« Noua Recomandare a Consiliului Europei nu reuseste sa sustina libertatea de exprimareANRCTI va trece in subordinea Parlamentului »

Viata privata si Internetul - unde punem punct si unde virgula?

12/10/07

  17:18:02, by Bogdan, 1408 words  
Categories: Articole / Studii / Rapoarte, Viata privata

Viata privata si Internetul - unde punem punct si unde virgula?

Articol publicat in Marketwatch

Internetul este, pentru majoritatea dintre noi, doar la un click distanta. Intram pentru a citi informatii, a coresponda cu prietenii, a publica ceva nou sau a face cumparaturi. Dar, in acelasi timp, de multe ori chiar fara sa stim, calculatorul nostru transmite o sumedenie de date catre destinatari. Hai sa inmultim insa datele trimise la o simpla vizitare de pagina web cu numarul vizitelor facute zilnic si cu numarul utilizatorilor Internet. Dar daca am incerca si sa le interconectam, astfel incat sa stim ca utilizatorul X merge, mai degraba, pe site-uri de masini Renault si sa-i livram o reclama cu ultimul produs, nu ar fi rau, nu? Dar daca schimbam masina Renault cu un medicament care arata de ce boala suferiti? Probabil v-ati simti lezati in dreptul dvs. la o viata privata.

Ce este dreptul la viata privata?

Dreptul la viata privata („privacy” pentru anglofoni) este unul dintre drepturile fundamentale ale omului, asa cum au fost ele statuate prin conventii internationale, in special prin Declaratia Universala a Drepturilor Omului din 1948. Conceptul a fost explicat mai intai ca “dreptul de a fi lasat in pace”, insa el a evoluat pana in zilele noastre intr-un concept mai larg, care ar putea fi definit prozaic ca dreptul unei persoane fizice de a decide cata informatie personala sa divulge, cui si pentru ce anume.

In legislatia fiecarei tari membre a Uniunii Europene, dreptul la viata privata isi gaseste aplicarea in special in dispozitii constitutionale, legislatia privind protectia datelor cu caracter personal si, uneori, si in alte acte specifice unui domeniu (cum este cel medical).
La nivel institutional european, cel mai important rol il au autoritatile pentru protectia datelor cu caracter personal din fiecare stat membru (in Romania, denumirea institutiei este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal - ANSPDCP).

Nu exista o institutie superioara ierarhic la nivelul Uniunii Europene, insa exista doua institutii care au atributii si un rol important in opiniile la nivel european in acest domeniu. Prima ar fi Autoritatea Europeana pentru Protectia Datelor (EDPS), care are atat rolul de a garanta respectarea dreptului fundamental la protectia datelor personale de catre institutiile si organismele UE, cat si de a consilia cu privire la noile propuneri legislative europene cu impact asupra protectiei datelor personale. Al doilea organism este Grupul de Lucru Articolul 29, care este un organism european independent, cu caracter consultativ, format din reprezentantii autoritatilor nationale pentru protectia datelor din statele membre ale Uniunii Europene, reprezentantii autoritatilor create pentru institutiile si organismele comunitare, precum si reprezentanti ai Comisiei Europene. El are rolul de a emite recomandari, opinii si avize consultative pentru o interpretare si aplicare unitara a legislatiei comunitare in acest domeniu.

Privacy Policy

Am lamurit, deci, ca sunt date cu caracter personal (definite prin lege ca orice informatii referitoare la o persoana fizica identificata sau identificabila, vezi mai pe larg definitia din Legea 677/2001 art.3), pe care administratorii de servicii online le colecteaza si putem vorbi de o posibila problema cu dreptul la viata privata. Cea mai intalnita metoda de respectare a dreptului la viata privata in legatura cu serviciile online (si, in acelasi timp, este si obligatorie - vezi art. 12 Legea 677/2001) este publicarea unui document usor accesibil pe un site web cu privire la datele personale ce sunt colectate, modalitati de prelucrare si drepturile utilizatorilor. Acest document, intalnit cel mai des sub denumirea de Privacy Policy, chiar si in site-urile romanesti, este de multe ori ignorat de cei care fac afacerea. Ideea de a copia documentul dintr-un site in altul este, de cele mai multe ori, una nefericita, avand in vedere diferentele intre serviciile prestate. Practic, documentul trebuie sa raspunda la doua principii:

- Fiti sinceri. Fie ca aveti un magazin online care are nevoie sa colecteze mai multe date personale despre cumparatori, fie ca nu colectati deloc nici o data personala, - trebuie sa spuneti exact ce date colectati si ce faceti cu ele.

- Respectati legea. O simpla lectura a legii 677/ 2001 va poate da cateva indicii cu privire la drepturile utilizatorilor, care trebuie sa fie aduse la cunostinta acestora. (Indiciu - vezi cap. IV - Drepturile persoanei vizate in contextul prelucrarii datelor cu caracter personal)

IP-ul ca data cu caracter personal

Am amintit mai sus ca o data cu caracter personal este orice informatie referitoare la o persoana fizica identificata sau identificabila. [sus] Pe langa categoriile clasice de elemente care te pot identifica in mod direct sau indirect (ex.: nume, CNP, cartea de identitate, amprente etc.) exista si o serie de informatii care fie singure, fie coroborate cu alte elemente, te pot identifica in cele din urma ca persoana si sunt considerate date cu caracter personal. Pentru cei interesati intr-o detaliere a problemei, recomandam citirea cu atentie a Opiniei nr. 4/2007 cu privire la conceptul de data personala a Grupului de Lucru Articolul 29, adoptata pe data de 20 iunie 2007. In ceea ce priveste Internet-ul si datele trimise voluntar sau nu in momentul accesarii diverselor site-uri sau realizarii unor conturi la diverse servicii online, problemele devin din ce in ce mai complicate, iar, o data cu dezvoltarea tehnologiilor folosite, si mai neclare. Un alt document al Grupului de Lucru Articolul 29, adoptat pe 21 noiembrie 2000 si intitulat “Viata privata in Internet - o abordare integrata a UE cu privire la protectia datelor personale online” stabileste cateva principii si interpretari necesare lamuririi aspectelor legate de Internet.

O sa preferam sa ne oprim doar asupra unui element din dezbatere si anume, daca o adresa IP poate fi considerata o data cu caracter personal. Documentul din anul 2000 explica rationamentul folosit:

“Furnizorii de acces Internet si managerii retelelor locale pot, utilizand mijloace rezonabile, sa identifice utilizatorii Internet carora le-au atribuit adrese IP, atata vreme cat ei, in mod normal si sistematic, pastreaza intr-un jurnal (log) data, ora, durata si adresa IP dinamica data utilizatorului respectiv. Acelasi lucru se poate spune despre ISP care pastreaza un jurnal pe serverul HTTP. In aceste cazuri, nu este nici o indoiala ca putem vorbi despre date personale in sensul Articolul 2 a) a Directivei 95/46/EC”

IP-uri si incalcarea dreptului de autor

Dar majoritatea colectarii de adrese IP nu se face in scopul identificarii utilizatorilor, ci in scop de statistici sau de realizare a unui profil al vizitatorului pentru o mai buna vanzare a publicitatii. Exista insa si situatii contrare, asa cum explica Opinia nr. 4/2007 mai sus amintita: „In special, in acele cazuri cand procesarea adreselor IP este legata de identificarea utilizatorilor unui calculator (de exemplu, de catre titularii drepturilor de autor pentru a da in judecata utilizatorii pentru incalcarea drepturilor de proprietate intelectuala), operatorul anticipeaza ca “metode rezonabile de a fi utilizate” pentru identificarea persoanelor vor fi disponibile de ex. prin instantele la care se face actiunea (altfel, colectarea informatiilor nu ar avea nici un sens), si ca atare informatia ar trebui sa fie considerata ca data cu caracter personal.”

O opinie similara a fost exprimata in 18 iulie 2007 de Avocatul General al Curtii Europene de Justitie (care are rolul de a sugera solutia legala aplicabila, nu de aparare a intereselor unei parti) intr-un caz care ar putea pune lumina in aceasta problema - C-275/06 Productores de Música de España (Promusicae) vs. Telefónica de España. Avocatul General a considerat ca dreptul UE ar permite excluderea punerii la dispozitie a datelor cu caracter personal referitoare la traficul informational (adica adrese IP) in cazurile in care acestea ar fi utilizate pentru actiuni in vederea incalcarii dreptului de autor, potrivit dreptului civil.
Sigur, CEJ va decide in cele din urma asupra cazului, decizia fiind obligatorie inclusiv pentru instantele romanesti. CEJ nu este obligata sa urmeze argumentatia Avocatului General, desi de multe ori o face.

Practica instantelor este insa cu mult mai variata. Doua decizii din Franta, din 27 aprilie si 15 mai 2007, au ignorat argumentatia referitoare la adresa IP ca data cu caracter personal, starnind indignarea autoritatii franceze in domeniul datelor personale (CNIL), care a cerut Ministerului de Justitie francez sa intervina pentru casarea deciziilor.

Dar o decizie extrem de recenta din 6 septembrie 2007 a tribunalului Saint-Brieuc din Franta a considerat, intr-un caz in care un utilizator care a pus in comun (share) peste 150 000 de fisiere contrafacute si a recunoscut acest lucru, ca exista un viciu de procedura in ceea ce priveste colectarea adresei IP a acuzatului fara acordul CNIL si a decis in consecinta achitarea acestuia.

Chiar si identificarea utilizatorilor in privinta incalcarii drepturilor de autor prin procese penale nu se bucura intotdeauna de succes. Instanta locala din Offenburg - Germania a decis in august 2007 sa nu permita procurorilor sa obtina aceste date, considerand infractiunea drept “minora”.

10 comments

Comment from: Max [Visitor]

In pofida tuturor opiniilor exprimate de diverse entitati, eu personal nu sunt convins ca adresa de IP poate fi considerata “data cu caracter personal” in sensul art.2 din Legea 677.

Revin la unele rationamente pe care le-am mai facut in paginile acestui blog si va supun tuturor celor care vizitati acest site si va intereseaza subiectul urmatorul punct de relectie:

Fie ca este alocat static sau dinamic (si fara a introduce in ecuatie folosirea unor mascari prin servere de proxy), un IP poate identifica la un moment dat O STATIE DE LUCRU conectata in retea si NU in mod obligatoriu un UTILIZATOR anume.

Acest aspect face (in opinia mea) diferenta intre IP si CNP (de exemplu), nume, adresa etc.

Cu alte cuvinte, cred ca putem asocia un IP cu alte date personale, insa nu putem trata IP-ul ca data cu caracter personal, fiindca nu identifica OMUL, ci MASINA.

Fara a intentiona sa polemizez, astept comentarii….

MAX

13/10/07 @ 13:04
Comment from: traian [Visitor]

Incerc sa fac un comentariu mai lung dar nu il primeste. Error - Supplied comment is invalid.

De ce? Exista o limita de caractere?

15/10/07 @ 14:18
Comment from: Traian [Visitor]

(2) “Identificarea” persoanei asa cum este ea inteleasa din contextul L677/2001, Directiva 95/46/CE si din Studiu, este de a individualiza persoana in raport cu alte persoane. Nu ai neaparat nevoie de numele sau de adresa persoanei pentru a o “identifica” in sensul acestor acte normative. Deci termenul “identificare” nu trebuie privit strict in sensul de a stii cum o chema pe persoana si cum arata.

Parerea mea este ca problema ridicata de tine este nascuta din confuzia ca DCP care “identifica” persoana inseamna neaparat numele, prenumele, adresa, figura persoanei. In sensul Legii si al Directivei, DCP care “identifica” sunt cele care te ajuta sa ajungi sa o individualizezi cu ajutorul acelor date. Deci este o problema de utilizare de catre legiuitor a unui termen comun al limbi noastre cu un sens nou.

Pentru a edifica in totalitate raspunsul meu iti dau un extras dintr-un studiu ICO (ANSPDCP din Anglia):
“Information may be compiled about a particular web user, but there might not be any intention of linking it to a name and address or e-mail address. There might merely be an intention to target that particular user with advertising, or to offer discounts when they re-visit a particular web site, on the basis of the profile built up, without any ability to locate that user in the physical world. The Commissioner takes the view that such information is, nevertheless, personal data. In the context of the on-line world the information that identifies an individual is that which uniquely locates him in that world, by distinguishing him from others.”

15/10/07 @ 15:11
Comment from: [Member]

Corect, Traian - foarte bine punctat.
Daca ai probleme cu postat-ul de comentarii da-i un email la contact at legi-internet.ro cu intreg textul si vad care e problema.
Uneori mai sunt niste cuvinte bagate in “lista de spam” a softului b2e, care in engleza pot face probleme.

Max, poti sa-l intrebi pe un prof din Anglia :-) Un IP poate duce in cele mai multe cazuri la identificarea persoanei din spatele statiei de lucru (existind si exceptii cum sunt I-cafe-urile). Nu inseamna ca intotdeauna va fi identificat prin ACEA adresa IP.

Hai sa facem o analogie cu numarul de inmatriculare al masinii, poate e mai clar asa. Oricum ai lua-o, se poate identifica printr-o baza de date cine este proprietarul care poate spune cine a condus masina la un anumit moment dat…

Parerea mea :-)

15/10/07 @ 18:22
Comment from: Max [Visitor]

OK. Chiar analogia cu numarul masinii am facut-o si eu cu ceva timp in urma. Nu sunt pe deplin convins si nici nu incerc sa va conving de contrariu. Pot avea si eu un link catre respectiva Opinie nr. 4/2007 ? pls…

17/10/07 @ 21:39
Comment from: traian [Visitor]

Ar fi fost util daca spuneai cu ce exact nu esti de acord ca sa pot scrie la subiect.
Am sa incerc sa vin cu alte argumente generale.

Este nevoie de prudenta in a stabili definitiv daca o informatie - cum este IP-ul in situatia noastra - este sau nu data cu caracter personal.
Mai exact vreau sa spun ca sunt situatii in care o informatie este DCP si situatii in care nu este. Atat tu cat si noi am incercat sa stablim definitiv ca IP-ul este sau nu DCP. Adevarul este undeva la mijloc.
Cum determini in fiecare situatie daca este vorba despre DCP? Operatorul care prelucreaza DCP trebuie sa aiba posibilitatea sa traga anumite concluzii, sa stranga anumite informatii despre persoana respective utilizand acele date. Ma exprim printr-un text dintr-un Studiu ICO (One element to be taken into account would be whether a data controller can form a connection between the data and the individual.)

1. In situatia unui ISP care colecteaza atat IP-ul unui calculator personal - al unei singure persoane - cat si alte DCP (nume, adresa, e-mail) pe care le poate mai tarziu pune cap la cap pentru a face factura, este evident ca IP-ul este DCP.
2. Daca intram pe taramul Icafe, unde utilizatorii se pot bucura de un oarecare anonimat - foarte putin probabil in contextul societatii informationale de astazi - putem considera ca IP-ul nu este DCP. Aici s-ar putea deschide o polemica.

3. Revenind la situatia calculatorului personal, daca vrei sa ma contrazici poti spune ca pe acelasi calculator dintr-o casa, pot lucra mai multi utilizatori. Perfect adevarat. Nu a spus nimeni ca IP-ul identifica perfect o persoana. In aceasta situatie poti sa-l privesti ca pe adresa de domiciliu/resedinta unde locuiesc mai mereu cateva persoane impreuna, sau masina la care au acces mai multe persoane. In aceasta situatie IP-ul este DCP pentru fiecare dintre ei. De ce? Pentru ca ii individualizeaza pe fiecare dintre ei fata de ceilalti utilizatori de calculatoare, soferi etc.

18/10/07 @ 18:44
Comment from: [Member]

Am pus linkurile - asa e cind scrii un articol pentru offline :-)

18/10/07 @ 19:31
Comment from: sorin [Visitor]

“comentariul” meu este mai degraba o intrebare… legata de posibilitatea de prelua informatii(articole) din diverse publicatii sau de pe pagini de net.Sunt admin pe medicalfarma.ro si vreau sa stiu daca in momentul in care iau o stire dintr-o sursa si o postez pe site-ul meu (fara a cere un acord scris in prealabil) intru in conflict juridic cu autorul stirii respective.Mentionez ca forma in care vreau sa apara stirea la mine pe site este cu mentionarea sursei si autorului articolului respectiv.Deci.. daca mentionez la sfarsitul articolului sursa si autorul mai am nevoie de acordul lui scris? (stirile sunt folosite doar ca informatie, nu in scopuri comerciale).
va multumesc !

21/10/07 @ 12:24
Comment from: Tot_eu [Visitor]  

Buna!As dori si eu sa intreb care sunt consecintele postarii unor date apartinand altei persoane(printre care si numarul de telefon) pe un site matrimonial? Exista vreo reglementare in acest sens?Mai ales ca intr-o perioada telefonul se inrosea de atatea apeluri. Admninistratorul site-ului a refuzat blocarea contului respectiv, din motiv ca e unul platit. Multumesc.

05/10/08 @ 23:13
Comment from: [Member]

Sorin, numai daca preiei un citat.. nu poti prelua intregul articol cu exceptia cazului in care ai acordul prezumat (cum e cazul licentelor CC) sau expres al autorului.

Tot_eu, nu este o reglementare specifica si nici nu trebuie sa reglementam specific fiecare amanunt al vietilor noastre. In cazul tau se poate merge pe dreptul comun - raspundere civila delictuala. Contacteaza un avocat.

08/10/08 @ 18:47


Form is loading...

Blog juridic al lui Bogdan Manolea cu informatii referitoare la legislatie, jurisprudenta, articole si stiri legate de domeniul Dreptului Tehnologiei Informatiei din Romania si strainatate.

Subscrie la acest blog pentru a primi actualizarile prin e-mail

Adresa de e-mail


Realizat de FeedBlitz

  XML Feeds

Search

October 2018
Mon Tue Wed Thu Fri Sat Sun
 << <   > >>
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

Multumesc

V-a fost util ceva de pe blog sau pe de site ?
De azi va permit sa imi lasati un multumesc
free blog tool