CONSENT Social Networking Summit – despre viaţa privată în mediul online

O serie de aspecte legate de viaţa privată şi protecţia datelor cu caracter personal în contextul serviciilor online de tip UGC (conţinut generat de utilizatori) au fost discutate în cadrul CONSENT Social Networking summit – eveniment desfăşurat în 5-6 iulie 2011, în oraşul german Gottingen. Evenimentul a fost derulat în cadrul proiectului CONSENT (Consumer sentiment regarding privacy on user generated content services in the digital economy) – proiect finanţat de către Uniunea Europeană prin Programul Cadru 7 şi care are drept scop studiul şi analiza schimbărilor survenite în comportamentul şi cultura consumatorului ca urmare a dezvoltării fără precedent a serviciilor on-line de tip UGC şi a modului în care practicile contractuale, comerciale, tehnice afectează opţiunile şi atitudinile faţă de protecţia datelor personale în economia digitală. CONSENT are 19 membri (printre care şi ApTI) din 13 state europene.

În prima zi a evenimentului s-a discutat despre politicile furnizorilor de servicii referitoare la viaţă privată şi protecţia datelor cu caracter personal şi măsura în care acestea respectă standardele europene in materie, despre reţele sociale şi setările pe care le acestea le oferă utilizatorilor în materie de protecţie a vieţii private, despre modul în care se realizează obţinerea consimţământului utilizatorilor pentru prelucrarea datelor personale în cazul serviciilor UGC şi despre interoperabilitatea serviciilor UGC.

În cadrul discuţiilor despre consimţământul dat de utilizator cu privire la prelucrarea datelor sale cu caracter personal, s-a pus accentul pe semnificaţiile noţiunilor de consimţământ “liber exprimat, explicit şi informat” (prevăzute în Directiva 95/46/CE), subliniindu-se faptul că furnizorii de servicii interpretează şi implementează în mod diferit aceste noţiuni. Spre exemplu, unii furnizori de servicii interpretează furnizarea de date, de către utilizatori, ca şi consimţământ implicit pentru prelucrarea acestor date. Reprezentantul Autorităţii Europene pentru Protecţia Datelor (Giovanni Buttarelli, vice-preşedinte) a atras atenţia asupra faptului că regulile privind consimţământul nu sunt suficient de clare (nu este clar în care cazuri este nevoie de consimţământ şi care sunt condiţiile exacte în care acest consimţământ trebuie exprimat) şi că Autoritatea sustinea adoptarea de noi reguli în această privinţă. Un aviz al Autorităţii în problema consimţământului urmează să fie făcut public în 13 iulie. Dl Buttarelli a subliniat însă şi faptul că exprimarea consimţământului utilizatorului reprezintă doar una dintre cele şase condiţii necesare pentru prelucrarea datelor personale.

Un comentariu foarte interesant venit din partea unui reprezentant al industriei s-a referit la faptul că “datele personale sunt esenţiale pentru inovaţie şi că o limitare a posibilităţii de utilizare a datelor utilizatorilor este echivalentă cu o limitare a posibilităţii de inovare în serviciile online.”

Interoperabilitatea serviciilor online de tip UGC este văzută ca o opţiune strategică a furnizorilor de servicii, care apelează foarte des la ea. Concluziile studiului realizat în cadrul CONSENT arată că interoperabilitatea este, în general, încurajată, dar, în cea mai mare parte, nereglementată, iar prevederile legale existente ar putea asigura o protecţie cel puţin adecvată a vieţii private a utilizatorilor.

Un al studiu realizat ca parte a CONSENT, însă asupra setărilor existente la nivelul reţelelor sociale, a adus în discuţie două aspecte foarte importante din perspectiva protecţiei datelor cu caracter personal. Primul aspect se referă la consecinţele ştergerii unui cont de pe o reţea socială, în special la ce se întâmplă cu posturile/comentariile adăugate de utilizatorul respectiv pe alte profiluri: dacă aceste comentarii sunt anonimizate sau dacă sunt şterse în întregime. Al doilea aspect discutat se referă la politica de confidenţialitate : dacă furnizorul de servicii modifică această politică după ce utilizatorul şi-a dat consimţământul, care dintre cele două politici – cea iniţială sau cea modificată – se va aplica în continuare? Din studiul prezentat a reieşit faptul că, în majoritatea cazurilor, se aplică politica modificată, chiar dacă, de multe ori, utilizatorul nu îşi exprimă consimţământul faţă de această nouă politică sau nici măcar nu este informat cu privire la modificările aduse.

Conceptele de “privacy by design” şi “privacy by default” au fost şi ele abordate în cadrul evenimentului, în condiţiile în care la nivelul Uniunii Europene se discută despre revizuirea Directivei 95/46/EC şi despre eventuala includere a acestor principii în noul cadru de reglementare. S-a menţionat faptul că “privacy by default” reprezintă, de fapt, o minimizare a conceptului de “privacy by design” şi că este probabilă includerea acestui celui de-al doilea principiu în noua legislaţie europeană, în contextul în care o serie de state membre (precum Germania) au deja acest principiu inclus în legislaţia naţională.

În cea de-a doua zi a evenimentului a fost prezentat un studiu referitor la siguranţa copiilor pe Internet şi riscurile la care aceştia sunt supuşi în mediul online (“Risks and safety on the Internet. The perspective of European Study”, disponibil aici), studiu desfăşurat în cadrul proiectului co-finanţat de către Uniunea Europeană “EU Kids online”, în 25 de state europene. Referitor la reţelele sociale, studiul a relevat faptul că 59% dintre copiii cu vârste între 9 şi 16 ani au un cont pe o reţea socială. Dintre aceştia, 26% au un profil public, care poate fi vizualizat de către oricine, 43% au profil privat, care poate fi vizualizat doar de către prieteni, iar 28% au profilul parţial privat, ceea ce înseamnă că poate fi vizualizat de către prietenii prietenilor. În ceea ce priveşte informaţiile personale publicate pe profil, se pare că cei mai mulţi dintre copiii intervievaţi nu publică informatii referitoare la numărul de telefon şi adresă: în medie, doar 14% au declarat că au postat astfel de informaţii pe profilul personal,  existând însă diferenţe la nivelul statelor membre (de la 35% în Lituania, la 6% în Cipru). În cadrul discuţiilor pe marginea acestui studiu s-a conturat ideea că, cel puţin în cazul copiilor, furnizorii de servicii de tipul reţeleleor sociale ar trebui să seteze implicit opţiunea de “profil privat”, pentru a se asigura astfel o mai bună protecţie a copiilor.

Discuţiile finale din cadrul summit-ului  s-au concentrat asupra următoarelor aspecte:

• datele personale au căpătat o valoare economică, devenind "monedă de schimb" între utilizator şi furnizorul de servicii: utilizatorul oferă date personale şi este de acord cu prelucrarea acestora de către furnizor, primind în schimb accesul la serviciul oferit de către furnizorul respectiv;
• în cazul reţelelor sociale, consimţământul nu este o măsură suficientă pentru protecţia vieţii private şi datelor personale. O alternativă ar fi implementarea de soluţii tehnice (de tipul “privacy by design”), care ar elimina şi situaţiile frecvente  în care utilizatorii îşi dau consimţământul pentru lucruri pe care nu le înţeleg.
• reglementarea nu poate rezolva de una singură problema protecţiei vieţii private şi datelor personale. Utilizatorii trebuie educaţi cu privire la principiile etice care trebuie respectate în mediul online. Responsabilitatea educării utilizatorilor revine nu doar sectorului public în principal autorităţi pentru protecţia datelor), ci şi industriei şi  organizaţiilor societăţii civile.
• măsurile de auto-reglementare adoptate de către sectorul privat trebuie încurajate, iar bunele practice existente la nivelul acestui sector trebuie promovate;
• trebuie găsită o balanţă între necesitatea protejării utilizatorilor şi dreptul acestora de a decide singuri cum să acţioneze în mediul online.