Category: "Viata privata"

Pages: 1 2 3 4 ...5 ... 7 ...9 ...10 11 12 ... 21

26/10/11

  17:58:53, by Bogdan, 489 words  
Categories: Legislatie, Nume de domenii, Viata privata, Drept & ITC

Viata privata la locul de munca si alte idei juridice legate de social media

Tema din titlul este oricum o poveste fara sfarsit, astfel incit prezentarea mea de la conferinta Legal Issues in Social Media n-a fost decit pretextul pentru a transmite doar ideea de baza in putinele minute avute (mai jos aveti si intreaga prezentare):

Un document care explicitaza regulile utilizarii Internetului (si explicit social media) este oblgatoriu pentru cei care vor sa-si protejeze interesele intr-o companie, fie ei angajati, angajatori sau administratorii de sistem (sau cei de la IT). Alex Negrea a avut o buna completare si anume ca documentul trebuie completat si cu ce ai voie (si e recomandat sa faci), dar asta e treaba celor de HR.

Manafu a mai avut o serie de intrebari interesante la final care s-ar putea sa fi scapat celor care erau obositi, dar care mi s-au parut interesante:

1. Pot eu sa pun pe site-ul meu marca Facebook, daca le intermediez serviciile (de ex. zic ca fac campanii pe Facebook)? Raspunsul meu a fost ca atita vreme cit marca este folosita pentru idetificarea sursei serviciilor, utilizarea ei ar trebui sa fie ok.
Temeiul juridic - Art 39 legea 84/1998
(1) Titularul marcii nu poate cere sa se interzica unui tert sa foloseasca in activitatea sa comerciala:
(…)
c) marca, daca aceasta este necesara pentru a indica destinatia produsului sau a serviciului, in special pentru accesorii sau piese detasabile.

2. Poate un consumator sa faca un forum sau o pagina de facebook despre un produs sau firma (ambele marci inregistrate), fara ca marca sa-l dea in judecata ?
Aici este un raspuns mai complicat. Personal, cred insa ca daca este intr-adevar o prezentarea din partea unui consumator si are caracter ne-comercial, aceasta ar fi o atitudine normala in cadrul libertatii de exprimare, iar titularul marcii nu ar putea cere interzicerea utilizarii marcii sale, atita vreme cit utilizarea este necomerciala.

In cazul in care acea marca se regaseste intr-un nume de domeniu, putem avea un caz de cybersquatting. Aici, jurisprudenta UDRP este impartita atit in site-uri critice la adresa marcii cit si in site-uri de laudare a marcii.
Fiecare situatie ar trebui sa fie vazuta in mod particular, eu personal find mai degraba si aici de partea consumatorul, principial vorbind.

Inca 2 idei de la eveniment:

a. Ioana ne-a indicat o stire din Franta, unde cuvintele Facebook sau Twitter nu ar putea fi folosite in programele de stiri ale TV si radio, pentru ca ar indica un produs anume si ar concura neleal celelalte servicii locale de retele sociale.

b. Chinezu (am dat link, da! Acum pot sa scriu ce vreau despre tine :D) a avut o idee simpatica: Cum ar fi o companie care să declare ”Ora Facebook”?. Dar si mai misto, si in ton cu insemnarea de siguranta copiilor pe Net e ce articol imi recomanda Adela:How To Teach Kids ‘Digital Literacy’? Build A Private Social Network Playground For Them cu completarea Private networks for children and new ‘life skills’.

Si in fine - prezentarea de ieri:

24/10/11

  18:32:54, by Bogdan, 1389 words  
Categories: Articole / Studii / Rapoarte, Pareri personale, Legislatie, Drept & Internet, Viata privata

Utilizarea Internetului de catre copii si masurile de siguranta

Tocmai am primit pe email de la Monica Barbovschi, persoana de contact pentru Romania a proiectului EU Kids Online II, comunicatul de presa al ultimului raport din acest proiect. (mai jos reprodus integral)

Intr-o dezbatere publica unde subiectul “copii pe Internet” naste reactii exacerbate si, uneori, dorinti de reglementare de multe ori stupide si inaplicabile, raportul Eu Kids Online II vine cu o analiza stiintifica serioasa, bazata pe o investigatie riguroasa in 25 de state membre ale UE si cu recomandari bazate pe realitate si mult bun simt.

Un “must read” pentru cei interesati de subiectul accesului copiilor la Internet, pentru decidentii politici si pentru orice parinte. Raportul final cu recomandarile este disponibil pe site-ul proiectului si este in engleza.

Citeva pasaje recomandate de mine:

De asemenea relevant, copiii români declară în medie mai puţine competenţe legate de utilizarea internetului sau de siguranţă pe internet (de exemplu cum sa salvezi o pagină la favorite sau să blochezi un utilizator), 3,4 versus 4,2 media europeană. Acest aspect este extrem de relevant pentru formularea de strategii legate de educaţia media şi de folosire în siguranţă a internetului. Accesul din dormitorul propriu, adesea departe de supravegherea părinţilor, completat cu accesul privat, nesupravegheat de pe telefoane mobile constitute factori de risc.

Ca o consecinţă directă a nivelului scăzut de competenţe digitale, copiii români declară în mare măsură agresiuni online şi expunere nedorită la mesaje cu conţinut sexual, fiind de asemenea şi printre cei mai afectaţi în cazul acestor experienţe neplăcute pe internet. De asemenea, părinţii români sunt printre cei mai neinformaţi în legătură cu experienţele neplăcute ale copiilor lor pe internet.
Centrele de siguranţă pe internet trebuie să facă mai vizibile informaţiile despre riscuri şi să indice metode eficiente de control şi mediere parentală, iar în acelaşi timp să le facă uşor accesibile şi utilizabile.

Deci daca nu investim in educatie, in special cu privire la siguranta online, putem avea si 100 de legi cu privire la protectia copiilor pe net - tot apa de ploaie raman.

Iar din recomandari speculez citeva remarcate de mine:
1. Copiii au dreptul la protecţie şi siguranţă online, dar trebuie să îşi asume şi ei responsabilitatea pentru păstrarea siguranţei şi respectarea drepturilor celorlalţi pe internet.
2. E important ca cei care formulează recomandări legate de siguranţă să pună accent pe oportunităţile şi beneficiile legate de utilizarea internetului de către copii.
7. Competenţele legate de siguranţă online sunt necesare pentru dezvoltarea rezilienţei online.
10. Informarea părinţilor despre riscuri şi siguranţă online trebuie intensificată.

Mai jos si intregul comunicat de presa.

Full story »

21/10/11

  19:18:26, by Bogdan, 1030 words  
Categories: Stiri - Romania, Pareri personale, Legislatie, Spam, Viata privata

Notificarea pentru incalcarea securitatii

Daca am vorbit despre cum noile dispozitii propuse de MCSI vor afecta (sau nu?) reglementarea cookie-urilor in Romania cred ca merita de amintit ale 2 modificari care nu ar fi trebuit sa scape dezbaterii publice. Astazi mentionez doar una dintre ele, si anume:

Notificarea pentru incalcarea securitatii datelor personale (Data breach notification)

Acesta un subiect nou dpdv juridic inclusiv in Romania, si despre care am mai prezentat informatii si in trecut si care, ar trebui in mod normal, sa faca unele modificari in bine in protectia datelor personale.

Practic, noua modificare propune obligatii suplimentare in materie de securitate a datelor cu caracter personal pentru furnizorii de comunicatii electronice (mai prozaic spus operatori telecom + ISP)care merg in 2 directii:

A. Adoptarea de catre orice furnizor de masuri tehnice si organizatorice de protectie a datelor care cel putin sa:

a) asigure că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;
b) protejeze datele cu caracter personal stocate sau transmise, împotriva distrugerii accidentale sau ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării sau divulgării ilicite;
c) asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal.

De asemenea se stabileste ca DataProtection.ro are dreptul sa auditeze aceste masuri.

Din pacate acest copy&paste din directiva nu ajuta foarte mult in practica pentru realizarea scopului - si anume asigurarea securitatii datelor. Daca marii operatori probabil au toate aceste proceduri bine puse la punct, pentru operatorii mici acestea pot sa insemne costuri majore cu securitatea datelor.

Asta pentru ca cele 3 obiective mentionate mai sus inseamna pot fi indeplinite practic, si usor de demonstrat unor terti ca sunt indeplinite, doar printr-un audit de securitate al informatiilor.

Iar cum dataprotection.ro nu are capacitatea tehnica de a face o evaluare a securitatii datelor, mie mi se pare cel mai normal ca ar trebui sa se refere tot la un audit realizat de catre specialistii in securitate informatica.

Textul actual este insa vag si neclar, astfel incat toti termenii de acolo sunt interpretabili.

B. In cazul incalcarii masurilor de securitate cu privire la datele personale este obligatorie notificarea dataprotection.ro

In anumite circumstante cam neclare (Atunci când încălcarea securităţii datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal sau vieţii private a unui abonat sau a unei alte persoane) furnizorul ar putea fi obligat sa notifice direct toti clientii! Adica s-ar putea sa primesti acasa o scrisoare de la operatorul tau de Internet prin care sa te anunte ca cineva a intrat in baza de clienti si datele tale ar fi putut sa fie furate.

Dar, daca demonstreaza ca a luat toate masurile de securitate necesare mentionate mai sus, atunci ar putea scapa de obligatia de notificare catre clienti.

E important de precizat ca sunt discutii avansate in UE ca aceasta obligatie de notificare pentru incalcarea securitatii datelor sa fie extinsa la toti procesatorii de date personale !!

Sa complicam lucurile - inca o obligatie de notificare de incalcare a securitatii

Dar pentru ca la noi toate lucrurile se fac pe dos, sa ne uitam putin mai atent la proiectul ANCOM pe implementarea Pachetului Telecom

—– Intermezzo de explicare a unei noi harababuri legislative —–

Intai sa notam o bulibaseala si a acestui proiect de lege - si anume desi proiectul a urmat regulamentar totii pasii de consultare publica, s-a blocat in Parlament intr-o chestiune birocratica si stupida intre Senat si Camera Deputatilor, iar in cele din urma a fost retras de initiatori pe 4 Octombrie.

Ca peste 2 saptamani, adica pe 20 Octombrie sa apara ca un proiect de ….ati ghicit! .. Ordonanta de Urgenta pe site-ul MCSI … evident, fara sa apara anuntat in alte zona din site! Cu aproape acelasi text cu care era in Parlament! Sa mai vorbim de Neutralitatea Internetului ??? Cu cine ???

Curat stat de drept, coane Fanica !

Cred ca va trebui sa schimb insemnarea “Ordonanta de Urgenta x2= Incompetenta^2“, de data aceasta incompetenta fiind a CD + Senatului.

—– End Intermezzo ——-

Dupa cum ziceam insa, daca ne uitam mai nou in propunerea de OUG a MCSI ref la comunicatiile electronice vedem la art 46-48 ca mai exista o obligatie de notificare tot pentru incalcarea normelor de securitate (culmea!).

Art.47. – (1) Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia de a notifica ANCOM, în cel mai scurt timp, cu privire la orice încălcare a securităţii sau pierdere a integrităţii care are un impact semnificativ asupra furnizării reţelelor sau serviciilor.

Cf art 49 din proiect ANCOM are dreptul sa ceara un audit de securitate pe cheltuiala operatorului de comunicatii (!), dar la Dataprotection.ro nu i se da aceasta posibilitate.

Ce intelegem de aici?

Ca exista 2 proiecte de OUG care vor privi 2 obligatii de securitate distincte (!)pentru furnizorii de comunicatii electronice:

- una este obligatia de securitate a datelor personale, unde competenta va fi Dataprotection.ro

- alta va fi obligatia de securitate si integritate a serviciilor si retelelor, unde competenta va fi ANCOM.

In ambele cazuri o incalcare a acestor norme poate duce la obligatia de notificare a autoritatii si a publicului.

Dar oare un security breach “care are un impact semnificativ asupra furnizării reţelelor sau serviciilor” nu va fi in 99% din cazuri si un security breach pe date personale?

Eu, personal, cred ca da! - si astfel in 2 proiecte de lege anuntate la distanta doar de 2 saptamani reusim sa prefiguram o obligatie dubla pentru aceiasi actiune (sau inactiune).
Oare nu ar fi fost mai bine ca inainte sa ne grabim sa le punem “spre consultare publica” sa ne uitam nitel pe el, poate le corelam macar?
Nu ar fi bine sa fie un audit comun, daca tot priveste partea de securitate?
Daca tot am gindit bine audit-ul pentru ANCOM, nu putem da aceasta atributie in mod explicit si Dataprotection.ro ?

Hai ca vorbesc prostii deja - weekend placut!
(mai comentam dupa ce se adopta ceva pe subiectul asta, deja am obosit…)

Update later: Am observat mai tarziu ca proiectul a fost pus si pe site-ul ANCOM cu data de 19.10. Nici aici nu a fost anuntat public prin comunicat de presa, cum face de obicei ANCOM.
Cel putin aveti insa o versiune in care au notat in mod specific ceea ce s-a modificat fata de proiectul de lege.

17/10/11

  18:59:32, by Bogdan, 1441 words  
Categories: Stiri - Romania, Pareri personale, Legislatie, Drept & Internet, Viata privata

MyClicknet - serviciul de interceptare a traficului de la Romtelecom

Romtelecom a lansat acum vreo 2 saptamani un serviciu numit MyClickNet ca pe un serviciu de “personalizare a Internetului.”

Ceea ce nu spune insa comunicatul oficial si sta ascuns prin Termenii si conditile site-ului este de fapt ceea ce face in realitate acest serviciu: Intercepteaza TOT traficul tau de Internet (pagini vizitate + cautari), pentru a te bombarda cu publicitate. Relevanta, evident. Totul gratuit si “anonim” :D

Astfel, Romtelecom a incheiat o afacere cu o companie numita Phorm cunoscuta pentru “serviciile” sale de publicitate bazate pe analiza traficului de Internet al ISP-istilor, motiv pentru care a fost data afara din UK, iar Marea Britanie este investigata de Comisia Europeana.

Sistemul este atit de anonim, incat ca nu cumva sa dispara optiunea ta cu privire la sistem “noi folosim un flash cookie pentru a stoca preferinţa dumneavoastră privind acordul.” (din documentul cu privacy).

Pentru cei interesati de detaliile tehnice, vedeti thread-ul inceput de georgica pe Softpedia, dar si documentatia facuta de Richard Clayton de la Univ. Cambbridge in anul 2008 cind sistemul era contestat in Marea Britanie (descriere si probleme).

Pentru chestiunile practice referitor la redirectarile pe care le face, vezi qbert sau m1ha1. Deja cazul are rasunet in strainatate: Forumul DPI, Paul Bernal iar dataprotection.ro a raspuns ca deja investigheaza cazul. (desi de fapt mai competent ar fi ANCOM catre care o sa trimitem maine o informare - aici am notat eronat initial, ANSPDCP este competenta pe articolul 4 - update 18.10)

In speranta ca Romtelecom o sa faca o fapta buna in ceasul al 13-lea si sa caute un serviciu serios de consultanta pe tema protectiei datelor personale (sa nu uitam ca anul trecut a avut un alt caz penibil legat cu accesul la baza de date de clienti de catre o companie de asigurari) iata citeva dispozitii legislative utile:

legea 506/2004 Art 4:

(1) Confidentialitatea comunicarilor transmise prin intermediul
retelelor publice de comunicatii electronice si a serviciilor de
comunicatii electronice destinate publicului, precum si confidentialitatea
datelor de trafic aferente sunt garantate.
(2) Ascultarea, inregistrarea, stocarea si orice alta forma de
interceptare ori supraveghere a comunicarilor si a datelor de trafic
aferente este interzisa, cu exceptia cazurilor urmatoare:
a) se realizeaza de utilizatorii care participa la comunicarea
respectiva;
b) utilizatorii care participa la comunicarea respectiva si-au dat,
in prealabil, consimtamantul scris cu privire la efectuarea acestor
operatiuni;
c) se realizeaza de autoritatile competente, in conditiile legii.

Cum in cazul nostru abonatii nu dau consimtamintul in scris, ci este vorba de un consimtamint implicit (detalii la m1ha1) este clar ca dispozitia respectiva nu este indeplinita.
Mai mult, in sensul acestui caz utilizatorul care participa la comunicarea respectiva este si site-ul cu care se incearca conexiunea respectiva si care, in niciun caz, nu este intrebat daca permite interceptarea acestei comunicatii.

Sistemul are si alte probleme - de la faptul ca sistemul de opt-out pare a nu functiona (vezi la m1ha1) pina la faptul ca exclude anumite tipuri de continul (asa cum scrie in documentele lor: subiecte delicate, precum conţinutul legat de tutun, pornografie, alcool, droguri, aspecte legate de sănătate, sau care vizează copiii sub vârsta de 14 ani.) indica faptul ca avem de a face un un Deep Packet Inspection (DPI) - adica o analiza detaliata a continutului fiecarui pachet trimis de catre utilizator prin ISP.

Colac peste pupaza, legea 161/2003 clasifica drept infractiune orice interceptare fara drept a comunicatiilor de date informatice:

Art. 43. - (1) Interceptarea, fără drept, a unei transmisii de date informatice care nu este publică şi care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic constituie infracţiune şi se pedepseşte cu închisoare de la 2 la 7 ani.

Sintagma “fara drept” este definita in art 35 si ma indoiesc ca exista un contract cu ambii utilizatori (persoana care acceseaza site-ul + proprietarului site-ului) de catre Romtelecom in care sa scrie ca i se permite sa intercepteze traficul web in scopul afisarii de reclame. Faptul ca traficul este sters este irelevant cita vreme interceptarea este facuta, ba mai mult se creeaza un fel de rezumat al interceptarii(crearea unui sumar al paginilor în timp real cum scrie in documentele Romtelecom).

Deranjant este si faptul ca o companie in care statul roman are inca peste 40% isi poate permite sa faca asa ceva, intr-un mod total netransparent si profitind de lipsa de cunostinte a utilizatorilor obisnuiti de Internet. Mai mult, daca in UK s-a inceput cu niste teste si au fost discutii lungi cu autoritatile referitoare la legalitatea sistemului, la noi Romtelecom a considerat ca este un serviciu care trebuie servit utilizatorilor fara discutii si comentarii si uitind sa explice utilizatorilor si ca intercepteaza traficul, dar si ca folosind tehnologia Phorm (care apare undeva ascunsa in capitolul de Privacy).

De altfel tratarea Romaniei ca pe o tara bananiera de catre marile firme nu este nicidecum suprinzatoare, ceea ce sublinieaza cu atit mai mult necesitatea initiativei legislative de Neutralitate a Internetului care ar face orice caz de DPI ca fiind ilegal.

Pentru cei mai putin familiarizati cu notiunile tehnice, Richard are citeva comparatii sugestive ale sistemului Phorm in alte domenii:
- Posta decide sa iti deschida scrisorile, ca sa primesti publicitate mai legata de ce ai vrea sa cumperi tu
- Compania de CATV (sa zicem UPC) ar scana cartile si revistele citite, ca sa-ti dea reclame mai bine tintite
- Carrefour iti face automat un profil al cumparaturilor facute astfel incat atunci cind intri la McDonalds sa ti se dea direct meniul vegetarian. :)

PS: Multumesc lui Huitzilopochtli, care mi-a indicat subiectul in comentariul la insemnarea trecuta.

Update 18.10.2011 12:30 Am primit pe email si pozitia Romtelecom pe care o regasiti mai jos. Eu am insistat pe problema “interceptarii traficului” si astept o completare a pozitiei si pe tema asta.

“Cred ca unele aspecte ale proiectului MyClicknet nu au fost tocmai bine intelese si dorim sa precizam oficial in numele Romtelecom urmatoarele, avand in vedere ca nu ni s-a dat posibilitatea sa exprimam un punct de vedere inainte de publicarea postarii:

Dupa cum am precizat in comunicatul catre public din 28 septembrie 2011, MyClicknet este un serviciu optional si gratuit (link).

MyClicknet este oferit clientilor Romtelecom numai pe baza de opt-in (metoda agreata de legislatia nationala si europeana) – acestea sunt invitatiile mentionate in postarile citate in articolul tau. Inainte de a decide daca activeaza sau nu serviciul, clientul este informat despre scopul in care datele sale sunt procesate – acest lucru se face prin intermediul Termenilor si conditiilor (gasesti atasat documentul, informatiile sunt publicate vizibil pentru utilizatorii MyClicknet la adresa myclicknet.romtelecom.ro/terms) si a Politicii privind cookie-urile (gasesti atasat documentul, informatiile sunt publicate vizibil pentru utilizatorii MyClicknet myclicknet.romtelecom.ro/privacy).

Acest proces este diferit de cel aplicat in UK, unde intelegem ca s-a lucrat pe model opt-out. In reteaua Romtelecom, activarea se face numai in urma unei actiuni din partea utilizatorului (consimtamant expres) prin selectarea “butonului” DA. Mai mult, clientul isi poate modifica oricand, gratuit si imediat, optiunea (alegand sa activeze/dezactiveze daca doreste serviciul) accesand myclicknet.romtelecom.ro/status.

De asemenea, clientii au posibilitatea de a se informa despre drepturile lor in ceea ce priveste datele cu caracter personal prin intermediul unei sectiuni distincte care este prezenta pe pagina de start a serviciului. Astfel sectiunea “Protectia datelor cu caracter personal” (gasesti atasat documentul, informatiile sunt publicate vizibil pentru utilizatorii MyClicknet myclicknet.romtelecom.ro/privacy) ofera clientilor posibilitatea de a se informa despre drepturile lor conform Legii 677/2001.

Daca un client alege sa opteze pentru activarea serviciului, (deci dupa obtinerea consimtamantului sau) datele personale ale clientului (IP-ul sau) sunt anonimizate prin intermediul unui HashedID (o insiruire de 24 de caractere aleatorii). Scopul acestui HashedID nu este identificarea utilizatorului, ci diferentierea sa fata de alti utilizatori ai serviciului.

Practic, din acest moment, HashedID-ului se asociaza o serie de etichete legate de preferintele utilizatorului. Aceste etichete nu includ preferinte ale utilizatorului legate de subiecte sensibile (precum medicatie, tutun, materiale pentru adulti) sau orice preferinte exprimate in timpul accesarii conexiunilor securizate sau pe webmail, spre exemplu. In urma acestor asocieri, utilizatorul va vedea in spatiile de promovare ale partenerilor publisheri reclame personalizate. Nu este vorba despre livrarea de reclame care sa intrerupa navigarea pe web, ci pur si simplu despre o “personalizare” a spatiilor de promovare deja existente pe web si tocmai de aceea consideram serviciul unul de utilitate pentru clienti.

+

Cu privire la asigurarea confidentialitatii comunicatiilor, aceasta este asigurata prin folosirea acestui HashedID in loc de date ce pot identifica abonatul; astfel, sistemul nu foloseste date personale, ci acest HashedID. Astfel nu se identifica un client, ci un astfel de HashedID catre care se livreaza continut personalizat. Mai mult, acest HashedID este prelucrat intern si automat de catre aplicatie (nu prin interventie umana), nu se stocheaza istoricul lui si nu este comunicat catre terte parti. Subliniem inca o data ca analiza nu vizeaza site-uri securizate https, peer-to-peer sau continutul comunicarilor, ci doar domeniul de interes.”

12/10/11

  18:53:53, by Bogdan, 1507 words  
Categories: Anunturi, Pareri personale, Legislatie, Viata privata, Drept & ITC

Legea Cookie-urilor

In vreme ce intreaga Europa conflictul dintre sustinatorii protectiei vietii private si cei ai importantei publicitatii online atinge culmi nebanuite, o data cu termenul limita pentru adoptarea noului articol 5 alin 3 din Directiva ePrivacy, la noi e liniste si pace.

Dupa cum am scris vineri, MCSI a propus spre o cvasi-consultare publica (ca oricum la emailurile trimise nu raspunde nimeni) pentru un proiect de Ordonanta de Urgenta care, probabil, va sari orice dezbatere pe tema asta pentru ca este mai important sa raspundem unei necesitati birocratice de la Bruxelles, decit sa avem o lege buna. (asta sarind peste problema principala ca am stat 2 ani ca mortu-n papusoi).

Si, totusi, pentru ca ma trag de mineca citiva amici, sa vedem totusi care este spilul povestii. Astazi - despre cookie-uri.

Ce este un cookie ?

Daca stiti raspunsul la intrebare, treceti la paragraful urmator. Daca nu, tusti la wikipedia ca sa aflati nu inseamna doar prajitura in engleza, ci un mic fisier text pe care un site web poate sa-l puna in calculatorul dvs. De obicei scopul este unul pozitiv - sa tine minte ca v-ati autentificat pe site-ul respectiv, ce aveati in cosul de cumparaturi. Un cookie nu e malware, nu e virus si, in general, nu este periculos pentru calculatorul vostru. Problemele noastre apar de cookie-urile puse nu de site-ul pe care il vizitezi, ci de terte parti care administreaza bucati din site-ul ala, adica cele cu reclama. (3rd party cookies). O explicatie mai pe larg despre ce sunt si probleme juridice gasiti pe site-ul out-law.com, cu referinta la UK.

Si atunci ce treaba are un cookie cu viata mea privata ?

Sa va dau un exemplu de zilele trecute. Merg la Cluj la Tecomm si caut pe net sa vad cum sa merg. Intru pe 1-2 site-uri de rezervare de bilete de avion sa vad niste preturi. Prea mari si la ore neconveabile, asa ca aleg trenul. In aceiasi zi intru si un alt site-uri de travel - in dreapta o reclama mare la unul din site-urile pe care-l vizitasem: Vrei sa ai pretul cel mai mic pentru un bilet catre Cluj ? Ma gindesc ca e doar o interesanta coincidenta si trec mai departe. La al treilea site vizitat si aceiasi reclama cu biletul de avion catre Cluj imi dau seama ca sunt un neofit: evident ca stiau ca vreau sa merg la Cluj si poate chiar cu avionul - am facut o cautare pe Google dupa cuvintele astea cheie, am clickat pe unul sau mai multe rezultate din Adwords, am facut cautari pe site-urile respective - toate punind ceva pe calculatorul meu prin care puteau identifica ca eu sunt interesat de a cumpara un bilet de avion catre Cluj. Ati ghicit - acel ceva este un cookie.
Personal, nu mi-a picat bine. Am sters cookie-urile din browser, desi as fi vrut sa-l sterg numai pe asta.

Deci un cookie poate sa aiba leagatura cu viata privata, in special in momentul in care agentiile de publicitate care administreaza spatiile de publicitate online de pe mai multe site-uri coreleaza aceste informatii si le folosesc pentru a livra - zic ei - reclama utila. (O activitate numita generic tracking and tracing). Uneori reclama deranjanta.

Ca sa fim 100% clari, nimeni nu te identifica printr-un cookie ca tu esti Popescu Ionel sau Gigel, ci ca pot sa-ti faca un profil amanuntit pe urma carora cistiga bani frumosi. Deci datele tale personale sunt monezile de aur pentru publicitate online.

Si problema este ?

Problema principala, in opinia mea, pe care legile incearca sa o rezolve nu este de a face aceasta practica legala, ci de a informa in mod concret si complet consumatorul si a-i da posibilitatea sa zica - eu NU vreau sa se mai pastreze date despre mine.

Ce zice legea in vigoare ?

Legea romana (506/2004) care implementeaza directiva ePrivacy are in vigoare art 4 alin 5, care zice:

(5) Utilizarea unei retele de comunicatii electronice in scopul stocarii de informatii in echipamentul terminal al unui abonat sau utilizator sau al obtinerii accesului la informatia stocata in acest mod este permisa numai cu indeplinirea, in mod cumulativ, a urmatoarelor conditii:

a) abonatului sau utilizatorului in cauza i s-au furnizat informatii clare si complete, in conformitate cu prevederile art.12 din Legea
nr.677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, intre altele cu privire la scopul in care se efectueaza stocarea sau accesul la informatia stocata;
b) abonatului sau utilizatorului in cauza i s-a oferit posibilitatea de a refuza stocarea sau accesul la informatia stocata.

Adica daca folosesti cookie-uri trebuie sa: informezi utilizatorul si sa-i dai posibilitatea sa zica NU.

Cati dintre site-urile pe care le stiti spun ca folosesc cookie-uri ale tertelor parti ? In Romania, aproape nimeni.
Cite dintre aceste terte parti au implementat un sistem de opt-out ? In Romania, nu stiu de vreuna.

Ce zice noua directiva ?

Noua directiva zice asa in noul art 5 alin 3:

Statele membre se asigură că stocarea de informaţii sau dobândirea accesului la informaţiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiţia ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informaţii clare și complete, în conformitate cu Directiva 95/46/CE, inter alia, cu privire la scopurile prelucrării. Aceasta nu împiedică stocarea sau accesul tehnic cu unicul scop de a efectua transmisia comunicării printr-o reţea de comunicaţii electronice sau în cazul în care acest lucru este strict necesar în vederea furnizării de către furnizor a unui serviciu al societăţii informaţionale cerut în mod expres de către abonat sau utilizator.

Adica in loc de informare, se cere un acord din partea utilizatorului (opt-in) dupa ce a fost informat.

Tot directiva insa expliciteaza in considerente ca:
“În cazul în care acest lucru este posibil din punct de vedere tehnic și eficient, în conformitate cu dispoziţiile aplicabile din Directiva 95/46/CE, acordul utilizatorului privind procesarea se poate exprima prin folosirea setărilor adecvate ale unui browser sau ale unei alte aplicaţii. Asigurarea respectării acestor cerinţe ar trebui eficientizată prin acordarea unor puteri extinse autorităţilor naţionale competente.”

De aici a inceput haosul. Industria de publicitate a reactionat, considerind ca o asemenea obligatie de a obtine acordul la fiecare cookie ar fi nu doar cvasi-imposibila, ci si inutila. Mai mult, este extrem de greu de implementat doar intr-un anumit teritoriu (UE), in conditiile unui Internet global.
In UK o implementarea literala a fost intampinata cu nemultumire de mai toata lumea.

In iunie 2011 Comisarul Nellie Kroes a dat-o la intors, zicand ca propunerea IAB Europe si EASA pentru o initiativa de auto-reglementare e tocmai ce trebuie. Doar ca initiativa respectiva este doar o implementarea a principiului de opt-out, si nu cel de opt-in. Iar autoritatea europeana pt protectia datelor a sarit ca arsa cind a auzit ca tanti Kroes rastalmaceste directiva.

Ce propune MCSI ?

Pe linga obligatia de a obtine acordul, MCSI propune un nou articol de a fi introdus in lege, care suna cam asa:

Acordul prevăzut la alin. (5) lit. a) poate fi dat şi prin utilizarea setărilor aplicaţiei de navigare pe internet sau a altor tehnologii similare prin intermediul cărora se poate considera că abonatul sau utilizatorul şi-a exprimat acordul, precum şi prin enumerarea furnizorilor cărora abonatul sau utilizatorul le interzice stocarea de informaţii sau accesul la informaţia stocată.

Doar ca acest articol coafat din considerentul directivei citat mai sus nu doar ca pierde pe drum o parte esentiala (este lucrul asta posibil tehnic ? este eficient pentru scopul dorit ?), dar si uita de obligatia de a asigura puterile extinsei autoritatilor competenta. Mai mult, gaselnita de “enumerare a furnizorilor” este eronata, fiind legata de principul de opt-out oricum existent cf legii 677/2001 si nu de cel de opt-in.

Concluzie?

N-am nici pe departe solutia perfecta la a realiza aceasta balanta intre interesul legitim al industriei de publicitate online si interesul la fel de legitim al consumatorilor de a le fi respectata viata privata.

Dar doream sa subliniez ca solutia grabita propusa de MCSI unei probleme sensibile este un pas eronat si pripit. Mai ales ca solutia aleasa nu este nicicum explicata. Si astfel vom avea un nou text de lege care, aidoma dispozitiei din legea 506/2004 nu va fi respectat de nimeni. Pentru ca scopul legii pare a fi sa ne ferim de o scrisoare de infringement, iar nu sa avem legi eficiente si utile.

Cit priveste cookie-urile in sine, opinia mea personala este ca obtinerea unui acord pentru un cookie este o prostie, pentru ca nu isi atinge scopul unei protectii eficiente a vietii private a utilizatorilor. Accentul ar trebui sa fie pus pe o informare cit mai clara si de o aplicare a dispozitiilor existente. Auto-reglementarea poate fi o solutie doar daca ia in considerare si opiniile celelate parti (e.g. consumatori).

Altfel, e ca si cum ai incerca sa iei nota 10 la o teza, dupa ce 7 ani consecutiv ai luat doar 4. Iar industria de publicitate online nu cred ca merita o nota mai buna la informarea utilizatorilor romani despre cookie-uri. Faceti un search pe Google si incercati sa aflati ce cookie-uri se folosesc si ce informatii se colecteaza de industria de publicitate online de la noi. Mult succes!

07/10/11

  18:44:38, by Bogdan, 653 words  
Categories: Stiri - Romania, Legislatie, Drept & Internet, Viata privata

Ordonanta de Urgenta = Incompetenta

Astazi MCSI-ul pune in sectiunea sa de Transparenta Decizionala un proiect de Ordonanta de Urgenta pentru modificarea şi completarea Legii nr.506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice. (evident proiectul nu este anuntat in nicio alta parte in site).

De ce avem nevoie de o Ordonanta de Urgenta ?

Motivatia oficiala din text suna asa:
Luând în considerare că, în scrisoarea de punere în întârziere din data de 18 iulie 2011 (Cauza nr. 2011/0939), Comisia Europeană atrage atenţia asupra faptului că autorităţile române nu au transpus în legislaţia naţională prevederile Directivei 2009/136/CE(…)

Motivatia adevarata trebuie sa sune cam asa:
De fapt, vrem un OUG pentru ca suntem niste incompetenti.

Sa vedem cronologic cum ar fi putut sa se desfasoare faptele:

2008-2009 Tot se agita unii pe Internet referitor la adoptarea noului pachet telecom . Parca e cineva de la noi in Consiliul European, deci se ocupa el. Doricum, discutia e prea plictisitoare si teoretica.

18 decembrie 2009 S-au publicat alea 2 directive (Directiva 2009/136/CE si 2009/140/CE) si ne-a zis cineva ca termenul limita de implementare este de 25 mai 2011. Belfer, frate - ce rost are sa te chinui cu un an si jumatate inainte ? Hai la culcare…

Noiembrie - Decembrie 2010 Timpul a trecut, leafa a mers, iar singurii care s-au chinuit au fost cei de la ANCOM care au vrut sa implementeze bucata lor prin ianuarie 2011. I-am lasat in pace sa se chinuie ei. Ne-au trimis si noua unii ceva documente, dar de ce sa citim? Iar cu neutralitatea Internetului sa se ocupe UE, ca noi suntem platiti prost oricum…

Cred ca au mai scris si unii ca se apropie un deadline,dar cui ii pasa. Noi avem de scris strategia eRomania…

Primavara lui 2011 Un jurnalist ne intreaba daca nu dam o lege cu nu stiu ce prajiturele (cica cookie in engleza). Nu am inteles nimic, asa ca era cit p-aci sa-l fac si pe asta papagal. I-am zis sa mearga la Ministerul Alimentatiei … auzi, prajiturele pe net ?

19 Iulie 2011 A venit sefu la noi ca cica a primit o tidula de la UE ca trebuie sa implementam nu stiu ce directive si UE ne da cu tifla pe spinare. Ne-a facut cu ou si cu otet ca iese el prost in fata lui Boc. Sa ne mai lase, ce noi cu salarii taiate trebuie sa si lucram…
Pai nu se ocupa aia de la ANCOM sau parca e in Parlament?

30 Septembrie 2011 Iara a venit sefu’ suparat, cica sa dam o Ordonanta de Urgenta rapid cu chestia aia cu UE, ca numele lui e pus pe lista celor posibil remaniati. Ca domeniul telecom are vreo 2-3 scrisori de infringement la activ, si d-aia iese prost. Trebuie sa ne apucam de lucru, oare ?

6 Octombrie 2011 Hai ca n-a fost asa greu, am luat textele cu copy&paste de pe versiunea in romana a directivei si am inlocuit statele membre cu ce se potrivea acolo. Au si astia niste termeni ciudati “să garanteze un nivel de securitate proporţional cu riscul existent", “risc determinat de încălcare a securităţii datelor cu caracter personal”. Sa nu ne complicam, mai bine sa lasam asa in text, ca daca asa este in directiva, nu ?

7 Octombrie 2011 Gata, am pus-o si pe site vineri, poate nu o vede presa sau vreun nerod din societatea civila timp de 10 zile si pe urma o adopta Guvernul si am scapat si de problema asta.

10 Octombrie 2011 Eh, au vazut-o aia de la Hotnews. Poate nu ne scrie nimeni si scapam repede…

*********************************************************************

Evident, lucrurile nu s-au desfasurat asa. De fapt oameni capabili de la conducerea tarisoarei noastre au stat si au gindit 2 ani pina au gasit cel mai bun text posibil pentru aceasta importanta reglementare. Nu au spus nimanui, tocmai pentru a nu fi deranjati. Iar in final, pentru ca cineva din Parlament sa nu greseasca vreun cuvintel, intr-un gest eroic de sacrificiu personal, s-a decis ca isi vor asuma raspunderea si o vor adopta prin Ordonanta de Urgenta.

Chair mai conteaza textul actului normativ?

Noapte buna!

02/08/11

Noile legi aplicabile retelelor sociale?

Intro: Scopul acestei insemnari este promovarea unui sondaj cu privire la utilizarea de catre europeni a Internetului si in special a retelelor sociale si site-urilor UGC.

Chestionar Consent

Dezvoltarea retelelor sociale si a site-urilor de tip continut generat de utilizatori (UGC) au prins pe neasteptate pe multa lume si in special pe cei din zona juridica.

Deci avem servicii dezvoltate in special de companii din SUA, cu serverele in cloud (adica pretutindeni si nicaieri), cu zeci de milioane de utilizatori din Uniunea Europeana (adica si 27 de legislatii diferite aplicabile) si unde teoretic n-au voie sa aiba cont utilizatorii sub 13 de ani. Dar in practica 49% dintre copii de 11-12 ani din tarile UE au un cont pe o retea sociala. (studiu EU Kids Online II - 2011). Avem oare o problema?

Numai aceasta ultim procent ar fi suficient pentru ca unii politicieni sa sara in sus cu un proiect sau altul. Doar ca nivelul UE procesul de elaborare legislativa nu este doar mai birocratic, ci uneori bazat pe probe/dovezi reale (evidence based policy making) si nu ca asa te doare la basca. :)

Insa cum este un domeniu nou, aceste dovezi trebuie sa fie produse. Iar dincolo de opiniile juridice sau economice referitoare la necesitatea, fezabilitatea sau aplicabilitatea masurilor, una din dovezile importante sunt legate de ce vor sau au nevoie internautii. (sau consumatorii, dupa cum va place)

Exista deja unii primi pasi in acest sens. Un Eurobarometru din luna iunie pe problematica datelor personale sau raportul EU Kids online II citat mai sus sunt deja dovezi aduse in dezbaterea publica. (vezi opinia lu’ tanti Reading)

In cadrul unui proiect de cercetare finantat de UE in care lucrez (proiectul CONSENT) incercam sa abordam chestiunea dintr-un punct de vedere multi-disciplinar.

Parte a proiectului, dar si a dorintei de a obtine si analiza dovezi referitor la ce fac utilizatorii pe Internet pe site-urile de UGC si retele sociale (si in special referitor la datele personale) s-a propus realizarea unui chestionar in acest sens.

Astfel incit ma intorc catre voi si va rog sa va luati 15 min din timpul vostru pentru a raspunde la acest chestionar (disponibil inclusiv in limba romana).

Chestionar Consent

Btw - toate datele colectate sunt complet anonime. Dupa ce ies rezultatele, o sa le comunic pe blog, inclusiv cu posibile interpretari. Studiul este desfasurat in toate cele 27 de tari membre ale UE si va fi folosit pentru propuneri si sugestii de politici catre autoritatile europene competente.

In ceea ce priveste subiectul titlului in sine (deschis in 2008 pe blog), cred ca nu vom scapa in urmatorii ani de o “politica europeana” in ceea ce priveste site-urile de tip retele sociale. Ca aceasta se va traduce in legislatie (hard law) sau recomandari si auto-reglementare (soft law)- ultima deja promovata de Comisie - depinde de extrem de multe aspecte pentru a face acum o afirmatie transanta.

Este cert insa ca la ora actuala informatiile si dovezile despre opinia consumatorilor despre UGC si site-urile de retele sociale, in special pe partea de viata privata, sunt lacunare, in special la nivel pan-european.


PS: daca va intereseaza sa promovati formularul si pe site-ul vostru (fapt pentru care v-as multumi) si vreti 1-2 bannere suplimentare, contactati-ma pe mail.

30/06/11

  17:37:20, by Bogdan, 566 words  
Categories: Stiri - Romania, Legislatie, Jurisprudenta, Viata privata, Libertate de exprimare, Drept & ITC

Sistemul de auto-completare din cautarea de la Google si defaimarea online

Marturisesc ca am fost placut impresionat de sistemul de auto-completare a cautarilor din Google (Google Suggest), desi nu am putut sa nu ma intreb (si am intrebat si pe altii mai priceputi decit mine) in ce masura nu “perverteste” intentia de cautare intiala a utiizatorului (de. ex. vad in autocomplete o cautare similara cu ce vroiam eu si o aleg).

Am auzit insa in ultima vreme mai multe cazuri in care sistemul de autocomplete al lui Google le-a creat probleme juridice, in special pe cazuri de defaimare. Adica cum ar fi sa iti cauti numele pe Internet, si Google sa iti sugereze “Numele tau hot” sau “Numele tau frauda".

Evident ca nu iti pica bine. Dar poate fi Google vinovat in cazul de fata ? Sau vorbim de un algoritm pur matematic? (ce depinde de ce cauta altii si/sau rezultate)

Cum am auzit de cazuri din Franta, Suedia, Brazilia sau, mai recent Italia, este clar ca poate fi o problema din ce in ce mai raspindita.

Este posibil ca una din solutiile cele mai simple este ca motorul de cautare sa refuze sa ofere auto-complete pe numele proprii. Dar numele proprii sunt cele si ale presedintilor de stat sau a celor morti de acum 2 secole, deci ar fi mai degraba o limitare inutila a libertatii de exprimare. O directie in acest sens ar fi sistemul pus de Google pentru gestionarea reputatiei tale online (vazut la Manafu, thanks!), care insa pare a fi doar la inceput. (si care poate fi si o implementare a mult-discutatului - dar nereglementat inca in mod explicit - drept la uitare (droit a l’oubli))

Si, totusi, un caz recent din Irlanda (inca pe rol) care implica rezultatele autocomplete pentru un hotel, caruia ii sunt asociate diverse cuvinte negative ne arata ca problema poate sa se iveasca si dincolo de o persoana fizica.

Probabil ca Google ar putea pretinde oricind ca rolul sau este pur tehnic si neutru, deci reprezinte un pur gazduitor (de fapt agregator) al informatiei deja existente. Iar cazul de la ECJ din 2008 referitor la Adwords ar fi un bun precedent de folosit in intreaga UE. Dar asta o poate face doar cand serviciul sau are o functie neutra “întrucât comportamentul său este pur tehnic, automat și pasiv, presupunând lipsa cunoașterii sau a controlului datelor pe care le stochează.”, cum sublinieaza Curtea Europeana de Justitie.

Doar ca motorul de cautare se pare ca deja a renuntat la statutul de rol neutru si pasiv atit pentru Google Suggest, cat si pentru Google Instant, pentru unele cuvinte, unde presiunea industriei de copyright a fost prea mare. Cuvinte ca BitTorrent, torrent, utorrent, RapidShare sau Megaupload nu mai merg pe auto-complete de la inceputul anului.

In 2010, purtatorul de cuvint ai firmei se apara:
“Este important de precizat că Google Suggest este o agregare a celor mai populare căutări, bazată pe căutările anterioare ale internauţilor. Nu este Google cel care sugerează aceşti termeni”

Poate nu o sugera, dar deja ne arata ca poate sa le blocheze. Daca vrea.

Personal, cred ca as fi mai degraba suporterul unui serviciu total liber (sau neutru), decit unul trunchiat de interese comerciale evidente. Pentru ca atunci par sa conteze doar interesele comerciale ale celor ce pot sa faca lobby si nu a persoanelor fizice sau a micilor intreprinzatori care au doar ca varianta inca doar complicata actiune in instanta.

1 2 3 4 ...5 ... 7 ...9 ...10 11 12 ... 21

Blog juridic al lui Bogdan Manolea cu informatii referitoare la legislatie, jurisprudenta, articole si stiri legate de domeniul Dreptului Tehnologiei Informatiei din Romania si strainatate.

Subscrie la acest blog pentru a primi actualizarile prin e-mail

Adresa de e-mail


Realizat de FeedBlitz

  XML Feeds

Search

February 2018
Mon Tue Wed Thu Fri Sat Sun
 << <   > >>
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28        

Multumesc

V-a fost util ceva de pe blog sau pe de site ?
De azi va permit sa imi lasati un multumesc
blog tool