Category: "Pareri personale"

Pages: 1 2 3 4 ...5 ... 7 ...9 ...10 11 12 ... 32

27/10/11

Unde-l dau in judecata pe Financial Times ? (sau care este instanta competenta pe Net in cazuri de raspundere civila delictuala)

Raspunsul la intrbarea din titlu: daca a scris naspa despre mine in pagina de web pot sa-l dau in judecata in Romania, unde e domiciliul meu. :D

Cam asa ma gindesc eu ca ar trebui sa sune un titlu bombastic care sa relateze o hotarire extrem de interesanta de ieri a Curtii Europene de Justitie (CEJ) referitor la instanta competenta in cazuri de raspundere civila delictuala pentru atingere adusă drepturilor referitoare la personalitate prin publicarea de informatii pe Internet.

Explicatia nejuridica: Adica se apuca vreunul sa te faca cu ou si cu otet in blogurile Financial Times pe tine, mare mahar de Simleul Silvaniei. (…sper ca realizati ca este un exemplu tras de par in mod intentionat…) Adinc lovit in orgoliul propriu te decizi sa-i dai in judecata pentru ofensa adusa imaginii tale. Unde? Ei bine, poti sa te duci linistit la judecatoria din Simleu si sa incepi procesul secolului al Judecatoriei locale. Si sa le ceri 1 milion de lire daune. :p

Mai glumim noi, dar decizia este extrem de interesanta din citeva puncte de vedere. Pe de o parte, este clar ca scopul acestei reglementari este protectia suplimentara a drepturilor personalitatii. Altfel, te-ar fi trimis la Londra unde te costa avocatul cit o masina la prima mina.

Pe de alta parte, obligatia poate crea niste procese extrem de dure pentru orice publicatie online care prin 3 procese in 3 colturi ale Europei este scoasa din business in mod rapid.

Poate insemna ca Mihaela Radulescu o sa-l dea in judecata pe Zoso la Monaco sau ca Enrique Iglesias da in judecata Can-Can-ul in Madrid (sau pe unde o sta in Spania).

Citeva precizari utile inainte de a trece la citeva citate din decizie si intreg comunicatul de presa al CEJ:

  • decizia se refera doar la clarificarea conflictului de competenta intre state membre ale UE
  • avem o speta pe drepturile personalitatii si raspundere civila delictuale, deci pe alte cazuri s-ar putea sa fie altfel
  • vorbim de un caz in care nu exista un contract intre parti, dar merita sa mentionam ca daca ar fi (Chiar si pe net cu Google Irlanda, Paypay Luxembourg etc.), atunci ar putea sa fie competenta tot instanta din Simleu, daca eu sunt un consumator - vezi Regulamentul Roma I.

Deci ce zice instanta europeana:


(…)postarea unor informații pe un site internet se distinge de difuzarea teritorială a unui suport de comunicare, precum un imprimat, prin faptul că aceasta vizează, prin esența sa, ubicuitatea informațiilor menționate. Acestea pot fi consultate instantaneu de un număr nedeterminat de utilizatori de internet pretutindeni în lume, independent de orice intenție a editorului acestora privind consultarea lor în afara statului membru în care este stabilit și în afara controlului său.
(…)
Dificultățile punerii în aplicare, în contextul internetului, a criteriului menționat al materializării prejudiciului contrastează cu gravitatea prejudiciului care poate fi suferit de titularul unui drept referitor la personalitate care constată că informații care aduc atingere dreptului menționat sunt disponibile în orice punct al planetei.

(…)victima unei încălcări a drepturilor referitoare la personalitate prin intermediul internetului poate sesiza o instanță pentru tot prejudiciul suferit în funcție de locul materializării prejudiciului cauzat în Uniunea Europeană prin încălcarea menționată. Dat fiind că impactul unei informații postate asupra drepturilor referitoare la personalitate ale unei persoane poate fi apreciat cel mai bine de instanța de la locul unde pretinsa victimă își are centrul intereselor, atribuirea de competență acestei instanțe corespunde obiectivului unei bune administrări a justiției, amintit la punctul 40 din prezenta hotărâre. Locul unde persoana își are centrul intereselor corespunde în general domiciliului său.

(…) Competența instanței de la locul unde pretinsa victimă își are centrul intereselor este conformă obiectivului previzibilității normelor de competență și în ceea ce privește pârâtul, dat fiind că, în momentul postării unei informații prejudiciabile, autorul informației respective este în măsură să cunoască centrele de interese ale persoanelor care fac obiectul acesteia. Prin urmare, trebuie să se considere că criteriul centrului de interese permite atât reclamantului să identifice cu ușurință instanța pe care o poate sesiza, cât și pârâtului să prevadă în mod rezonabil instanța în fața căreia poate fi acționat în justiție

Si mai jos comunicatul de presa al CEJ.

Full story »

24/10/11

  18:32:54, by Bogdan, 1389 words  
Categories: Articole / Studii / Rapoarte, Pareri personale, Legislatie, Drept & Internet, Viata privata

Utilizarea Internetului de catre copii si masurile de siguranta

Tocmai am primit pe email de la Monica Barbovschi, persoana de contact pentru Romania a proiectului EU Kids Online II, comunicatul de presa al ultimului raport din acest proiect. (mai jos reprodus integral)

Intr-o dezbatere publica unde subiectul “copii pe Internet” naste reactii exacerbate si, uneori, dorinti de reglementare de multe ori stupide si inaplicabile, raportul Eu Kids Online II vine cu o analiza stiintifica serioasa, bazata pe o investigatie riguroasa in 25 de state membre ale UE si cu recomandari bazate pe realitate si mult bun simt.

Un “must read” pentru cei interesati de subiectul accesului copiilor la Internet, pentru decidentii politici si pentru orice parinte. Raportul final cu recomandarile este disponibil pe site-ul proiectului si este in engleza.

Citeva pasaje recomandate de mine:

De asemenea relevant, copiii români declară în medie mai puţine competenţe legate de utilizarea internetului sau de siguranţă pe internet (de exemplu cum sa salvezi o pagină la favorite sau să blochezi un utilizator), 3,4 versus 4,2 media europeană. Acest aspect este extrem de relevant pentru formularea de strategii legate de educaţia media şi de folosire în siguranţă a internetului. Accesul din dormitorul propriu, adesea departe de supravegherea părinţilor, completat cu accesul privat, nesupravegheat de pe telefoane mobile constitute factori de risc.

Ca o consecinţă directă a nivelului scăzut de competenţe digitale, copiii români declară în mare măsură agresiuni online şi expunere nedorită la mesaje cu conţinut sexual, fiind de asemenea şi printre cei mai afectaţi în cazul acestor experienţe neplăcute pe internet. De asemenea, părinţii români sunt printre cei mai neinformaţi în legătură cu experienţele neplăcute ale copiilor lor pe internet.
Centrele de siguranţă pe internet trebuie să facă mai vizibile informaţiile despre riscuri şi să indice metode eficiente de control şi mediere parentală, iar în acelaşi timp să le facă uşor accesibile şi utilizabile.

Deci daca nu investim in educatie, in special cu privire la siguranta online, putem avea si 100 de legi cu privire la protectia copiilor pe net - tot apa de ploaie raman.

Iar din recomandari speculez citeva remarcate de mine:
1. Copiii au dreptul la protecţie şi siguranţă online, dar trebuie să îşi asume şi ei responsabilitatea pentru păstrarea siguranţei şi respectarea drepturilor celorlalţi pe internet.
2. E important ca cei care formulează recomandări legate de siguranţă să pună accent pe oportunităţile şi beneficiile legate de utilizarea internetului de către copii.
7. Competenţele legate de siguranţă online sunt necesare pentru dezvoltarea rezilienţei online.
10. Informarea părinţilor despre riscuri şi siguranţă online trebuie intensificată.

Mai jos si intregul comunicat de presa.

Full story »

21/10/11

  19:18:26, by Bogdan, 1030 words  
Categories: Stiri - Romania, Pareri personale, Legislatie, Spam, Viata privata

Notificarea pentru incalcarea securitatii

Daca am vorbit despre cum noile dispozitii propuse de MCSI vor afecta (sau nu?) reglementarea cookie-urilor in Romania cred ca merita de amintit ale 2 modificari care nu ar fi trebuit sa scape dezbaterii publice. Astazi mentionez doar una dintre ele, si anume:

Notificarea pentru incalcarea securitatii datelor personale (Data breach notification)

Acesta un subiect nou dpdv juridic inclusiv in Romania, si despre care am mai prezentat informatii si in trecut si care, ar trebui in mod normal, sa faca unele modificari in bine in protectia datelor personale.

Practic, noua modificare propune obligatii suplimentare in materie de securitate a datelor cu caracter personal pentru furnizorii de comunicatii electronice (mai prozaic spus operatori telecom + ISP)care merg in 2 directii:

A. Adoptarea de catre orice furnizor de masuri tehnice si organizatorice de protectie a datelor care cel putin sa:

a) asigure că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;
b) protejeze datele cu caracter personal stocate sau transmise, împotriva distrugerii accidentale sau ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării sau divulgării ilicite;
c) asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal.

De asemenea se stabileste ca DataProtection.ro are dreptul sa auditeze aceste masuri.

Din pacate acest copy&paste din directiva nu ajuta foarte mult in practica pentru realizarea scopului - si anume asigurarea securitatii datelor. Daca marii operatori probabil au toate aceste proceduri bine puse la punct, pentru operatorii mici acestea pot sa insemne costuri majore cu securitatea datelor.

Asta pentru ca cele 3 obiective mentionate mai sus inseamna pot fi indeplinite practic, si usor de demonstrat unor terti ca sunt indeplinite, doar printr-un audit de securitate al informatiilor.

Iar cum dataprotection.ro nu are capacitatea tehnica de a face o evaluare a securitatii datelor, mie mi se pare cel mai normal ca ar trebui sa se refere tot la un audit realizat de catre specialistii in securitate informatica.

Textul actual este insa vag si neclar, astfel incat toti termenii de acolo sunt interpretabili.

B. In cazul incalcarii masurilor de securitate cu privire la datele personale este obligatorie notificarea dataprotection.ro

In anumite circumstante cam neclare (Atunci când încălcarea securităţii datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal sau vieţii private a unui abonat sau a unei alte persoane) furnizorul ar putea fi obligat sa notifice direct toti clientii! Adica s-ar putea sa primesti acasa o scrisoare de la operatorul tau de Internet prin care sa te anunte ca cineva a intrat in baza de clienti si datele tale ar fi putut sa fie furate.

Dar, daca demonstreaza ca a luat toate masurile de securitate necesare mentionate mai sus, atunci ar putea scapa de obligatia de notificare catre clienti.

E important de precizat ca sunt discutii avansate in UE ca aceasta obligatie de notificare pentru incalcarea securitatii datelor sa fie extinsa la toti procesatorii de date personale !!

Sa complicam lucurile - inca o obligatie de notificare de incalcare a securitatii

Dar pentru ca la noi toate lucrurile se fac pe dos, sa ne uitam putin mai atent la proiectul ANCOM pe implementarea Pachetului Telecom

—– Intermezzo de explicare a unei noi harababuri legislative —–

Intai sa notam o bulibaseala si a acestui proiect de lege - si anume desi proiectul a urmat regulamentar totii pasii de consultare publica, s-a blocat in Parlament intr-o chestiune birocratica si stupida intre Senat si Camera Deputatilor, iar in cele din urma a fost retras de initiatori pe 4 Octombrie.

Ca peste 2 saptamani, adica pe 20 Octombrie sa apara ca un proiect de ….ati ghicit! .. Ordonanta de Urgenta pe site-ul MCSI … evident, fara sa apara anuntat in alte zona din site! Cu aproape acelasi text cu care era in Parlament! Sa mai vorbim de Neutralitatea Internetului ??? Cu cine ???

Curat stat de drept, coane Fanica !

Cred ca va trebui sa schimb insemnarea “Ordonanta de Urgenta x2= Incompetenta^2“, de data aceasta incompetenta fiind a CD + Senatului.

—– End Intermezzo ——-

Dupa cum ziceam insa, daca ne uitam mai nou in propunerea de OUG a MCSI ref la comunicatiile electronice vedem la art 46-48 ca mai exista o obligatie de notificare tot pentru incalcarea normelor de securitate (culmea!).

Art.47. – (1) Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia de a notifica ANCOM, în cel mai scurt timp, cu privire la orice încălcare a securităţii sau pierdere a integrităţii care are un impact semnificativ asupra furnizării reţelelor sau serviciilor.

Cf art 49 din proiect ANCOM are dreptul sa ceara un audit de securitate pe cheltuiala operatorului de comunicatii (!), dar la Dataprotection.ro nu i se da aceasta posibilitate.

Ce intelegem de aici?

Ca exista 2 proiecte de OUG care vor privi 2 obligatii de securitate distincte (!)pentru furnizorii de comunicatii electronice:

- una este obligatia de securitate a datelor personale, unde competenta va fi Dataprotection.ro

- alta va fi obligatia de securitate si integritate a serviciilor si retelelor, unde competenta va fi ANCOM.

In ambele cazuri o incalcare a acestor norme poate duce la obligatia de notificare a autoritatii si a publicului.

Dar oare un security breach “care are un impact semnificativ asupra furnizării reţelelor sau serviciilor” nu va fi in 99% din cazuri si un security breach pe date personale?

Eu, personal, cred ca da! - si astfel in 2 proiecte de lege anuntate la distanta doar de 2 saptamani reusim sa prefiguram o obligatie dubla pentru aceiasi actiune (sau inactiune).
Oare nu ar fi fost mai bine ca inainte sa ne grabim sa le punem “spre consultare publica” sa ne uitam nitel pe el, poate le corelam macar?
Nu ar fi bine sa fie un audit comun, daca tot priveste partea de securitate?
Daca tot am gindit bine audit-ul pentru ANCOM, nu putem da aceasta atributie in mod explicit si Dataprotection.ro ?

Hai ca vorbesc prostii deja - weekend placut!
(mai comentam dupa ce se adopta ceva pe subiectul asta, deja am obosit…)

Update later: Am observat mai tarziu ca proiectul a fost pus si pe site-ul ANCOM cu data de 19.10. Nici aici nu a fost anuntat public prin comunicat de presa, cum face de obicei ANCOM.
Cel putin aveti insa o versiune in care au notat in mod specific ceea ce s-a modificat fata de proiectul de lege.

17/10/11

  18:59:32, by Bogdan, 1441 words  
Categories: Stiri - Romania, Pareri personale, Legislatie, Drept & Internet, Viata privata

MyClicknet - serviciul de interceptare a traficului de la Romtelecom

Romtelecom a lansat acum vreo 2 saptamani un serviciu numit MyClickNet ca pe un serviciu de “personalizare a Internetului.”

Ceea ce nu spune insa comunicatul oficial si sta ascuns prin Termenii si conditile site-ului este de fapt ceea ce face in realitate acest serviciu: Intercepteaza TOT traficul tau de Internet (pagini vizitate + cautari), pentru a te bombarda cu publicitate. Relevanta, evident. Totul gratuit si “anonim” :D

Astfel, Romtelecom a incheiat o afacere cu o companie numita Phorm cunoscuta pentru “serviciile” sale de publicitate bazate pe analiza traficului de Internet al ISP-istilor, motiv pentru care a fost data afara din UK, iar Marea Britanie este investigata de Comisia Europeana.

Sistemul este atit de anonim, incat ca nu cumva sa dispara optiunea ta cu privire la sistem “noi folosim un flash cookie pentru a stoca preferinţa dumneavoastră privind acordul.” (din documentul cu privacy).

Pentru cei interesati de detaliile tehnice, vedeti thread-ul inceput de georgica pe Softpedia, dar si documentatia facuta de Richard Clayton de la Univ. Cambbridge in anul 2008 cind sistemul era contestat in Marea Britanie (descriere si probleme).

Pentru chestiunile practice referitor la redirectarile pe care le face, vezi qbert sau m1ha1. Deja cazul are rasunet in strainatate: Forumul DPI, Paul Bernal iar dataprotection.ro a raspuns ca deja investigheaza cazul. (desi de fapt mai competent ar fi ANCOM catre care o sa trimitem maine o informare - aici am notat eronat initial, ANSPDCP este competenta pe articolul 4 - update 18.10)

In speranta ca Romtelecom o sa faca o fapta buna in ceasul al 13-lea si sa caute un serviciu serios de consultanta pe tema protectiei datelor personale (sa nu uitam ca anul trecut a avut un alt caz penibil legat cu accesul la baza de date de clienti de catre o companie de asigurari) iata citeva dispozitii legislative utile:

legea 506/2004 Art 4:

(1) Confidentialitatea comunicarilor transmise prin intermediul
retelelor publice de comunicatii electronice si a serviciilor de
comunicatii electronice destinate publicului, precum si confidentialitatea
datelor de trafic aferente sunt garantate.
(2) Ascultarea, inregistrarea, stocarea si orice alta forma de
interceptare ori supraveghere a comunicarilor si a datelor de trafic
aferente este interzisa, cu exceptia cazurilor urmatoare:
a) se realizeaza de utilizatorii care participa la comunicarea
respectiva;
b) utilizatorii care participa la comunicarea respectiva si-au dat,
in prealabil, consimtamantul scris cu privire la efectuarea acestor
operatiuni;
c) se realizeaza de autoritatile competente, in conditiile legii.

Cum in cazul nostru abonatii nu dau consimtamintul in scris, ci este vorba de un consimtamint implicit (detalii la m1ha1) este clar ca dispozitia respectiva nu este indeplinita.
Mai mult, in sensul acestui caz utilizatorul care participa la comunicarea respectiva este si site-ul cu care se incearca conexiunea respectiva si care, in niciun caz, nu este intrebat daca permite interceptarea acestei comunicatii.

Sistemul are si alte probleme - de la faptul ca sistemul de opt-out pare a nu functiona (vezi la m1ha1) pina la faptul ca exclude anumite tipuri de continul (asa cum scrie in documentele lor: subiecte delicate, precum conţinutul legat de tutun, pornografie, alcool, droguri, aspecte legate de sănătate, sau care vizează copiii sub vârsta de 14 ani.) indica faptul ca avem de a face un un Deep Packet Inspection (DPI) - adica o analiza detaliata a continutului fiecarui pachet trimis de catre utilizator prin ISP.

Colac peste pupaza, legea 161/2003 clasifica drept infractiune orice interceptare fara drept a comunicatiilor de date informatice:

Art. 43. - (1) Interceptarea, fără drept, a unei transmisii de date informatice care nu este publică şi care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic constituie infracţiune şi se pedepseşte cu închisoare de la 2 la 7 ani.

Sintagma “fara drept” este definita in art 35 si ma indoiesc ca exista un contract cu ambii utilizatori (persoana care acceseaza site-ul + proprietarului site-ului) de catre Romtelecom in care sa scrie ca i se permite sa intercepteze traficul web in scopul afisarii de reclame. Faptul ca traficul este sters este irelevant cita vreme interceptarea este facuta, ba mai mult se creeaza un fel de rezumat al interceptarii(crearea unui sumar al paginilor în timp real cum scrie in documentele Romtelecom).

Deranjant este si faptul ca o companie in care statul roman are inca peste 40% isi poate permite sa faca asa ceva, intr-un mod total netransparent si profitind de lipsa de cunostinte a utilizatorilor obisnuiti de Internet. Mai mult, daca in UK s-a inceput cu niste teste si au fost discutii lungi cu autoritatile referitoare la legalitatea sistemului, la noi Romtelecom a considerat ca este un serviciu care trebuie servit utilizatorilor fara discutii si comentarii si uitind sa explice utilizatorilor si ca intercepteaza traficul, dar si ca folosind tehnologia Phorm (care apare undeva ascunsa in capitolul de Privacy).

De altfel tratarea Romaniei ca pe o tara bananiera de catre marile firme nu este nicidecum suprinzatoare, ceea ce sublinieaza cu atit mai mult necesitatea initiativei legislative de Neutralitate a Internetului care ar face orice caz de DPI ca fiind ilegal.

Pentru cei mai putin familiarizati cu notiunile tehnice, Richard are citeva comparatii sugestive ale sistemului Phorm in alte domenii:
- Posta decide sa iti deschida scrisorile, ca sa primesti publicitate mai legata de ce ai vrea sa cumperi tu
- Compania de CATV (sa zicem UPC) ar scana cartile si revistele citite, ca sa-ti dea reclame mai bine tintite
- Carrefour iti face automat un profil al cumparaturilor facute astfel incat atunci cind intri la McDonalds sa ti se dea direct meniul vegetarian. :)

PS: Multumesc lui Huitzilopochtli, care mi-a indicat subiectul in comentariul la insemnarea trecuta.

Update 18.10.2011 12:30 Am primit pe email si pozitia Romtelecom pe care o regasiti mai jos. Eu am insistat pe problema “interceptarii traficului” si astept o completare a pozitiei si pe tema asta.

“Cred ca unele aspecte ale proiectului MyClicknet nu au fost tocmai bine intelese si dorim sa precizam oficial in numele Romtelecom urmatoarele, avand in vedere ca nu ni s-a dat posibilitatea sa exprimam un punct de vedere inainte de publicarea postarii:

Dupa cum am precizat in comunicatul catre public din 28 septembrie 2011, MyClicknet este un serviciu optional si gratuit (link).

MyClicknet este oferit clientilor Romtelecom numai pe baza de opt-in (metoda agreata de legislatia nationala si europeana) – acestea sunt invitatiile mentionate in postarile citate in articolul tau. Inainte de a decide daca activeaza sau nu serviciul, clientul este informat despre scopul in care datele sale sunt procesate – acest lucru se face prin intermediul Termenilor si conditiilor (gasesti atasat documentul, informatiile sunt publicate vizibil pentru utilizatorii MyClicknet la adresa myclicknet.romtelecom.ro/terms) si a Politicii privind cookie-urile (gasesti atasat documentul, informatiile sunt publicate vizibil pentru utilizatorii MyClicknet myclicknet.romtelecom.ro/privacy).

Acest proces este diferit de cel aplicat in UK, unde intelegem ca s-a lucrat pe model opt-out. In reteaua Romtelecom, activarea se face numai in urma unei actiuni din partea utilizatorului (consimtamant expres) prin selectarea “butonului” DA. Mai mult, clientul isi poate modifica oricand, gratuit si imediat, optiunea (alegand sa activeze/dezactiveze daca doreste serviciul) accesand myclicknet.romtelecom.ro/status.

De asemenea, clientii au posibilitatea de a se informa despre drepturile lor in ceea ce priveste datele cu caracter personal prin intermediul unei sectiuni distincte care este prezenta pe pagina de start a serviciului. Astfel sectiunea “Protectia datelor cu caracter personal” (gasesti atasat documentul, informatiile sunt publicate vizibil pentru utilizatorii MyClicknet myclicknet.romtelecom.ro/privacy) ofera clientilor posibilitatea de a se informa despre drepturile lor conform Legii 677/2001.

Daca un client alege sa opteze pentru activarea serviciului, (deci dupa obtinerea consimtamantului sau) datele personale ale clientului (IP-ul sau) sunt anonimizate prin intermediul unui HashedID (o insiruire de 24 de caractere aleatorii). Scopul acestui HashedID nu este identificarea utilizatorului, ci diferentierea sa fata de alti utilizatori ai serviciului.

Practic, din acest moment, HashedID-ului se asociaza o serie de etichete legate de preferintele utilizatorului. Aceste etichete nu includ preferinte ale utilizatorului legate de subiecte sensibile (precum medicatie, tutun, materiale pentru adulti) sau orice preferinte exprimate in timpul accesarii conexiunilor securizate sau pe webmail, spre exemplu. In urma acestor asocieri, utilizatorul va vedea in spatiile de promovare ale partenerilor publisheri reclame personalizate. Nu este vorba despre livrarea de reclame care sa intrerupa navigarea pe web, ci pur si simplu despre o “personalizare” a spatiilor de promovare deja existente pe web si tocmai de aceea consideram serviciul unul de utilitate pentru clienti.

+

Cu privire la asigurarea confidentialitatii comunicatiilor, aceasta este asigurata prin folosirea acestui HashedID in loc de date ce pot identifica abonatul; astfel, sistemul nu foloseste date personale, ci acest HashedID. Astfel nu se identifica un client, ci un astfel de HashedID catre care se livreaza continut personalizat. Mai mult, acest HashedID este prelucrat intern si automat de catre aplicatie (nu prin interventie umana), nu se stocheaza istoricul lui si nu este comunicat catre terte parti. Subliniem inca o data ca analiza nu vizeaza site-uri securizate https, peer-to-peer sau continutul comunicarilor, ci doar domeniul de interes.”

12/10/11

  18:53:53, by Bogdan, 1507 words  
Categories: Anunturi, Pareri personale, Legislatie, Viata privata, Drept & ITC

Legea Cookie-urilor

In vreme ce intreaga Europa conflictul dintre sustinatorii protectiei vietii private si cei ai importantei publicitatii online atinge culmi nebanuite, o data cu termenul limita pentru adoptarea noului articol 5 alin 3 din Directiva ePrivacy, la noi e liniste si pace.

Dupa cum am scris vineri, MCSI a propus spre o cvasi-consultare publica (ca oricum la emailurile trimise nu raspunde nimeni) pentru un proiect de Ordonanta de Urgenta care, probabil, va sari orice dezbatere pe tema asta pentru ca este mai important sa raspundem unei necesitati birocratice de la Bruxelles, decit sa avem o lege buna. (asta sarind peste problema principala ca am stat 2 ani ca mortu-n papusoi).

Si, totusi, pentru ca ma trag de mineca citiva amici, sa vedem totusi care este spilul povestii. Astazi - despre cookie-uri.

Ce este un cookie ?

Daca stiti raspunsul la intrebare, treceti la paragraful urmator. Daca nu, tusti la wikipedia ca sa aflati nu inseamna doar prajitura in engleza, ci un mic fisier text pe care un site web poate sa-l puna in calculatorul dvs. De obicei scopul este unul pozitiv - sa tine minte ca v-ati autentificat pe site-ul respectiv, ce aveati in cosul de cumparaturi. Un cookie nu e malware, nu e virus si, in general, nu este periculos pentru calculatorul vostru. Problemele noastre apar de cookie-urile puse nu de site-ul pe care il vizitezi, ci de terte parti care administreaza bucati din site-ul ala, adica cele cu reclama. (3rd party cookies). O explicatie mai pe larg despre ce sunt si probleme juridice gasiti pe site-ul out-law.com, cu referinta la UK.

Si atunci ce treaba are un cookie cu viata mea privata ?

Sa va dau un exemplu de zilele trecute. Merg la Cluj la Tecomm si caut pe net sa vad cum sa merg. Intru pe 1-2 site-uri de rezervare de bilete de avion sa vad niste preturi. Prea mari si la ore neconveabile, asa ca aleg trenul. In aceiasi zi intru si un alt site-uri de travel - in dreapta o reclama mare la unul din site-urile pe care-l vizitasem: Vrei sa ai pretul cel mai mic pentru un bilet catre Cluj ? Ma gindesc ca e doar o interesanta coincidenta si trec mai departe. La al treilea site vizitat si aceiasi reclama cu biletul de avion catre Cluj imi dau seama ca sunt un neofit: evident ca stiau ca vreau sa merg la Cluj si poate chiar cu avionul - am facut o cautare pe Google dupa cuvintele astea cheie, am clickat pe unul sau mai multe rezultate din Adwords, am facut cautari pe site-urile respective - toate punind ceva pe calculatorul meu prin care puteau identifica ca eu sunt interesat de a cumpara un bilet de avion catre Cluj. Ati ghicit - acel ceva este un cookie.
Personal, nu mi-a picat bine. Am sters cookie-urile din browser, desi as fi vrut sa-l sterg numai pe asta.

Deci un cookie poate sa aiba leagatura cu viata privata, in special in momentul in care agentiile de publicitate care administreaza spatiile de publicitate online de pe mai multe site-uri coreleaza aceste informatii si le folosesc pentru a livra - zic ei - reclama utila. (O activitate numita generic tracking and tracing). Uneori reclama deranjanta.

Ca sa fim 100% clari, nimeni nu te identifica printr-un cookie ca tu esti Popescu Ionel sau Gigel, ci ca pot sa-ti faca un profil amanuntit pe urma carora cistiga bani frumosi. Deci datele tale personale sunt monezile de aur pentru publicitate online.

Si problema este ?

Problema principala, in opinia mea, pe care legile incearca sa o rezolve nu este de a face aceasta practica legala, ci de a informa in mod concret si complet consumatorul si a-i da posibilitatea sa zica - eu NU vreau sa se mai pastreze date despre mine.

Ce zice legea in vigoare ?

Legea romana (506/2004) care implementeaza directiva ePrivacy are in vigoare art 4 alin 5, care zice:

(5) Utilizarea unei retele de comunicatii electronice in scopul stocarii de informatii in echipamentul terminal al unui abonat sau utilizator sau al obtinerii accesului la informatia stocata in acest mod este permisa numai cu indeplinirea, in mod cumulativ, a urmatoarelor conditii:

a) abonatului sau utilizatorului in cauza i s-au furnizat informatii clare si complete, in conformitate cu prevederile art.12 din Legea
nr.677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, intre altele cu privire la scopul in care se efectueaza stocarea sau accesul la informatia stocata;
b) abonatului sau utilizatorului in cauza i s-a oferit posibilitatea de a refuza stocarea sau accesul la informatia stocata.

Adica daca folosesti cookie-uri trebuie sa: informezi utilizatorul si sa-i dai posibilitatea sa zica NU.

Cati dintre site-urile pe care le stiti spun ca folosesc cookie-uri ale tertelor parti ? In Romania, aproape nimeni.
Cite dintre aceste terte parti au implementat un sistem de opt-out ? In Romania, nu stiu de vreuna.

Ce zice noua directiva ?

Noua directiva zice asa in noul art 5 alin 3:

Statele membre se asigură că stocarea de informaţii sau dobândirea accesului la informaţiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiţia ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informaţii clare și complete, în conformitate cu Directiva 95/46/CE, inter alia, cu privire la scopurile prelucrării. Aceasta nu împiedică stocarea sau accesul tehnic cu unicul scop de a efectua transmisia comunicării printr-o reţea de comunicaţii electronice sau în cazul în care acest lucru este strict necesar în vederea furnizării de către furnizor a unui serviciu al societăţii informaţionale cerut în mod expres de către abonat sau utilizator.

Adica in loc de informare, se cere un acord din partea utilizatorului (opt-in) dupa ce a fost informat.

Tot directiva insa expliciteaza in considerente ca:
“În cazul în care acest lucru este posibil din punct de vedere tehnic și eficient, în conformitate cu dispoziţiile aplicabile din Directiva 95/46/CE, acordul utilizatorului privind procesarea se poate exprima prin folosirea setărilor adecvate ale unui browser sau ale unei alte aplicaţii. Asigurarea respectării acestor cerinţe ar trebui eficientizată prin acordarea unor puteri extinse autorităţilor naţionale competente.”

De aici a inceput haosul. Industria de publicitate a reactionat, considerind ca o asemenea obligatie de a obtine acordul la fiecare cookie ar fi nu doar cvasi-imposibila, ci si inutila. Mai mult, este extrem de greu de implementat doar intr-un anumit teritoriu (UE), in conditiile unui Internet global.
In UK o implementarea literala a fost intampinata cu nemultumire de mai toata lumea.

In iunie 2011 Comisarul Nellie Kroes a dat-o la intors, zicand ca propunerea IAB Europe si EASA pentru o initiativa de auto-reglementare e tocmai ce trebuie. Doar ca initiativa respectiva este doar o implementarea a principiului de opt-out, si nu cel de opt-in. Iar autoritatea europeana pt protectia datelor a sarit ca arsa cind a auzit ca tanti Kroes rastalmaceste directiva.

Ce propune MCSI ?

Pe linga obligatia de a obtine acordul, MCSI propune un nou articol de a fi introdus in lege, care suna cam asa:

Acordul prevăzut la alin. (5) lit. a) poate fi dat şi prin utilizarea setărilor aplicaţiei de navigare pe internet sau a altor tehnologii similare prin intermediul cărora se poate considera că abonatul sau utilizatorul şi-a exprimat acordul, precum şi prin enumerarea furnizorilor cărora abonatul sau utilizatorul le interzice stocarea de informaţii sau accesul la informaţia stocată.

Doar ca acest articol coafat din considerentul directivei citat mai sus nu doar ca pierde pe drum o parte esentiala (este lucrul asta posibil tehnic ? este eficient pentru scopul dorit ?), dar si uita de obligatia de a asigura puterile extinsei autoritatilor competenta. Mai mult, gaselnita de “enumerare a furnizorilor” este eronata, fiind legata de principul de opt-out oricum existent cf legii 677/2001 si nu de cel de opt-in.

Concluzie?

N-am nici pe departe solutia perfecta la a realiza aceasta balanta intre interesul legitim al industriei de publicitate online si interesul la fel de legitim al consumatorilor de a le fi respectata viata privata.

Dar doream sa subliniez ca solutia grabita propusa de MCSI unei probleme sensibile este un pas eronat si pripit. Mai ales ca solutia aleasa nu este nicicum explicata. Si astfel vom avea un nou text de lege care, aidoma dispozitiei din legea 506/2004 nu va fi respectat de nimeni. Pentru ca scopul legii pare a fi sa ne ferim de o scrisoare de infringement, iar nu sa avem legi eficiente si utile.

Cit priveste cookie-urile in sine, opinia mea personala este ca obtinerea unui acord pentru un cookie este o prostie, pentru ca nu isi atinge scopul unei protectii eficiente a vietii private a utilizatorilor. Accentul ar trebui sa fie pus pe o informare cit mai clara si de o aplicare a dispozitiilor existente. Auto-reglementarea poate fi o solutie doar daca ia in considerare si opiniile celelate parti (e.g. consumatori).

Altfel, e ca si cum ai incerca sa iei nota 10 la o teza, dupa ce 7 ani consecutiv ai luat doar 4. Iar industria de publicitate online nu cred ca merita o nota mai buna la informarea utilizatorilor romani despre cookie-uri. Faceti un search pe Google si incercati sa aflati ce cookie-uri se folosesc si ce informatii se colecteaza de industria de publicitate online de la noi. Mult succes!

06/09/11

  12:36:37, by Bogdan, 289 words  
Categories: Pareri personale, Evenimente, Drept de autor

Pozele din vacanta...

Daca va asteptati sa gasiti aici pozele mele din vacanta, atunci … eroare mare. :)

Dar am o intrebare - ce faceti cu pozele voastre din vacanta (parca din ce in ce mai multe, nu?)? Ma astept la o gama larga de raspunsuri (scrise sau nu)de la “zac intr-un folder de pe calculatorul propriu” pina la “le-am urcat pe picassa (facebook, flickr, etc.) sa le vada toata lumea".

Un concurs pan-european de fotografie (Wiki Loves Monuments)lansat de Wikipedia doreste sa imbine utilul cu placutul. Adica daca tot pozati diverse monumente, de ce nu puneti pozele astfel incit ele se poata fi folosite pe Wikipedia? (Presupun ca cititorii acestui blog sunt deja informati cu privire la imbirligaturile legii dreptului de autor si stiu foarte bine ca a pune o poza pe Internet nu inseamna ca imi dau si acordul ca ea sa fie publicata in alta parte - adica pe site-ul Wikipedia si sub o licenta libera.)

Evident, pe linga fotografiile voastre, puteti sa folositi si poze mai vechi, daca sunt in domeniul public (iar aici calculatorul pentru domeniul public pe care l-am facut public va poate ajuta) sau daca aveti acordul autorului (adica al fotografului).

Si daca e concurs, normal ca are si premii. (detalii legate si de unde trebuie incarcate pozele si cum ca sa participe la concurs - vezi pe pagina proiectului) :)

Sa nu credeti ca este greu - avem monumente istorice la fiecare pas (vezi harta la Asociația Prietenii MNIR sau Lista monumentelor din fiecare judet).

Iar daca aveti chef si de ceva explicatii pentru monumentele vazute, cel putin exista un tur gratuit si pietonal al Bucurestiului (pina in 11 Septembrie inclusiv) pe care vi-l recomand cu caldura. (dupa ce l-am testat). Turul este organizat de Asociaţia Română pentru Cultură, Educaţie şi Normalitate.

02/08/11

Noile legi aplicabile retelelor sociale?

Intro: Scopul acestei insemnari este promovarea unui sondaj cu privire la utilizarea de catre europeni a Internetului si in special a retelelor sociale si site-urilor UGC.

Chestionar Consent

Dezvoltarea retelelor sociale si a site-urilor de tip continut generat de utilizatori (UGC) au prins pe neasteptate pe multa lume si in special pe cei din zona juridica.

Deci avem servicii dezvoltate in special de companii din SUA, cu serverele in cloud (adica pretutindeni si nicaieri), cu zeci de milioane de utilizatori din Uniunea Europeana (adica si 27 de legislatii diferite aplicabile) si unde teoretic n-au voie sa aiba cont utilizatorii sub 13 de ani. Dar in practica 49% dintre copii de 11-12 ani din tarile UE au un cont pe o retea sociala. (studiu EU Kids Online II - 2011). Avem oare o problema?

Numai aceasta ultim procent ar fi suficient pentru ca unii politicieni sa sara in sus cu un proiect sau altul. Doar ca nivelul UE procesul de elaborare legislativa nu este doar mai birocratic, ci uneori bazat pe probe/dovezi reale (evidence based policy making) si nu ca asa te doare la basca. :)

Insa cum este un domeniu nou, aceste dovezi trebuie sa fie produse. Iar dincolo de opiniile juridice sau economice referitoare la necesitatea, fezabilitatea sau aplicabilitatea masurilor, una din dovezile importante sunt legate de ce vor sau au nevoie internautii. (sau consumatorii, dupa cum va place)

Exista deja unii primi pasi in acest sens. Un Eurobarometru din luna iunie pe problematica datelor personale sau raportul EU Kids online II citat mai sus sunt deja dovezi aduse in dezbaterea publica. (vezi opinia lu’ tanti Reading)

In cadrul unui proiect de cercetare finantat de UE in care lucrez (proiectul CONSENT) incercam sa abordam chestiunea dintr-un punct de vedere multi-disciplinar.

Parte a proiectului, dar si a dorintei de a obtine si analiza dovezi referitor la ce fac utilizatorii pe Internet pe site-urile de UGC si retele sociale (si in special referitor la datele personale) s-a propus realizarea unui chestionar in acest sens.

Astfel incit ma intorc catre voi si va rog sa va luati 15 min din timpul vostru pentru a raspunde la acest chestionar (disponibil inclusiv in limba romana).

Chestionar Consent

Btw - toate datele colectate sunt complet anonime. Dupa ce ies rezultatele, o sa le comunic pe blog, inclusiv cu posibile interpretari. Studiul este desfasurat in toate cele 27 de tari membre ale UE si va fi folosit pentru propuneri si sugestii de politici catre autoritatile europene competente.

In ceea ce priveste subiectul titlului in sine (deschis in 2008 pe blog), cred ca nu vom scapa in urmatorii ani de o “politica europeana” in ceea ce priveste site-urile de tip retele sociale. Ca aceasta se va traduce in legislatie (hard law) sau recomandari si auto-reglementare (soft law)- ultima deja promovata de Comisie - depinde de extrem de multe aspecte pentru a face acum o afirmatie transanta.

Este cert insa ca la ora actuala informatiile si dovezile despre opinia consumatorilor despre UGC si site-urile de retele sociale, in special pe partea de viata privata, sunt lacunare, in special la nivel pan-european.


PS: daca va intereseaza sa promovati formularul si pe site-ul vostru (fapt pentru care v-as multumi) si vreti 1-2 bannere suplimentare, contactati-ma pe mail.

15/07/11

  14:48:12, by Bogdan, 948 words  
Categories: Anunturi, Stiri - Romania, Pareri personale, Jurisprudenta, Criminalitate informatica

Phishing-ul - adevaratul brand de tara al Romaniei

Cind am fost in SUA si discutam cu un avocat de la EFF, primul lucru care m-a intrebat de Romania este cum aveti atitia “carderi". In preajma referendumului ref la bulgari si romani din Elvetia de acum vreo 2 ani, toata lumea ii stia pe romani de ciorditori de carduri. Acum citeva luni, vorbind cu un alt avocat din Olanda, imi explica cum “phiserii” au invadat tarile de jos si sunt o pacoste pentru toata ei. (intre timp mi-a relatat ca au ajuns si hotii de fier vechi care au scos din functiune citeva trenuri de mare viteza, luind nu stiu ce bucati de fier de pe sine).

Deci phishingul este adevaratul brand de tara al Romaniei. Nu a fost niciodata frunza verde, nu Bute si nici macar Mutu. Phishingul! Ciorditori pe Internet. (atentie, astia nu sunt hackeri!)

Cum sa-l imbunatatim?
Pai sa nu facem nimic mai mult decit facem acum. Phishing-ul (sau in general inselatoriile pe Internet) par a fi una dintre mai prospere afaceri pe Internet din Romania (si nici nu platesti taxe).

Modelul de business e relativ simplu, creduli gasesti cit e lumea intreaga, faci ceva bani, te ridica politia frumos cu mascati (deci traiesti ca-n filme, frate!), stai citeva luni in inchisoare pina cind iti dau drumul (ca doar nu te pot tine ani pina cind se fac tot felul de expertize sau ii citeaza pe aia din straintate), iei 2-3-4 ani (poate cu suspendare, daca ai un avocat mai descurcareti) si dupa ce iesi o iei de la capat, invatind cum sa folosesti mai bine “sagetile” (adica oamenii pusi sa ridice banii in locul tau), sa folosesti programe de ascundere a urmelor sau sa faci infractiunile in 3 state, ca se se incurce autoritatile de aplicare a legii intre ei cu privire la competente.

“Afacerile” devin din ce in ce mai profesioniste si mai organizate, cum se anunta din comunicatele Politiei inca din 2009.

Ultima mare actiune a DIICOT (117 perchizitii si 50 de persoane retinute) par a fi tintita catre o retea de baieti cam prosti , care se faceau fraude in stilul anilor 2000. (adica licitatii fara sa aibe bunul, nu phishing) - de fapt, personal nici nu stiu daca termenul de criminalitate informatica este un corect in cazul asta.

Din pacate, comunicatele DIICOT (uneori pline de emfaza, alteori de inteles - cine crede ca sa faci 117 perchizitii simultane e usor…) par a intra intr-un tipar cu care deja te obisnuiesti. O data la 2 luni se primeste un comunicat prin care afli ca o alta “retea a fost destructurata", pe care presa (aia care a ramas) il preia integral dupa ce schimba titlul cu unul cit mai bombastic posibil.

Ce (nu) se vede dincolo de comunicatele DIICOT

Cum deja am mai zis si in trecut, ne uitam prea mult la efecte si deloc la cauzele fenomenului. Discutam despre numarul de anchetati, dar nu si despre de ce fac asta. Nu avem studii sociologice si/sau psihologice care sa ne explice de ce avem de-a face cu un fenomen la nivel national. Nu stim de ce Rm. Valcea e mai tare decit Zalaul in cazuri de phising… Nu avem nicio strategie de educare cu privire la Internet. Incercam sa rezolvam problemele aparute punctual si nu global. Daca Romania nu va incerca sa faca nimic serios dpdv sistematic cu privire la fenomen, in sine, cazurile de phishing se vor inmulti si complica. Poate va fi si cazul ca Politia (in special in conditiile scaderii salarilor) si Procuratura sa nu le mai faca fata.

Banc
- Unde vrei, puisor, sa lucrezi cind te faci mare ?
- In criminalitatea organizata!
- Ce frumos!!! Dar la stat sau la privat ?

Pedepsele reale in astfel de cazuri sunt de maxim 2-4 ani inchisoare Degeaba ne arunca in fata in comunicatul de presa pedepse de “pina la 20 de ani". Nu conteaza ca sunt tot felul de agravante, cum ar fi constituirea in grup infractional. Daca ne uitam la cazurile de criminalitate informatica din 2010 pe acest domeniu (preluate de pe Jurindex si publicate pe legi-internet.ro) observam ca pedeapsa acordata in astfel de cazuri este intre 2 si 4 ani de inchisoare.
Nu vreau sa judec daca e rau sau e bine, daca e un caz special sau nu - e vorba de o constatar.

Prejudiciile de 20 de milioane de dolari sunt praf in ochi. In momentul care gasesti doar approx 100 k euro la perchizitii, orice cititor inteligent o sa-si dea seama ca e ceva in neregula cu suma asta. De fapt, suma este formata din prejudiciul efectiv (cit au furat) si prejudiciul moral (adica cit costa increderea pierduta in eBay si Craiglist). Daca prima este usor de cuantificat (dar nu este publica), cea de-a doua poate fi ridicata din vorbe la sume astronomice. Oricum tot din cazurile de criminalitate informatica din 2010 pe acest domeniu observam ca de fapt niciodata prejudiciile acordate nu se ridica nici macar pe departe la aceste sume exorbitante.

In faza de judecata putini vin sa-si ceara paguba O parte din problemele care fac ca aceste procese sa dureze extrem de mult (pe linga durata expertizelor si contra-expertizelor, domeniul inca criptic pentru multi judecatori, etc.) este si faptul ca pagubitul este din alta tara, ceea ce duce la durate impresionante pentru citarea acestora sau depunerea plingerilor lor. Nu este mai putin adevarat ca in multe cazuri bancile sau Visa sau chiar inculpatii in sine nu mai depun eforturi pentru recuperarea prejudiciului (in multe din cazuri fiind rambursat de asigurari).

Eu, unul, n-am intalnit pina acum un caz care sa urmareasca atent ce s-a intamplat de la comunicatul DIICOT pina la sentinta finala si irevocabila a unei instante. (se poate ce s-a intamplat si dupa aceea, adica cit a stat de fapt in inchisoare).

1 2 3 4 ...5 ... 7 ...9 ...10 11 12 ... 32

Blog juridic al lui Bogdan Manolea cu informatii referitoare la legislatie, jurisprudenta, articole si stiri legate de domeniul Dreptului Tehnologiei Informatiei din Romania si strainatate.

Subscrie la acest blog pentru a primi actualizarile prin e-mail

Adresa de e-mail


Realizat de FeedBlitz

  XML Feeds

Search

February 2018
Mon Tue Wed Thu Fri Sat Sun
 << <   > >>
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28        

Multumesc

V-a fost util ceva de pe blog sau pe de site ?
De azi va permit sa imi lasati un multumesc
blogging soft