Aici descoperim
dreptul tehnologiei

Flag_map_without_coastlines_1989-1200x526.png

Autoritatea de supraveghere a Regatului Unit (ICO) a emis primul aviz de punere în aplicare a GDPR. Avizul de punere în aplicare a fost emis împotriva AggregateIQ Data Services Limited (AggregateIQ), un furnizor de analiză a datelor cu sediul în Canada. Aceasta este prima măsură luată de ICO în afara Regatului Unit.

Condiții GDPR

GDPR se aplică companiilor și persoanelor din afara Uniunii Europene dacă:

  • Au un punct de lucru în Uniunea Europeană (de exemplu, un birou sau o sucursală)
  • Prelucrează date cu caracter personal ale persoanelor fizice în cadrul Uniunii Europene în legătură cu oferirea de bunuri sau servicii
  • Monitorizează comportamentului persoanelor în cadrul Uniunii Europene.

Concluziile ICO

Ca parte a unei investigații a utilizării analizei datelor în campaniile politice, ICO a constatat că AggregateIQ a folosit datele personale furnizate de către o serie de organizații politice pentru a viza publicitatea online către alegătorii din Regatul Unit. Anunțurile referitoare la referendumul din Regatul Unit privind aderarea la Uniunea Europeană au fost în mare parte create în numele Vote Leave.
ICO a concluzionat că AggregateIQ a încălcat GDPR prin utilizarea datelor cu caracter personal într-un mod necunoscut de persoanele vizate, în scopuri la care nu s-ar fi așteptat și fără un temei legal pentru prelucrarea datelor. În plus, prelucrarea era incompatibilă cu scopul pentru care datele au fost inițial colectate, iar persoanele vizate nu au fost informate cu privire la detaliile privind prelucrarea respectivă.
În cazul în care AggregateIQ nu respectă avizul de punere în aplicare, ICO poate aplica o amendă de până la 20 de milioane de euro sau de 4% din cifra de afaceri anuală, oricare dintre acestea este mai mare. Fiind primul aviz extrateritorial deanunț de  punere în aplicare emis în temeiul GDPR, va fi acordată o atenție mai mare nivelului amenzii solicitate de ICO.

Impact teritorial în Noua Zeelandă

Avizul de punere în aplicare pentru AggregateIQ le pune în vedere companiilor din Noua Zeelandă că pot fi supuse condițiilor GDPR (chiar dacă nu sunt stabilite în Uniunea Europeană). Cu toate acestea, deoarece prelucrarea datelor personale ale alegătorilor de către AggregateIQ a fost sensibilă din punct de vedere politic, rămâne neclar modul în care vor fi aplicate extrateritorial prevederile GDPR în ceea ce privește prelucrarea datelor. În prezent, ar trebui să se adopte o abordare pragmatică și proporțională a aplicării GDPR, până când vor fi puse la dispoziție mai multe instrucțiuni.

https://www.lexology.com/library/detail.aspx?g=f71badd0-0861-4bd7-841c-4ffe5149410d


what-is-blockchain-the-technology-explained-1200x480.jpg

Tehnologiile blockchain sunt din ce în ce mai promovate ca soluție pentru o varietate de operațiuni de prelucrare a datelor, în mare parte datorită caracteristicilor ca imutabilitatea, anonimatul și controlului descentralizat.
Cu toate acestea, pentru întreprinderile care în prezent utilizează sau intenționează să utilizeze tehnologii de tip blockchain, ar putea fi necesar să se țină seama de coerența între blockchain și legislația în domeniul protecției datelor. În special, unele dintre cerințele impuse de GDPR (de exemplu, dreptul la ștergerea datelor, dreptul la rectificare și dreptul la restricționarea prelucrării) par a fi dificil de îmbinat cu funcționarea blockchain.

 

Recent, autoritatea franceză de supraveghere (CNIL) a publicat un raport privind blockchain și GDPR. Raportul CNIL propune mai multe opțiuni pentru a minimiza riscurile de securitate care apar în urma utilizării tehnologiilor de tip blockchain, inclusiv stocarea majorității datelor relevante “off-chain” pentru a atenua problemele privind păstrarea și ștergerea datelor.
Aceasta pare a fi o abordare comună care este explorată în întreaga lume. Cu toate acestea, CNIL recunoaște că soluțiile propuse necesită o analiză suplimentară și inovație pentru a se asigura că acestea sunt viabile în practică. CNIL subliniază, de asemenea, că tehnologiile de tip blockchain nu ar trebui puse în aplicare decât dacă întreprinderile sunt capabile să stabilească faptul că blockchain este cea mai potrivită tehnologie pentru prelucrarea datelor cu caracter personal.

CNIL consideră că această chestiune are nevoie de o abordare europeană armonizată pentru a se asigura că există o implementare solidă a legislației privind protecția datelor și tehnologia blockchain.

Parlamentul European a reiterat aceste considerente într-o rezoluție recentă privind tehnologiile distribuite și blockchain, solicitând Comisiei Europene și autorităților de supraveghere a protecției datelor să ofere instrucțiuni suplimentare în această privință. Între timp, blockchain promite o revoluție tehnologică, însă capacitatea sa de a respecta această promisiune în practică este în mare măsură neverificată.

https://www.lexology.com/library/detail.aspx?g=bc6ef2bf-ed3c-4c19-89b4-1e71098bf465

http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P8-TA-2018-0373&language=EN&ring=B8-2018-0397


Dell-EMC-IA.jpg

Care sunt problemele juridice?

Cea mai interesantă problemă juridică a acestei tehnologii nu va apărea decât dacă un robot sau alt tip de mașină devine conștient. În acel moment, lumea va trebui să răspundă la multe întrebări etice și filosofice care depășesc cu mult textul acestui articol. Multe țări și organizații guvernamentale au pornit pe drumul reglementării altor aspecte ale AI.

Chiar dacă multe dintre problemele juridice emergente încep să fie recunoscute, un lucru este sigur: Legea va întârzia considerabil, în loc să anticipeze problemele juridice generate de această tehnologie care se dezvoltă rapid, deoarece AI calculează mai repede decât poate acționa legislativul. Deoarece legea este întotdeauna lentă când trebuie să se adapteze la tehnologie, în special la tehnologiile care se schimbă la fel de repede ca AI și AVT.

Reglementare, asigurare și politică publică

Uniunea Europeană a emis o rezoluție intitulată “Reguli europene de drept civil în domeniul roboticii”, care reprezintă primul pas pe calea reglementării AI în UE. Deși rezoluția nu este obligatorie, aceasta ridică întrebări politice interesante pe care avocații de pretutindeni trebuie să le ia în considerare.

De exemplu, în cazul accidentelor cauzate de utilizarea AI sau AVT, ar trebui ca regimul de răspundere să fie bazat pe “lipsa culpei”, pe neglijență sau proporțional cu nivelul instrucțiunilor furnizate de om și gradul de autonomie acordat mașinii sau aplicației? Ar trebui ca utilizarea acestor tehnologii să fie completată de o schemă de asigurare obligatorie sau de un fond național sau internațional de despăgubire a victimelor? Ar trebui ca “streamingul inteligent” (o metodă standard de partajare a datelor între infrastructurile de transport) să fie obligatoriu un factor în stabilirea ratelor de asigurare, sau să fie doar permis? Marea provocare va fi demonstrarea cauzalității într-un sistem bazat pe erori. Sistemele de învățare automatizată pot fi eliminate rapid din programarea directă. În această situație, va fi interesant de stabilit cui îi aparține vina.

De asemenea, rezoluția UE se axează pe un număr mare de considerente ce țin de etică și de ordine publică, cum ar fi:

  • protejarea oamenilor împotriva “manipulării” de către roboți;
  • asigurarea unui acces egal la aceste tehnologii;
  • “evitarea dispariției legăturilor sociale”; și
  • protejarea libertății și a vieții private.

Aceste chestiuni politice depășesc textul acestui articol, care se concentrează pe problemele juridice emergente în acest domeniu, și probabil vor fi dezbătute peste ani de zile.

Riscurile de ordin juridic

Există multe aspecte juridice care se vor aplica fiecărei industrii, în afara aviației. Printre acestea se numără:

  • Probleme legate de muncă. Oamenii vor fi înlocuiți. Acest lucru va cauza probleme în cadrul fiecărui contract colectiv de muncă existent. Totuși, să nu uităm că noile tehnologii creează aproape întotdeauna noi locuri de muncă și posibilități.
  • AI poate discrimina. AI funcționează în mare parte pe recunoaștere și algoritmi. Spre exemplu, algoritmii “de instruire” pot să discrimineze în mod involuntar solicitanții de credite, deoarece aceștia reflectă preferințele ilegale ale creatorilor și utilizatorilor lor. Cineva va trebui să decidă dacă vor fi mai importante calificările decât diversitatea, iar asemenea alegeri pot avea consecințe ilegale.
  • Confidențialitatea și “analiza predictivă” reprezintă probleme în desfășurare. Recunoașterea facială și alte tehnologii AI vor face posibilă urmărirea oricărei persoane care se deplasează în spații publice și a unui flux de date care ar putea fi folosite, la fel ca înregistrările telefonului mobil, pentru o mare varietate de motive atât bune, cât și rele. În plus, pentru formarea algoritmilor va fi necesară colectarea de informații de la milioane de consumatori. Această colectare și agregare a informațiilor permite deja mașinilor să analizeze și să prevadă ce filme vizionăm și în curând vor prevedea deplasările persoanelor, preferințele romantice și deciziile financiare.
  • Furtul de proprietate intelectuală. Dezvoltarea și instruirea algoritmilor AI este o operațiune costisitoare și dificilă, iar companiile care investesc în aceste aplicații trebuie să fie vigilente atât împotriva membrilor, cât și împotriva concurenților.
  • Dreptul de proprietate intelectuală. AI poate proprietate intelectuală. Cine o deține? Răspunsul nu este evident dacă ați cumpărat AI de la o terță parte și nu există acordul de închiriere sau cesiunea de brevete
  • Amenințări cibernetice. AI poate fi penetrat; datele vor fi descărcate; ca rezultat, oamenii pot fi răniți, jefuiți sau uciși. Avocații trebuie să ia în considerare aceste amenințări și să ia măsuri împotriva lor.

Problemele majore din domeniul aviației vor fi:

  • furtul de algoritmi AI personalizați de către concurenți, infractori cibernetici sau state;
  • răspunderea pentru accidente care implică AI sau AVT; și
  • răspunderea pentru încălcarea securității datelor.

Însă aici ne concentrăm doar pe unul dintre aceste riscuri – răspunderea pentru accidente.

Riscuri de răspundere

Indiferent cât de bine funcționează este această tehnologie, nu poate fi infailibilă. Vor avea loc accidente. Nici o tehnologie perfectă nu va putea evita anumite accidente, cum ar fi o persoană care iese pe drum din spatele unei bariere, un copac care cade pe o mașină care se află în mers; sau un meteorit care lovește un avion. Indiferent cât de multe posibilități ar fi, va exista întotdeauna un mod de funcționare defectuos pe care nimeni nu l-a prevăzut. De asemenea, AI ar putea fi forțată să facă alegeri etice imposibile, cum ar fi cazul unei defecțiuni a echipamentului, dacă să se prăbușească într-o zonă îndepărtată sau să încerce să aterizeze pe o autostradă, cauzând decese, dar mai puține decât dacă avionul s-ar fi prăbușit.

Aproximativ 40.000 de persoane mor în fiecare an pe autostrăzile americane. Dacă toată lumea ar fi folosit AVT, 30.000 de decese ar putea fi prevenite. Acesta este un beneficiu remarcabil pentru societate. Cu toate acestea, încă ar fi 10.000 de cazuri de deces.

Până când legea se va apropia de această tehnologie și va stabili fie regimuri de răspundere, fie fonduri de despăgubire a victimelor, avocații trebuie să consilieze clienții cu privire la modul de atenuare a acestor riscuri. Soluția este asigurarea, chiar dacă companiile de asigurări nu vor avea datele necesare pentru acoperirea precisă a costurilor. Un accident destul de grav poate genera consecințe grave pentru o companie.

Gestionarea riscului juridic

Deși riscurile răspunderii aduc provocări, există modalități de le gestiona:

  • Acoperirea costurilor de asigurare. Asigurarea este un prim pas, iar brokerii se luptă cu asemenea probleme.
  • Înțelegerea amenințărilor. Poate fi o provocare pentru avocați să discute cu brokerii și cu specialiștii, dar pe măsură ce produsele devin din ce în ce mai complexe, este imperios necesar ca avocații să dezvolte o înțelegere detaliată a conceptelor precum AI,  învățarea automatizată, big-data și vehiculele automatizate. În plus, nu trebuie ignorate riscurile legate de IP, confidențialitate, securitatea informațiilor, dreptul internațional și  resursele umane.
  • Implicarea la timp. Consilierea trebuie implicată și în faza de planificare și dezvoltare a proiectelor AI. Implicarea rapidă nu numai că asigurară unui nivel mai înalt de înțelegere a tehnologiei, dar oferă, de asemenea, o oportunitate de detectare timpurie a riscurilor juridice, care pot fi dificil de detectat odată ce un produs este lansat. În plus, evaluarea rapidă a riscurilor juridice poate ajuta la măsurarea riscurilor și a costurilor reale de lansare a unui nou produs, platformă sau sistem.
  • Urmărirea și influențarea acțiunilor de reglementare. Autoritățile de reglementare supraveghează îndeaproape acest spațiu, iar monitorizarea acestor autorități de reglementare este foarte importantă. Influențarea direcției legislației este la fel de importantă. Implicarea actorilor din industrie se poate dovedi foarte benefică.

Profesia de avocat a fost apărut cu mult înainte. Noile tehnologii cum ar fi VCR-urile, telefoanele mobile, GPS-ul, internetul și chiar aeronavele au adus provocări juridice noi care au durat ani de zile. AI și AVT nu vor fi diferite.

https://www.lexology.com/library/detail.aspx?g=99641e79-9969-43a8-8c65-df8fa483f027&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-12&utm_term=


nucomputing-blog-restrict-access-to-applications.jpg

Cazul, așa cum a fost raportat la data de 12 noiembrie 2018, este despre un fost angajat al unei firme de reparații de autovehicule care, la noua sa firmă, a accesat fără drept mii de înregistrări ale clienților, care conțineau date cu caracter personal, utilizând datele de conectare ale foștilor colegi. El a pledat vinovat și a fost condamnat la șase luni de închisoare.

Până în prezent, ICO a investigat și a urmărit încălcări ale legislației în materie penală în temeiul reglementărilor privind protecția datelor. Cu toate acestea, pedeapsa maximă care poate fi impusă pentru asemenea încălcări este o amendă. Deși amenzile pot fi mari, acestea sunt lipsite de efectul descurajator specific riscului de detenție.

Secțiunea 1 a Computer Misuse Act 1990 prevede pentru hacking (accesul neautorizat la materiale informatice) o pedeapsă maximă de doi ani de închisoare.

Există o suprapunere semnificativă între utilizarea ilegală a datelor cu caracter personal și utilizarea abuzivă a computerului. Este clar faptul că infracțiunea de hacking nu se limitează la hackerul care accesează în mod malefic sistemul informatic al unor persoane, ci se extinde în mod egal la activități inofensive, cum ar fi angajații care accesează fără autorizație anumite părți din sistemele angajatorilor,  sau în alte scopuri decât cele pentru care a fost acordată autorizația. Acest tip de comportament ar putea fi urmărit penal în temeiul oricăreia dintre cele două legi.

ICO, în calitate de organism statutar, este autorizată să solicite sancțiuni penale pentru orice infracțiune, cu excepția cazului în care există o dispoziție care să o împiedice să facă acest lucru. Faptul că aceleași fapte au putut fi sancționate în temeiul Data Protection Act nu împiedică sanționarea în temeiul Computer Misuse Act, dacă există convingerea că este oportun. În afară de cele mai aspre sancțiuni, infracțiunea de acces neautorizat în cadrul Computer Misuse Act ar putea să reflecte mai îndeaproape o sancționare corespunzătoare, furnizând ICO o alternativă la infracțiunea foarte specifică de “obținere a datelor fără consimțământ” în cadrul s170 DPA.

Persoanele care primesc o scrisoare nedorită de la ICO, nu se vor mai alege în cel mai rău caz cu o amendă. ICO spune că are posibilitatea și va solicita pedepse cu închisoarea.

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/11/six-month-prison-sentence-for-motor-industry-employee-in-first-ico-computer-misuse-act-prosecution/

https://www.lexology.com/library/detail.aspx?g=c4035ab5-d727-48b1-8cde-159ab3c1d0ed&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-16&utm_term=

https://www.legislation.gov.uk/ukpga/1990/18/contents


protecting-data-and-privacy-in-the-cloud1-1-1-1200x824.jpg

Înalta Curte a Regatului Unit a blocat o încercare de a iniția acțiuni în justiție împotriva Google pentru presupusa urmărire a unui număr estimat de 4,4 milioane de utilizatori de iPhone în 2011 și 2012.

Grupul de campanii “Google You Owe Us” a introdus reclamația ca acțiune reprezentativă în numele persoanelor afectate în 2017. Se consideră că aceasta este prima acțiune în masă din Marea Britanie de acest gen.

Pe scurt

Google You Owe Us a argumentat că Google și-a încălcat obligația prevăzută în Data Protection Act 1998 prin eludarea setărilor implicite în Apple Safari, plasarea cookie-urilor în browser pentru a urmări acțiunile utilizatorului și utilizarea datelor colectate pentru a vinde reclame.

Într-o cerere de acordare a permisiunii de a publica reclamația pe Google în Statele Unite, Înalta Curte a fost obligată să stabilească, printre altele, dacă cererea a avut o perspectivă rezonabilă de succes.

Justice Warby a recunoscut că Google ar fi putut încălcat obligația. El a spus: “Nu există nicio dispută în sensul că rolul Google în colectarea, colaționarea și utilizarea datelor obținute prin intermediul Safari Workaround să fie ilicit și să reprezinte o încălcare a obligațiilor”.

Cu toate acestea, instanța nu a putut hotărî în favoarea Google You Owe Us deoarece:

  • prejudiciul trebuie să fie cauzat de încălcare. Google You Owe Us a introdus cererea exclusiv pe baza pierderii controlului asupra datelor personale. Nu a fost invocată nicio pierdere materială sau suferință. Instanța a afirmat că trebuie să existe daune efective, cum ar fi o pierdere materială sau o suferință – fără aceasta, nu se pot acorda despăgubiri.
  • pentru a introduce o acțiune reprezentativă, persoanele afectate trebuie să aibă “același interes” în revendicare. În acest caz, nu toate au suferit pierderi și nu au suferit toate aceleași pierderi. Prin urmare, aceste persoane nu au putut avea “același interes” în plângere.
  • aceasta a fost o acțiune reprezentativă care prezintă un risc de abuz. Numărul de persoane afectate nu era cunoscut, iar persoanele ar fi fost obligate să se prezinte pentru a solicita despăgubiri. Instanța a constatat că au existat dificultăți în procesul de verificare: “Dacă nu există o metodă viabilă de identificare și excludere a unor persoane din această categorie, există un risc evident că despăgubirea va fi acordată și persoanelor care nu au suferit vreun prejudiciu.” în concordanță cu opoziția generală a instanțelor britanice în ceea ce privește acțiunile reprezentative bazate pe excludere.

Google You Owe Us intenționează să solicite permisiunea de a contesta decizia Înaltei Curți.

Concluzie

Acest caz clarifică faptul că orice reclamație a încălcării securității datelor trebuie să fie susținută de dovezi privind prejudiciile reale; o încălcare nu va fi suficientă. Cazul clarifică, de asemenea, faptul că acțiunile reprezentative nu pot fi introduse în numele persoanelor fizice neidentificate în Regatul Unit.

Într-o anumită măsură, spre deosebire de tendința generală de reglementare mai strictă și creșterea responsabilității în ceea ce privește prelucrarea datelor cu caracter personal, prin această decizie, Înalta Curte a subliniat limitările legate de aplicarea legislației privind protecția datelor, în special posibilitatea persoanelor vizate de a solicita despăgubiri financiare pentru încălcarea securității datelor personale.

https://www.lexology.com/library/detail.aspx?g=55847816-3f37-4868-be7f-3a822e5f588f&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-12&utm_term=

https://www.moneysavingexpert.com/news/2018/10/judge-rules-against–google-you-owe-us–campaign-group/


black-vintage-car-clipart-1200x1200.jpg

Ați putea ghici cine află despre dvs. următoarele lucruri?

  • unde locuiți;
  • unde lucrați;
  • la ce școală merg copiii dvs.;
  • religia dvs.;
  • cât de des vizitați medicul,
  • dacă respectați limita de viteză;
  • toate contactele de pe telefon;
  • detalii despre toate apelurile telefonice, mesajele;
  • ce posturi de radio ascultați; și
  • dacă ați plecat de la sala de fitness în această dimineață și ați făcut o cafea și un croissant

Majoritatea oamenilor ar spune că telefonul lor, dar câți oameni ar spune “mașina”?

Autovehiculele moderne sunt pline de setări care fac viața mai ușoară și mai sigură, cum ar fi controlul direcției, sistemul de control al vitezei de croazieră, sistemele de navigație și media. Toate aceste facilități au ca rezultat generarea unor cantități enorme de date (pe care unele estimări le pun la 25Gb de date pe oră – echivalentul a 125.000 de documente Word sau 100 de ore de video). În funcție de natura tehnologiei utilizate în automobilul dvs. modern, aceste informații sensibile ar putea fi accesibile sau puse la dispoziția mai multor părți interesate, inclusiv producătorului, operatorilor de rețele mobile, furnizorilor de sisteme auto sau furnizorilor de servicii de cloud pentru stocarea datelor.

Aceste date sunt importante și sunt de interes pentru multe părți – pentru a le pune în context, un studiu recent din martie 2018 realizat de McKinsey & Company estimează că industria conectivității auto poate valora între 450 și 750 de miliarde de dolari în întreaga lume până în 2030.

Este îngrijorător că nu există un cadru juridic specific la nivel european care să reglementeze protecția datelor colectate de la vehicule.

Toate datele colectate care constituie “date personale” (de exemplu, numele, adresa, numărul de telefon, locația GPS și datele biometrice) sunt supuse noii legislații GDPR . În conformitate cu GDPR, există șase temeiuri pentru prelucrarea datelor personale, cel mai utilizat fiind consimțământul persoanei vizate.

Când ați achiziționat mașina, v-ați dat consimțământul pentru stocarea și prelucrarea datelor dvs.?

Colectarea datelor de către mașina dvs. nu este doar un alt exemplu de ingerință a Big Brother – este mai mult de atât.

Majoritatea companiilor colectează date cu scopul declarat de a menține și de a îmbunătăți serviciile furnizate sau de a dezvolta noi servicii. Există, fără îndoială, împrejurări în care oamenii ar prefera ca datele automobilelor să fie puse la dispoziția poliției și accesate de aceasta (în cadrul competențelor prevăzute de legislația națională). La începutul acestui an, poliția din Irlanda a reușit, să utilizeze datele despre locație de la un Nissan Qashqai pentru a urmări deplasarea lui Mark Hennessy în timp ce o răpea pe Justine Valdez .

În SUA, tehnologia este utilizată în mod obișnuit în mașini de către autoritățile de aplicare a legii, ceea ce dă naștere la preocupări majore privind protecția datelor. De exemplu, într-un caz, un șofer a activat accidental sistemul SOS al mașinii în timp ce discuta despre o afacere cu droguri. Personalul call-center a ascultat discuția, apoi a informat poliția locală care l-a arestat ulterior pe conducătorul auto. În acest caz, în timp ce primul gând este că arestarea unui traficant de droguri este în mod evident un lucru bun, vi se pare în regulă faptul că operatorii call-center ai producătorului de automobile ar putea asculta discuțiile dvs. private în timp ce vă aflați în mașină, dacă ați activat accidental sistemul de urgență? Poate că acesta este un preț care merită să fie plătit pentru siguranță știind că, dacă ați suferit un accident, ajutorul va fi la îndemână.

Ce părere aveți despre colectarea datelor de către mașina dvs.? V-ați bucura să fie utilizate pentru a vă prezenta conținut și anunțuri personalizate?

De exemplu, dacă autovehiculul dvs. urmează să rămână fără motorină/ benzină, v-ar plăcea să vă informeze că există o stație de alimentare în apropiere (indicații de orientare) și că veți obține o reducere cu 5% a combustibilului dacă veți merge acolo? În această “tranzacție”, stația de alimentare plătește, probabil, producătorului de automobile o anumită taxă pentru afișarea anunțului, dvs. veți obține o reducere a prețului benzinei/motorinei și stația ar beneficia și de alte achiziții ale dvs. (cum ar fi o cafea) în timp ce alimentați automobilul. Este o situație în care toate părțile au de câștigat sau este cu adevărat terifiant?

În cele din urmă, este clar că într-o lume curajoasă a mașinilor conectate, nimeni nu știe exact spre ce ne îndreptăm. Cu toate acestea, dintr-o perspectivă juridică, proprietarii de mașini trebuie să fie informați cu privire la toate datele personale colectate și la modul în care vor fi utilizate – fără acestea, producătorii se expun investigațiilor autorităților de supraveghere și reclamațiilor din partea clienților.

https://www.lexology.com/library/detail.aspx?g=0e462f17-e2fd-47b3-9396-d69fef19025f&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-12&utm_term=

 


social-media-globe.jpg

Într-un aviz publicat la 5 octombrie 2018, Autoritatea Europeană pentru Protecția Datelor și-a exprimat îngrijorarea și a formulat câteva recomandări importante cu privire la unul dintre punctele-cheie ale reformelor legislative din Noul Acord pentru Consumatori al UE.

Pe scurt

UE a efectuat o reevaluare majoră a directivelor UE în materie de protecție a consumatorilor. În consecință, UE a propus o serie de modificări la regimul existent, care este descris ca “un nou acord pentru consumatori”. Propunerile, dacă sunt puse în aplicare, ar avea ca rezultat o răspundere sporită pentru încălcarea legislației privind protecția consumatorilor în UE și ar extinde drepturile consumatorilor la contracte în care serviciile digitale sunt oferite gratuit. Acest lucru ar însemna că utilizatorii de rețele sociale, stocare cloud pentru fotografii personale și multe alte servicii digitale ar trebui să revizuiască respectarea legislației privind protecția consumatorilor.

Una dintre reformele legislative cheie propuse este o nouă directivă privind o mai bună aplicare și modernizarea normelor UE privind protecția consumatorilor. Autoritatea Europeană pentru Protecția Datelor și-a publicat acum opinia cu privire la propunerea de directivă și a făcut câteva recomandări importante cu privire la modul în care ar trebui modificate propunerile pentru a se asigura că acestea nu intră în conflict cu GDPR.

Cum rămâne cu Brexit?

Cu toate că actualul calendar al Brexit înseamnă că este puțin probabil ca Regatul Unit să fie obligat să pună în aplicare noua lege pentru consumatori în dreptul intern, multe companii vor dori să adopte o abordare coerentă drepturilor consumatorilor în întreaga Europă. În acest caz, va trebui să ia în considerare implicațiile acestor noi propuneri în legătură cu operațiunile din Regatul Unit, precum și cu cele din UE. De asemenea, cel puțin este posibil ca orice tranzacție comercială din Regatul Unit cu UE să necesite o aliniere a drepturilor consumatorilor, astfel încât directiva să poată fi pusă în aplicare în legislația britanică într-un fel sau altul.

Avizul Autorității Europene pentru Protecția Datelor

La 5 octombrie 2018, Autoritatea Europeană pentru Protecția Datelor a publicat un aviz cu privire la proiectul de directivă privind o mai bună aplicare și modernizarea normelor UE în domeniul protecției consumatorilor. Este semnificativ deoarece supraveghetorul a identificat unele incoerențe cu GDPR și a sugerat că există posibilitatea subminăii GDPR.

Autoritatea de Supraveghere este preocupată de impactul planului de a extinde drepturile de protecție a consumatorilor la contracte în care serviciile digitale sunt oferite efectiv în schimbul datelor personale ale consumatorilor, cum ar fi rețelele sociale și motoarele de căutare. Actuala variantă a directivei sugerează că datele cu caracter personal pot fi utilizate ca plată pentru aceste tipuri de servicii. Supraveghetorul este îngrijorat de faptul că acest lucru are ca efect legitimarea ideii că datele cu caracter personal sunt o formă acceptabilă de plată pentru asemenea servicii.

Această legitimare riscă să încurajeze furnizorii de rețele sociale și alte persoane să pretindă că prelucrarea datelor este “necesară pentru încheierea unui contract cu persoana vizată”, ceea ce le-ar permite să evite cerințele exigente de a obține consimțământul conform GDPR. De asemenea, îi privează pe cetățenii UE de drepturile care rezultă din prelucrarea datelor obținute prin consimțământ, cum ar fi dreptul de a fi uitat și dreptul de a retrage consimțământul în orice moment.

De asemenea, supraveghetorul este preocupat de faptul că utilizarea contractului ca temei legal de prelucrare, permite companiilor să acceseze mai multe date cu caracter personal despre persoana vizată decât strictul necesar pentru a furniza serviciile. Problema este că acest lucru subminează chiar scopul GDPR.

Autoritatea de Supraveghere consideră că prelucrarea întemeiată pe contract devine abuzivă, iar noul acord pentru consumatori are potențialul de a legitima și de a extinde această activitate.

De ce contează?

În primul rând, contează deoarece avizul supraveghetorului va putea influența acest lucru și, prin urmare, redactarea propunerii de directivă se va schimba în sensul preocupărilor sale.

Între timp, analiza supraveghetorului ne oferă o perspectivă asupra potențialului de prelucrare a datelor cu caracter personal în temeiul contractului. Simpla propunere a UE de a reglementa contractele în care consumatorii furnizează date personale în schimbul serviciilor digitale, sugerează că există o acceptare tacită a acestui acord – deși nu de către supraveghetor însuși.

Cu toate acestea, autoritățile de reglementare nu vor privi cu ochi buni companiile care se bazează pe contract ca temei legal pentru prelucrarea datelor care nu sunt strict necesare pentru furnizarea serviciului; sau care îl utilizează ca mecanism de evitare a obținerii consimțământului.

http://europa.eu/rapid/press-release_IP-18-3041_en.htm

https://www.lexology.com/library/detail.aspx?g=e38e63fb-f629-4196-a337-2443ce95a517&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-12&utm_term=


kisspng-cartoon-comics-illustration-driving-a-private-car-the-whole-family-5a972a7fc89ca5.3565528115198562558217-1200x922.png

În cadrul celui de-al treilea Pachet de Mobilitate, Comisia Europeană a adoptat o “Strategie a UE pentru Mobilitatea Viitorului” în mai 2017. Această strategie a propus “o abordare globală a mobilității contectate și automatizate, stabilind o agendă europeană clară, ambițioasă și orientată către viitor”, identificând “acțiuni de susținere pentru dezvoltarea și desfășurarea tehnologiilor-cheie, a serviciilor și a infrastructurii “și “asigurându-se că implementarea mobilității conectate și automatizate va putea fi susținută de cadrele juridice și politice ale UE , abordând simultan problemele sociale și de mediu care vor fi decisive pentru acceptarea publică”.

Consultarea publică privind mobilitatea conectată și automatizată (CAM) este deschisă pentru comentarii până la data de 4 decembrie și Comisia dorește să identifice “principalele provocări legate de dezvoltarea vehiculelor conectate și automatizate”, punând accent pe:

  • amenințările la adresa securității informatice și problemele de încredere. Fără o abordare sectorială specifică privind securitatea informatică, Comisia încearcă să propună diverse măsuri pentru a crea un cadru pentru securitatea informatică în CAM, inclusiv ca parte a Regulamentului General privind Siguranța (revizuit în prezent prin procesul legislativ al UE), mai exact pentru a include normele în curs de dezvoltare la nivel internațional;
  • aspecte privind administrarea datelor, aspecte legate de respectarea vieții private și de protecția datelor personale: strategia CAM a Comisiei a sugerat monitorizarea cadrului actual, reglementat de GDPR și Directiva privind confidențialitatea în mediul electronic, iar consultarea urmărește identificarea unor acțiuni prin care statele membre să pună în aplicare principiile în acest cadru, pentru a promova accesul, schimbul de date, prelucrarea și stocarea datelor; și
  • diferite aspecte ale nevoilor tehnologice pentru testarea la scară largă sau pre-implementarea 5G: Comisia dorește să identifice dacă statele membre au nevoie de orientări în ceea ce privește banda de frecvență care ar putea fi utilizată pentru testare și experimentare la scară largă sau pentru o implementare timpurie.

În ceea ce privește contribuția industriei, Comisia a adresat întrebări specifice unor principalilor actori, cum ar fi producătorii de mașini, furnizorii de servicii de internet și furnizorii de servicii de telecomunicații, precum și celor care vizează publicul, utilizatorii finali și autoritățile publice. Rezultatele acestei consultări vor constitui o recomandare politică adresată statelor membre și actorilor din industrie, care urmează a fi adoptată până la sfârșitul anului 2018 – începutul anului 2019. Odată cu mandatul Comisiei care se va schimba anul viitor, este probabil ca această recomandare politică să alimenteze necesitatea unei acțiuni legislative suplimentare în următorii cinci ani.

De remarcat este faptul că strategia CAM se dezvoltă în paralel cu alte activități la nivelul UE privind vehiculele automatizate, inclusiv cele conduse de grpul Comisiei Europene GEAR 2030 și Platforma C-Roads.

https://ec.europa.eu/transport/modes/road/news/2018-05-17-europe-on-the-move-3_en

https://www.lexology.com/library/detail.aspx?g=60220011-a51b-4cb1-9f15-701f3ce5d1b2&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-16&utm_term=


DPO-întreabă-LegalUp-răspunde-1.png

Un DPO, cumpărător al KIT-ului nostru de implementare, ne-a adresat următoarea întrebare:

Întrebare: Conform GDPR trebuie ca, anterior începerii supravegherii video, să te consulți cu reprezentanții salariaților / sindicatul, să soliciți lămuriri firmei care a instalat sistemul de supraveghere privind conformitatea instalației și să informezi personal cu privire la supravegherea video. Dacă ne-am mutat în clădire cu mult timp înainte de GDPR, în condițiile în care noi am preluat clădirea cu sistemul de supraveghere video deja instalat, înțeleg că nu se mai poate pune problema ca anterior începerii supravegherii video să facem ceea ce am precizat anterior.

În aceste condiții, mai trebuie să facem acțiunile amintite mai sus?
Răspuns:  Art. 5 din Legea 190/2018 privind măsurile de punere în aplicare a GDPR prevede ca „ În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Prin urmare, intervin două situații:

Situația #1. Activitatea de supraveghere video a început anterior intrării în vigoare a Legii nr. 190/2018, prin urmare operatorul trebuie respecte toate conditiile de la punctele a-e cat mai curand.

Situația #2. Activitatea de supraveghere video a început ulterior intrării în vigoare a Legii nr. 190/2018, prin urmare operatorul trebuie respecte toate conditiile de la punctele a-e înainte de începerea efectivă a activității de prelucrare.

Concluzia: trebuie să respectați cerințele Legii 190/2018. 

 

Ai nevoie documentație GDPR și/sau de suport la implementarea cerințelor GDPR? Cumpără KIT-ul nostru de implementare și îți răspundem gratuit la întrebări despre GDPR timp de un an. 

 


privacy-10x10-FB-1200x1200.jpg

De la intrarea în vigoare a GDPR, impactul său continuă să fie resimțit de cercetătorii din domeniul securității informatice, de anchetatorii și autoritățile de aplicare a legii și, probabil, mai puțin evident,de oricine se bazează pe informațiile furnizate de Corporaţia pentru Atribuirea Numelor şi Numerelor în Internet (ICANN). Aceasta include avocați care verifică în mod obișnuit WHOIS pentru a stabili identitatea unui solicitant de nume de domeniu.

ICANN solicită registratorilor de nume de domeniu să colecteze informații, cum ar fi informațiile de contact, de la solicitanții de nume de domeniu. Anterior, în lipsa unui serviciu de protecție a datelor plătit de solicitantul înregistrării, informațiile colectate erau făcute publice de către registrator prin baza de date WHOIS. Acum, în efortul de a evita răspunderea în cadrul GDPR, registratorii se abțin de la publicarea acestor informații. În schimb, pe baza unei specificații temporare elaborate de ICANN, mulți oferă o adresă de e-mail randomizată sau un punct de contact pe web, care pot fi utilizate pentru a contacta în mod anonim solicitantul.

Specificația temporară impune, de asemenea, fiecărui registrator să determine, de la caz la caz, dacă partea care solicită informațiile personale are un interes legitim și dacă depășește interesele legate de protecția datelor ale solicitantului înregistrării. Rămâne de văzut rolul pe care acest test de echilibrare îl va juca în practică.

Vestea bună este că, în ciuda acestor schimbări, proprietarii de mărci pot în continuare să depună plângeri în cadrul Politicii Uniforme de Rezolvare a Disputelor privind Numele de Domenii (UDRP), însă acest lucru va implica mai multe eforturi. Ceea ce a fost odată un proces cu o singură etapă poate necesita acum două sau trei etape: depunerea unei acțiuni fără a include detaliile solicitantului, apoi modificarea plângerii pentru a include mai târziu aceste informații, odată ce forumul primește informațiile de la registrator.

Specificațiile temporare ale ICANN expiră în mai 2019 și probabil vor fi și alte modificări.

https://www.lexology.com/library/detail.aspx?g=67c11ab2-81d6-4960-acd8-4c049858ecf4&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-16&utm_term=

https://whois.icann.org/en/policies