Datele personale, in era Internetului - tu stii ce urme lasi online?

Miercuri, 28 Ianuarie 2015, ora 07:30
12407 citiri
Datele personale, in era Internetului - tu stii ce urme lasi online?
Foto: Claudia Jelea (Arhiva personala)

Ziua datelor cu caracter personal, 28 ianuarie, vine dupa o perioada zbuciumata in care legea "Big Brother" a generat divergente de opinii si a fost subiectul multor dezbateri.

Pentru a marca asa cum se cuvine aceasta zi, am stat de vorba cu Claudia Jelea, un expert in domeniul datelor cu caracter personal. Cu ajutorul sau am conturat o istorie a conceptului de "date cu caracter personal", am aflat care sunt cele mai putin cunoscute dintre aceste date, in ce masura sunt ele protejate si ce putem face noi, personal, pentru a ne feri de eventuale "furturi".

Si, pentru ca subiectul securitatii datelor cu caracter personal a fost ridicat din nou "la fileu" in contextul recentelor evenimente care au marcat Parisul, specialistul contureaza o noua perspectiva:

"Evident, oamenii nu vor un guvern abuziv si intruziv, le este teama de scenariul distopic al lui Orwell. Totusi, pe de alta parte, vor sa fie protejati impotriva evenimentelor de genul atentatului de la Paris. Asadar, dezbaterea ar trebui sa porneasca de la intrebarea: cata implicare a statului dorim in vietile si libertatile noastre, in schimbul acestei (eventuale) protectii fizice?", explica Claudia Jelea, intr-un interviu acordat Business24.

Cum am ajuns sa avem o zi dedicata datelor cu caracter personal?

Propunerea unei zile dedicate acestui domeniu a venit in 2006, din partea Comitetului de Ministri din cadrul Consiliului Europei. (Ca o paranteza, Consiliul Europei e cea mai veche organizatie politica din Europa. E diferit de UE, desi toate statele membre UE sunt si membre ale Consiliului Europei. Comitetul de Ministri e principalul organism de decizie al Consiliului Europei).

Iar conceptul de "date cu caracter personal" a fost creat in urma cu aproximativ 40 de ani (desi, din cate stiu, ruda sa apropiata "dreptul la viata privata" - right to privacy - a aparut in peisajul juridic mai devreme, dupa cel de-al Doilea Razboi Mondial). Scopul era de a oferi persoanelor fizice protectie impotriva folosirii inadecvate a tehnologiei care le procesa datele.

Insa, de atunci, tehnologia s-a schimbat major. Ca urmare, au aparut oportunitati si provocari atat de complexe in domeniul protectiei datelor cu caracter personal (atat in zona de business, cat si pentru legiuitor), incat actele normative actuale fac cu greu fata noilor realitati.

Lumea e din ce in ce mai interconectata cu ajutorul device-urilor si soft-urilor inteligente care ne pot urmari fiecare miscare. Iar a colecta cantitati uriase de date a devenit o rutina, multe business-uri fiind cladite pe analizarea comportamentului utilizatorilor / consumatorilor in mediul online si pe publicitatea targetata comportamental.

Asa ca se impune ca publicul sa fie informat si sa dezbata aspecte precum: cine are control asupra datelor, cum sunt ele colectate, cine le foloseste si cum, unde ajung etc.

Care sunt datele care intra in aceasta categorie?

In categoria datelor cu caracter personal intra toate acele informatii care identifica sau pot identifica o persoana fizica. Atentie, nu se refera la persoanele juridice.

Exemple comune sunt numele, adresa, CNP, seria si numarul actului de identitate, data nasterii, numarul de telefon, adresa de e-mail, fotografiile, vocea sau imaginea unei persoane, datele privind contul bancar, datele de contact din telefon, etc.

Sunt si exemple mai putin cunoscute si care includ, printre altele, datele de login in retelele sociale, adresa IP a calculatorului, placutele de inmatriculare la masini, amprentele, etc.

Un aspect important este faptul ca sunt date cu caracter personal nu doar cele care ajuta la identificarea directa a unei persoane fizice (cum ar fi numele); pot intra in aceasta categorie si acele informatii care, combinate intre ele, ajuta indirect la identificarea unei persoane fizice.

De exemplu: datele colectate prin aplicatiile mobile sau de companiile de publicitate care folosesc tehnici specifice prin care se analizeaza activitatea utilizatorilor in online, pentru ca apoi sa le fie trimise reclame personalizate.

Nu este neaparata nevoie sa se cunoasca numele utilizatorului; in mod normal, se aloca utilizatorilor cate un identificator unic (sa spunem, un numar) pe baza caruia se poate observa cand viziteaza anumite website-uri si la ce pagini a dat "like", care este istoricul cautarilor sale pe Google, etc. Acel identificator poate fi considerat data cu caracter personal, alaturi de celelalte informatii care il vizeaza pe utilizator.

In privinta importantei datelor cu caracter personal si a protectiei lor, fiecare dintre noi poate avea un raspuns propriu, valabil.

In ceea ce ma priveste, cred ca aceste date sunt o parte importanta a vietii noastre private, pe care trebuie sa avem libertatea sa o protejam, daca dorim.

In fond, conform legislatiei UE, dreptul la protectia acestor date este un drept fundamental al fiecarei persoane, instituit prin art. 8 al Cartii Drepturilor Fundamentale a Uniunii Europene (asa cum este si dreptul de proprietate).

Cum sunt ele protejate la nivel european? Dar in Romania?

La nivel european, cel mai important instrument juridic in acest domeniu este Directiva 95/46/EC (cunoscuta ca directiva privind protectia datelor).

Aceasta directiva are la baza principiile din Conventia 108 din anul 1981 privind protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal (conventie ce sta la baza acestui domeniu).

Desi scopul directivei a fost de a uniformiza protectia, prin implementarea sa in legislatiile tuturor statelor membre UE, aceste legislatii nationale nu sunt identice; si, ca o paranteza, faptul ca exista 28 de versiuni oarecum diferite, poate da uneori nastere la probleme practice complexe.

Pe langa aceasta directiva, mai sunt si alte acte normative relevante. De exemplu, Directiva 2002/58/EC (privind prelucrarea acestor date in sectorul comunicatiilor electronice), Regulamentul 45/2001/EC care vizeaza datele prelucrate de institutiile UE, Carta Drepturilor Fundamentale a Uniunii Europene, Conventia Europeana a Drepturilor Omului, opinii, ghiduri, recomandari etc.

Romania a ratificat Conventia 108 si, in calitate de stat membru UE, a implementat in legislatia interna instrumentele europene - ceea ce inseamna ca regulile din tara noastra privind datele cu caracter personal sunt, in general, asemanatoare celor de la nivel european.

Cadrul legal national are la baza legea nr. 677/2001 (pentru protectia persoanelor cu privire la prelucrarea acestor date) si legea nr. 506/2004 (privind prelucrarea acestor date in sectorul comunicatiilor electronice). La acestea, se adauga diverse decizii ale autoritatii competente si alte acte normative aplicabile.

Cum ne afecteaza interconectarea pe retelele de socializare? Se poate spune ca, vrem, nu vrem, Google, LinkedIn si Facebook stiu lucruri despre noi?

Cu siguranta, Google, LinkedIn si Facebook "stiu" lucruri despre noi. Pentru ca noi le oferim acces.

Lasand gluma la o parte, trebuie spus ca retelele de socializare (de fapt, Internetul, in general) sunt deja o parte semnificativa a vietii multora dintre noi.

Sa ne gandim la faptul ca ne faciliteaza conectarea, ne ajuta sa obtinem informatii si chiar sa ne mobilizam si sa participam la diverse actiuni, proteste etc. (cel mai recent exemplu care imi vine in minte este cel al alegerilor prezidentiale din tara noastra).

Pe de alta parte, accesul la aceste retele de socializare presupune - in mod necesar - parasirea de catre utilizatori a confortului "anonimitatii totale" si intrarea in spatiul public virtual. Prin urmare, face cumva parte din regulile jocului sa acceptam ca nu mai putem avea protectia anonimatului deplin.

In plus, este clar ca lasam "urme" oriunde si oricand navigam pe Internet. Aceste "urme" pot fi folosite pentru a ne identifica (direct sau indirect); altfel spus, e vorba despre date cu caracter personal, iar trenduri precum Big Data arata ca impactul folosirii acestor date este din ce in ce mai mare.

Pe scurt, Big Data inseamna uriase baze de date cu un volum imens de informatii complexe ce provin din cele mai variate surse (de exemplu, cautarile pe Internet care sunt stocate de Google).

Cum nimeni nu poate jongla cu toate aceste date prin metode obisnuite, se folosesc tehnici, servere si algoritmi complecsi care pot analiza si combina datele pentru a le converti in valoare pentru companii.

In timp ce unii dintre noi poate se vor bucura sa primeasca o reclama personalizata la un produs cautat de mult timp, altii se vor infiora la gandul ca le-a fost "urmarita" activitatea online pentru a li se face un profil de marketing.

Citeam recent intr-un material ca, de fapt, platim pentru aceste servicii online cu date si detalii despre noi - altfel spus, cu date personale. Este adevarat, majoritatea isi da acordul pentru ca datele sa le fie folosite; insa, pe de alta parte, se poate pune intrebarea cat de informati sunt utilizatorii cand isi dau acordul si ce valoare are el?

Ce putem face pentru a ne proteja?

Cum tehnologia este omniprezenta in lumea contemporana, cred ca o protectie 100% nu poate exista - decat, poate, daca ne izolam complet, ceea ce e greu de imaginat pentru multi. Prin urmare, indraznesc sa spun ca o anumita folosire a datelor nu poate fi evitata; desigur, acest lucru nu inseamna ca nu exista anumite masuri de protectie pe care le putem lua.

O prima masura ar fi sa acordam atentie unor aspecte de bun simt, cum ar fi sa ne informam in mod activ si sa citim politicile privind datele cu caracter personal (acele Privacy Policy pe care nu le citeste mai nimeni; cei mai multi utilizatori folosesc serviciile online fara macar sa arunce o privire pe conditiile aplicabile).

De exemplu, daca vorbim despre un serviciu online oferit "gratis", ar trebui sa citim ce trebuie sa dam "la schimb" si in ce conditii. Iar daca nu suntem de acord, sa nu folosim acel serviciu.

Doar in acest mod putem avea un oarecare control asupra setarilor de "privacy", astfel incat sa ne dam acordul liber, informat si in conostinta de cauza. Nu ne putem complace in ignoranta si apoi sa fim nemultumiti daca datele ne sunt folosite in diverse moduri.

Pe de alta parte, si companiile ar trebui sa aiba o mai mare responsabilitate cand colecteaza date. De exemplu, ar trebui sa respecte principiul colectarii limitate a datelor (adica nu ar trebui sa colecteze si sa foloseasca date de care nu au neaparata nevoie pentru a oferi serviciul respectiv; altfel, apare un potential risc de abuz).

De asemenea, se recomanda companiilor transparenta in politicile privind datele cu caracter personal si in termenii si conditiile aplicabile serviciilor pe care le furnizeaza.

Acestea ar trebui sa explice clar, cum, de ce si in ce scopuri sunt folosite datele, astfel incat utilizatorii sa stie ce se intampla cu datele lor si pentru ce anume isi dau acordul pe respectiva platforma.

De multe ori, aceste politici sunt atat de complicate incat utilizatorii nu le inteleg. Intr-un raport al Comisiei de Stiinta si Tehnologie din UK, chiar se atrage atentia asupra faptului ca, pentru multi utilizatori, a citi aceste documente e ca si cum ar citi din Shakespeare (engaging with Shakespeare) .

Asa ca, in astfel de cazuri, se poate pune problema daca bifarea casutei "I agree / Sunt de acord" reprezinta sau nu un real consimtamant informat din partea utilizatorului.

Pe termen mediu si lung, pentru a beneficia de oportunitatile aduse de tehnologie, se vorbeste din ce in ce mai des despre necesitatea de a creste increderea utilizatorilor in serviciile online, prin practici mai transparente in privinta colectarii datelor. Ideal este sa facem cumva, astfel incat tehnologia sa lucreze pentru noi, nu invers.

Cum se preconizeaza a fi anul 2015 din perspectiva protectiei datelor cu caracter personal?

In prezent, cadrul legislativ european in acest domeniu este intr-un amplu proces de reforma (initiata inca din anul 2012). Mai exact, se vrea inlocuirea actualei Directive 95/46/EC cu un regulament nou, care s-ar aplica direct in fiecare stat membru UE (fara a fi nevoie de vreo lege nationala de transpunere). Negocierile sunt inca in desfasurare, dar se preconizeaza ca se va ajunge la un consens pana la finalul lui 2015.

Este adevarat ca in Europa (si nu numai) exista ingrijorari privind tendinta autoritatilor de a creste supravegherea cetatenilor, cu ajutorul Internetului si al telecomunicatiilor - in special in contextul luptei anti-teroriste.

Credeti, asadar, ca aceasta protectie va avea de suferit, odata cu atentatele de la Paris si sporirea temerilor in Europa?

Recentul atentat de la Paris cu siguranta poate da autoritatilor pretexte noi. Insa, o supraveghere secreta si masiva a cetatenilor (indiferent ca este facuta de entitati private sau publice) este, la acest moment, nelegala in Europa.

Evident, oamenii nu vor un guvern abuziv si intruziv, le este teama de scenariul distopic al lui Orwell.

Totusi, pe de alta parte, vor sa fie protejati impotriva evenimentelor de genul atentatului de la Paris.

Asadar, dezbaterea ar trebui sa porneasca de la intrebarea: cata implicare a statului dorim in vietile si libertatile noastre, in schimbul acestei (eventuale) protectii fizice?

In Romania, cred ca am aflat raspunsul, pe moment. Saptamana trecuta, pe 21 ianuarie, Curtea Constitutionala a decis ca legea securitatii cibernetice este neconstitutionala.

Stim deja ca nu este prima data cand se incearca impunerea unor masuri de supraveghere in masa a comunicatiilor, avand ca motiv securitatea nationala si lupta impotriva terorismului (si se poate ca, in viitor, sa apara noi initiative legislative similare).

Dar in ultimii ani, Curtea Constitutionala a declarat neconstitutionale mai multe legi pe acest subiect, considerand ca incalca drepturile fundamentale (doua dintre ele pentru aplicarea Directivei UE 2006/24/CE privind retentia datelor - directive adoptata in 2006, dupa atacurile de la Madrid si Londra).

Cu totii suntem curiosi sa vedem in ce forma se vor adopta noile reguli la nivel UE si cum va fi modernizata legislatia pentru a tine pasul cu ceea ce se intampla in jurul nostru.

Cine este Claudia Jelea

Claudia Jelea a descoperit aceasta nisa la sfarsitul anului 2007. Pe atunci, lucra la biroul din Bucuresti al unei firme internationale de avocatura, iar clientii - companii multinationale din zona IT aveau nevoie de asistenta privind datele cu caracter personal.

"Mi s-a parut un domeniu atragator si exotic (si acum este considerata o arie exotica de lucru, va imaginati cum era in urma cu peste sapte ani); asa ca, in mod firesc, am combinat specializarea de nisa in proprietate intelectuala si IT&C, cu protectia datelor cu caracter personal, spune Claudia Jelea.

Si in prezent, continua sa asiste companii din mediul online si IT&C pe diverse aspecte ale acestui domeniu.

"Cred ca frumusetea sta in dinamismul sau; constant apar lucruri noi din care avem de invatat. Iar daca vrei sa poti ajuta, trebuie sa fii mereu la curent cu noutatile. Acesta e si motivul pentru care am devenit membra a IAPP (International Association of Privacy Professionals), cea mai importanta asociatie in domeniu, spune expertul in domeniul datelor cu caracter personal pentru Business24.

#Claudia Jelea expert date personale, #28 ianuarie ziua date caracter personal, #expert date caracter personal, #ziua datelor cu caracter personal , #Lege internet