Statul cu o geană pe noi: un caz practic și 6 sfaturi juridice pentru autoritățile care pun camere video în spațiul public

Autoritățile locale din România au demarat de câțiva ani un nou sport național: supravegherea spațiului public prin camere video (CCTV). Se cumpără și se instalează sute de astfel de camere în toate marile orașe. Scopul declarat? Creșterea securității. Un rezultat incert, în numele căruia se pot crea o mulțime de probleme care țin de respectarea drepturilor cetățenilor la viața privată, dar și de nerespectarea prevederilor legale care țin de GDPR.

Până să ajungem însă la cum ar trebui să privească lucrurile primăriile îndrăgostite de CCTV în spațiile publice, să plecăm de la analiza unui exemplu simplu, în care se poate regăsi oricine dintre noi: până unde poate merge exploatarea unui sistem de supraveghere publică și „cât de legal” ar fi acest lucru.

Citește pe aceeași temă: Ochii ageri ai autorităților ne privesc prin camere de supraveghere. Cum reacționează când le ceri socoteală?

Am făcut o poză în public și am urcat-o pe internet. Ce s-ar putea întâmpla?

Poate că cineva ar putea să ia poza ta de pe Facebook sau Instagram, să identifice locul unde ai făcut poza, apoi să încerce să găsească camere web publice (CCTV). Mai departe, ar putea să identifice momentul când ai făcut tu poza, cu ajutorul unor algoritmi mai avansați sau al inteligenței artificiale. Apoi să publice pe internet secvența video cu momentul în care ai făcut poza. Cu fața ta, eventual cu prietenii tăi care te-au ajutat la „regia” pozei și, evident, cu locația unde ai făcut poza.

Sau ar putea să ia procesul în sens invers: să se uite pe imaginile filmate de camera web publică și să te identifice, folosindu-se de postările tale de pe social media.

Dacă vi se pare că ar fi posibil, dar puțin probabil, ei bine, greșiti. Deja aceste lucruri se întâmplă.

Un artist belgian, Dries Depoorter, a publicat primele rezultate ale proiectului său The Follower, pe 12 septembrie 2022 (inclusiv cel de mai sus).

Și mai interesant este însă exemplul de mai sus. Poza în sine nici măcar nu arată fața protagonistului, ci doar steagul Braziliei. Înregistrarea video de pe camera web publică ne aduce însă în prim plan toate informațiile de identificare: cine este personajul din spatele steagului, cine este fotograful și „asistenta de regie”.

Înainte să mergem mai departe, să reținem trei aspecte:

• O parte din pozele originale, similare cu cele de mai sus, nu se mai găsesc online.
• Povestea a ajuns și în New York Times, care a identificat unul dintre „subiecții” artistului și l-a intervievat.
• Scopul artei lui Dries Depoorter este tocmai de a sublinia, printr-un proiect artistic, pericolele legate de metodele automate de supraveghere.

„Dacă o singură persoană poate să facă asta, oare ce poate să facă Guvernul?”, se întreabă Depoorter, în NY Times.

Exemplul articolului din NY Times ridică și aspectul globalizării și ubicuității. Nu mai e vorba doar de un profesor de franceză din Brazilia, care își face o poză în Dublin, Irlanda. Poza a fost prelucrată și apoi legată de camera web de un artist din Gent, Belgia, care a făcut-o populară pe tot Internetul.

Desigur, v-ați putea întreba: dar e legal?

Răspunsul este mai delicat decât un simplu da sau nu. Sunt cel puțin trei aspecte majore care ar trebui discutate în contextul legislației privind protecția datelor – cunoscut ca GDPR – popularul acronim al Regulamentului UE 679/2016.

1. De ce este pusă acolo camera web din zona publică (CCTV)? Care este scopul instalării și folosirii acelei camere? Cum a avut cineva acces la înregistrarea respectivă? Legal sau nu prea? Am zis „nu prea”, pentru că https://www.shodan.io/ e la un click distanță și, cu puțin efort, oricine poate găsi camere web publice la care se poate uita. Dar dacă e posibil și ușor tehnic, nu înseamnă că este și legal (dar revenim la subiectul acesta mai jos).

2. Imaginile din social media intră în categoria denumită de ceva vreme Open Source Intelligence (OSINT). Personal, termenul îmi repugnă, pentru că nu este nimic „open source” în contextul libertății software, ci doar informații disponibile public pe Internet, care sunt folosite în alte scopuri.

În zona activiștilor și specialiștilor din zona de date cu caracter personal, ne este clar că dacă preiei pozele din social media și le schimbi scopul utilizării, vorbim de o nouă prelucrare de date personale. Pentru asta, trebuie să revenim la GDPR și să vedem dacă putem găsi un temei legal pentru această prelucrare. (Indiciu: de obicei, nu prea există).

Să vedem, deci, care a fost scopul publicării inițiale a fotografiilor personale din exemplele de mai sus.

Să pun o poză pe o rețea socială, pentru a mă lăuda în fața prietenilor și, eventual, să primesc aprecieri de la aceștia pentru a mă simți mai bine?

Sau să pun poze online, pentru a fi folosite în orice scop? Inclusiv de către un artist belgian de care nu am auzit în viața mea, apoi de un ziar celebru din New York și mai târziu, eventual și de un oarecare hacker din Brazilia, care își dă seama că nu sunt acasă? Desigur, sunt ironic: termenul de „folosire în orice scop” nu există în cam nicio circumstanță, în contextul GDPR.

Cel mai probabil, majoritatea ar susține prima variantă.

Cu toate acestea, folosirea informațiilor de pe social media în alte scopuri se întâmplă mereu, indiferent de ce ar zice cei care lucrăm zilnic cu GDPR-ul. Vorbim de cazuri de care aflăm la tot pasul: de la un serviciu de recrutare care vrea să vadă detalii din viața unui candidat la job, până la fostul prieten/prietenă care cine știe ce mai vrea să afle.

De obicei, în momentul în care începe să-ți pese de aceste aspecte, este deja cam târziu. De dovedit ceva va fi extrem de greu, iar legea nu este vreo baghetă miraculoasă, care te poate salva. Deci, dacă vrei să protejezi o informație, că e fotografie sau nu, cel mai bine faci acest lucru din start, nu ulterior, după ce ea a fost exploatată de alții.

3. Am ajuns la al treilea aspect care vizează mica noastră analiză din perspectiva GDPR. Este poate și cel mai important. Care este scopul prelucrării ulterioare a imaginilor din exemplele noastre?

Dacă autorul ar fi făcut acest lucru pentru ridiculizarea unei persoane, nu încape nicio îndoială că vorbim de un scop ilegal.

Utilizarea în scop artistic (ca de altfel și cea în scop jurnalistic), beneficiază însă în legislația română și europeană (art. 85 GDPR și art. 7 legea 190/2018) de o largă exceptare de la multe obligații din GDPR. În acest caz, va trebui să punem în balanță libertatea artistică cu dreptul la viața privată.

Și sigur că uneori această analiză poate fi subiectivă. Utilizarea în scop artistic sau jurnalistic nu este un glonț de argint. Totuși, în cazul despre care vorbim, eu cred că artistul belgian pare că face această prelucrare în mod legal. Și are mai multe argumente forte de partea sa:

• Prelucrarea privește date cu caracter personal, care au fost făcute publice în mod manifest de către persoana vizată sau de caracterul public al faptelor în care este implicată;
• Accesul la camerele video publice a fost făcut legal, chiar printr-un serviciu care se ocupă cu așa ceva.
• Imaginea rezultată nu conține numele utilizatorului de pe Instagram, iar imaginile sunt editate pentru a nu permite identificarea ușoară a subiecților.
• Artistul are un portofoliu larg de lucrări, în care este clar că urmărește un interes public legat de discuția despre supraveghere și tehnologie. (în 2021, a publicat un proiect de supraveghere a politicienilor flamanzi, pentru a vedea cât de mult stau pe telefon în timpul lucrărilor Parlamentului).

Și totuși, nu este ilegal ca oricine sa aibă acces la imaginile din CCTV?

Ba da! Și aici ajungem la punctul care ne doare mai mult decât încercările artistice ale unui tip din Belgia.

Știm deja că sistemele CCTV sunt peste tot în spațiul public din România. Din analiza noastră, toate cele 44 de primării din reședințele de județ ale României folosesc astfel de camere în spațiile publice.

Primăriile (și nu numai) par a fi într-o întrecere de „a asigura securitatea cetățenilor”, prin instalarea de sisteme CCTV. Pare simplu, eficace și ieftin din punct de vedere al tehnologiei.

Cât de utile și eficiente sunt, cine se uită la acele imagini, când și care este scopul real al acestor camere, par a fi subiecte care sunt trase pe linia moartă de autoritățile locale din România.

Pentru securitatea cetățenilor avem voie să facem orice pare să fie argumentul lor suprem.

Doar că lucrul pe care îl uită deseori cei care instalează camere de supraveghere în spațiul public (nu doar primăriile) și ceea ce nu le spun cei care le vând astfel de tehnologii (nici nu este treaba lor acest lucru), este că din punct de vedere al protecției datelor personale, lucrurile sunt mult mai complexe. Dacă autoritățile instalează astfel de camere de supraveghere, ar trebui să înțeleagă câteva aspecte esențiale.

Nu o să facem aici o analiză exhaustivă a obligațiilor pe care le are un operator de date, care administrează un sistem de CCTV. Există însă câteva principii importante care merită subliniate.

1. Nu pui CCTV unde vrei, doar pentru că poți

Principiul este de a pune sisteme de supraveghere doar dacă ai un scop care nu poate fi îndeplinit altfel. Dacă alte metode pentru a atinge acel scop nu sunt posibile.

În zonele publice, există prezumția că ele nu sunt monitorizate. „Mai ales dacă aceste zone sunt folosite în mod obișnuit pentru activități de recuperare, regenerare și recreere, precum și în locurile în care persoanele stau și/sau comunică, de exemplu în zone de odihnă, la mese de restaurant, în parcuri, la cinematografe și în centre de fitness”, după cum explică European Data Protection Board în Ghidul 3/2019 privind prelucrarea datelor cu caracter personal prin mijloace video v2.0.

2. Trebuie să ai un scop precis

„Creșterea siguranței publice” nu este un scop în sine pentru instalarea de CCTV. Altfel, autoritățile ar putea pune camere fake sau fără păstrarea înregistrărilor.

Faptul că autoritățile susțin că au nevoie de ele pentru „stoparea infracționalității” nu va fi un scop valid, atâta vreme cât nu pot demonstra că exact în zona respectivă există infracționalitate. Ar fi bine și să se gândească dacă nu cumva vor muta „infracționalitatea” doar două străzi mai încolo, unde nu există nicio cameră de supraveghere. 

Un al exemplu dat de Ghidul EPDB ne arată și corelarea scopului cu ce anume colectezi și când: „Dacă se instalează o cameră auto (de exemplu, în scopul culegerii de dovezi în caz de accident), este important să se asigure faptul că această cameră nu înregistrează în permanență traficul și persoanele care se află în apropierea drumului. În caz contrar, interesul ca înregistrările video să constituie o dovadă în cazul mai teoretic al unui accident rutier nu poate justifica această interferență gravă cu drepturile persoanelor vizate”.

3. O analiză de impact a datelor personale poate fi obligatorie

În cele mai multe cazuri, prelucrarea datelor prin CCTV se face pe baza temeiului legal numit „interes legitim” (Art. 6 (1) f GDPR), caz în care trebuie identificat în mod exact interesul legitim în cauză și făcută o analiză, pentru a observa dacă nu prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate.

În multe situații, când vorbim de CCTV instalate de primării, ne vom afla în situația când este nevoie de o analiză mai detaliată de evaluare a impactului asupra datelor personale (art. 35 GDPR), mai ales dacă acestea intră în categoriile expres prevăzute de Decizia 174/2018 ANSPDCP, cum ar fi „monitorizarea sistematică pe scară largă a unei zone accesibile publicului, cum ar fi supravegherea video în centre comerciale, stadioane, pieţe, parcuri sau alte asemenea spaţii”.

4. Durata stocării trebuie limitată la minimum

Majoritatea primăriilor par a opta pentru termene de stocare de 20-30 de zile. Doar că aceasta ar fi perioada maximă prevăzută de lege, pe altă speță – cea a sistemelor CCTV ale angajatorilor – art. 5 legea 190/2018). Ghidul EDPB vorbește de un termen standard de doar câteva zile.

„ (…) datele cu caracter personal trebuie șterse în mod ideal automat, după câteva zile, în majoritatea cazurilor (de exemplu, în scopul depistării actelor de vandalism).

Cu cât perioada de stocare stabilită este mai lungă (mai ales când depășește 72 de ore), cu atât este nevoie de o argumentare mai solidă pentru legitimitatea scopului și necesitatea stocării”.

5. Securitatea datelor nu este o joacă

Instalarea unui sistem CCTV este doar primul pas. Asigurarea securității datelor personale prelucrate și stocate continuu este un proces complex. Chiar dacă autoritățile se bazează pe o firmă care asigură găzduirea datelor, deseori problema este la nivelul de acces, prost gândit din start. „ȘEFUL” nu trebuie să aibă oricând și oricum acces la aceste înregistrări.

Înainte de a instala un sistem de supraveghere a spațiului public, autoritățile ar trebui s-și pună câteva întrebări:

• Este în cazul nostru nevoie de o supraveghere în timp real?
• Cine poate accesa înregistrările și cum? (ideal cel puțin două persoane sau chiar o comisie, pentru a reduce riscul de abuzuri)
• În ce condiții le poate accesa? Când există potențialul unei infracțiuni, unei contravenții sau doar dacă primesc o cerere de la poliție?
• Cu ce dovezi se face accesul? Este logat accesul? Există un proces verbal, ca urmare a faptelor depistate?

6. Să fii pregătit să răspunzi la cererile primite

Una din obligațiile prevăzute de GDPR este că autoritățile și companiile trebuie să răspundă la cererile de la persoanele vizate, cu privire la drepturilor lor (art. 15-22 GDPR).

De obicei, dreptul de acces (art. 15 GDPR) presupune cele mai mari provocări pentru operatorii de CCTV, pentru că trebuie să poată face două lucruri. Primul: să extragă și să exporte exact secțiunea de video cu persoana vizată, conform solicitării. Al doilea: să anonimizeze fețele celorlalte persoane care apar în înregistrare.

Cum Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a început să dea amenzi și i-a sancționat chiar în acest an cu 3.000 de euro pe unii operatori, pentru nerespectarea acestui drept, se poate ajunge la situația în care amenda să coste mai mult decât sistemul CCTV instalat.