Avizul Autoritatii Europene pentru Protectia Datelor privind neutralitatea retelei, gestionarea traficului si protectia confidentialitatii si a datelor cu caracter personal

2012/C 34/01

AUTORITATEA EUROPEANA PENTRU PROTECTIA DATELOR,

avand in vedere Tratatul privind functionarea Uniunii Europene, in special articolul 16,

avand in vedere Carta drepturilor fundamentale a Uniunii Europene, in special articolele 7 si 8,

avand in vedere Directiva 95/46/CE a Parlamentului European si a Consiliului din 24 octombrie 1995 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date [1],

avand in vedere Regulamentul (CE) nr. 45/2001 al Parlamentului European si al Consiliului din 18 decembrie 2000 privind protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal de catre institutiile si organismele comunitare si privind libera circulatie a acestor date [2], in special articolul 41 alineatul (2),

avand in vedere Directiva 2002/58/CE a Parlamentului European si a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale si protejarea confidentialitatii in sectorul comunicatiilor publice [3],

ADOPTA PREZENTUL AVIZ:

I. INTRODUCERE

I.1. Context

1. La 19 aprilie 2011, Comisia a adoptat o comunicare pe tema internetului deschis si a neutralitatii retelei in Europa [4].

2. Prezentul aviz poate fi considerat a fi reactia AEPD la comunicarea mentionata si vizeaza sa contribuie la continuarea dezbaterii politice din cadrul UE privind neutralitatea retelei, in special aspecte legate de confidentialitate si protectia datelor.

3. Avizul are la baza raspunsul [5] AEPD la consultarea publica a Comisiei pe tema internetului deschis si a neutralitatii retelei in Europa, care a precedat comunicarea Comisiei. AEPD a luat, de asemenea, nota de recentul proiect de concluzii ale Comisiei privind neutralitatea retelei [6].

I.2. Conceptul de neutralitate a retelei

4. Neutralitatea retelei se refera la o dezbatere permanenta privind necesitatea autorizarii furnizorilor de servicii de internet (Internet Service Providers, ISP [7]) in ceea ce priveste limitarea, filtrarea sau blocarea accesului la internet sau afectarea in alt mod a performantei acestuia. Conceptul de neutralitate a retelei porneste de la perspectiva transmiterii impartiale a informatiilor pe internet, indiferent de continut, destinatie sau sursa, precum si de la perspectiva ca utilizatorii ar trebui sa poata hotari ce aplicatii, servicii si echipamente hardware doresc sa utilizeze. Aceasta inseamna ca furnizorii de servicii de internet nu pot, din proprie initiativa, sa stabileasca prioritati sau sa diminueze viteza de acces la anumite aplicatii sau servicii precum cele “Peer to Peer” (“P2P”) etc. [8].

5. Filtrarea, blocarea si inspectarea traficului in retea ridica probleme importante, adesea neglijate si trecute in plan secundar, privind confidentialitatea comunicatiilor si respectul pentru viata privata a persoanelor si confidentialitatea datelor cu caracter personal ale acestora atunci cand utilizeaza internetul. De exemplu, anumite inspectii tehnice implica monitorizarea continutului comunicatiilor, a site-urilor vizitate, a e-mailurilor trimise si primite, a orei cand au loc operatiunile etc., ceea ce permite filtrarea comunicatiilor.

6. Prin inspectarea datelor privind comunicatiile, furnizorii de servicii de internet pot incalca confidentialitatea comunicatiilor, care este un drept fundamental, garantat prin articolul 8 din Conventia europeana pentru apararea drepturilor omului si a libertatilor fundamentale (CEDO) si prin articolele 7 si 8 din Carta drepturilor fundamentale a Uniunii Europene (denumita in continuare “Carta”). Confidentialitatea este protejata, de asemenea, in legislatia secundara a UE, respectiv articolul 5 din Directiva privind confidentialitatea in mediul electronic.

I.3. Punctele centrale si structura avizului

7. AEPD considera ca o dezbatere strategica serioasa privind neutralitatea retelei trebuie sa abordeze confidentialitatea comunicatiilor, precum si alte implicatii asupra vietii private si protectiei datelor.

8. Prezentul aviz contribuie la dezbaterea permanenta din UE. Acesta are un triplu obiectiv:

– avizul semnaleaza relevanta protectiei datelor si a confidentialitatii in cadrul discutiilor actuale privind neutralitatea retelei. In mod special, acesta subliniaza necesitatea respectarii normelor existente privind confidentialitatea comunicatiilor. Ar trebui permise doar practici care respecta aceste norme;

– neutralitatea retelei este legata de posibilitatile tehnologice relativ noi, iar experienta cu privire la modul de aplicare a cadrului juridic este redusa. Prin urmare, prezentul aviz ofera indrumari privind modul in care furnizorii de servicii de internet aplica si respecta cadrul juridic privind protectia datelor daca se angajeaza in activitati de filtrare, blocare si inspectare a traficului in retea. Astfel, avizul ar trebui sa fie util furnizorilor de servicii de internet, precum si autoritatilor responsabile cu aplicarea cadrului juridic;

– in sfera protectiei datelor si confidentialitatii, prezentul aviz identifica domenii care solicita acordarea unei atentii speciale si care pot necesita masuri la nivelul UE. Acest aspect este deosebit de important in contextul dezbaterii continue la nivel european si al masurilor strategice care ar putea fi lansate de Comisie in acest context.

9. AEPD cunoaste faptul ca neutralitatea retelei ridica alte probleme, descrise in mai mare detaliu mai jos, precum cele asociate accesului la informatii. Aceste probleme sunt abordate doar in masura in care sunt asociate sau au un impact asupra protectiei datelor si confidentialitatii.

10. Avizul este structurat astfel: Sectiunea II incepe printr-o scurta sinteza a practicilor de filtrare adoptate de furnizorii de servicii de internet. Sectiunea III prezinta cadrul juridic european privind neutralitatea retelei. Sectiunea IV continua cu o descriere tehnica, urmata de o evaluare a implicatiilor asupra confidentialitatii, in functie de tehnica utilizata. Sectiunea V analizeaza detaliile practice privind aplicarea cadrului juridic european actual privind protectia datelor si confidentialitatea. Pe baza acestei analize, Sectiunea VI cuprinde sugestii privind dezvoltari strategice viitoare si identifica domeniile in care pot fi necesare clarificarea si imbunatatirea cadrului juridic. Sectiunea VII cuprinde concluziile.

II. NEUTRALITATEA RETELEI ȘI POLITICILE DE GESTIONARE A TRAFICULUI

Utilizarea in masura din ce in ce mai mare a politicilor de gestionare a traficului

11. In mod traditional, furnizorii de servicii monitorizeaza si influenteaza traficul in retea doar in circumstante limitate. De exemplu, furnizorii de servicii de internet au aplicat inspectii tehnice si au restrictionat fluxurile de informatii in vederea mentinerii securitatii retelei, de exemplu pentru combaterea virusilor. Prin urmare, in general, internetul s-a dezvoltat mentinand in acelasi timp un grad inalt de neutralitate.

12. Totusi, in ultimii ani, unii furnizori de servicii de internet si-au aratat interesul in inspectarea traficului in retea pentru a diferentia diferitele tipuri de trafic si pentru a aplica politici diferite acestora, de exemplu, pentru a bloca anumite servicii sau pentru a oferi acces preferential altora. Acestea sunt denumite uneori “politici de gestionare a traficului” [9].

13. Motivele pentru care furnizorii de servicii de internet inspecteaza si diferentiaza traficul sunt multiple. De exemplu, politicile de gestionare a traficului pot ajuta furnizorii de servicii de internet sa gestioneze traficul in perioade de congestie ridicata, de exemplu prin acordarea unei prioritati mai mari anumitor tipuri de trafic sensibil la factorul timp, precum streamingul video, si a unei prioritati mai mici altor tipuri de trafic, care pot fi mai putin sensibile la factorul timp, precum P2P [10]. De asemenea, gestionarea traficului poate fi o modalitate prin care furnizorii de servicii internet sa obtina un potential flux de venituri, care ar putea avea diverse surse. Pe de o parte, furnizorii de servicii de internet pot percepe taxe furnizorilor de servicii de continut, de exemplu celor ale caror servicii necesita utilizarea unei latimi de banda mai mare, dandu-le, in schimb, prioritate (si, astfel, viteza). Aceasta inseamna ca accesarea unui anumit serviciu, de exemplu, un serviciu care furnizeaza materiale video la cerere, ar fi mai rapida decat accesarea unui alt serviciu similar, care nu a aderat la transmisia de mare viteza. Venituri pot fi obtinute, de asemenea, de la abonati interesati sa plateasca taxe mai mari (sau mai mici) pentru anumite tipuri de abonamente diferentiate. De exemplu, un abonament fara acces la P2P ar putea fi mai ieftin decat unul care ofera acces nelimitat.

14. Pe langa motivele proprii ale furnizorilor de servicii de internet pentru utilizarea politicilor de gestionare a traficului, alte parti pot avea, de asemenea, un interes in utilizarea de catre acestia a politicilor de gestionare a traficului. Prin gestionarea retelelor si inspectarea continutului transmis prin instalatiile lor, furnizorii de servicii de internet isi vor spori probabil capacitatea de detectare a presupuselor utilizari ilegale, de exemplu incalcarea dreptului de autor sau utilizarea materialelor pornografice.

Alte interese, inclusiv protectia datelor si confidentialitatea

15. Aceasta tendinta a declansat o dezbatere privind legitimitatea acestui tip de practici si, in special, privind necesitatea dezvoltarii in mai mare masura in legislatie a unor obligatii specifice privind neutralitatea retelei.

16. Utilizarea in masura din ce in ce mai mare a politicilor de gestionare a traficului de catre furnizorii de servicii de internet ar putea limita accesul la informatii. Daca acest comportament ar deveni o practica comuna, iar utilizatorii nu ar avea posibilitatea de acces la internet fara restrictii, asa cum este cazul in prezent (sau daca acest acces ar avea un pret deosebit de ridicat), s-ar putea compromite accesul la informatii si libertatea utilizatorului de a trimite si primi continutul dorit prin aplicatiile sau serviciile alese. Un principiu obligatoriu din punct de vedere juridic privind neutralitatea retelei ar putea evita aceasta problema.

17. In acest punct, AEPD ajunge la implicatiile pe care le are pentru protectia datelor si confidentialitate gestionarea traficului de catre furnizorii de servicii de internet. In special:

– Atunci cand furnizorii de servicii de internet prelucreaza date privind traficul avand ca unic scop transmiterea fluxului de informatii de la expeditor catre destinatar, acestia executa, in general, o prelucrare limitata de date cu caracter personal [11]. In acelasi mod in care serviciul postal prelucreaza informatiile inscrise pe plicul unei scrisori, furnizorul de servicii de internet prelucreaza informatiile necesare pentru a ruta comunicarea catre destinatar. Aceasta nu aduce atingere cerintelor juridice privind protectia datelor si confidentialitatea comunicatiilor;

– totusi, atunci cand furnizorii de servicii de internet inspecteaza datele de comunicatii in vederea diferentierii fiecarui flux de comunicatii si aplicarii unor strategii specifice, care ar putea sa nu fie favorabile persoanelor, implicatiile sunt mai importante. In functie de circumstantele fiecarui caz si de tipul de analiza efectuata, prelucrarea poate fi extrem de agresiva pentru viata privata si datele cu caracter personal ale unei persoane. Acest aspect este mai evident in cazul in care politicile de gestionare divulga continutul comunicatiilor prin internet ale persoanelor, inclusiv e-mailurile trimise si primite, site-urile vizitate, fisierele descarcate sau incarcate etc.

III. PREZENTARE GENERALA A CADRULUI JURIDIC AL UE PRIVIND NEUTRALITATEA RETELEI ȘI ALTE EVOLUTII ALE POLITICILOR

III.1. Cadrul juridic pe scurt

18. Pana in 2009, instrumentele legislative ale UE nu contineau dispozitii care sa le interzica in mod explicit furnizorilor de servicii de internet sa efectueze activitati de filtrare sau blocare sau sa perceapa tarife suplimentare de la abonati pentru accesul la servicii. In acelasi timp, nu existau dispozitii care sa recunoasca in mod explicit aceasta practica. Situatia era, intr-o anumita masura, caracterizata de incertitudine.

19. Pachetul Telecom din 2009 a schimbat aceasta situatie, incluzand dispozitii care favorizeaza caracterul deschis al internetului. De exemplu, articolul 8 alineatul (4) din directiva privind un cadru de reglementare comun pentru retelele si serviciile de comunicatii electronice (“directiva-cadru”) stabileste o obligatie a autoritatilor de reglementare de a promova capacitatea utilizatorilor finali de a avea acces liber la continut, aplicatii sau servicii [12]. Aceasta dispozitie se aplica retelei in ansamblul ei, nu la nivelul furnizorilor individuali. Recentul proiect de concluzii ale Consiliului a evidentiat, de asemenea, necesitatea mentinerii caracterului deschis al internetului [13].

20. Directiva privind serviciul universal [14] cuprinde obligatii mai concrete. Articolele 20 si 21 prevad cerinte de transparenta in ceea ce priveste limitarile accesului si/sau ale utilizarii serviciilor si aplicatiilor. Directiva prevede, de asemenea, niveluri minime ale calitatii serviciilor.

21. Pentru practicile furnizorilor de servicii de internet care implica inspectia comunicatiilor persoanelor, considerentul 28 al directivei de modificare a Directivei privind confidentialitatea in mediul economic si a Directivei privind serviciul universal [15] subliniaza ca “in functie de tehnologia utilizata si de tipul de limitari, astfel de limitari ar putea necesita acordul utilizatorului, in conformitate cu Directiva privind confidentialitatea in mediul electronic”. Prin urmare, considerentul 28 reaminteste necesitatea acordului, in temeiul articolului 5 alineatul (1) din Directiva privind confidentialitatea in mediul electronic pentru toate limitarile bazate pe monitorizarea comunicatiilor. Sectiunea IV de mai jos analizeaza in mai mare detaliu aplicarea articolului 5 alineatul (1) si cadrul juridic global privind confidentialitatea si protectia datelor.

22. In sfarsit, articolul 22 alineatul (3) din Directiva privind serviciul universal autorizeaza in prezent autoritatile nationale de reglementare sa impuna furnizorilor de servicii de internet, daca este necesar, cerinte minime de calitate a serviciilor pentru a impiedica degradarea serviciilor si perturbarea sau diminuarea vitezei traficului in retelele publice.

23. Din cele de mai sus reiese ca la nivelul UE se doreste foarte mult un internet deschis [a se vedea articolul 8 alineatul (4) din directiva-cadru]. Totusi, acest obiectiv al politicilor, care se aplica retelei in ansamblu, nu este asociat in mod direct interdictiilor sau obligatiilor impuse furnizorilor de servicii de internet individuali. Cu alte cuvinte, un furnizor de servicii de internet ar putea aplica politici de gestionare a traficului care pot exclude accesul la anumite aplicatii, cu conditia ca utilizatorii finali sa fie pe deplin informati, si sa isi fi exprimat consimtamantul in mod liber, specific si neechivoc.

24. Situatia poate fi diferita, in functie de statele membre. In unele state membre, furnizorii de servicii de internet pot aplica, in anumite conditii, politici de gestionare a traficului, de exemplu blocarea unor aplicatii precum VoIP (ca parte a unui abonament de internet mai ieftin), sub rezerva ca utilizatorii sa isi exprime consimtamantul in cunostinta de cauza, in mod liber, specific si neechivoc. Alte state membre au ales sa consolideze principiul neutralitatii retelei. De exemplu, in iulie 2011, parlamentul olandez a adoptat o lege care interzice, in general, furnizorilor sa impiedice sau sa diminueze viteza aplicatiilor sau serviciilor pe internet (precum VoIP), cu exceptia cazului in care o astfel de masura este necesara pentru a minimiza efectele congestiei, din motive de integritate sau securitate, pentru a combate spam-ul sau in conformitate cu un ordin judecatoresc [16].

III.2. Comunicarea privind neutralitatea retelei

25. In comunicarea privind neutralitatea retelei [17], Comisia Europeana a concluzionat ca situatia privind neutralitatea retelei necesita monitorizare si analiza suplimentara. Aceasta politica a fost numita “de expectativa”, inainte de a fi luate in considerare masuri suplimentare de reglementare.

26. Comunicarea Comisiei recunostea ca toate masurile si actiunile de reglementare suplimentare ar urma sa faca obiectul unei evaluari aprofundate a aspectelor legate de confidentialitate si protectia datelor. In proiectul de concluzii ale Consiliului sunt mentionate, de asemenea, aspectele de interes privind protectia datelor si confidentialitatea [18].

27. Intrebarea care trebuie evaluata dintr-o perspectiva a confidentialitatii si a protectiei datelor, este daca o politica de expectativa este suficienta. Desi cadrul juridic privind confidentialitatea si protectia datelor prevede, in prezent, anumite garantii, in special prin principiul confidentialitatii comunicatiilor, pare necesar sa se monitorizeze indeaproape nivelul de conformitate si sa se emita orientari privind anumite aspecte care nu sunt suficient de clare. De asemenea, ar trebui prezentate anumite idei, cu privire la modul in care cadrul poate fi clarificat si imbunatatit in continuare, avand in vedere evolutiile tehnologice. In cazul in care in urma monitorizarii se observa ca piata evolueaza catre inspectia masiva, in timp real, a comunicatiilor si a aspectelor legate de respectarea cadrului, vor fi necesare masuri legislative. Propuneri concrete vor fi formulate in aceasta privinta in Sectiunea VI.

IV. CADRUL TEHNIC ȘI IMPLICATIILE PRIVIND PROTECTIA DATELOR ȘI CONFIDENTIALITATEA

28. Inainte de a aprofunda subiectul, este important sa existe o imagine cat mai clara a tehnicilor de inspectie care pot fi utilizate de furnizorii de servicii de internet pentru a efectua activitati de gestionare a traficului, precum si a modului in care aceste tehnici pot afecta principiul neutralitatii retelei. Implicatiile in ceea ce priveste protectia datelor si confidentialitatea care deriva din astfel de tehnici variaza considerabil in functie de tehnica sau tehnicile utilizate. Prezentarea cadrului tehnic este necesara pentru a intelege si aplica in mod corect cadrul juridic privind protectia datelor descris la Sectiunea V. Totusi, trebuie mentionat ca acesta este un domeniu complex si in permanenta schimbare. Prin urmare, descrierea de mai jos nu doreste sa fie exhaustiva si complet actualizata, ci doar sa furnizeze informatiile tehnice indispensabile pentru intelegerea rationamentului juridic.

IV.1. Transmiterea de informatii prin internet: elemente de baza

29. Atunci cand un utilizator transmite o comunicatie prin internet, informatiile transmise sunt impartite in pachete. Aceste pachete sunt transmise prin intermediul internetului de la expeditor la destinatar. Fiecare pachet va cuprinde, printre altele, informatii referitoare la sursa si la destinatie. De asemenea, furnizorii de servicii de internet ar putea include aceste pachete in straturi si protocoale suplimentare [19], care vor fi utilizate pentru a gestiona diversele fluxuri de trafic in cadrul propriei retele.

30. Pentru a reveni la analogia cu scrisoarea transmisa prin serviciile postale traditionale, utilizarea unui protocol de transmitere in retea echivaleaza cu includerea continutului unei scrisori intr-un plic, cu o adresa de destinatie care urmeaza sa fie citita, si ulterior trimisa de serviciul postal. Serviciul postal poate utiliza protocoale suplimentare in tranziturile sale interne, pentru a gestiona toate plicurile care trebuie trimise, urmarindu-se ca fiecare plic sa ajunga la destinatia inscrisa initial de expeditor. Utilizand aceasta analogie, fiecare pachet are doua parti, prima fiind reprezentata de “incarcatura utila IP” (IP payload) care cuprinde continutul comunicatiei si reprezinta echivalentul scrisorii. Acesta cuprinde informatii adresate exclusiv destinatarului. Cea de a doua parte a pachetului este “antetul IP”(IP header) care cuprinde, printre altele, adresa destinatarului si a expeditorului, si reprezinta echivalentul plicului. Antetul IP permite furnizorilor de servicii de internet si altor intermediari sa transmita incarcatura utila de la adresa sursa la adresa de destinatie.

31. Furnizorii de servicii de internet si alti intermediari se asigura ca pachetele IP sunt transmise de-a lungul retelei prin noduri care citesc informatiile din antetul IP, le compara cu tabele de rutare, iar apoi le trimit catre urmatorul nod pana la destinatie. Acest proces este efectuat in retea prin utilizarea unei abordari “a celor mai bune eforturi fara consum de memorie”, intrucat toate pachetele care ajung la un nod sunt tratate in mod neutru. Dupa transmiterea pachetelor catre urmatorul nod, nu mai este necesar sa se pastreze informatii suplimentare in router [20].

IV.2. Tehnici de inspectie

32. Astfel cum s-a explicat mai sus, furnizorii de servicii de internet citesc antetele IP in scopul transmiterii acestora catre destinatie. Totusi, conform celor expuse anterior, analiza traficului (care implica antetele IP si incarcaturile utile IP) poate fi efectuata in alte scopuri si cu alte tipuri de tehnologii. Noile tendinte pot include, de exemplu, diminuarea vitezei anumitor aplicatii folosite de utilizatori, precum P2P, sau, ca alternativa, imbunatatirea vitezei traficului pentru anumite servicii, precum serviciile de furnizare de materiale video la cerere pentru abonatii premium. Desi toate tehnicile de inspectie efectueaza in mod tehnic inspectia pachetelor, acestea implica diverse niveluri cu caracter invaziv diferit. Exista doua categorii principale de tehnici de inspectie. Una este bazata doar pe antetul IP, cea de a doua si pe incarcatura utila IP.

Pe baza informatiilor privind antetul IP. Inspectia unui antet de pachet IP indica anumite campuri care pot permite furnizorilor de servicii de internet sa aplice un numar de politici specifice pentru a gestiona traficul. Aceste tehnici bazate doar pe inspectia antetelor IP prelucreaza date care, in principiu, sunt destinate transmiterii informatiilor, intr-un alt scop (si anume, diferentierea traficului). Citind adresa IP sursa, furnizorul de servicii de internet o poate asocia cu un abonat concret si poate aplica anumite politici specifice, de exemplu transmiterea pachetului printr-un link mai rapid sau mai lent. Citind adresa IP de destinatie, furnizorul de servicii de internet poate aplica, de asemenea, politici specifice, de exemplu blocarea sau filtrarea accesului la anumite site-uri web.

Pe baza unei inspectii mai detaliate. O inspectie detaliata a pachetelor permite furnizorului de servicii de internet sa acceseze informatii adresate exclusiv destinatarului comunicatiei. Revenind la exemplul serviciului postal, aceasta abordare este echivalenta deschiderii plicului si citirii interiorului scrisorii, pentru a efectua o analiza a continutului comunicatiei (care se afla in interiorul pachetelor IP) in vederea aplicarii unei politici specifice a retelei. Exista metode diferite de desfasurare a inspectiei, fiecare prezentand diverse amenintari la adresa persoanei vizate.

– Inspectie detaliata a pachetelor pe baza analizei protocoalelor si a registrelor statistice. Pe langa protocolul IP, care are ca scop facilitarea transmiterii datelor prin internet, exista protocoale suplimentare care codeaza informatiile transmise in mod consimtit (transport, sesiune, prezentare si aplicare etc.). Obiectivul acestor protocoale este de a asigura ca partile implicate in comunicare se pot intelege reciproc. De exemplu, exista anumite protocoale asociate navigarii pe internet [21], altele sunt pentru transferul de fisiere [22] etc. Prin urmare, tehnicile de inspectie bazate pe inspectarea protocoalelor si in combinatie cu analiza statistica urmaresc sa gaseasca tipare sau amprente specifice, care stabilesc ce protocoale sunt prezente [23]. Aceste tehnici de inspectie permit furnizorilor de servicii de internet sa inteleaga tipul de comunicatie (e-mail, navigare pe internet, incarcare de fisiere) si, in anumite cazuri, sa identifice serviciul specific sau aplicatia utilizata, precum in cazul anumitor comunicatii VoIP, in care protocoalele utilizate sunt extrem de specifice unui vanzator sau unui furnizor de servicii concret. Cunoasterea tipului de comunicatie in sine poate permite furnizorilor de servicii de internet sa aplice politici concrete de gestionare a traficului, de exemplu pentru a bloca traficul pe internet. Acesta poate fi, de asemenea, primul pas in autorizarea furnizorului de servicii de internet sa efectueze analize suplimentare care pot necesita acces deplin la metadatele si continutul comunicatiei.

– Inspectia detaliata a pachetelor pe baza analizei continutului comunicatiei. In sfarsit, exista posibilitatea inspectarii metadatelor [24] si a continutului comunicatiei. Aceasta tehnica consta in interceptarea tuturor pachetelor IP care fac parte din fluxul initial al comunicatiei, astfel incat continutul initial al comunicatiei sa poata fi integral reconstruit si analizat. De exemplu, pentru a detecta un continut ilegal sau care cauzeaza prejudicii, precum virusii, pornografia infantila etc., este necesara reconstruirea continutului, astfel incat acesta sa poata fi analizat. Trebuie remarcat ca, uneori, comunicatia poate fi criptata integral in mod intentionat de catre partile interesate, iar aceasta practica va impiedica furnizorii de servicii de internet sa efectueze analiza continutului comunicatiei.

IV.3. Implicatiile privind protectia datelor si confidentialitatea

33. Tehnicile de inspectie bazate pe antetele IP si, in special, cele bazate pe inspectia pachetelor implica monitorizarea si filtrarea acestor date si au implicatii grave asupra vietii private si protectiei datelor. Acestea pot, de asemenea, intra in conflict cu dreptul la confidentialitatea informatiilor.

34. Citirea comunicatiilor persoanelor are, in sine, implicatii grave asupra confidentialitatii si protectiei datelor. Totusi, problema este mai ampla, intrucat, in functie de efectele urmarite prin monitorizare si interceptare, implicatiile privind confidentialitatea pot spori. Intr-adevar, simpla inspectare a informatiilor, de exemplu pentru a garanta ca sistemul functioneaza corect, si inspectarea comunicatiilor pentru a aplica politici care pot avea un impact asupra persoanelor, nu reprezinta acelasi lucru. Atunci cand este posibil ca politicile privind traficul si selectia sa urmareasca doar evitarea congestiei in retea, nu vor exista in general implicatii majore pentru viata privata a persoanei. Totusi, politicile de gestionare a traficului pot urmari blocarea anumitor informatii de continut sau pot influenta comunicatia, de exemplu prin publicitate comportamentala. In aceste situatii, efectele sunt mai intruzive. Preocuparea devine mai critica atunci cand se realizeaza ca acest tip de informatii nu este colectat pentru un grup restrans de persoane, ci in mod general, pentru toti clientii furnizorului de servicii de internet [25]. Adoptarea de catre toti furnizorii de servicii de internet a tehnicilor de filtrare ar putea conduce la o monitorizare generalizata a utilizarii internetului. In plus, daca accentul s-ar pune pe tipul de informatii prelucrate, riscurile la adresa confidentialitatii sunt evident, ridicate, intrucat numeroase informatii colectate sunt, cel mai probabil, foarte sensibile si, in urma colectarii, sunt disponibile furnizorilor de servicii de internet si celor care doresc sa obtina informatii de la acestia. In plus, informatiile pot fi extrem de valoroase si din punct de vedere comercial. In sine, aceasta reprezinta un risc ridicat de denaturare a functiilor, in care scopurile initiale ar putea evolua cu usurinta in scopuri comerciale sau alt tip de exploatare a informatiilor colectate.

35. Aplicarea corecta a tehnicilor de monitorizare, inspectie si filtrare trebuie efectuata in conformitate cu garantiile aplicabile privind protectia datelor si confidentialitatea, care prevad limite in legatura cu ce se poate face si in ce circumstante. Urmeaza in continuare o prezentare generala a garantiilor aplicabile in cadrul juridic european actual privind confidentialitatea si protectia datelor.

V. APLICAREA CADRULUI JURIDIC AL UE PRIVIND CONFIDENTIALITATEA ȘI PROTECTIA DATELOR

36. Cadrul juridic al UE privind protectia datelor este neutru din punct de vedere tehnologic; ca atare, acesta nu reglementeaza tehnici de inspectie specifice, precum cele descrise mai sus. Directiva privind confidentialitatea in mediul electronic reglementeaza confidentialitatea in furnizarea serviciilor de comunicatii electronice in retelele publice (in general, acces internet si telefonie) [26], iar directiva privind protectia datelor reglementeaza prelucrarea datelor in general. In ansamblu, acest cadru juridic stabileste diverse obligatii aplicabile furnizorilor de servicii de internet care prelucreaza si monitorizeaza traficul si datele de comunicatii.

V.1. Temeiuri juridice pentru prelucrarea datelor de trafic si continut

37. Conform legislatiei in materie de protectia datelor, prelucrarea datelor cu caracter personal, precum, in acest caz, prelucrarea datelor privind traficul si comunicatiile, necesita un temei juridic adecvat. Pe langa aceasta cerinta generala, se pot aplica cerinte specifice in anumite cazuri.

38. In acest caz, tipul de date cu caracter personal prelucrate de furnizorii de servicii de internet se refera la datele de trafic si continutul comunicatiilor. Atat continutul informatiilor, cat si datele de trafic sunt protejate de dreptul la confidentialitatea corespondentei, garantat prin articolul 8 din CEDO si articolele 7 si 8 din Carta. In special, articolul 5 alineatul (1) din Directiva privind confidentialitatea in mediul electronic, cu titlul “Confidentialitatea comunicatiilor”, solicita statelor membre sa asigure confidentialitatea comunicatiilor si a datelor de transfer aferente transmise prin intermediul unei retele de comunicatii publice sau unor servicii publice de comunicatii electronice. In acelasi timp, articolul 5 alineatul (1) din Directiva privind confidentialitatea in mediul electronic prevede ca prelucrarea datelor de trafic si de continut de catre furnizorii de servicii de internet poate fi autorizata, in anumite circumstante, cu acordul utilizatorilor. Aceasta se realizeaza prin introducerea unei interdictii privind “ascultarea, inregistrarea, stocarea sau alte tipuri de interceptare sau supraveghere a comunicatiilor si a datelor de transfer aferente de catre persoane altele decat utilizatorul, fara acordul utilizatorului in cauza, cu exceptia cazurilor in care acest lucru este permis in temeiul articolului 15 alineatul (1)”. Aceasta idee este dezvoltata in continuare in cele ce urmeaza.

39. Pe langa acordul utilizatorilor in cauza, directiva privind confidentialitatea in mediul electronic prevede alte motive care pot legitima prelucrarea de catre furnizorii de servicii de internet a datelor de comunicatii si trafic. Temeiurile juridice relevante pentru prelucrarea in acest caz sunt: (i) furnizarea serviciului; (ii) garantarea securitatii serviciului; si (iii) minimizarea congestiei. Alte motive posibile de legitimare a politicilor de gestionare pe baza datelor privind traficul si comunicatiile sunt discutate in continuare la punctul (iv).

(i) Temeiuri juridice pentru furnizarea serviciului

40. Astfel cum se ilustreaza in Sectiunea IV, furnizorii de servicii de internet prelucreaza informatiile privind antetele IP in scopul transmiterii fiecarui pachet IP catre destinatie. Alineatele (1) si (2) de la articolul 6 din Directiva privind confidentialitatea in mediul electronic prevad prelucrarea datelor de trafic in scopul transmiterii unei comunicatii. Prin urmare, furnizorii de servicii de internet pot prelucra informatiile necesare pentru furnizarea serviciului.

(ii) Temeiuri juridice pentru garantarea securitatii serviciului

41. In temeiul articolului 4 din Directiva privind confidentialitatea in mediul electronic, unui furnizor de servicii de internet i se impune obligatia generala de a lua masurile adecvate pentru a garanta securitatea serviciilor sale. Practica filtrarii virusilor poate implica prelucrarea antetelor IP si a incarcaturii utile IP. Avand in vedere faptul ca articolul 4 din directiva privind confidentialitatea in mediul electronic solicita furnizorilor de servicii de internet sa asigure securitatea retelei, prezenta dispozitie legitimeaza tehnicile de inspectie pe baza antetelor IP si a continutului, care urmaresc strict acest scop. In practica, aceasta inseamna ca, in limitele prevazute de principiul proportionalitatii (a se vedea Sectiunea V.3), furnizorii de servicii de internet se pot angaja in monitorizarea si filtrarea datelor comunicatiilor pentru a elimina virusii si pentru a asigura in general securitatea retelei [27].

(iii) Temeiuri juridice pentru minimizarea efectelor congestiei

42. Motivatia acestui temei juridic se gaseste la considerentul 22 al Directivei privind confidentialitatea in mediul electronic, care explica interdictia privind stocarea comunicatiilor de la articolul 5 alineatul (1). Nu sunt interzise stocarile automate, intermediare si temporare, in masura in care au are loc in unicul scop de efectuare a transmisiei si nu dureaza mai mult decat este necesar pentru transmitere si gestionarea traficului si in masura in care confidentialitatea informatiilor ramane garantata.

43. In cazul in care exista o congestie, apare intrebarea daca furnizorii de servicii de internet pot lua in considerare scaderea sau intarzierea aleatorie a traficului sau mai degraba diminuarea vitezei comunicatiilor care nu sunt sensibile la factorul timp, de exemplu P2P sau traficul de e-mail, permitand, de exemplu, o calitate acceptabila a traficului de voce.

44. Avand in vedere interesul global al societatii in garantarea unei retele utilizabile de comunicatii, furnizorii de servicii de internet pot sustine ca stabilirea unor prioritati sau strangularea traficului pentru a aborda congestia constituie o masura legitima, necesara pentru furnizarea unui serviciu adecvat. Aceasta inseamna ca, in aceste cazuri si in acest scop, ar exista un temei juridic general pentru prelucrarea datelor cu caracter personal si ca acordul utilizatorilor nu mai este necesar.

45. In acelasi timp, capacitatea de a interveni in acest mod nu este nerestrictionata. In cazul in care furnizorii de servicii de internet trebuie sa inspecteze comunicatiile, din perspectiva confidentialitatii si aplicand cu strictete principiul proportionalitatii, acestia trebuie sa utilizeze metoda cea mai putin intruziva disponibila in acest scop (evitarea inspectiei aprofundate a pachetelor) si trebuie sa o aplice doar atat timp cat este necesar pentru a solutiona problema de congestie.

(iv) Temeiuri juridice pentru prelucrarea datelor in alte scopuri

46. Furnizorii de servicii de internet ar putea, de asemenea, sa inspecteze datele de trafic si de continut in alte scopuri, de exemplu prin oferirea de abonamente specifice (de exemplu, un abonament care limiteaza accesul la P2P sau un abonament cu o viteza mai mare pentru anumite aplicatii). Inspectia si utilizarea suplimentara a datelor privind comunicatiile si traficul in alte scopuri decat furnizarea serviciului sau asigurarea securitatii acestuia si a absentei congestiei sunt permise doar in conditii stricte, in conformitate cu cadrul juridic.

47. Cadrul juridic este reprezentat in special de articolul 5 alineatul (1) din Directiva privind confidentialitatea in mediul electronic, care solicita acordul utilizatorilor in cauza pentru a asculta, inregistra, stoca sau alte tipuri de interceptare sau supraveghere a datelor asociate privind comunicatiile si traficul. Practic, acest lucru inseamna ca acordul utilizatorilor implicati intr-o comunicatie este necesar pentru a legitima prelucrarea datelor privind traficul si comunicatiile, in temeiul articolului 5 alineatul (1).

48. Astfel cum s-a explicat mai sus, aplicarea tehnicilor de inspectie si de filtrare se bazeaza pe antete IP, care constituie datele de trafic, sau pe inspectia aprofundata a pachetelor, care implica si incarcaturile utile IP si constituie date de comunicatie. Prin urmare, in principiu, aplicarea unor astfel de tehnici in alte scopuri decat furnizarea serviciului sau securitatea este interzisa cu exceptia cazului in care un temei legitim permite procesarea, precum consimtamantul [articolul 5 alineatul (1)]. Un exemplu in care articolul 5 alineatul (1) se aplica este cazul in care un furnizor de servicii de internet decide sa ofere clientilor un tarif redus pentru accesul la internet, in schimbul acceptarii publicitatii comportamentale, al utilizarii inspectiei aprofundate a pachetelor si, astfel, a datelor privind comunicatiile. Acordul real, specific si informat este, prin urmare, necesar in temeiul articolului 5 alineatul (1).

49. De asemenea, articolul 6 din Directiva privind confidentialitatea in mediul electronic, cu titlul “Datele de transfer”, prevede anumite norme aplicabile in mod specific datelor de trafic. In special, acesta prevede posibilitatea ca furnizorii de servicii de internet sa prelucreze datele de trafic pe baza acordului utilizatorilor de a primi servicii cu valoare adaugata [28]. Aceasta dispozitie prevede cerinta referitoare la consimtamant prevazuta in articolul 5 alineatul (1) in cazul in care traficul prezinta interes.

50. Practic, nu poate fi oricand usor sa se determine, de exemplu, in ce cazuri este necesar consimtamantul sau in ce cazuri securitatea retelei poate legitima prelucrarea, in special daca scopul tehnicilor de inspectie este dublu (de exemplu, evitarea congestiei si furnizarea de servicii cu valoare adaugata). Trebuie subliniat ca acordul nu poate fi considerat drept o modalitate facila si sistemica de conformitate cu principiile privind protectia datelor.

51. Experienta cu privire la aplicarea cadrului si, in special, cu privire la diversele aspecte subliniate mai sus este redusa. Acesta este un domeniu in care sunt esentiale orientari suplimentare, astfel cum s-a detaliat in Sectiunea VI. De asemenea, exista alte aspecte relevante legate de obtinerea acordului care necesita o atentie speciala. Acestea sunt descrise mai jos.

V.2. Aspecte legate de oferirea consimtamantului informat ca temei juridic

52. Acordul necesar in temeiul articolelor 5 si 6 din Directiva privind confidentialitatea in mediul electronic are acelasi inteles ca cel al consimtamantului persoanei vizate, astfel cum este definit si specificat de Directiva 95/46/CE [29]. Conform articolului 2 litera (h) din Directiva privind protectia datelor, “consimtamantul persoanei vizate” inseamna “orice manifestare de vointa, libera, specifica si informata prin care persoana vizata accepta sa fie prelucrate datele cu caracter personal care o privesc”. Recent, rolul consimtamantului si cerintele ca acesta sa fie valid au fost abordate de Grupul de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal in Avizul nr. 15/2011 privind consimtamantul [30].

53. Furnizorii de servicii de internet care solicita consimtamantul pentru a efectua activitati de inspectare si filtrare a traficului si a datelor de continut trebuie sa se asigure, prin urmare, ca acesta este liber si specificat si ca este o indicatie pe deplin informata a dorintelor persoanei in cauza, ceea ce inseamna acordul acesteia privind prelucrarea de date cu caracter personal care o privesc. Considerentul 17 din Directiva privind confidentialitatea in mediul electronic reafirma acest lucru “Consimtamantul poate fi acordat prin orice metoda potrivita acestui scop, care ofera indicatii specifice si clare, acordate prin proprie vointa, despre dorinta utilizatorului, inclusiv prin bifarea unei casute la vizitarea unui site Internet”. In cele ce urmeaza, sunt prezentate mai multe exemple practice privind semnificatia in acest context a acordului liber, specific si informat.

Consimtamantul: Manifestare de vointa libera, specifica si informata

54. Consimtamantul liber. Utilizatorii nu trebuie sa fie afectati de constrangeri care asociaza consimtamantul cu abonamentul de internet pe care il doresc.

55. Consimtamantul persoanelor vizate nu ar fi liber daca acestea ar fi nevoite sa fie de acord cu monitorizarea datelor privind propriile comunicatii pentru a obtine accesul la un serviciu de comunicatii. Afirmatia ar fi cu atat mai mult valabila cu cat toti furnizorii de pe o anumita piata ar efectua activitati de gestionare a traficului in scopuri care depasesc securitatea retelei. Singura optiune ramasa ar fi aceea de a nu avea niciun abonament pentru servicii de internet. Avand in vedere ca internetul a devenit un instrument esential, atat in scopuri profesionale, cat si de petrecere a timpului liber, absenta oricarui tip de abonament la un serviciu de internet nu constituie o alternativa valabila. Rezultatul ar fi acela ca persoanele vizate nu ar avea nicio optiune reala, si anume nu si-ar putea exprima consimtamantul in mod liber [31].

56. AEPD considera ca exista o necesitate clara ca autoritatile nationale si Comisia sa monitorizeze piata, in special pentru a stabili daca acest scenariu – si anume, asocierea de catre furnizori a serviciilor de telecomunicatii cu monitorizarea comunicatiilor – devine dominant. Furnizorii ar trebui sa ofere servicii alternative, inclusiv un abonament de internet care sa nu fie supus gestionarii traficului, fara a impune costuri mai mari persoanelor.

57. Consimtamantul specific. Nevoia ca un consimtamant sa fie specific impune in acest caz ca furnizorii de servicii de internet sa solicite consimtamantul pentru monitorizarea datelor privind comunicatiile si traficul intr-un mod clar si distinctiv. Potrivit Grupului de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal, “pentru a fi specific, consimtamantul trebuie sa fie inteligibil: acesta trebuie sa se refere in mod clar si precis la domeniul de aplicare si consecintele prelucrarii datelor. Consimtamantul nu poate viza un set deschis de activitati de prelucrare. Aceasta inseamna, cu alte cuvinte, ca contextul in care este aplicat consimtamantul este limitat”. Exista probabilitatea sa nu se obtina un consimtamant specific in cazul in care consimtamantul pentru inspectia datelor privind traficul comunicatiile este inclus in consimtamantul general de abonare la serviciu. Dimpotriva, specificitatea impune utilizarea unor metode directe de obtinere a consimtamantului, precum un formular de consimtamant specific sau o caseta separata destinata in mod clar scopului monitorizarii (mai degraba decat introducerea acestor informatii in conditiile generale ale contractului si solicitarea semnarii contractului in forma sa actuala).

58. Consimtamantul informat. Pentru a fi valabil, consimtamantul trebuie sa fie informat. Necesitatea de a furniza informatii prealabile adecvate deriva nu doar din Directiva privind confidentialitatea in mediul electronic si din Directiva privind protectia datelor, ci si din articolele 20 si 21 din Directiva privind serviciul universal, astfel cum a fost modificata prin Directiva 2009/136/CE [32]. Necesitatea informarii si a consimtamantului a fost exprimata in mod expres in considerentul 28 din Directiva 2009/136/CE: “Utilizatorii ar trebui sa fie in orice caz pe deplin informati cu privire la toate limitarile impuse de catre furnizorul de servicii si/sau de retea cu privire la utilizarea serviciilor de comunicatii electronice. Astfel de informatii ar trebui, la alegerea furnizorului, sa precizeze fie tipul de continut, aplicatii sau servicii vizate, fie aplicatiile sau serviciile individuale, fie ambele”. Acesta prevede, in continuare, ca: “In functie de tehnologia utilizata si de tipul de limitari, astfel de limitari ar putea necesita acordul utilizatorului, in conformitate cu Directiva 2002/58/CE.”

59. Avand in vedere complexitatea acestor tehnici de monitorizare, oferirea de informatii prealabile semnificative este una dintre principalele provocari in obtinerea unui consimtamant valid. Consumatorii ar trebui sa fie informati intr-un mod in care sa inteleaga ce informatii sunt prelucrate, modul in care acestea sunt utilizate si impactul asupra experientei in calitate de utilizator si a nivelului de intruziune in viata privata in legatura cu tehnicile.

60. Aceasta inseamna nu doar ca informatiile in sine trebuie sa fie clare si inteligibile pentru utilizatorii medii, ci si ca informatiile sunt oferite in mod direct persoanelor, intr-un mod vizibil, astfel incat acestea sa nu le treaca cu vederea.

61. Manifestarea vointei. Consimtamantul conform cadrului juridic aplicabil necesita, de asemenea, o actiune afirmativa din partea utilizatorului de a-si exprima acordul. Consimtamantul implicit nu indeplineste acest standard. Acesta confirma, de asemenea, necesitatea de a se utiliza mijloace speciale de obtinere a consimtamantului care sa permita furnizorului de servicii de internet sa inspecteze datele privind comunicatiile si traficul in contextul aplicarii politicilor de gestionare a traficului. In avizul sau recent privind consimtamantul, Grupul de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal a subliniat nevoia abordarii specifice in legatura cu obtinerea consimtamantului in legatura cu diversele elemente care constituie prelucrarea datelor.

62. Se poate sustine ca, in cazul in care partile implicate intr-o comunicatie nu doresc interceptarea acesteia de catre furnizorii de servicii de internet in vederea aplicarii politicilor de gestionare a traficului, acestea pot oricand cripta comunicatia. Aceasta abordare poate fi considerata utila in termeni practici, insa necesita un anumit efort si cunostinte tehnice si nu poate fi considerata a fi similara unui consimtamant liber, specific si informat. De asemenea, utilizarea tehnicilor de criptare nu pastreaza confidentialitatea deplina a comunicatiei, intrucat furnizorul de servicii de internet va putea, cel putin, sa acceseze informatiile referitoare la antetul IP pentru a ruta comunicatia si va fi, de asemenea, in masura sa aplice o analiza statistica.

63. In conformitate cu articolul 5 alineatul (1) din Directiva privind confidentialitatea in mediul electronic, trebuie obtinut consimtamantul de la utilizatorii in cauza. In multe cazuri, utilizatorul va fi aceeasi persoana cu abonatul, care isi exprima consimtamantul in momentul abonarii la serviciul de telecomunicatie. In alte cazuri, inclusiv cele in care sunt implicate mai mult de o persoana, consimtamantul utilizatorilor vizati trebuie sa fie obtinut separat. Aceasta poate ridica probleme practice, astfel cum se explica in cele ce urmeaza.

Consimtamantul tuturor persoanelor vizate

64. Articolul 5 alineatul (1) prevede consimtamantul utilizatorului pentru a legitima prelucrarea. Consimtamantul trebuie obtinut de la toti utilizatorii implicati intr-o comunicatie. Rationamentul care sta la baza acestei conditii este acela ca o comunicatie implica, in general, cel putin doua persoane (expeditorul si destinatarul). De exemplu, daca un furnizor de servicii de internet scaneaza incarcaturi utile IP care se refera la un e-mail, acestea inspecteaza informatii asociate atat expeditorului, cat si destinatarului e-mailului.

65. In timpul monitorizarii si al interceptarii traficului si comunicatiilor (de exemplu, trafic web), poate fi suficient pentru furnizorii de servicii de internet sa obtina consimtamantul utilizatorului, si anume, al abonatului. Aceasta se datoreaza faptului ca cealalta parte din cadrul comunicatiei, in acest caz, un site vizitat, nu poate fi considerata drept “utilizator vizat” [33]. Totusi, situatia poate fi mai complexa, atunci cand monitorizarea implica inspectarea continutului e-mailurilor si, prin urmare, a informatiilor cu caracter personal ale expeditorului si destinatarului e-mailului, care pot sa nu aiba o relatie contractuala cu acelasi furnizor de servicii de internet. Intr-adevar, in aceste cazuri, furnizorul de servicii de internet ar prelucra date cu caracter personal (numele, adresa de e-mail si date posibil confidentiale) ale unor persoane care nu sunt clientii furnizorului respectiv. Dintr-o perspectiva practica, obtinerea consimtamantului de la aceste persoane poate fi mai dificila, intrucat ar trebui sa fie realizata in fiecare caz, nu doar odata cu finalizarea serviciului de telecomunicatie. De asemenea, nu ar fi realist sa se presupuna ca consimtamantul abonatului a fost exprimat si in numele altor utilizatori, cum poate fi de multe ori cazul in gospodariile particulare.

66. In acest context, AEPD considera ca furnizorii de servicii de internet sunt obligati sa respecte cerintele juridice existente si sa puna in aplicare politici care nu implica monitorizarea si inspectarea informatiilor. Aceasta se impune cu atat mai mult in ceea ce priveste serviciile de comunicatii, care implica parti terte care nu isi pot exprima consimtamantul pentru monitorizare, in special cu privire la e-mailurile trimise si primite (cerinta nu se aplica in cazul in care scopul se bazeaza pe considerente de securitate).

67. In acelasi timp, ar trebui remarcat ca legislatia nationala care pune in aplicare articolul 5 alineatul (1) din Directiva privind confidentialitatea in mediul electronic poate sa nu fie intotdeauna satisfacatoare din acest punct de vedere, si ca, in general, pare sa fie necesara imbunatatirea orientarilor in ceea ce priveste cerintele prevazute in Directiva privind confidentialitatea in mediul electronic, in acest context. Prin urmare, AEPD invita Comisia sa fie mai activa in aceasta privinta si sa ia o initiativa care ar putea beneficia de contributii din partea autoritatilor de supraveghere reunite in cadrul Grupului de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal si de la alte parti interesate. Daca este necesar, ar trebui sa se inainteze o cauza Curtii de Justitie in vederea clarificarii pe deplin a semnificatiei si consecintelor articolului 5 alineatul (1).

V.3. Proportionalitatea – principiul minimizarii datelor

68. Articolul 6 litera (c) din Directiva privind protectia datelor prevede principiul proportionalitatii [34], care se aplica furnizorilor de servicii de internet, intrucat acestia sunt responsabili pentru prelucrarea datelor in sensul prezentei directive, atunci cand efectueaza monitorizarea si filtrarea.

69. In temeiul acestui principiu, datele cu caracter personal pot fi prelucrate doar in masura in care sunt “adecvate, pertinente si neexcesive in ceea ce priveste scopurile pentru care sunt colectate si prelucrate ulterior”. Aplicarea acestui principiu atrage necesitatea efectuarii unei evaluari pentru a aprecia daca metoda utilizata pentru prelucrarea datelor si daca tipurile de date cu caracter personal utilizate sunt adecvate si este destul de probabil ca acestea sa isi atinga obiectivele. Daca se concluzioneaza ca sunt colectate mai multe date decat este necesar, principiul nu este respectat.

70. Respectarea principiul proportionalitatii de catre anumite tipuri de tehnici de inspectie trebuie evaluata de la caz la caz. Nu este posibil sa se ajunga la concluzii in abstracto. Totusi, este posibil sa se atraga atentia asupra unor diverse aspecte concrete care trebuie evaluate in cazul evaluarii respectarii principiului proportionalitatii.

71. Volumul de informatii prelucrate. Supravegherea comunicatiilor clientilor furnizorilor de internet la cele mai profunde niveluri posibile va fi, in majoritatea cazurilor, excesiva si ilegala. Faptul ca supravegherea se poate efectua prin mijloace care nu sunt vizibile persoanelor si ca acestea pot intelege cu dificultate ce se intampla sporeste impactul asupra vietii private. Furnizorii de servicii de internet trebuie sa evalueze ce mijloace mai putin intruzive pot fi disponibile pentru a obtine rezultatul dorit. De exemplu, se pot obtine rezultatele dorite prin monitorizarea antetelor IP, in locul efectuarii unei inspectii aprofundate a pachetelor? Chiar si atunci cand este utilizata inspectia aprofundata a pachetelor, identificarea doar a anumitor protocoale poate furniza informatiile necesare. Aplicarea unor garantii de protectie a datelor, inclusiv pseudoanonimizarea, poate fi, de asemenea, relevanta. Rezultatul evaluarii trebuie sa confirme ca prelucrarea datelor este proportionala.

72. Efectele prelucrarii (asociate in mod direct scopurilor). Proportionalitatea poate fi absenta in cazurile in care furnizorii de servicii de internet utilizeaza politici de gestionare a traficului care exclud accesul la anumite servicii fara a oferi utilizatorilor un beneficiu echitabil, in schimb.

73. Este important sa se reaminteasca faptul ca principiul proportionalitatii continua sa se aplice chiar daca au fost satisfacute alte cerinte juridice obligatorii, inclusiv daca un furnizor de servicii de internet a obtinut, de exemplu, consimtamantul din partea persoanelor pentru a efectua monitorizarea continutului. Aceasta inseamna ca prelucrarea datelor efectuata prin monitorizarea continutului poate fi totusi considerata ilegala daca incalca principiul fundamental subiacent al proportionalitatii.

V.4. Masuri de securitate si organizare

74. Articolul 4 din Directiva privind confidentialitatea in mediul electronic prevede in mod explicit ca furnizorii de servicii de internet sa adopte masuri tehnice si de organizare, pentru a asigura: (i) accesarea datelor cu caracter personal doar de personal autorizat si in scopuri legale; (ii) protectia datelor cu caracter personal impotriva prelucrarii accidentale sau ilegale; si (iii) punerea in aplicare a unei politici de securitate in ceea ce priveste prelucrarea datelor cu caracter personal. De asemenea, conform acestui articol, autoritatile nationale competente sunt autorizate sa efectueze audituri cu privire la aceste masuri.

75. De asemenea, in temeiul articolului 4 alineatele (3) si (2) din Directiva privind confidentialitatea in mediul electronic, furnizorii de servicii de internet sunt, de asemenea, obligati sa notifice autoritatile nationale competente in cazul unei incalcari a securitatii datelor, precum si persoanele afectate, in cazul in care divulgarea ar putea avea efecte negative asupra acestora.

76. Prelucrarea informatiilor cu caracter personal incluse in comunicatii in scopul aplicarii politicilor de gestionare a traficului pot oferi furnizorilor de servicii de internet accesul la date care sunt mai confidentiale decat datele de trafic.

77. Prin urmare, politicile de securitate elaborate de furnizorii de servicii de internet incorporeaza garantii specifice, pentru a asigura ca masurile adoptate sunt adecvate acestor riscuri. In acelasi timp, autoritatile nationale competente care auditeaza aceste masuri trebuie sa fie deosebit de exigente. In sfarsit, trebuie sa se garanteze ca sunt instituite masuri eficiente de notificare a persoanelor vizate ale caror informatii au fost compromise si care ar putea astfel sa fie afectate.

VI. SUGESTII DE MASURI POLITICE ȘI LEGISLATIVE

78. Inspectiile tehnice bazate pe datele de trafic si inspectia incarcaturilor utile IP, si anume continutul informatiilor, pot indica activitatea utilizatorilor pe internet: site-urile vizitate si activitatile de pe aceste site-uri, utilizarea aplicatiilor P2P, fisierele descarcate, e-mailurile trimise si primite, de la cine, pe ce tema si in ce termeni etc. Furnizorii de servicii de internet ar putea utiliza aceste informatii pentru a acorda prioritate anumitor comunicatii, precum materialele video la cerere. Acestia ar putea utiliza informatiile pentru a identifica virusi sau pentru a crea profiluri in beneficiul publicitatii comportamentale. Aceste actiuni intra in conflict cu dreptul la confidentialitatea comunicatiilor.

79. In functie de tehnicile utilizate si de particularitatile cazului, implicatiile privind confidentialitatea vor spori. Cu cat interceptarea si analiza informatiilor colectate ating un nivel mai aprofundat, cu atat mai mare este conflictul cu principiul confidentialitatii comunicatiilor. Scopul in care are loc monitorizarea si garantiile aplicate pentru protectia datelor sunt, de asemenea, elemente esentiale pentru stabilirea gradului de intruziune in viata privata si datele cu caracter personale ale utilizatorilor. Blocarea si monitorizarea in scopul combaterii programelor informatice rau-intentionate (malware), cu limitari stricte asupra pastrarii si utilizarii datelor inspectate, nu pot fi comparate cu situatii in care informatiile sunt inregistrate intr-un jurnal pentru a construi profiluri individuale care sa serveasca publicitatii comportamentale.

80. In principiu, AEPD considera ca actualul cadru juridic european privind confidentialitatea si protectia datelor, daca este interpretat, aplicat si executat corect, ar fi potrivit pentru a garanta ca dreptul la confidentialitate este confirmat si, in general, ca protejarea confidentialitatii si a datelor persoanelor nu este compromisa [35]. Furnizorii de servicii de internet nu trebuie sa utilizeze astfel de mecanisme, decat daca au aplicat in mod corect cadrul juridic. In special, printre elementele relevante ale cadrului pe care furnizorii de servicii de internet ar trebui sa le ia in considerare si sa le respecte, se numara:

– furnizorii de internet pot aplica politici de gestionare a traficului, urmarind securitatea serviciului in timpul furnizarii acestuia, inclusiv limitarea congestiei, in temeiul articolelor 4 si 6 din Directiva privind confidentialitatea in mediul electronic;

– furnizorii de servicii de internet au nevoie de un alt temei juridic specific, si, eventual, de consimtamantul utilizatorilor, pentru a aplica politici de gestionare a traficului care implica prelucrarea datelor privind traficul si/sau comunicatiile in alte scopuri decat cele expuse mai sus. De exemplu, este necesar consimtamantul informat al utilizatorilor pentru a monitoriza si filtra comunicatiile persoanelor in scopul limitarii (sau acordarii) accesului la anume aplicatii si servicii, precum P2P sau VoIP;

– consimtamantul trebuie sa fie liber, explicit si informat. Acesta trebuie sa se manifeste printr-o actiune afirmativa. Aceste cerinte pun un accent deosebit pe nevoia de intensificare a eforturilor, pentru a se asigura ca persoanele sunt informate corect, in mod direct, inteligibil si specific, astfel incat sa poata evalua efectele practicilor si, in ultima instanta, sa ia o decizie informata. Avand in vedere complexitatea acestor tehnici, oferirea de informatii prealabile semnificative utilizatorilor este una dintre principalele provocari in obtinerea unui consimtamant valid. In plus, utilizatori care nu isi exprima consimtamantul cu privire la monitorizare nu ar trebui sa suporte consecinte nefavorabile (inclusiv costuri financiare);

– principiul proportionalitatii are un rol crucial atunci cand furnizorii de servicii de internet se angajeaza in politici de gestionare a traficului, indiferent de fundamentul juridic al prelucrarii si de scop: furnizarea serviciului, evitarea congestiei sau furnizarea de abonamente specifice cu sau fara acces la anumite servicii si aplicatii. Acest principiu limiteaza capacitatea furnizorilor de servicii de internet de a monitoriza continutul comunicatiilor unei persoane, intr-un mod care implica prelucrarea excesiva a informatiilor sau cresterea beneficiilor doar pentru furnizorii de servicii de internet. Ceea ce furnizorii de servicii de internet pot realiza din punct de vedere logistic depinde de nivelul de intruziune al tehnicilor, de rezultatele necesare (pentru care acestia isi pot creste beneficiile) si de garantiile specifice de confidentialitate si protectia datelor aplicate. Inainte de utilizarea tehnicilor de inspectie, furnizorii de servicii de internet trebuie sa efectueze o evaluare a conformitatii acestora cu principiul proportionalitatii.

81. Desi cadrul juridic actual include conditii si garantii relevante, este necesar sa se acorde o atentie deosebita intrebarii daca furnizorii de servicii de internet indeplinesc efectiv cerintele juridice, daca furnizeaza consumatorilor informatiile necesare pentru ca acestia sa isi exprime optiunea in cunostinta de cauza si daca respecta principiul proportionalitatii. La nivel national, autoritatile competente pentru cele de mai sus includ autoritatile nationale responsabile cu telecomunicatiile, pe de o parte, si autoritatile nationale responsabile cu protectia datelor, pe de alta parte. La nivelul UE, printre organismele relevante se numara OAREC (Organismul autoritatilor europene de reglementare in domeniul comunicatiilor electronice). AEPD ar putea, de asemenea, avea un rol in acest context.

82. Pe langa monitorizarea nivelului actual de conformitate, avand in vedere relativa noutate a posibilitatii de a realiza o inspectie masiva, in timp real, a comunicatiilor, unele aspecte legate de aplicarea cadrului care au fost discutate in prezentul aviz necesita o analiza suplimentara mai detaliata si clarificare ulterioara. Printre orientarile relevante in special in anumite domenii se numara:

– stabilirea acelor practici de inspectie care sunt legitime pentru a asigura fluxul normal de trafic, care ar putea sa nu necesite consimtamantul utilizatorilor, cum ar fi, de exemplu, combaterea spam-ului. Pe langa caracterul intruziv al monitorizarii aplicate, sunt relevante aspecte precum, de exemplu, nivelul de perturbare a fluxului normal al traficului care ar putea aparea in caz contrar;

– stabilirea acelor tehnici de inspectie care pot fi utilizate in scopul securitatii, care ar putea sa nu necesite consimtamantul utilizatorilor;.

– stabilirea cazurilor in care monitorizarea necesita consimtamantul persoanei, in special consimtamantul tuturor utilizatorilor vizati, si a parametrilor tehnici admisibili pentru a se asigura ca tehnica de inspectie nu determina o prelucrare a datelor care nu este proportionala fata de obiectivele sale propuse;

– pe langa cele trei cazuri de mai sus, pot fi necesare orientarile privind aplicarea garantiilor necesare de protectie a datelor (limitarea scopului, securitatea etc.).

83. Avand in vedere ca in acest domeniu competentele sunt atat nationale, cat si la nivelul UE, AEPD considera ca este esentiala partajarea punctelor de vedere si experientelor in vederea unor abordari armonizate la cele de mai sus. In acest sens, AEPD propune crearea unei platforme sau a unui grup de experti care sa reuneasca reprezentanti ai autoritatilor nationale de reglementare, Grupul de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal, AEPD si OAREC. Primul obiectiv al acestei platforme ar consta in elaborarea de orientari, cel putin cu privire la elementele identificate anterior, in vederea asigurarii unor abordari solide si armonizate si a unor conditii de egalitate. AEPD solicita Comisiei sa organizeze aceasta initiativa.

84. Nu in ultimul rand, atat autoritatile nationale, cat si autoritatile omoloage la nivelul UE, inclusiv OAREC si Comisia Europeana trebuie sa acorde o atentie deosebita evolutiilor pietei din acest domeniu. Din perspectiva confidentialitatii si a protectiei datelor, scenariul in care furnizorii de servicii de internet instituie ca procedura de rutina politici de gestionare a traficului, oferind abonamente pe baza filtrarii accesului la continut si aplicatii, este extrem de problematic. In cazul in care aceasta situatie ar deveni realitate, ar trebui sa se elaboreze acte legislative in acest sens.

VII. CONCLUZII

85. Faptul ca furnizorii de servicii de internet recurg din ce in ce mai des la tehnici de inspectie si monitorizare afecteaza neutralitatea internetului si confidentialitatea comunicatiilor. Acest fapt ridica probleme grave legate de protectia vietii private si a datelor cu caracter personal ale utilizatorilor.

86. Desi comunicarea Comisiei privind internetul deschis si neutralitatea retelei in Europa abordeaza pe scurt aceste probleme, AEPD considera ca ar trebui depuse mai multe eforturi, pentru a se ajunge la o politica satisfacatoare privind calea de urmat. Prin prezentul aviz, AEPD a contribuit la continuarea dezbaterii politicilor privind neutralitatea retelei, in special cu privire la aspecte legate de confidentialitate si protectia datelor.

87. AEPD considera ca este necesar ca autoritatile nationale si OAREC sa monitorizeze situatia pietei. Aceasta monitorizare ar trebui sa conduca la o imagine clara care sa descrie daca piata evolueaza spre inspectia masiva, in timp real, a comunicatiilor si aspectele legate de respectarea cadrului juridic.

88. Monitorizarea pietei ar trebui sa fie insotita de o analiza suplimentara a efectelor noilor practici in raport cu protectia datelor si confidentialitatea pe internet. Prezentul aviz subliniaza o serie de domenii in care clarificarea ar fi benefica. Desi agentiile si organismele UE precum OAREC, Grupul de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal si AEPD ar putea fi in masura sa clarifice conditiile de aplicare a cadrului, AEPD considera ca Comisia are obligatia de a coordona si directiona dezbaterea. Prin urmare, aceasta solicita Comisiei sa ia o initiativa care sa implice toate partile interesate in cadrul unei platforme sau unui grup de lucru, in acest scop. Printre aspectele care necesita analiza suplimentara, ar trebui abordate urmatoarele puncte:

– stabilirea acelor practici de inspectie care sunt legitime pentru a asigura fluxul normal de trafic si care pot fi efectuate in scopuri de securitate;

– stabilirea cazurilor in care monitorizarea necesita consimtamantul persoanei, in special consimtamantul tuturor utilizatorilor vizati, si a parametrilor tehnici admisibili pentru a asigura ca tehnica de inspectie nu determina o prelucrare a datelor care nu este proportionala cu obiectivele sale propuse;

– in cazurile de mai sus, pot fi necesare orientari privind aplicarea garantiilor necesare de protectie a datelor (limitarea la un scop specific, securitate etc.).

89. In functie de aceste concluzii, pot fi necesare masuri legislative suplimentare. Intr-un astfel de caz, Comisia trebuie sa prezinte masuri strategice menite sa consolideze cadrul juridic si sa asigure certitudinea juridica. Noi masuri ar trebui sa clarifice efectele practice ale principiului neutralitatii retelei, intrucat acest lucru a fost deja realizat in unele state membre, si sa asigure ca utilizatorii pot exercita o alegere reala, in special prin obligarea furnizorilor de servicii de internet sa ofere conexiuni nemonitorizate.

Adoptat la Bruxelles, 7 octombrie 2011.

Peter Hustinx

Autoritatea Europeana pentru Protectia Datelor

[1] JO L 281, 23.11.1995, p. 31, denumita in continuare “Directiva privind protectia datelor”.

[2] JO L 8, 12.1.2001, p. 1, denumit in continuare “Regulamentul privind protectia datelor”.

[3] JO L 201, 31.7.2002, p. 37, astfel cum a fost modificat prin Directiva 2009/136/CE a Parlamentului European si a Consiliului din 25 noiembrie 2009 (a se vedea nota de subsol 15), denumita in continuare “Directiva privind confidentialitatea in mediul electronic”.

[4] COM(2011) 222 final.

[5] In raspunsul sau, AEPD a subliniat importanta luarii in considerare a aspectelor privind confidentialitatea si protectia datelor, precum si alte drepturi si valori existente. Raspunsul este disponibil la: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/2010/10-10-06_EC_Consultation_Open_Internet_EN.pdf

[6] Disponibil la http://register.consilium.europa.eu/pdf/en/11/st14/st14209.en11.pdf

[7] Este inclusa furnizarea de acces atat fix, cat si mobil la internet.

[8] Principiul nu se aplica totusi limitarii de catre furnizorii de servicii de internet a vitezei sau volumului de informatii pe care un abonat le poate trimite sau primi, prin intermediul abonamentelor cu limite de volum sau largime de banda. Prin urmare, in contextul principiului neutralitatii retelei, furnizorii de servicii de internet ar putea totusi sa ofere abonamente de acces la internet cu limitarea accesului pe baza unor criterii precum viteza sau volumul, in masura in care aceasta nu implica discriminare in favoarea sau impotriva unui anumit continut.

[9] A se vedea, de exemplu, Raportul OFCOM cu titlul “Site blocking to reduce online copyright infringement” (Blocarea site-urilor pentru reducerea incalcarii drepturilor de autor pe internet), adoptat la 27 mai 2011, disponibil la: http://www.culture.gov.uk/images/publications/Ofcom_Site-Blocking-_report_with_redactions_vs2.pdf: “Unii furnizori de servicii de internet utilizeaza deja un pachet de sisteme de inspectie in reteaua lor pentru gestionarea traficului si in alte scopuri, asadar consideram ca acesta poate fi utilizat, desi aceasta ar implica un nivel crescut de complexitate si costuri pentru cei care nu opereaza deja astfel de servicii. Este posibil ca, pe termen scurt si mediu, sistemul DPI (deep packet inspection) sa poata fi utilizat de furnizorii de servicii de internet de dimensiuni mai mari, data fiind investitia de capital necesara”.

[10] Calitatea aplicatiilor in timp real, precum streamingul video, depinde, printre altele, de latenta, si anume de intarzierile datorate congestiilor in retea.

[11] Sunt excluse operatiunile care vizeaza consolidarea securitatii retelei si detectarea traficului care aduce prejudicii, precum si operatiunile necesare pentru facturare si interconectare. De asemenea, sunt excluse obligatiile care deriva din Directiva privind pastrarea datelor, directiva 2006/24/CE a Parlamentului European si a Consiliului din 15 martie 2006 privind pastrarea datelor generate sau prelucrate in legatura cu furnizarea de servicii de comunicatii electronice puse la dispozitia publicului sau de retele de comunicatii publice, si de modificare a Directivei 2002/58/CE (JO L 105, 13.4.2006, p. 54) (denumita in continuare “Directiva privind pastrarea datelor”).

[12] Directiva 2002/21/CE din 7 martie 2002 privind un cadru de reglementare comun pentru retelele si serviciile de comunicatii electronice, modificata prin Directiva 2009/140/CE si prin Regulamentul (CE) nr. 544/2009 (JO L 337, 18.12.2009, p. 37).

[13] A se vedea punctul 3 litera (e), unde Consiliul recunoaste: “Necesitatea de a pastra caracterul deschis al internetului, garantand in acelasi timp ca poate continua sa furnizeze servicii de inalta calitate intr-un cadru care promoveaza si respecta drepturile fundamentale, precum libertatea de expresie si libertatea de a desfasura o activitate comerciala” si punctul 8 litera (d), care invita statele membre “sa promoveze caracterul neutru si deschis al internetului ca obiectiv al politicilor proprii”.

[14] Directiva 2002/22/CE, astfel cum a fost modificata prin Directiva 2009/136/CE a Parlamentului European si a Consiliului din 25 noiembrie 2009 de modificare a Directivei 2002/22/CE privind serviciul universal si drepturile utilizatorilor cu privire la retelele si serviciile de comunicatii electronice, a Directivei 2002/58/CE privind prelucrarea datelor personale si protejarea confidentialitatii in sectorul comunicatiilor publice si a Regulamentului (CE) nr. 2006/2004 privind cooperarea dintre autoritatile nationale insarcinate sa asigure aplicarea legislatiei in materie de protectie a consumatorului (JO L 337, 18.12.2009, p. 11). A se vedea, de asemenea, articolul 1 alineatul (3), care prevede ca directiva nici nu autorizeaza, nici nu interzice furnizorilor de servicii de internet sa limiteze accesul utilizatorilor finali la servicii si aplicatii si/sau utilizarea acestora, in cazul in care sunt permise de legislatia nationala si respecta legislatia comunitara, dar stabileste o obligatie de a furniza informatii cu privire la limitarile respective.

[15] Directiva 2009/136/CE a Parlamentului European si a Consiliului din 25 noiembrie 2009 de modificare a Directivei 2002/22/CE privind serviciul universal si drepturile utilizatorilor cu privire la retelele si serviciile de comunicatii electronice, a Directivei 2002/58/CE privind prelucrarea datelor personale si protejarea confidentialitatii in sectorul comunicatiilor publice si a Regulamentului (CE) nr. 2006/2004 privind cooperarea dintre autoritatile nationale insarcinate sa asigure aplicarea legislatiei in materie de protectie a consumatorului.

[16] Modificarea initiala a legii olandeze este disponibila la: https://zoek.officielebekendmakingen.nl/kst-32549-A.html Motivele relatate de presa cu privire la aceasta optiune de politica nu au facut referire la considerente legate de protectia datelor si confidentialitate, ci la motive in legatura cu asigurarea ca utilizatorii nu sunt privati de acces si nu li se ofera acces limitat la informatii. Astfel, se pare ca aspecte asociate accesului la informatii au motivat aceasta modificare.

[17] A se vedea nota de subsol nr. 4.

[18] A se vedea punctul 4 litera (e), unde Consiliul mentioneaza: “Existenta anumitor preocupari, majoritatea din partea consumatorilor si autoritatilor responsabile cu protectia datelor, in ceea ce priveste protectia datelor cu caracter personal”.

[19] Astfel cum se descrie in continuare in sectiunea IV.2, aceste protocoale codeaza informatiile transmise complet, intr-un mod asupra caruia s-a convenit, pentru ca partile implicate in comunicare sa se poata intelege reciproc, precum HTTP, FTP etc.

[20] Totusi, echipamentul retelei de internet utilizeaza protocoale de transmitere care inregistreaza activitatea, prelucreaza statistici referitoare la traficul si efectueaza schimburi de informatii cu alte echipamente de retea pentru a ruta pachetele IP utilizand cea mai eficienta cale. De exemplu, atunci cand un link este congestionat sau avariat, iar un router primeste aceste informatii, acesta va actualiza tabelul sau de rutare cu o alternativa care nu utilizeaza respectivul link. Trebuie mentionate, de asemenea, colectarea si prelucrarea care pot fi efectuate, in anumite cazuri, in scopul facturarii sau chiar in conformitate cu cerintele prevazute in directiva privind pastrarea datelor.

[21] HTTP – Hypertext transfer protocol (protocol de transfer hipertext) sau HTML – Hypertext Markup Language (limbaj de marcare a hipertextului).

[22] FTP – File transfer protocol (protocol de transfer fisiere).

[23] Exista diverse metode de identificare a protocoalelor utilizate. De exemplu, este posibila efectuarea unei cautari in campuri specifice din protocoalele interne, de exemplu pentru a identifica porturile utilizate pentru efectuarea comunicarii. O caracterizare statistica a fluxului comunicatiei poate fi dedusa, de asemenea, din analiza anumitor campuri specifice, corelarea protocoalelor utilizate simultan intre doua adrese IP.

[24] Fiecare protocol are anumite campuri specifice in antet care furnizeaza informatii suplimentare informale cu privire la comunicatia transmisa. Prin urmare, continutul acestor campuri poate fi denumit in continuare “metadatele comunicatiei”. Un exemplu de astfel de campuri poate fi numarul portului utilizat. De exemplu, daca numarul este 80, este foarte probabil ca tipul comunicatiei sa fie navigarea internet.

[25] Bineinteles, nu doar furnizorii de servicii internet au capacitati de urmarire. Dimpotriva, si furnizorii de retele de publicitate pot urmari utilizatorii pe site-urile internet, prin utilizarea modulelor cookie de la parti terte. A se vedea, de exemplu, un articol publicat recent in mediul academic, in care se arata ca Google este prezent pe 97 din primele 100 de site-uri, ceea ce inseamna ca Google poate urmari utilizatorii care nu au dezactivat modulele cookie de la parti terte atunci cand navigheaza pe aceste site-uri populare. A se vedea: Ayenson, Mika, Wambach, Dietrich James, Soltani, Ashkan, Good, Nathan and Hoofnagle, Chris Jay, Flash Cookies and Privacy II: Now with HTML5 and ETag Respawning (Modulele flash cookie si confidentialitatea: Acum cu HTML5 si ETag Respawning) ( 29 iulie 2011). Disponibil pe site-ul SSRN: http://ssrn.com/abstract=1898390. Urmarirea utilizatorilor prin module cookie de la parti terte a fost abordata de Grupul de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal. A se vedea Avizul nr. 2/2010 privind publicitatea comportamentala online, adoptat la 22 iunie 2010 (WP 171).

[26] Considerentul 10 din directiva privind confidentialitatea in mediul electronic are urmatorul continut: “In sectorul comunicatiilor electronice, Directiva 95/46/CE se aplica in special acelor chestiuni care privesc protejarea drepturilor si libertatilor fundamentale care nu sunt acoperite in mod anume de dispozitiile prezentei directive, inclusiv obligatiile de control si drepturile persoanelor individuale”. De asemenea, considerentul 17 este relevant pentru consimtamantul persoanei vizate: “In sensul prezentei directive, consimtamantul acordat de un utilizator sau un abonat, indiferent daca acesta din urma este o persoana fizica sau juridica, trebuie sa aiba aceeasi insemnatate ca si consimtamantul acordat de subiectul datelor, asa cum este definit si specificat de Directiva 95/46/CE”.

[27] Avizul nr. 2/2006 al Grupului de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal privind probleme de protectie a confidentialitatii asociate furnizarii de servicii de filtrare a e-mail-urilor, adoptat la 21 februarie 2006 (WP 118). In prezentul aviz, Grupul de lucru considera ca utilizarea de filtre in sensul articolului 4 poate fi compatibila cu articolul 5 din Directiva privind confidentialitatea in mediul electronic.

[28] Considerentul 18 din directiva cuprinde o dispozitie care exemplifica serviciile cu valoare adaugata. Nu este clar daca serviciile carora li se aplica cerintele de gestionare a traficului pot fi interpretate ca facand parte din lista. Se poate interpreta ca politicile de gestionare a traficului care urmaresc acordarea unei prioritati mai mari unui anumit continut confera o calitate serviciului. De exemplu, gestionarea traficului care implica doar prelucrarea antetelor IP si are ca scop furnizarea de servicii de jocuri la preturi ridicate, in cadrul carora traficul personal al utilizatorilor in retea in legatura cu jocurile este prioritar, poate fi considerata drept un serviciu cu valoare adaugata. Pe de alta parte, nu este deloc clar daca se poate considera la fel pentru gestionarea traficului pentru a strangula anumite tipuri de trafic, de exemplu pentru a diminua viteza traficului P2P.

[29] A se vedea considerentul 17 si articolul 2 litera (f) din Directiva privind confidentialitatea in mediul electronic.

[30] Adoptat la 13 iulie 2011 (WP 187).

[31] Un acord similar il constituie registrul cu numele pasagerilor (PNR), in contextul caruia s-a discutat daca este valid consimtamantul pasagerilor de a transfera detalii privind rezervarea autoritatilor americane. Grupul de lucru a considerat ca consimtamantul pasagerilor nu poate fi acordat liber, intrucat companiile aeriene sunt obligate sa trimita datele inainte de plecarea zborului, iar pasagerii nu au, prin urmare, o optiune reala daca doresc sa zboare; Avizul nr. 6/2002 al Grupului de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal privind transmiterea informatiilor din listele de pasageri si a altor date de la companiile aeriene catre SUA.

[32] Directiva 2009/136/CE din 25 noiembrie 2009 de modificare a Directivei 2002/22/CE privind serviciul universal si drepturile utilizatorilor cu privire la retelele si serviciile de comunicatii electronice (a se vedea nota de subsol 15).

[33] Cu exceptia cazurilor in care traficul implica transferul de informatii cu caracter personal cum ar fi, de exemplu, imagini cu persoane fizice identificabile afisate pe un site. Prelucrarea acestor informatii necesita un temei juridic, insa nu este reglementata de articolul 5 alineatul (1), intrucat aceste persoane nu sunt “utilizatori vizati”.

[34] Asa cum s-a specificat anterior, Directiva privind protectia datelor se aplica tuturor chestiunilor care vizeaza protectia libertatilor si a drepturilor fundamentale, care nu sunt reglementate in mod specific de Directiva privind confidentialitatea in mediul electronic.

[35] Aceasta nu aduce atingere necesitatii modificarilor legislative pe baza altor consideratii, in special in contextul revizuirii generale a cadrului juridic al UE privind protectia datelor, in vederea eficientizarii acesteia in contextul noilor tehnologii si globalizarii.

 

 

 

 

1 comentariu to “Avizul Autoritatii Europene pentru Protectia Datelor privind neutralitatea retelei, gestionarea traficului si protectia confidentialitatii si a datelor cu caracter personal”

  1. MOR spune:

    Din punct de vreede legal suma nu conteaza in stabilirea unui verdict ci poate doar in stabilirea pedepsei. Noi ca popor trebuie sa invatam ca nu exista furt mic ci doar furt. Cine e prins ca a gresit trebuie sa suporte rigorile justitiei, fie ea oarba doar partial. PS. O alta problema a noastra este ca nu tratam cu respect institutiile statului. Nu conteaza persoana ci institutia.

Adauga comentariu

*

Acest site folosește cookie-uri. Continuarea navigării presupune că ești de acord cu utilizarea cookie-urilor. Informații suplimentare

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close