ANSPDCP față-n față cu aplicația de mobil ROeID

În mai 2023, noi spuneam că E-ul din ROeID vine de la "e lipsă informarea de prelucrare a datelor personale". N-am spus doar aici, pe site, ci am sesizat și ANSPDCP că:

• dacă validarea înscrișilor folosește software de recunoaștere facială sau vocală, ar fi trebuit realizat un Data Protection Impact Assessment, conform art. 35 GDPR, și să fie notificat ANSPDCP înainte să fie lansat public proiectul
• și că nici în marketplace-urile de aplicații de unde poate fi descărcată aplicația de mobil ROeID, nici pe website-ul Autorității pentru Digitalizarea României nu există informări complete și corecte legate de care sunt datele cu caracter personale colectate și în ce scop sunt ele procesate, conform art. 13 GDPR.

În februarie 2024, Autoritatea pentru protecția datelor ne-a răspuns. Autoritatea pentru Digitalizarea României a fost sancționată contravențional cu un avertisment - maximul de sancțiune care putea fi aplicată pentru o instituție publică, conform legii de implementare a GDPR - și a fost obligată să efectueze o analiză de impact (Data Processing Impact Assessment) conform art 35 GDPR.

Putem să spunem că s-a respectat legea, în urma acestei sancțiuni? Se poate, ar zice un optimist.

Putem să spunem și că au fost procesate suficiente cereri cu date personale din momentul în care am făcut sesizarea, până în momentul de față, în condiții de ilegalitate GDPR? Putem.

Și că încă nu știm nici una din detaliile prelucrării care ar trebui să fie publice conform art 13 GDPR? Putem.

Deci, va urma?