In vreme ce intreaga Europa conflictul dintre sustinatorii protectiei vietii private si cei ai importantei publicitatii online atinge culmi nebanuite, o data cu termenul limita pentru adoptarea noului articol 5 alin 3 din Directiva ePrivacy, la noi e liniste si pace.
Dupa cum am scris vineri, MCSI a propus spre o cvasi-consultare publica (ca oricum la emailurile trimise nu raspunde nimeni) pentru un proiect de Ordonanta de Urgenta care, probabil, va sari orice dezbatere pe tema asta pentru ca este mai important sa raspundem unei necesitati birocratice de la Bruxelles, decit sa avem o lege buna. (asta sarind peste problema principala ca am stat 2 ani ca mortu-n papusoi).
Si, totusi, pentru ca ma trag de mineca citiva amici, sa vedem totusi care este spilul povestii. Astazi - despre cookie-uri.
Ce este un cookie ?
Daca stiti raspunsul la intrebare, treceti la paragraful urmator. Daca nu, tusti la wikipedia ca sa aflati nu inseamna doar prajitura in engleza, ci un mic fisier text pe care un site web poate sa-l puna in calculatorul dvs. De obicei scopul este unul pozitiv - sa tine minte ca v-ati autentificat pe site-ul respectiv, ce aveati in cosul de cumparaturi. Un cookie nu e malware, nu e virus si, in general, nu este periculos pentru calculatorul vostru. Problemele noastre apar de cookie-urile puse nu de site-ul pe care il vizitezi, ci de terte parti care administreaza bucati din site-ul ala, adica cele cu reclama. (3rd party cookies). O explicatie mai pe larg despre ce sunt si probleme juridice gasiti pe site-ul out-law.com, cu referinta la UK.
Si atunci ce treaba are un cookie cu viata mea privata ?
Sa va dau un exemplu de zilele trecute. Merg la Cluj la Tecomm si caut pe net sa vad cum sa merg. Intru pe 1-2 site-uri de rezervare de bilete de avion sa vad niste preturi. Prea mari si la ore neconveabile, asa ca aleg trenul. In aceiasi zi intru si un alt site-uri de travel - in dreapta o reclama mare la unul din site-urile pe care-l vizitasem: Vrei sa ai pretul cel mai mic pentru un bilet catre Cluj ? Ma gindesc ca e doar o interesanta coincidenta si trec mai departe. La al treilea site vizitat si aceiasi reclama cu biletul de avion catre Cluj imi dau seama ca sunt un neofit: evident ca stiau ca vreau sa merg la Cluj si poate chiar cu avionul - am facut o cautare pe Google dupa cuvintele astea cheie, am clickat pe unul sau mai multe rezultate din Adwords, am facut cautari pe site-urile respective - toate punind ceva pe calculatorul meu prin care puteau identifica ca eu sunt interesat de a cumpara un bilet de avion catre Cluj. Ati ghicit - acel ceva este un cookie.
Personal, nu mi-a picat bine. Am sters cookie-urile din browser, desi as fi vrut sa-l sterg numai pe asta.
Deci un cookie poate sa aiba leagatura cu viata privata, in special in momentul in care agentiile de publicitate care administreaza spatiile de publicitate online de pe mai multe site-uri coreleaza aceste informatii si le folosesc pentru a livra - zic ei - reclama utila. (O activitate numita generic tracking and tracing). Uneori reclama deranjanta.
Ca sa fim 100% clari, nimeni nu te identifica printr-un cookie ca tu esti Popescu Ionel sau Gigel, ci ca pot sa-ti faca un profil amanuntit pe urma carora cistiga bani frumosi. Deci datele tale personale sunt monezile de aur pentru publicitate online.
Si problema este ?
Problema principala, in opinia mea, pe care legile incearca sa o rezolve nu este de a face aceasta practica legala, ci de a informa in mod concret si complet consumatorul si a-i da posibilitatea sa zica - eu NU vreau sa se mai pastreze date despre mine.
Ce zice legea in vigoare ?
Legea romana (506/2004) care implementeaza directiva ePrivacy are in vigoare art 4 alin 5, care zice:
(5) Utilizarea unei retele de comunicatii electronice in scopul stocarii de informatii in echipamentul terminal al unui abonat sau utilizator sau al obtinerii accesului la informatia stocata in acest mod este permisa numai cu indeplinirea, in mod cumulativ, a urmatoarelor conditii:
a) abonatului sau utilizatorului in cauza i s-au furnizat informatii clare si complete, in conformitate cu prevederile art.12 din Legea
nr.677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, intre altele cu privire la scopul in care se efectueaza stocarea sau accesul la informatia stocata;
b) abonatului sau utilizatorului in cauza i s-a oferit posibilitatea de a refuza stocarea sau accesul la informatia stocata.
Adica daca folosesti cookie-uri trebuie sa: informezi utilizatorul si sa-i dai posibilitatea sa zica NU.
Cati dintre site-urile pe care le stiti spun ca folosesc cookie-uri ale tertelor parti ? In Romania, aproape nimeni.
Cite dintre aceste terte parti au implementat un sistem de opt-out ? In Romania, nu stiu de vreuna.
Ce zice noua directiva ?
Noua directiva zice asa in noul art 5 alin 3:
Statele membre se asigură că stocarea de informaţii sau dobândirea accesului la informaţiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiţia ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informaţii clare și complete, în conformitate cu Directiva 95/46/CE, inter alia, cu privire la scopurile prelucrării. Aceasta nu împiedică stocarea sau accesul tehnic cu unicul scop de a efectua transmisia comunicării printr-o reţea de comunicaţii electronice sau în cazul în care acest lucru este strict necesar în vederea furnizării de către furnizor a unui serviciu al societăţii informaţionale cerut în mod expres de către abonat sau utilizator.
Adica in loc de informare, se cere un acord din partea utilizatorului (opt-in) dupa ce a fost informat.
Tot directiva insa expliciteaza in considerente ca:
“În cazul în care acest lucru este posibil din punct de vedere tehnic și eficient, în conformitate cu dispoziţiile aplicabile din Directiva 95/46/CE, acordul utilizatorului privind procesarea se poate exprima prin folosirea setărilor adecvate ale unui browser sau ale unei alte aplicaţii. Asigurarea respectării acestor cerinţe ar trebui eficientizată prin acordarea unor puteri extinse autorităţilor naţionale competente.”
De aici a inceput haosul. Industria de publicitate a reactionat, considerind ca o asemenea obligatie de a obtine acordul la fiecare cookie ar fi nu doar cvasi-imposibila, ci si inutila. Mai mult, este extrem de greu de implementat doar intr-un anumit teritoriu (UE), in conditiile unui Internet global.
In UK o implementarea literala a fost intampinata cu nemultumire de mai toata lumea.
In iunie 2011 Comisarul Nellie Kroes a dat-o la intors, zicand ca propunerea IAB Europe si EASA pentru o initiativa de auto-reglementare e tocmai ce trebuie. Doar ca initiativa respectiva este doar o implementarea a principiului de opt-out, si nu cel de opt-in. Iar autoritatea europeana pt protectia datelor a sarit ca arsa cind a auzit ca tanti Kroes rastalmaceste directiva.
Ce propune MCSI ?
Pe linga obligatia de a obtine acordul, MCSI propune un nou articol de a fi introdus in lege, care suna cam asa:
Acordul prevăzut la alin. (5) lit. a) poate fi dat şi prin utilizarea setărilor aplicaţiei de navigare pe internet sau a altor tehnologii similare prin intermediul cărora se poate considera că abonatul sau utilizatorul şi-a exprimat acordul, precum şi prin enumerarea furnizorilor cărora abonatul sau utilizatorul le interzice stocarea de informaţii sau accesul la informaţia stocată.
Doar ca acest articol coafat din considerentul directivei citat mai sus nu doar ca pierde pe drum o parte esentiala (este lucrul asta posibil tehnic ? este eficient pentru scopul dorit ?), dar si uita de obligatia de a asigura puterile extinsei autoritatilor competenta. Mai mult, gaselnita de “enumerare a furnizorilor” este eronata, fiind legata de principul de opt-out oricum existent cf legii 677/2001 si nu de cel de opt-in.
Concluzie?
N-am nici pe departe solutia perfecta la a realiza aceasta balanta intre interesul legitim al industriei de publicitate online si interesul la fel de legitim al consumatorilor de a le fi respectata viata privata.
Dar doream sa subliniez ca solutia grabita propusa de MCSI unei probleme sensibile este un pas eronat si pripit. Mai ales ca solutia aleasa nu este nicicum explicata. Si astfel vom avea un nou text de lege care, aidoma dispozitiei din legea 506/2004 nu va fi respectat de nimeni. Pentru ca scopul legii pare a fi sa ne ferim de o scrisoare de infringement, iar nu sa avem legi eficiente si utile.
Cit priveste cookie-urile in sine, opinia mea personala este ca obtinerea unui acord pentru un cookie este o prostie, pentru ca nu isi atinge scopul unei protectii eficiente a vietii private a utilizatorilor. Accentul ar trebui sa fie pus pe o informare cit mai clara si de o aplicare a dispozitiilor existente. Auto-reglementarea poate fi o solutie doar daca ia in considerare si opiniile celelate parti (e.g. consumatori).
Altfel, e ca si cum ai incerca sa iei nota 10 la o teza, dupa ce 7 ani consecutiv ai luat doar 4. Iar industria de publicitate online nu cred ca merita o nota mai buna la informarea utilizatorilor romani despre cookie-uri. Faceti un search pe Google si incercati sa aflati ce cookie-uri se folosesc si ce informatii se colecteaza de industria de publicitate online de la noi. Mult succes!