Pjesën më të madhe të shërbimeve, faturave apo certifikatave që të duhen në përditshmërinë tënde, ti sot nuk e merr dot fizikisht, por duhet të futesh online në portalin shtetëror e-Albania. Ti duhet të lesh aty të dhënat e tua personale, si: emrin, mbiemrin, numrin e telefonit, e-mailin dhe numrin e identifikimit. Të njëjtën procedurë duhet të ndjekësh për të aksesuar edhe në portalet e institucioneve të tjera shtetërore, dhe jo vetëm. Këto të dhëna përfaqësojnë të dhëna shumë të rëndësishme, që na dallojnë nga të tjerët. Të dhëna që nëse dikush i merr, mund t’i përdorë dhe të abuzojë me to. Dhe kjo nuk është një hipotezë. Përpara zgjedhjeve të 25 prillit 2021, ishin po këto të dhëna që qarkulluan në media, dhe jo vetëm për një individ, por për 910 mijë qytetarëve (votues) të Tiranës nga mosha 19 deri në 99 vjeç.
Një databazë afërsisht 234 MB, me të dhëna të përditësuara minimalisht në dy muajt e fundit. Kjo për shkak edhe të pandemisë, ku të gjithë qytetarët dhe bizneset kanë azhornuar të dhënat e tyre për të marrë leje për të qarkulluar, për të përfituar pagat e luftës apo ndihma të tjera. Këto azhornime kanë qenë të vazhdueshme nga nisja e pandemisë, si pasojë e ndryshimeve të masave anti-COVID. Dokumenti qarkulloi lehtësisht në media dhe të dhënat personale të gati 1 milion qytetarëve u bënë publike dhe të aksesueshme nga të gjithë.
Mbrojtja e jetës private dhe të dhënave personale është një nga liritë dhe të drejtat themelore të njeriut, e sanksionuar në nenin 35-të Kushtetutës së Shqipërisë. Ligji nr. 9887/2008 “Për mbrojtjen e të dhënave personale”, së bashku me aktet nënligjore, është shtrati rregullator që garanton zbatimin e kësaj të drejte dhe njëkohësisht, rregullon procesin e mbledhjes/përpunimit të tyre në sferën publike apo në atë private. Por përballë vërshimit të të dhënave personale të gati 1 milion qytetarë, në një databazë që u publikua edhe në rrjetet sociale, natyrshëm lind pyetja: sa të sigurtë jemi sot? A mund të abuzohet me të dhënat tona personale? A mban dikush përgjegjësi për këto të dhëna që nuk janë më sekret dhe që kushdo mund t’i ketë në kompiuterin e tij personal?
“Çdo përdorim i të dhënave personale, jo në përputhje me dispozitat e kuadrit rregullator në fuqi, përbën shkelje – cënim të të dhënave personale. Rrjedhja e të dhënave personale, që në rastin konkret lidhet edhe me publikimin e tyre, në terminologjinë e mbrojtjes së të dhënave quhet “personal data breach”. Në këtë kontekst, publikimi në media i bazës së të dhënave personale të mbi 910 mijë qytetarëve shqiptarë përbën shkelje të legjislacionit në fuqi për mbrojtjen e të dhënave personale. Përhapja e të dhënave në zinxhir ishte një “lojë” e rrezikshme, që vijon të mbetet e tillë edhe për shkak të ndërthurjes me mundësitë që të ofron teknologjia/aplikacionet e komunikimit dhe përdorimi masiv i rrjeteve sociale. Zyra e Komisionerit ka kërkuar vazhdimisht marrjen e masave për adresimin e problematikave të konstatuara në veprimtarinë e të gjithë aktorëve të përfshirë në përpunim të dhënash personale, nëpërmjet forcimit të masave të sigurisë së këtyre të dhënave”, deklaron Besnik Dervishi, Komisioner për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale.
Abuzimi me rrjedhjen e të dhënave personale
Rrjedhja e të dhënave nuk është vetëm një fenoment ligjor. Individët e përfshirë në databazë rrezikojnë të abuzohen në shumë forma nga ata që i posedojnë tashmë të dhënat e tyre personale. “Duke u nisur nga brishtësia e sistemit të qendërsuar E- Albania, i cili është lidhja e një rrjeti ’merimangë’ të të gjitha institucioneve, mendoj që të dhënat janë thyer me kohë. Fakti që të dhënat janë bërë publike do të thotë që dëmi është shumë i madh për personat që janë publikuar këto të dhëna. Jo më shumë se pak muaj më parë, ne kemi një rast të vjedhjes së identitetit të një vajze, e cila sot nuk regjistron dot fëmijën e sapolindur”, shpjegon Gent Progni, ekspert IT, webmaster.
Abuzime që nisin që nga përndjekjet me numrat e telefonit deri tek rreziku i cënimit të llogarive bankare. Abuzime që cënojnë jetën sociale, por edhe ekonomike të rreth 1 milion qytetarëve të Tiranës. E për të gjitha këto askush nuk mban sot përgjegjësi. Sot nuk ka ende një fajtor edhe pse ka 5 muaj që të dhënat qarkullojnë lirisht.
“Së pari, disa të dhëna janë deri në nivel të ekspozimit të detajeve personale që mund të shkaktojë bezdi, si numri i telefonit (që mund të shtohen edhe rastet e keqpërdorimit të thirrjeve telefonike). Shumë individë nuk dëshirojnë të publikojnë moshën për arsyet e tyre personale, që lidhen me perceptimin e padëshiruar nga persona brenda sferës së tyre të interesit. Por ka edhe probleme më të rënda, siç është listimi i punonjësve të një subjekti për të ndikuar tek ata, me qëllim ndikimin indirekt te vetë subjekti punëdhënës. Një aspekt veçanërisht i rëndë është kombinimi i të gjitha të dhënave së bashku, të cilat mund të keqpërdoren, nëse do të duhet për të identifikuar personin nëpërmjet komunikimit telefonik ose me internet. Për shembull, nëse dikush kërkon të mbyllë kartën e kreditit në bankë, me justifikimin që karta i është vjedhur, mjafton t’i komunikojë operatorit telefonik të dhënat që gjenden në databazën e patronazhistëve dhe të konsiderohet si autentik nga operatori. Dikush mund të fusë numrin e identitetit si “user name” në faqet e shërbimeve online dhe më pas të tentojë të gjenerojë passwordin me programe automatike, për të aksesuar të dhëna të tjera. Në përgjithësi, komunikimet në distancë mund të simulohen (falsifikohen) me lehtësi, nëse dikush di të dhënat e plota të personit, si numri i identitetit, numri i telefonit, datëlindja, etj”, shprehet Dorian Matlija, ekspert për çështjet juridike.
Ekspertët e Teknologjisë së Informacionit shpjegojnë skemat nga të cilat rrezikohen qytetarët, të dhënat personale të të cilëve tani janë në dispozicion të të gjithëve.
“Të dhënat që janë publikuar mund të sjellin një dublikim të identitetit online, mbyllje të llogarive sociale, llogarive në faqe të tjera si e-Albania, aksesimin e të dhënave të e-Albania etj. Mënyra sesi mund të dublikohet një profil është e thjeshtë, pasi për të marrë një kartë identiteti duhet numri personal, mëmësia, atësia dhe ditëlindja. Këto katër të dhëna bëjnë dallimin nga një person në një tjetër. Këto të dhëna janë tashmë të publikuara për 910 mijë persona. Me një photoshop dhe me të dhënat e dala mund të të resetohet paypal account, social media etj.”, shpjegon Gent Progni, ekspert IT.
Rrezik për rrjedhje të dhënash edhe nga institucionet e tjera
Rrjedhja e të dhënave personale nga serverat e institucioneve shtetërore shton dyshimet që kjo të ndodhë edhe me të dhëna të tjera që disponohen në databaza shtetërore, pasi sistemi nuk është i sigurtë. Askush nuk garanton se raste të tilla nuk do të përsëriten më.
“Një problem i mprehtë mbetet fakti që serverat e AKSHI-t mbartin të dhëna të tjera, që mund të qarkullojnë kaq lehtësisht nga shteti te forcat politike, si për shembull aplikimet për leje ndërtimi, legalizimet, etj. Është e vërtetë që institucione të ndryshme i kanë këto të dhëna, por nuk ka qenë asnjeherë më e lehtë për t’i pasur të gjitha të dhënat e vjelura dhe grumbulluara në një vend dhe të aksesueshme në kohë reale. Një problem i madh i databazës së ’patronazhistëve’, që nuk lidhet drejtëpërdrejtë me të dhënat personale, është edhe paraqitja e aludimit të animit politik. Ky detaj krijon konflikt mes njerezve, kur ata perceptohen publikisht si të një ane politike dhe jo të tjetrës, pavarësisht se sa i vërtetë është ky anim”, shpjegon Dorian Matlija, avokat.
Ekspertët e Teknologjisë së Informacionit shpjegojnë se sistemet për ruajtjen e të dhënave, edhe në institucione të tjera, nuk janë të sigurta. Rasti i fundit i hakerimit të sistemeve është ai i arkivit digjital të Radiotelevizionit Shqiptar. Serverat e RTSH-së u sulmuan nga individë ende të paidentifikuar përmes një sistemi hakerimi të quajtur ransomware. Hackerët që u futën në serverat e RTSH-së përmes rrjetit online, kanë arritur ta enkriptojnë databazën e Radio Televizionit Publik dhe më pas, ata kërkuan 300 mijë dollarë për t’i rikthyer materialin.
“Siguria e serverave të tatimeve, e serverave të e-Albania është kompromentuar edhe më parë. Kemi publikime të mëparshme që këto servera janë thyer. Më i fundit i RTSH-së, ku është bllokuar hdd dhe janë kërkuar para për të zhbllokuar aksesin”, argumenton Gent Progni, ekspert IT.
Nga një rrezik i tillë kërcënohen edhe serverat në institucionet e tjera publike, që mbartin të dhëna personale për qytetarët.
Për gazetarin Gjergj Erebara, pjesë e rrjetit investigative ballkanik BIRN, rrjedhja e të dhënave personale ul besueshmërinë e shtetit dhe institucioneve në sytë e qytetarëve, si dhe tregon për abuzimin që partia në pushtet mund të bëjë me të dhënat e qytetarëve dhe zyrat e shtetit. Një situatë, që sipas tij, as institucionet e reja të drejtësisë nuk janë të afta për ta hetuar dhe ndërshkuar.
“Impakti i parë është delegjitimim i përgjithshëm i qeverisjes së vendit në sytë e qytetarëve. Të kuptuarit prej qytetarëve se janë pre e një abuzimi të stërmadh me pushtetin dhe se Partia Socialiste është e gatshme që, jo vetëm të abuzojë me të gjitha burimet shtetërore në dispozicion të saj, por edhe të përdorë të dhënat personale të qytetarëve për gjurmimin dhe shantazhim të tyre.
Impakti i dytë është vënia në dukje e pafuqisë së institucioneve të reja të drejtësisë, konkretisht SPAK (Struktura e Posaçme Anti-Korrupsion), për të hetuar çështje serioze të abuzimit me pushtetin. Një SPAK të pafuqishëm, qoftë edhe për të inspektuar një skenë krimi, pra selinë e Partisë Socialiste, ku janë grumbulluar dhe përpunuar ato të dhëna apo për të marrë në pyetje të dyshuarin kryesor për këtë abuzim, kryetarin e Socialistëve Edi Ramën. Impakti i tretë është vënia në pah e mungesës së dallimit mes shtetit dhe partisë në pushtet apo vënia në dukje që sot vendi qeveriset nga i njëjti model me të cilin u qeveris para viteve 1990. Ndoshta impakti më i rëndësishëm është fakti që socialistët dukshëm kanë transferuar të dhënat tona personale te struktura të ndryshme të krimit të organizuar, si në rastin e Elbasanit, ku një trafikant i dënuar droge u gjet duke kryer rolin e patronazhistit, ndërsa ishte pajisur me të dhënat personale të “të patronazhuarve”, shprehet Erebara.
Asnjë hetim për përgjegjësit e rrjedhjes së të dhënave personale
Rrjedhja e të dhënave personale shkaktoi një reagim të fortë publik dhe debat mes ekspertëve të fushës dhe politikës. Në rrjetet sociale, qytetarët shprehën shqetëimi për mënyrën sesi mund të përdoreshin të dhënat e tyre, teksa në ambientin politik, shqetësimi kishte të bënte me fatin e zgjedhjeve të përgjithshme parlamentare, që mund të vendosej pikërisht nëpërmjet abuzimit të socialistëve, partisë në pushtet, me databazën.
Gati 3 muaj pas përfundimit të zgjedhjeve parlamentare të 25 prillit dhe pak ditë nga certifikimi i rezultatit përfundimtar të tyre, 162 qytetarë të Qarkut të Tiranës, përfaqësuar nga organizata rinore GUXO, paditën në SPAK Partinë Socialiste dhe drejtuesit e saj për mbledhjen, përpunimin dhe përhapjen e paligjshme tek patronazhistët të të dhënave të tyre personale. Kjo është edhe padia e vetme e bërë për këtë ngjarje, që ende mbetet sensitive për qytetarët, veçanërisht atyre që të dhënat personale iu bënë publike. Një padi që nuk ka mbërritur ende në sistemin gjyqësor.
“Zyra e Komisionerit nuk ka administruar deri më tani thirrje nga gjykata për padi lidhur me këtë çështje”, shprehet Besnik Dervishi, Komisioner për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale.
Reagim nuk pati as nga Policia dhe as nga Prokuroria, duke e lënë çështjen e rrjedhjes së të të dhënave personale që të diskutohej vetëm në studio televizive, nëpër tryeza, rrjete sociale apo deklarata politike në distancë.
“Masat normalisht duhej të ishin ndërmarrë nga institucionet përkatëse ligjzbatuese, siç është policia dhe prokuroria. Në mungesë të veprimeve nga këto të fundit, nuk është se ka mundësi të merren masa për një fenomen të tillë. Por masa mund të merren nga vetë qytetarët, duke mbajtur përgjegjës të gjithë qeveritarët që vjedhin të dhënat tona personale për të na shantazhuar me vendet e punës, me titujt e pronësisë apo lejet e legalizimit”, deklaron Gjergj Erebara, gazetar i rrjetit investigativ BIRN.
Avokati Dorjan Matlija argumenton se nevojitet një hetim për atë që ndodhi, me qëllim evidentimin e përgjegjësve dhe ndërshkimin e tyre me sanskione. Një masë kjo që do të parandalonte ngjarje të tilla në të ardhmen.
“Ndër masat që duhet të merren: së pari, duhet nisur dhe përfunduar një hetim penal, por edhe administrativ për origjinën e të dhënave. Komisioneri për Mbrojtjen e të Dhënave Personale nuk heton dot pa një ankim (pra nuk heton kryesisht), por mund t’i japë pergjigje ankesave të mbërritura. Ligji duhet të përfshijë edhe mundësinë e hetimit administrative, kryesisht për të trajtuar raste të tilla me përmasa masive. Nëse do të ishte një mekanizëm i tillë, Komisioneri do të duhej të vendoste për një shkelje të ndodhur 900.000 herë (aq sa është numri i personave të dëmtuar që janë pjesë të listës) dhe të merrte një sanksion të vlefshëm për 900.000 raste. Ky sanksion do të ishte shumë i lartë dhe do të ishte frenues i mirë i tentativave të tilla të ardhshme. Gjithashtu, për të shmangur keqpërdorimin e të dhënave në komunikimet në distancë (si rasti i komunikimit me operatorët telefonikë të bankave) do të duhej zëvendësimi i të gjithë numrave të identitetit, që do të duhej të pasohej me prodhimin e kartave të reja të identitetit dhe pasaportave të reja biometrike. Por, në pamundësi të kësaj ndërmarrjeje kaq të madhe, do të duhet të eksplorohen mundësitë për shtimin e standardeve të sigurisë së këtyre komunikimeve, duke shtuar si kriter edhe informacione unike shtesë”, argumenton Matlija.
Një ligj i ri për mbrojtjen e të dhënave personale
Shqipëria është duke hartuar një ligj të ri për mbrojtjen e të dhënave personale, i cili do të jetë sipas Direktivave të Bashkimit Europian. Ligji i ri pritet të ketë kritere më të forta në ruajtjen e të dhënave personale, si dhe ndërshkime më të rrepta.
“Është në proces finalizimi i legjislacionit të ri për mbrojtjen e të dhënave personale, i cili do të jetë tërësisht i përafruar me Rregulloren e Përgjithshme të Mbrojtjes së të Dhënave (GDPR) dhe atë që njihet si Direktiva e Policisë për këtë fushë. Kuadri i ardhshëm rregullator përbën një hop cilësor në drejtim të garantimit të mbrojtjes së të dhënave duke marrë parasysh që risitë kryesore të këtij kuadri të ri paraqesin koncepte bashkëkohore, të cilat shkojnë paralelisht me zhvillimin e teknologjisë: si mënyra të reja të dhënies së pëlqimit; e drejta për t’u harruar (right to be forgotten); mbrojtje më e gjerë për fëmijët në mjedisin digjital; koncepte të tjera inovative si transferueshmëria e të dhënave, privatësia në mënyrë të paracaktuar apo në projektim (privacy by default and by design) apo dhe sanksione më të forta për shkeljet e ligjit”, shprehet Komisioneri Dervishi.
Por a mjafton një ligj i ri që të ndihemi të sigurtë? Pikëpyetje të shumta ekzistojnë dhe skepticizmi është i madh, në kushtet kur Shqipërisë kurrë nuk i kanë munguar ligjet e mira, por ka çaluar në zbatimin e tyre. “Nuk mendoj se problemi lidhet me kuadrin ligjor dhe që mund të zgjidhet me ndryshime ligjore. Nëse vendi nuk ka prokurorë të gatshëm për të hetuar pushtetin, nuk ka kurrfarë rëndësie se sa të mirë e ke kuadrin ligjor”, shprehet gazetari Gjergj Erebara.
Shqipëria ka përgjithësisht një kuadër ligjor të mirë, por problem mbetet zbatimi i tij. Nga ky rregull mund të mos bëjë përjashtim as përmirësimi ligjor për ruajtjen e të dhënave personale. Në kushtet kur të dhënat personale të 910 mijë banorëve të Tiranës janë publike dhe kur ende nuk ka një përgjegjës se kush i nxorri ato; kur ekziston risku që me këto të dhëna të abuzohet dhe këta qytetarë të rrezikohen në përditshmërinë e tyre; kur besueshmëria tek institucionet shtetërore ka rënë, pasi ekziston frika se të dhëna personale, që posedohen nga institucionet të tjera publike, mund të dalin sërish, çështja është shqetësuese. Ajo do të vijojë të jetë e tillë, së bashku me dilemën se kush, si dhe në çfarë masë mund të abuzohet me identitetin tonë.
Ky artikull është prodhuar në kuadër të projektit Increasing Civic Engagement in the Digital Agenda – ICEDA, bashkëfinancuar nga Bashkimi Europian dhe zbatuar nga Metamorphosis Foundation (Maqedonia e Veriut), ODK – Open Data Kosovo (Kosovë), e-Governance Academy (Estoni), CRTA – Center for Research, Transparency and Accountability (Serbi), NGO 35mm (Mal i Zi) dhe Lëvizja Mjaft! (Shqipëri).
Ky artikull është prodhuar me mbështetjen financiare të Bashkimit Europian. Përmbajtja e tij është përgjegjësi e vetme e Lëvizjes MJAFT! dhe nuk reflekton domosdoshmërisht pikëpamjet e Bashkimit Europian.
