Articol publicat in Marketwatch
Internetul este, pentru majoritatea dintre noi, doar la un click distanta. Intram pentru a citi informatii, a coresponda cu prietenii, a publica ceva nou sau a face cumparaturi. Dar, in acelasi timp, de multe ori chiar fara sa stim, calculatorul nostru transmite o sumedenie de date catre destinatari. Hai sa inmultim insa datele trimise la o simpla vizitare de pagina web cu numarul vizitelor facute zilnic si cu numarul utilizatorilor Internet. Dar daca am incerca si sa le interconectam, astfel incat sa stim ca utilizatorul X merge, mai degraba, pe site-uri de masini Renault si sa-i livram o reclama cu ultimul produs, nu ar fi rau, nu? Dar daca schimbam masina Renault cu un medicament care arata de ce boala suferiti? Probabil v-ati simti lezati in dreptul dvs. la o viata privata.
Ce este dreptul la viata privata?
Dreptul la viata privata („privacy” pentru anglofoni) este unul dintre drepturile fundamentale ale omului, asa cum au fost ele statuate prin conventii internationale, in special prin Declaratia Universala a Drepturilor Omului din 1948. Conceptul a fost explicat mai intai ca “dreptul de a fi lasat in pace”, insa el a evoluat pana in zilele noastre intr-un concept mai larg, care ar putea fi definit prozaic ca dreptul unei persoane fizice de a decide cata informatie personala sa divulge, cui si pentru ce anume.
In legislatia fiecarei tari membre a Uniunii Europene, dreptul la viata privata isi gaseste aplicarea in special in dispozitii constitutionale, legislatia privind protectia datelor cu caracter personal si, uneori, si in alte acte specifice unui domeniu (cum este cel medical).
La nivel institutional european, cel mai important rol il au autoritatile pentru protectia datelor cu caracter personal din fiecare stat membru (in Romania, denumirea institutiei este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal - ANSPDCP).
Nu exista o institutie superioara ierarhic la nivelul Uniunii Europene, insa exista doua institutii care au atributii si un rol important in opiniile la nivel european in acest domeniu. Prima ar fi Autoritatea Europeana pentru Protectia Datelor (EDPS), care are atat rolul de a garanta respectarea dreptului fundamental la protectia datelor personale de catre institutiile si organismele UE, cat si de a consilia cu privire la noile propuneri legislative europene cu impact asupra protectiei datelor personale. Al doilea organism este Grupul de Lucru Articolul 29, care este un organism european independent, cu caracter consultativ, format din reprezentantii autoritatilor nationale pentru protectia datelor din statele membre ale Uniunii Europene, reprezentantii autoritatilor create pentru institutiile si organismele comunitare, precum si reprezentanti ai Comisiei Europene. El are rolul de a emite recomandari, opinii si avize consultative pentru o interpretare si aplicare unitara a legislatiei comunitare in acest domeniu.
Privacy Policy
Am lamurit, deci, ca sunt date cu caracter personal (definite prin lege ca orice informatii referitoare la o persoana fizica identificata sau identificabila, vezi mai pe larg definitia din Legea 677/2001 art.3), pe care administratorii de servicii online le colecteaza si putem vorbi de o posibila problema cu dreptul la viata privata. Cea mai intalnita metoda de respectare a dreptului la viata privata in legatura cu serviciile online (si, in acelasi timp, este si obligatorie - vezi art. 12 Legea 677/2001) este publicarea unui document usor accesibil pe un site web cu privire la datele personale ce sunt colectate, modalitati de prelucrare si drepturile utilizatorilor. Acest document, intalnit cel mai des sub denumirea de Privacy Policy, chiar si in site-urile romanesti, este de multe ori ignorat de cei care fac afacerea. Ideea de a copia documentul dintr-un site in altul este, de cele mai multe ori, una nefericita, avand in vedere diferentele intre serviciile prestate. Practic, documentul trebuie sa raspunda la doua principii:
- Fiti sinceri. Fie ca aveti un magazin online care are nevoie sa colecteze mai multe date personale despre cumparatori, fie ca nu colectati deloc nici o data personala, - trebuie sa spuneti exact ce date colectati si ce faceti cu ele.
- Respectati legea. O simpla lectura a legii 677/ 2001 va poate da cateva indicii cu privire la drepturile utilizatorilor, care trebuie sa fie aduse la cunostinta acestora. (Indiciu - vezi cap. IV - Drepturile persoanei vizate in contextul prelucrarii datelor cu caracter personal)
IP-ul ca data cu caracter personal
Am amintit mai sus ca o data cu caracter personal este orice informatie referitoare la o persoana fizica identificata sau identificabila. [sus] Pe langa categoriile clasice de elemente care te pot identifica in mod direct sau indirect (ex.: nume, CNP, cartea de identitate, amprente etc.) exista si o serie de informatii care fie singure, fie coroborate cu alte elemente, te pot identifica in cele din urma ca persoana si sunt considerate date cu caracter personal. Pentru cei interesati intr-o detaliere a problemei, recomandam citirea cu atentie a Opiniei nr. 4/2007 cu privire la conceptul de data personala a Grupului de Lucru Articolul 29, adoptata pe data de 20 iunie 2007. In ceea ce priveste Internet-ul si datele trimise voluntar sau nu in momentul accesarii diverselor site-uri sau realizarii unor conturi la diverse servicii online, problemele devin din ce in ce mai complicate, iar, o data cu dezvoltarea tehnologiilor folosite, si mai neclare. Un alt document al Grupului de Lucru Articolul 29, adoptat pe 21 noiembrie 2000 si intitulat “Viata privata in Internet - o abordare integrata a UE cu privire la protectia datelor personale online” stabileste cateva principii si interpretari necesare lamuririi aspectelor legate de Internet.
O sa preferam sa ne oprim doar asupra unui element din dezbatere si anume, daca o adresa IP poate fi considerata o data cu caracter personal. Documentul din anul 2000 explica rationamentul folosit:
“Furnizorii de acces Internet si managerii retelelor locale pot, utilizand mijloace rezonabile, sa identifice utilizatorii Internet carora le-au atribuit adrese IP, atata vreme cat ei, in mod normal si sistematic, pastreaza intr-un jurnal (log) data, ora, durata si adresa IP dinamica data utilizatorului respectiv. Acelasi lucru se poate spune despre ISP care pastreaza un jurnal pe serverul HTTP. In aceste cazuri, nu este nici o indoiala ca putem vorbi despre date personale in sensul Articolul 2 a) a Directivei 95/46/EC”
IP-uri si incalcarea dreptului de autor
Dar majoritatea colectarii de adrese IP nu se face in scopul identificarii utilizatorilor, ci in scop de statistici sau de realizare a unui profil al vizitatorului pentru o mai buna vanzare a publicitatii. Exista insa si situatii contrare, asa cum explica Opinia nr. 4/2007 mai sus amintita: „In special, in acele cazuri cand procesarea adreselor IP este legata de identificarea utilizatorilor unui calculator (de exemplu, de catre titularii drepturilor de autor pentru a da in judecata utilizatorii pentru incalcarea drepturilor de proprietate intelectuala), operatorul anticipeaza ca “metode rezonabile de a fi utilizate” pentru identificarea persoanelor vor fi disponibile de ex. prin instantele la care se face actiunea (altfel, colectarea informatiilor nu ar avea nici un sens), si ca atare informatia ar trebui sa fie considerata ca data cu caracter personal.”
O opinie similara a fost exprimata in 18 iulie 2007 de Avocatul General al Curtii Europene de Justitie (care are rolul de a sugera solutia legala aplicabila, nu de aparare a intereselor unei parti) intr-un caz care ar putea pune lumina in aceasta problema - C-275/06 Productores de Música de España (Promusicae) vs. Telefónica de España. Avocatul General a considerat ca dreptul UE ar permite excluderea punerii la dispozitie a datelor cu caracter personal referitoare la traficul informational (adica adrese IP) in cazurile in care acestea ar fi utilizate pentru actiuni in vederea incalcarii dreptului de autor, potrivit dreptului civil.
Sigur, CEJ va decide in cele din urma asupra cazului, decizia fiind obligatorie inclusiv pentru instantele romanesti. CEJ nu este obligata sa urmeze argumentatia Avocatului General, desi de multe ori o face.
Practica instantelor este insa cu mult mai variata. Doua decizii din Franta, din 27 aprilie si 15 mai 2007, au ignorat argumentatia referitoare la adresa IP ca data cu caracter personal, starnind indignarea autoritatii franceze in domeniul datelor personale (CNIL), care a cerut Ministerului de Justitie francez sa intervina pentru casarea deciziilor.
Dar o decizie extrem de recenta din 6 septembrie 2007 a tribunalului Saint-Brieuc din Franta a considerat, intr-un caz in care un utilizator care a pus in comun (share) peste 150 000 de fisiere contrafacute si a recunoscut acest lucru, ca exista un viciu de procedura in ceea ce priveste colectarea adresei IP a acuzatului fara acordul CNIL si a decis in consecinta achitarea acestuia.
Chiar si identificarea utilizatorilor in privinta incalcarii drepturilor de autor prin procese penale nu se bucura intotdeauna de succes. Instanta locala din Offenburg - Germania a decis in august 2007 sa nu permita procurorilor sa obtina aceste date, considerand infractiunea drept “minora”.