkHer ne kadar ortalama vatandaş bunu hesaba katmasa da. Bunlarla birlikte, ev bankacılığı gibi sistem ve hizmetlere yetkisiz erişim sağlamak için kullanılabilecek kimlik hırsızlığından sosyal mühendislik yapmak için bunlardan yararlanmaya (“amcanın hikayesi”) kadar birçok siber suç işlenebilir.
CUID.AR tarafından yönetilen kişisel bilgilerin çok yönlülüğü, Mayıs 2023'te sivil toplum örgütü tarafından toplu bir koruma sağladı Arjantin Bilgisayar Hukuku Gözlemevi (ODIA) ve bugüne kadar hala saklanan ve kullanılabilen bu verilerin silinmesini talep eden bir vatandaş (Eliana Andrade).
Pandemi sırasında uygulama verileri ülkedeki tüm yargı bölgelerinde paylaşılabilir ve bu da verilerin yanlış ellere geçme olasılığını artırır. Uygulama, aşağıdakiler gibi kişisel verileri sakladı: tam adı, kimlik numarası, ikamet adresidolaşım izinleri ve aşı sertifikaları.
Bu yıllarda yaşanan çok sayıda veri sızıntısını hatırlamak hiç de küçümsenecek bir şey değil: En çok ses getirenlerden bahsetmek gerekirse, 2024'te Renaper ve sürücü ehliyetleri, 2023'te PAMI, 2022'de Sağlık Bakanlığı, 2021'de yine Renaper ve Göçler. 2020'de.
Yeni uygulama, Kovid-19 semptomlarını kendi başınıza değerlendirmenize olanak tanıyor.
Geçen Pazartesi Daire IV. Dairesi toplu korumayı kabul etti ve bu da uygulamanın veri tabanının Sağlıkla ilgili acil durum devam ederken sağlık amaçları, zaten tamamlanmış bir dönem. Verilerin kullanıcıların izni olmadan paylaşıldığı da vurgulandı.
Geçtiğimiz yılın mart ayında Hizmetler ve Dijital Ülke Müsteşarlığı kayıtları iptal etmişti. Ancak konuyla ilgili herhangi bir önlem alınmadı saklanan verileri silin.
“Oda bu hafta, 431/2020 Sayılı İdari Karar ile belirlenen şekilde, Ulusal Kamu Yönetiminin farklı kuruluşları tarafından CUID.AR uygulaması aracılığıyla toplanan verilerin Genelkurmay Başkanına aktarılmasının durdurulmasını emrederek derece kararını iptal etti. Kişisel verilerin korunması konusunda uzman avukat Lucas Barreiro, “Ulusun Bakanlarının Genelkurmay Başkanı,” diye açıkladı.
Kişisel verilerin korunmasında zafer
Buenos Aires Şehri Constitución'da salgın sırasında dolaşım kontrolleri. Fotoğraf: Luciano Thieberger
Uygulama, pandemi nedeniyle Devletin sağlık izinlerini yönetmek ve nüfus kontrolünü elinde bulundurmak zorunda kaldığı sağlık acil durumu sırasında mantıklıydı. “Bu bağlamda, 'CuidAR' uygulaması tarafından toplanan kişisel verilerin aktarımı, COVID-19 sağlık acil durumuna dayanan yasal bir zorunluluk kapsamında yapılmıştır. Her ne kadar yasal standart veri aktarımına olanak sağlayan çerçeveyi sağlasa da, bu durum sorumluları kişisel verilerin işlenmesine ilişkin yol gösterici ilkelere uymaktan muaf tutmaz” diye açıklıyor uzman.
“Zorunluluk, orantılılık ilkeleri ve şunu da ekliyorum: geçicilik. Sağlıkla ilgili acil durum ortadan kalktığında, bu amaçla toplanan veya aktarılan tüm kişisel verilerin geçerliliği ve gerekliliği sona erecek gibi görünüyor” diye ekledi Barreiro.
Bu süreçte kilit rol oynayan sivil toplum kuruluşlarından biri, vatandaşların haklarına yönelik ihlallere (Buenos Aires Şehrindeki yüz tanıma gibi) ilişkin uyarılarda bulunan bir kuruluş olan ODIA'ydı.
“Federal Dairenin bu kararı, Federal Daire tarafından uygulamaya konulan yeni senaryolar karşısında Temel Hakların etkinliğini garanti altına alacak uygun usuli araçların oluşturulmasında bir halkayı daha oluşturmaktadır. hayatımızın dijitalleşmesi“diye konuştu diyalog halinde Zurna Tomás Pomar, avukat ve Gözlemevi üyesi.
“Karar, 'toplu veri silme' işleminin gerçekleştiği ilk dava olma özelliğini taşıyor. Bu, prosedürel hususların ötesinde, bizi, verileri işleyen araçlar tarafından giderek daha fazla tanımlanan bu gerçeklikte hâlâ 'kişisel veriler' olarak anladığımız şeyin ana hatlarını yeniden düşünmeye ve yeniden tanımlamaya davet ediyor. büyük miktarda veri“ekledi.
“Öte yandan, V. Daire'nin kullandığı argümanlara bakıldığında, örneğin farklı silme yöntemlerinin farkında olan yargıçların bulunmasını çok olumlu buluyoruz. Hayatımızın dijitalleşmesinin hızla yaygınlaşması, tüm yasal operatörlerin dikkatini daha önce hiçbir hukuki içeriği olmayan konulara odaklamaya itti” dedi.
Bu anlamda, veri koruma alanında kararın ileriye doğru atılmış bir adım olduğu konusunda fikir birliği var. Barreiro şöyle tamamladı: “Bu karar aşkındır, çünkü yalnızca Devlet kurumları arasında kişisel verilerin işlenmesinin durdurulmasını ve ellerindeki verilerin silinmesini emretmekle kalmıyor, aynı zamanda kolektif bir eylemi de tanıyor mahremiyet hakkını savunmak için“.
Veriler gerçekten silindi mi?
Bilgiler yerel (“şirket içi”) ve sanal sunucularda (bulut) depolanır. Fotoğraf Pexels'i
Zurna Büyük miktarda veriyi işleyen bir devlet kurumuna yakın kaynaklara danışıldı ve bilgilerin yalnızca Devlet dairelerindeki bilgisayarlarda saklanmadığı bir bağlamda veri silme sürecinin nasıl bir şey olduğunu açıkladılar, aynı zamanda bulutta (hizmet olarak ödenen uzak sunucular).
Yıllardır sistemleri buluta taşıma çabası olmasına rağmen ARSATYereldeki büyük oyuncular, Amazon'un AWS'si ve Microsoft'un Azure'u gibi küresel pazara hakim olanlarla aynı.
“Bilgiyi silmek için devletin tüm klasik mekanizmaları kullanılıyor. İç ve dış denetimler, gözlemciler ve insanlardan oluşan bir ekip. Şimdi, Verilerin %100'ünün silindiğinden emin misiniz? İmkansız. Yapılabilecek tek şey, eğer bu veriler eninde sonunda sızdırılırsa sorumluları aramaktır. Ancak belki de bu bilgi zaten sızdırılmış ve Telegram gibi kanallarda dolaşıyor” diye uyardılar.
Bu anlamda, bilgilerin silinmesi yalnızca vatandaşların korunması meselesiyle değil, aynı zamanda Devlet kaynaklarının da korunmasıyla ilgilidir: bilgi yer kaplar. Ve yer gümüş.
“Bilgilerin silinmesi kaynak nedenleriyle de iyidir.sadece vatandaşların verilerinin korunması için değil. Ancak, yedekleme yapan bazı operasyonel araçların olduğunu ve onu silmeyi hatırlamadıklarını hayal edin: işte bu, bilgi orada. Dürüst olmak gerekirse bilgilerin tamamen silinmesini sağlamak neredeyse imkansız” diye uyardı teknik bir kaynak.
Alanındaki uzmanlara göre en büyük fark, sistemlerin tasarımından kaynaklanıyor. “Bütün mesele tasarımdır: Başlangıçta, ufukta görünen ve bu tür güvenlik önlemleriyle silinecek bilgileri içeren veritabanı sistemleriniz varsa, kullanmaya başlamadan önce Ortadan kaldırmayı göz önünde bulundurarak programlıyorsunuz. Bu genellikle yapılmaz” diye eklediler.
Sağlık verileriyle ilgili olarak veriler üzerindeki kontrolü daha karmaşık hale getiren bir özellik var. “Buna ek olarak, geliştirmenin önemli bir bölümünü dışarıdan temin ettikleri için en fazla sayıda ciddi soruna Sağlık'ta rastlandı. Ulusal siber güvenlik müdürlüğü bu işlere hizmet etmelidir. Olmalı ulusal bir siber güvenlik kurumu Bu konular devam etsin” diyerek kapattılar.
Buna, pandemi sırasında telefon sağlayıcıları (vatandaş takibi SMS ile yapılıyordu), karantinadaki vatandaşları barındıran otel zincirleri ve diğer özel kuruluşlar arasındaki devasa tedarik zincirini de eklersek, CUID.AR uygulaması tarafından işlenen veriler zaten mevcut. kontrolü tamamen kaçan alanlarda dolaşım.
Arjantin'de şu an için ABD'den İngiltere'ye kadar bu alanda referans olan diğer ülkelerin aksine bir Ulusal Siber Güvenlik Ajansı bulunmuyor. Latin Amerika'da Şili ulusal bir siber güvenlik merkezi inşa ediyor ve Peru'da bir Ulusal Dijital Güvenlik Merkezi (sonuçta bir CERT/CSIRT) bulunuyor.
Bunun ötesinde veriler hemen silinmez. Kararın tebliğinden itibaren, Yürütme Organının olağanüstü bir federal temyiz başvurusunda bulunmak için 10 iş günü vardır; Daire tarafından kabul edilmesi halinde, bu başvuru şu şekilde olacaktır: Dosya Yargıtay'a gidecek.
İtiraz edilmediği takdirde ceza kesinleşecek, dosya ilk derece mahkemesine dönecek ve infaza hazır hale gelecektir. Bu durumda verilerin en azından kurumsal olarak kalıcı olarak silinmesi gerekecektir.
Pratikte bu verilerin zaten yanlış ellerde.
Ancak buna ek olarak Alberto Fernández Hükümeti, Ulusal Kamu Yönetiminin yargı bölgelerinin, birimlerinin ve kuruluşlarının Vatandaş verilerini “aktarın, devredin veya değiştirin”Bu da Bakanlar Kurulu Başkanına ulaşarak gizliliği etkiledi ve potansiyel olarak veri sızıntısı olasılığını artırdı.
Kişisel veriler bir değerli varlıkHer ne kadar ortalama vatandaş bunu hesaba katmasa da. Bunlarla birlikte, ev bankacılığı gibi sistem ve hizmetlere yetkisiz erişim sağlamak için kullanılabilecek kimlik hırsızlığından sosyal mühendislik yapmak için bunlardan yararlanmaya (“amcanın hikayesi”) kadar birçok siber suç işlenebilir.
CUID.AR tarafından yönetilen kişisel bilgilerin çok yönlülüğü, Mayıs 2023'te sivil toplum örgütü tarafından toplu bir koruma sağladı Arjantin Bilgisayar Hukuku Gözlemevi (ODIA) ve bugüne kadar hala saklanan ve kullanılabilen bu verilerin silinmesini talep eden bir vatandaş (Eliana Andrade).
Pandemi sırasında uygulama verileri ülkedeki tüm yargı bölgelerinde paylaşılabilir ve bu da verilerin yanlış ellere geçme olasılığını artırır. Uygulama, aşağıdakiler gibi kişisel verileri sakladı: tam adı, kimlik numarası, ikamet adresidolaşım izinleri ve aşı sertifikaları.
Bu yıllarda yaşanan çok sayıda veri sızıntısını hatırlamak hiç de küçümsenecek bir şey değil: En çok ses getirenlerden bahsetmek gerekirse, 2024'te Renaper ve sürücü ehliyetleri, 2023'te PAMI, 2022'de Sağlık Bakanlığı, 2021'de yine Renaper ve Göçler. 2020'de.
Yeni uygulama, Kovid-19 semptomlarını kendi başınıza değerlendirmenize olanak tanıyor.
Geçen Pazartesi Daire IV. Dairesi toplu korumayı kabul etti ve bu da uygulamanın veri tabanının Sağlıkla ilgili acil durum devam ederken sağlık amaçları, zaten tamamlanmış bir dönem. Verilerin kullanıcıların izni olmadan paylaşıldığı da vurgulandı.
Geçtiğimiz yılın mart ayında Hizmetler ve Dijital Ülke Müsteşarlığı kayıtları iptal etmişti. Ancak konuyla ilgili herhangi bir önlem alınmadı saklanan verileri silin.
“Oda bu hafta, 431/2020 Sayılı İdari Karar ile belirlenen şekilde, Ulusal Kamu Yönetiminin farklı kuruluşları tarafından CUID.AR uygulaması aracılığıyla toplanan verilerin Genelkurmay Başkanına aktarılmasının durdurulmasını emrederek derece kararını iptal etti. Kişisel verilerin korunması konusunda uzman avukat Lucas Barreiro, “Ulusun Bakanlarının Genelkurmay Başkanı,” diye açıkladı.
Kişisel verilerin korunmasında zafer
Uygulama, pandemi nedeniyle Devletin sağlık izinlerini yönetmek ve nüfus kontrolünü elinde bulundurmak zorunda kaldığı sağlık acil durumu sırasında mantıklıydı. “Bu bağlamda, 'CuidAR' uygulaması tarafından toplanan kişisel verilerin aktarımı, COVID-19 sağlık acil durumuna dayanan yasal bir zorunluluk kapsamında yapılmıştır. Her ne kadar yasal standart veri aktarımına olanak sağlayan çerçeveyi sağlasa da, bu durum sorumluları kişisel verilerin işlenmesine ilişkin yol gösterici ilkelere uymaktan muaf tutmaz” diye açıklıyor uzman.
“Zorunluluk, orantılılık ilkeleri ve şunu da ekliyorum: geçicilik. Sağlıkla ilgili acil durum ortadan kalktığında, bu amaçla toplanan veya aktarılan tüm kişisel verilerin geçerliliği ve gerekliliği sona erecek gibi görünüyor” diye ekledi Barreiro.
Bu süreçte kilit rol oynayan sivil toplum kuruluşlarından biri, vatandaşların haklarına yönelik ihlallere (Buenos Aires Şehrindeki yüz tanıma gibi) ilişkin uyarılarda bulunan bir kuruluş olan ODIA'ydı.
“Federal Dairenin bu kararı, Federal Daire tarafından uygulamaya konulan yeni senaryolar karşısında Temel Hakların etkinliğini garanti altına alacak uygun usuli araçların oluşturulmasında bir halkayı daha oluşturmaktadır. hayatımızın dijitalleşmesi“diye konuştu diyalog halinde Zurna Tomás Pomar, avukat ve Gözlemevi üyesi.
“Karar, 'toplu veri silme' işleminin gerçekleştiği ilk dava olma özelliğini taşıyor. Bu, prosedürel hususların ötesinde, bizi, verileri işleyen araçlar tarafından giderek daha fazla tanımlanan bu gerçeklikte hâlâ 'kişisel veriler' olarak anladığımız şeyin ana hatlarını yeniden düşünmeye ve yeniden tanımlamaya davet ediyor. büyük miktarda veri“ekledi.
“Öte yandan, V. Daire'nin kullandığı argümanlara bakıldığında, örneğin farklı silme yöntemlerinin farkında olan yargıçların bulunmasını çok olumlu buluyoruz. Hayatımızın dijitalleşmesinin hızla yaygınlaşması, tüm yasal operatörlerin dikkatini daha önce hiçbir hukuki içeriği olmayan konulara odaklamaya itti” dedi.
Bu anlamda, veri koruma alanında kararın ileriye doğru atılmış bir adım olduğu konusunda fikir birliği var. Barreiro şöyle tamamladı: “Bu karar aşkındır, çünkü yalnızca Devlet kurumları arasında kişisel verilerin işlenmesinin durdurulmasını ve ellerindeki verilerin silinmesini emretmekle kalmıyor, aynı zamanda kolektif bir eylemi de tanıyor mahremiyet hakkını savunmak için“.
Veriler gerçekten silindi mi?
Zurna Büyük miktarda veriyi işleyen bir devlet kurumuna yakın kaynaklara danışıldı ve bilgilerin yalnızca Devlet dairelerindeki bilgisayarlarda saklanmadığı bir bağlamda veri silme sürecinin nasıl bir şey olduğunu açıkladılar, aynı zamanda bulutta (hizmet olarak ödenen uzak sunucular).
Yıllardır sistemleri buluta taşıma çabası olmasına rağmen ARSATYereldeki büyük oyuncular, Amazon'un AWS'si ve Microsoft'un Azure'u gibi küresel pazara hakim olanlarla aynı.
“Bilgiyi silmek için devletin tüm klasik mekanizmaları kullanılıyor. İç ve dış denetimler, gözlemciler ve insanlardan oluşan bir ekip. Şimdi, Verilerin %100'ünün silindiğinden emin misiniz? İmkansız. Yapılabilecek tek şey, eğer bu veriler eninde sonunda sızdırılırsa sorumluları aramaktır. Ancak belki de bu bilgi zaten sızdırılmış ve Telegram gibi kanallarda dolaşıyor” diye uyardılar.
Bu anlamda, bilgilerin silinmesi yalnızca vatandaşların korunması meselesiyle değil, aynı zamanda Devlet kaynaklarının da korunmasıyla ilgilidir: bilgi yer kaplar. Ve yer gümüş.
“Bilgilerin silinmesi kaynak nedenleriyle de iyidir.sadece vatandaşların verilerinin korunması için değil. Ancak, yedekleme yapan bazı operasyonel araçların olduğunu ve onu silmeyi hatırlamadıklarını hayal edin: işte bu, bilgi orada. Dürüst olmak gerekirse bilgilerin tamamen silinmesini sağlamak neredeyse imkansız” diye uyardı teknik bir kaynak.
Alanındaki uzmanlara göre en büyük fark, sistemlerin tasarımından kaynaklanıyor. “Bütün mesele tasarımdır: Başlangıçta, ufukta görünen ve bu tür güvenlik önlemleriyle silinecek bilgileri içeren veritabanı sistemleriniz varsa, kullanmaya başlamadan önce Ortadan kaldırmayı göz önünde bulundurarak programlıyorsunuz. Bu genellikle yapılmaz” diye eklediler.
Sağlık verileriyle ilgili olarak veriler üzerindeki kontrolü daha karmaşık hale getiren bir özellik var. “Buna ek olarak, geliştirmenin önemli bir bölümünü dışarıdan temin ettikleri için en fazla sayıda ciddi soruna Sağlık'ta rastlandı. Ulusal siber güvenlik müdürlüğü bu işlere hizmet etmelidir. Olmalı ulusal bir siber güvenlik kurumu Bu konular devam etsin” diyerek kapattılar.
Buna, pandemi sırasında telefon sağlayıcıları (vatandaş takibi SMS ile yapılıyordu), karantinadaki vatandaşları barındıran otel zincirleri ve diğer özel kuruluşlar arasındaki devasa tedarik zincirini de eklersek, CUID.AR uygulaması tarafından işlenen veriler zaten mevcut. kontrolü tamamen kaçan alanlarda dolaşım.
Arjantin'de şu an için ABD'den İngiltere'ye kadar bu alanda referans olan diğer ülkelerin aksine bir Ulusal Siber Güvenlik Ajansı bulunmuyor. Latin Amerika'da Şili ulusal bir siber güvenlik merkezi inşa ediyor ve Peru'da bir Ulusal Dijital Güvenlik Merkezi (sonuçta bir CERT/CSIRT) bulunuyor.
Bunun ötesinde veriler hemen silinmez. Kararın tebliğinden itibaren, Yürütme Organının olağanüstü bir federal temyiz başvurusunda bulunmak için 10 iş günü vardır; Daire tarafından kabul edilmesi halinde, bu başvuru şu şekilde olacaktır: Dosya Yargıtay'a gidecek.
İtiraz edilmediği takdirde ceza kesinleşecek, dosya ilk derece mahkemesine dönecek ve infaza hazır hale gelecektir. Bu durumda verilerin en azından kurumsal olarak kalıcı olarak silinmesi gerekecektir.
Pratikte bu verilerin zaten yanlış ellerde.