Masurile slabe de criptare incalca dreptul la viata privata
Curtea Europeană a Drepturilor Omului (CEDO) a emis recent o hotărâre istorică în Cauza Podchasov v. Rusia, care are implicații semnificative pentru criptare și dreptul la viață privată în era digitală.
Această decizie se aliniază îndeaproape principiilor de protecție a datelor și a vieții private consacrate în Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene.
În februarie 2024, Curtea Europeană a Drepturilor Omului a hotărât că slăbirea criptării sau crearea de "backdoors" pentru a facilita accesul autorităților de aplicare a legii la comunicațiile criptate încalcă dreptul la viață privată în temeiul articolului 8 din Convenția europeană a drepturilor omului (CEDO). Cauza s-a axat pe cerințele legislative ale Rusiei pentru furnizorii de comunicații prin internet, inclusiv Telegram, de a stoca datele utilizatorilor și de a furniza chei de decriptare autorităților, la cerere.
Curtea a subliniat mai multe puncte-cheie care rezonează cu principiile GDPR:
-
Importanța criptării pentru protecția vieții private și a securității:
CEDO a confirmat utilizarea criptării ca instrument vital pentru protejarea vieții private, a confidențialității și a securității comunicațiilor electronice. Acest lucru se aliniază cu accentul pus de GDPR pe protecția datelor prin concepție și implicit (articolul 25), care încurajează utilizarea criptării și a pseudonimizării pentru a proteja datele cu caracter personal.
-
Caracterul nediscriminatoriu al reducerii capacității de criptare:
Curtea a menționat că introducerea de "backdoors" sau slăbirea criptării ar afecta toți utilizatorii fără a se face distincții, nu doar pe aceia care fac obiectul unei investigații. Acest lucru face trimitere la principiul minimizării datelor din GDPR [articolul 5 alineatul
(1) litera (c)], care impune limitarea prelucrării datelor cu caracter personal la ceea ce este necesar pentru scopul specific.
-
Intervenții disproporționate:
Curtea Europeană a Drepturilor Omului a constatat că impunerea obligației de a reduce criptarea pentru toți utilizatorii a fost disproporționată față de scopurile legitime urmărite de aplicarea legii. Acest lucru reflectă principiul proporționalității din GDPR, care impune ca prelucrarea datelor să fie necesară și proporțională cu scopul urmărit.
-
Risc de abuz:
Curtea a subliniat potențialul ca "backdoors" să fie exploatate de actori rău intenționați, compromițând securitatea comunicațiilor tuturor utilizatorilor. Această preocupare se aliniază cu accentul pus de GDPR pe securizarea datelor (articolul 32) și cu obligația de a pune în aplicare măsuri tehnice și organizatorice adecvate pentru a proteja datele cu caracter personal.
-
Soluții alternative:
CEDO a sugerat că ar trebui explorate metode mai puțin intruzive de accesare a comunicațiilor, cum ar fi folosirea dispozitivelor specializate. Această abordare este conformă cu principiul GDPR al protecției datelor prin design, care încurajează identificarea de soluții care să protejeze viața privată.
Din perspectivă GDPR, hotărârea Podchasov reafirmă mai multe principii fundamentale privind protecția datelor:
-
Minimizarea datelor și limitarea scopului: Decizia susține ideea că supravegherea în masă și păstrarea datelor fără distincții sunt incompatibile cu drepturile fondamentale.
-
Integritatea și confidențialitatea: Prin susținerea importanței criptării, hotărârea se aliniază cu accentul pus de GDPR pe asigurarea securității datelor cu caracter personal.
-
Răspunderea: Hotărârea subliniază necesitatea unor garanții juridice clare și a unor mecanisme de supraveghere, care reprezintă, de asemenea, un principiu de bază al GDPR.
Este posibil ca decizia Podchasov să aibă implicații profunde asupra dezbaterilor actuale privind criptarea și viața privată în Europa și în afara acesteia. Aceasta poate influența elaborarea unor acte legislative precum regulamentul propus de UE privind materialele referitoare la abuzurile sexuale asupra copiilor (CSAM) și Legea privind siguranța online din Regatul Unit, care au generat preocupări cu privire la impactul potențial asupra criptarea.
Pentru organizațiile care își desfășoară activitatea în conformitate cu GDPR, această hotărâre întărește importanța implementării unor măsuri puternice de criptare și a analizării atente a implicațiilor asupra vieții private ale oricăror activități de prelucrare a datelor.
De asemenea, subliniază necesitatea de a rămâne informați cu privire la evoluția interpretărilor juridice ale dreptului la viață privată în era digitală.
Hotărârea Curții Europene a Drepturilor Omului (CEDO) în Cauza Podchasov c. Rusiei are implicații semnificative pentru viitoarele politici de criptare din UE:
-
Sprijin puternic pentru criptarea end-to-end:
Curtea a subliniat importanța criptării pentru protejarea vieții private, a confidențialității și a securității comunicațiilor electronice. Acest lucru se aliniază și consolidează poziția UE privind criptarea eficientă, astfel cum este prezentată în documente precum Regulamentul GDPR.
-
Respingerea criptării de tip backdoor:
Curtea Europeană a Drepturilor Omului a decis că obligarea tuturor utilizatorilor la diminuarea criptării sau la crearea de "backdoors" este disproporționată și încalcă dreptul la viață privată. Acest lucru contestă în mod direct propunerile din UE (cum ar fi regulamentul CSAM) care ar impune scanarea comunicațiilor criptate.
-
Accentul pus pe principiul proporționalității:
Curtea a subliniat că măsurile care slăbesc criptarea pentru toți utilizatorii sunt disproporționate față de obiectivele de aplicare a legii. Acest principiu al proporționalității este esențial în legislația UE privind protecția datelor și va influența probabil viitoarele dezbateri politice.
-
Impactul asupra legislației în vigoare:
Curtea a hotărât că hotărârea va avea un impact asupra legislației în vigoare:
Este de așteptat ca hotărârea să afecteze discuțiile în curs privind regulamentul CSAM al UE și propunerile similare care ar putea submina criptarea. Aceasta oferă o bază juridică solidă pentru a se opune unor astfel de măsuri.
-
Consolidarea dreptului la viață privată:
Prin corelarea criptării cu drepturi fundamentale precum viața privată și libertatea de exprimare, hotărârea consolidează baza juridică pentru protejarea unei criptări stricte în UE.
-
Orientări privind abordările alternative:
Instanța a sugerat explorarea unor metode mai puțin intruzive de acces pentru aplicarea legii, ceea ce ar putea modela viitoarele politici ale UE privind echilibrarea preocupărilor legate de securitate și viață privată.
-
Potențial conflict cu anumite politici ale statelor membre:
Hotărârea ar putea crea tensiuni cu țările UE care au făcut presiuni în favoarea criptării "backdoors", ceea ce ar putea conduce la revizuiri ale politicilor.
-
Influența asupra standardelor la nivelul UE:
Ca interpretare autoritară a legislației privind drepturile omului, hotărârea va influența probabil elaborarea de standarde și reglementări la nivelul UE privind criptarea și protecția datelor.
Pe scurt, decizia CEDO oferă un sprijin puternic pentru menținerea și consolidarea criptării în UE, respingând în același timp propunerile care ar slăbi sau ar eluda protecțiile de criptare. Este posibil ca decizia să aibă un impact semnificativ asupra orientării viitoarelor politici de criptare ale UE către garanții mai solide în materie de confidențialitate.
Există mai multe implicații juridice importante ale slăbirii criptării în conformitate cu GDPR:
-
Încălcarea principiilor de protecție a datelor:
Slăbirea criptării ar încălca probabil principiile esențiale ale GDPR, în special cerințele privind protecția datelor prin design și default (articolul 25) și asigurarea securității adecvate a datelor cu caracter personal (articolul 32). GDPR menționează în mod explicit criptarea ca un exemplu de măsură tehnică adecvată pentru protejarea datelor.
-
Creșterea riscului de încălcare a securității datelor:
Slăbirea criptării ar putea facilita accesul persoanelor neautorizate la datele cu caracter personal, ceea ce ar putea conduce la mai multe încălcări ale securității datelor. Acest lucru ar crește riscul de încălcare a cerințelor GDPR privind securitatea datelor și notificarea încălcărilor.
-
Conflictul privind drepturile fundamentale:
Curtea Europeană a Drepturilor Omului a hotărât că atenuarea criptării încalcă dreptul la viață privată în temeiul articolului 8 din Convenția europeană a drepturilor omului. Acest lucru se aliniază îndeaproape cu obiectivul GDPR de a proteja drepturile și libertățile fundamentale ale persoanelor.
-
Interferență disproporționată:
Curtea Europeană a Drepturilor Omului a constatat că impunerea obligației de a slăbi criptarea pentru toți utilizatorii a fost disproporționată față de obiectivele legitime de aplicare a legii. Acest lucru reflectă principiul GDPR al proporționalității în prelucrarea datelor.
-
Subminarea minimizării datelor:
Slăbirea criptării ar putea conduce la un acces mai larg la datele cu caracter personal, în contradicție cu principiul minimizării datelor din GDPR [articolul 5 alineatul (1) litera (c)].
-
Provocări pentru transferurile internaționale de date:
Slăbirea criptării ar putea face mai dificilă pentru organizații îndeplinirea cerințelor GDPR privind protecția datelor cu caracter personal transferate în afara UE.
-
Răspundere juridică:
Organizațiile care implementează o criptare diminuată s-ar putea confrunta cu riscuri crescute de răspundere în temeiul GDPR, deoarece ar putea fi considerate că nu au implementat măsuri tehnice și organizaționale adecvate pentru a asigura securitatea datelor.
-
Conflict cu orientările de reglementare:
Grupul de lucru "Articolul 29" (în prezent, Comitetul european pentru protecția datelor) a emis orientări care subliniază importanța unei criptări puternice și respinge ideea de "backdoors" de criptare.
Este important de remarcat faptul că, deși există potențiale puncte de divergență, atât GDPR, cât și hotărârea Curții Europene a Drepturilor Omului urmăresc, în ansamblu, să protejeze viața privată și securitatea datelor. Provocarea pentru autoritățile de reglementare și instanțe va fi armonizarea acestor cadre în practică, în special pe măsură ce apar noi tehnologii și propuneri de politici. Este posibil ca autoritățile de protecție a datelor și instanțele să trebuiască să ia în considerare cu atenție hotărârea CEDO atunci când interpretează și pun în aplicare dispozițiile GDPR referitoare la criptare și securitatea datelor.
Deși criptarea este, în general, încurajată în cadrul GDPR, aceasta creează, de asemenea, unele provocări unice de conformitate pe care autoritățile de reglementare și organizațiile vor trebui să le abordeze cu atenție. O orientare clară din partea
autorităților de protecție a datelor cu privire la aceste aspecte ar fi benefică pe măsură ce criptarea devine tot mai larg adoptată.
Prin urmare, atenuarea criptării ar fi probabil considerată incompatibilă cu cerințele GDPR și cu principiile fundamentale ale protecției datelor și a vieții private. Aceasta ar putea expune organizațiile la riscuri semnificative de conformitate și la provocări juridice în cadrul GDPR.
În concluzie, Cauza Podchasov c. Rusiei reprezintă o victorie semnificativă pentru apărătorii drepturilor la viață privată și se aliniază îndeaproape cu principiile de protecție a datelor consacrate în GDPR. Pe măsură ce tehnologia continuă să evolueze, această hotărâre va servi probabil ca punct de referință important pentru echilibrarea nevoilor de securitate cu dreptul fundamental la viață privată în mediul digital.
Antonia Teodora Ștefan
Consultant Protecția Datelor cu Caracter Personal