luni, 11 iunie 2012

Cookies si legea română


În primul rând ce sunt cookies. Cookies reprezinta un text special, deseori codificat, trimis de un server unui navigator web și apoi trimis înapoi (nemodificat) de către navigator, de fiecare dată când accesează acel server.
Mai concret, pentru unele servicii web (de exemplu autentificare) este nevoie ca browser-ul să transmită o anumită informaţie către server, informaţie care este înscrisă în memoria calculatorului care operează browser-ul. Acesta este un exemplu de cookies.

De la site-urile de e-commerce care au un coş de cumpărături  virtual până la Wikipedia care vă cere să vă înregistraţi ca să puteţi să modificaţi paginile toate aceste site-uri folosesc cookies care permit o comunicare „inteligentă” (mai mult decât simpla accesare de pagini www) între browser şi server.

Utilizarea internetului cu toate facilităţile sale impun şi utilizarea de cookies. Această tehnică benefică pentru utilizatorul de internet poate însă deveni însă malefică dacă ea este utilizată dincolo de scopurile ei fireşti, pentru că se pot strânge, prin intermediul cookies, date mult mai complexe despre utilizatorul de internet, decât informaţiile strict necesare pentru funcţionalitatea aplicaţiilor accesate de utilizator.

De aici interesul pentru reglementare.
Uniunea Europeană a intervenit în acest domeniu prin DIRECTIVA 2002/58/EC din 31 iulie 2002 privind prelucrarea datelor cu caracter personal si protectia vietii private în sectorul comunicatiilor electronice care a fost modificată prin Directiva 2009/136/CE a Parlamentului European si a Consiliului de modificare a Directivei 2002/22/CE privind serviciul universal si drepturile utilizatorilor cu privire la retelele si serviciile de comunicatii electronice, a Directivei 2002/58/CE privind prelucrarea datelor personale si protejarea confidentialitatii în sectorul comunicatiilor publice si a Regulamentului (CE) nr. 2006/2004 privind cooperarea dintre autoritatile nationale însarcinate sa asigure aplicarea legislatiei în materie de protectie, această ultimă modificare fiind cea care a atins problema cookies.

La noi prin OUG 13/2012 care a modificat Legea nr. 506/2004, s-au transpus în legislaţia internă normele comunitare.

Cele mai importante dispoziţii sunt:

Articolul 4, alineatul (5):
    "(5) Stocarea de informaţii sau obţinerea accesului la informaţia stocată în echipamentul terminal al unui abonat ori utilizator este permisă numai cu îndeplinirea în mod cumulativ a următoarelor condiţii:
    a) abonatul sau utilizatorul în cauză şi-a exprimat acordul;
    b) abonatului sau utilizatorului în cauză i s-au furnizat, anterior exprimării acordului, în conformitate cu prevederile art. 12 din Legea nr. 677/2001, cu modificările şi completările ulterioare, informaţii clare şi complete care:
    (i) să fie expuse într-un limbaj uşor de înţeles şi să fie uşor accesibile abonatului sau utilizatorului;
    (ii) să includă menţiuni cu privire la scopul procesării informaţiilor stocate de abonat sau utilizator ori informaţiilor la care acesta are acces.
    În cazul în care furnizorul permite unor terţi stocarea sau accesul la informaţii stocate în echipamentul terminal al abonatului ori utilizatorului, informarea în concordanţă cu pct. (i) şi (ii) va include scopul general al procesării acestor informaţii de către terţi şi modul în care abonatul sau utilizatorul poate folosi setările aplicaţiei de navigare pe internet ori alte tehnologii similare pentru a şterge informaţiile stocate sau pentru a refuza accesul terţilor la aceste informaţii.

51) Acordul prevăzut la alin. (5) lit. a) poate fi dat şi prin utilizarea setărilor aplicaţiei de navigare pe internet sau a altor tehnologii similare prin intermediul cărora se poate considera că abonatul ori utilizatorul şi-a exprimat acordul "

    a) atunci când aceste operaţiuni sunt realizate exclusiv în scopul efectuării transmisiei unei comunicări printr-o reţea de comunicaţii electronice;
    b) atunci când aceste operaţiuni sunt strict necesare în vederea furnizării unui serviciu al societăţii informaţionale, solicitat în mod expres de către abonat sau utilizator."

Original ca întotdeauna, legiuitorul român a preluat la alineatul 51 un text care se află în preambulul directivei şi care oferă doar o posibilitate de interpretare a normelor directivei şi nu o excepţie de la regula generală privind acordul. La o primă citire se poate susţine că legea română este mai permisivă decât Directiva europeană, deci se poate spune că implementarea Directivei este deficitară. Rămâne de văzut cum vor evolua lucrurile pe viitor. Setările din browser pot fi considerate că rezolvă problema consimţământului  însă nu şi pe cele de informare. Este posibil să apară noi generaţii de browsere care să corespundă acestor cerinţe.  Mai mult se va pune problema browser-elor pentru mobile care au funcţionalităţi limitate raportate la nevoia de a rula pe mobil.
Sunt multe probleme de interpretare privind aplicarea cestor norme. De exemplu aplicaţia analitycs pentru date de trafic face parte din ceea ce numim cookies. Practic orice site o foloseşte astăzi.  Este ea o aplicaţie necesară siturilor în înţelesul art.6 sau nu?  Prin urmare trebuie avertizaţi utilizatorii despre ea sau nu?
Ce ar trebui să facă administratorul unui site ca să se pună de acord cu noua reglementare.

În primul rând trebuie să facă un inventar al cookies-urilor de pe site.
Trebuie o atenţie deosebită la cookies-urile care strâng date personalizate, date care pot fi asociate cu o persoană identificabilă, precum adrese de email, username.  În acest caz se pune problema prelucrării de date cu caracter personal şi trebuie ca site-ul să definească Politicile de prelucrare ale acestor date şi să le faă cunoscute utilizatorilor.

Trebuie identificat dacă este vorba de cookies care sunt active doar în timpul sesiunii de accesare a datelor sau sunt persistente, rămân înscrise în calculatorul utilizatorului. Dacă da trebui stabilit cât anume vor fi reţinute.

Foarte important este de stabilit dacă este vorba de 3rd party cookies (publicitate găzduită de site, cazul cel mai frecvent) pentru că trebuie făcut cunoscut utilizatorilor şi modului în care datele obţinute vor fi utilizate în această situaţie de terţ.

Măsuri generale care trebuie luate pentru ca un site să corespundă cerinţelor:

1.    Să cuprindă în Condiţiile generale sau în politicile de utilizare a datelor informaţii clare şi complete legate de cookies.
2.    Folosirea de casete pop-up prin care să se ceară consimţământul utilizatorului în legătură cu cookies. E o soluţie însă puţin agreată fiind inestetică şi multe browsere blochează oricum casetele pop-up.
3.    Persoanele care vizitează pentru prima data site-ul să acceadă la o variantă cu cookies dezactivată cu un banner în care să fie informaţi despre cookies şi că accesarea a funcţionalităţilor site-ului presupune acceptul de a se utiliza cookies.
4.    Atunci când se activează opţiuni de genul  „remember preferences” utilizatorul să fie informat că acestea presupun cookies.
5.    Dacă se fac schimbări în termenii şi condiţiile site-ului acestea să fie semnalate utilizatorului oferind acestuia opţiunea de a fi de acord sau să părăsească site-ul.

Niciun comentariu: