28 ianuarie este ziua protecției datelor cu caracter personal. În 2013, ApTI își propune să vă prezinte în săptămâna ce începe cu această dată cinci subiecte (câte unul în fiecare zi) de interes pentru protecția vieții private și a datelor personale în societatea informațională de astăzi. Continuăm astăzi cu un material despre utiliyarea cookie-urilor.

• ce sunt cookie-urile și de ce sunt folosite;
• ce impact are utilizarea cookie-urilor asupra securității informatice și protecției vieții private a utilizatorilor de Internet;
• ce spun reglementările europene și românești despre utilizarea cookie-urilor;
• cum ar urma să funcționeze mecanismul „Do Not Track” la care lucrează World Wide Web Consortium;
• ce trebuie să facă administratorii de site-uri web pentru a respecta prevederile legale referitoare la utilizarea de cookie-uri;
• cum pot fi gestionate, dezactivate și șterse cookie-urile.

28 ianuarie este ziua protecției datelor cu caracter personal. În 2013, ApTI își propune să vă prezinte, în săptămâna ce începe cu această dată, cinci subiecte (câte unul în fiecare zi) de interes pentru protecția vieții private și a datelor personale în societatea informațională de astăzi. Continuăm cu un punct de vedere referitor la cartea electronică de identitate.

Guvernul României a adoptat, în decembrie 2012, o ordonanță de urgență care reglementează, printre altele, introducerea cărții electronice de identitate, ca act de identitate al cetățenilor români și document de călătorie în statele membre ale Uniunii Europene (OUG nr.82/2012).

Conceptul de carte electronică de identitate are o serie de implicații asupra protecției vieții private private și a datelor cu caracter personal, având în vedere categoriile de date care urmează să fie incluse în cartea electronică de identitate, precum și tehnologia aleasă pentru implementarea acestui concept.

Ordonanța de urgență se află în momentul de față în dezbaterea Senatului.

Întrucât adoptarea ordonanței de urgență nu a fost precedată de o dezbatere publică adecvată, care să permită celor interesați să-și prezinte și susțină opiniile, ApTI a transmis astăzi comisiilor de specialitate din Senat un punct de vedere referitor la prevederile acestei ordonanțe.

28 ianuarie este ziua protecției datelor cu caracter personal. În 2013, ApTI își propune să vă prezinte, în săptămâna ce începe cu această dată, cinci subiecte (câte unul în fiecare zi) de interes pentru protecția vieții private și a datelor personale în societatea informațională de astăzi. Continuăm cu o scrisoare către europarlamentarii români referitoare la propunerea de Regulament privind potecţia datelor.

Modificarea reglementărilor Uniunii Europene în domeniul protecției datelor cu caracter personal este un subiect intens dezbătut la nivel european. În momentul de față, propunerea de Regulament privind protecţia indivizilor cu privire la prelucrarea datelor cu caracter personal și libera circulaţie a acestor date se află în dezbaterea Parlamentului European, care o poate adopta în forma propusă de către Comisia Europeană sau îi poate aduce îmbunătățiri.

28 ianuarie este ziua protecției datelor cu caracter personal. În 2013, ApTI își propune să vă prezinte, în săptămâna ce începe cu această dată, cinci subiecte (câte unul în fiecare zi) de interes pentru protecția vieții private și a datelor personale în societatea informațională de astăzi. Începem cu un articol despre securitatea pașaportului electronic și a datelor pe care le cuprinde.

În cadrul ApTI am facut deseori comentarii critice (spre exemplu aici) la adresa documentelor  electronice cu sau fără identificatori biometrici pe care guvernul României a decis să le implementeze, deseori după un simulacru de dezbatere publică. Am atras atenția asupra faptului că, dacă tot se decide implementarea unor astfel de măsuri, sunt două condiții esențiale de a fi implementate pentru a asigura încrederea în folosirea acestor documente electronice:

• realizarea unui audit anual de securitate, de către experți independenți, ale cărui concluzii să fie disponibile public;
• realizarea unui audit anual de impact asupra vieții private (privacy impact assesment), care trebuie să fie disponibil public în mod integral.

Pentru că am fost ignorați în mod constant în aceste cereri, am rugat un expert independent în securitate IT să ne ajute în realizarea unei analize empirice a securității pașaportului electronic românesc. Ce a ieșit – vedeți mai jos:

Reţinerea datelor de trafic, de localizare şi de identificare, de către furnizorii de servicii şi reţele de comunicaţii electronice a generat nenumărate controverse încă de la apariţia Directivei europene nr. 2006/24/UE.În România, prima lege (Legea nr.298/2008) prin care s-a dorit transpunerea directivei a fost declarată neconstituţională, Curtea Constituţională bazându-şi argumentele în principal încalcarea dreptului la viaţă privată prin obligaţia general aplicabilă de a păstra date care sunt legate în mod direct de comunicaţiile private ale tuturor cetăţenilor.

În 2012, o nouă lege privind reținerea datelor (Legea nr.82/2012)a fost adoptată de către Parlamentul României. Înainte de adoptarea legii, ApTI arăta că aceasta nu doar că nu rezolvă problemele de neconstituţionalitate ale legii anterioare, ci este chiar mai periculoasă decât aceasta, întrucât conţine o procedură vagă şi neclară de acces la date.

Concret, noua lege prevede că furnizorii sunt obligaţi să transmită datele reţinute către anumite autorităţi şi instituţii ale statului („organelor de urmărire penală, a instanţelor de judecată şi a organelor de stat cu atribuţii în domeniul securităţii naţionale”), la solicitarea acestora. Nu sunt însă detaliate şi procedurile şi condiţiile prin şi în care se realizează aceste solicitări.

Cu două mici excepţii (sau, mai bine spus, încercări de clarificare): indicarea faptului că respectivele solicitări ar urma să fie făcute în „aplicarea dispoziţiilor Codului de Procedură Penală, precum şi a celor din legile speciale în materie”, precum şi precizarea că solicitările organelor de cercetare ale poliţiei pot fi făcute doar cu aprobarea procurorului şi a judecătorului.

Articol preluat din Newsletter-ul EDRi 11.1

Curtea Constituțională a Austriei are rezerve în ceea ce privește compatibilitatea Directivei europene privind reținerea datelor cu prevederile Cartei Europene a Drepturilor Fundamentale Din acest motiv, cei 14 judecători ai Curții au adresat Curții de Justiție a Uniunii Europene (CJUE) o serie de întrebări cu privire la interpretarea Cartei Drepturilor Fundamentale a UE.

Această solicitare către CJUE are la bază o serie de plângeri adresate Curții Constituționale austriece împotriva reținerii datelor. Până în momentul de față, guvernul provinciei Carinthia, un angajat al unei companii de telecomunicații și un număr de 11 000 de indivizi s-au adresat Curții Constituționale.

Obligația de reținere a datelor a intrat în vigoare în Austria la 1 aprilie 2012. La scurt timp după aceea, organizația Austrian AK Vorrat a inițiat o campanie menită să strângă semnături în vederea sesizării Curții Constituționale. În doar câteva săptămâni, 11 139 de austrieci și-au exprimat susținerea față de această acțiune și dorința de a se alătura sesizării.

La 18 decemrbie 2012, judecătorii Curții Constituționale au anunțat că împărtășesc rezervele exprimate de către cetățeni. „În majoritatea covârșitoare a cazurilor, reținerea datelor generează îngrijorări pentru persoanele care nu prezintă niciun motiv pentru ca datele lor să fie reținute. Autoritățile obțin datele acestor indivizi și se află, ulterior, în posesia unor informații referitoare la comportamentul privat al acestora. În plus, există un risc crescut de abuzuri”, explică Gerhart Holzinger, președintele Curții Constituționale austriece. Acesta continuă: “Curtea Constituțională are obligația de a se adresa CJUE dacă are dubii în ceea ce privește interpretarea legislației Uniunii. Noi avem dubii în ceea ce privește compatibilitatea Directivei UE privind reținerea datelor cu drepturile garantate prin Carta Drepturilor Fundamentale a Uniunii Europene.”

Articol preluat din Newsletter-ul EDRi 11.1

Comisia Europeană a anunțat că va iniția o propunere de Directivă privind Strategia de securitate cibernetică; schița acestei propuneri, care circulă la Bruxelles în această perioadă, pare complet greșită.

Prin această directivă, Comisia întenționează să poziționeze ENISA în centrul unei rețele care să funcționeze ca sistem de alertă timpurie pentru lucrurile rele care se întâmplă pe Internet, ceea ce este un lucru bun. Partea rea constă în faptul că, în loc să acționeze ca și catalizator pentru organele polițienești, organismele CERT și furnziorii de servicii, ENISA încearcă că creeze o rețea clasificată de agenții militare și de informații.

Este adevărat că mulți cetățeni ai Uniunii Europene au suferit de pe urma fraudelor online și că posibilitatea de a obține despăgubiri în astfel de cazuri variază semnificativ la nivelul UE (chestiune abordată recent în lucrarea „The Costs of Cybercrime"). Însă politicile adecvate pentru abordarea acestor chestiuni sunt deja cunoscute și includ: armonizarea și îmbunătățirea protecției consumatorului, consolidarea cooperării polițienești, notificarea cazurilor de încălcare a securității și o politică prin care industria să furnizeze și să certifice echipamente conectabile la rețea care sunt sigure în mod implicit („by default”). Astfel de măsuri intră în mod clar în competența UE și unele dintre ele sunt deja implementate, cum ar fi prevederile referitoare la notificarea încălcării securității din propunerea de Regulament privind protecția datelor sau noul Centru European pentru Criminalitate Cibernetică. Aceste propuneri ar trebui urmărite și implementate cu rigurozitate.

Însă propunerea de directivă reprezintă o încercare de a militariza securitatea în spațiul cibernetic. Lucru care se întâmplă deja în câteva state membre; spre exemplu, Marea Britanie a alocat 640 milioane de lire (aproximativ 770 milioane de euro) pentru securitatea cibernetică, pentru perioada 2011-2015, însă GCHQ (agenția britanică de informații) a obținut 59% din această sumă. Poliția, care are, de fapt, responsabilitatea prinderii infractorilor, a primit suma aproape nesemnificativă de 5 milioane de lire (aproximativ 6 milioane de euro) pe an. Astfel, în loc să aloce poliției resursele de care are nevoie pentru a prinde și pedepsi infractorii din spațiul cibernetic, guvernul britanic a decis să direcționeze cea mai mare parte a banilor către spioni, astfel încât aceștia să poată comite și mai multe infracțiuni cibernetice (chiar dacă în alte țări).