Aici descoperim
dreptul tehnologiei

hands-holding-heart_23-2148172201.jpg

Într-o societate aflată în plină expansiune tehnologică și digitală, aplicațiile de sănătate precum Apple Health, Google Fit, Fitbit, Strava, SymTrac și multe altele au crescut exponențial, având un număr crescând de utilizatori de toate vârstele. Evident, obiectivul declarat al acestor aplicații este îmbunătățirea calității vieții prin monitorizarea constantă a sănătății, prin depistarea timpurie a unor simptome care ar putea indica o maladie, sprijinirea actului medical, și, nu în ultimul rând, promovarea unui stil de viață activ și sănătos, toate acestea prin simpla descărcare gratuită a aplicației și conferirea acordului cu privire la prelucrarea datelor cu caracter personal de către aceasta.

Este predictibil faptul că multiplele avantaje sunt, într-o formă sau alta, contrabalansate prin anumite aspecte mai puțin transparente.  Dacă în 2014, un articol publicat de către BBC News concluziona că aplicațiile de sănătate reprezintă ”vești bune”[1], prin numeroasele facilități puse la dispoziția utilizatorilor printr-un simplu click, tot BBC News, 5 ani mai târziu, trage un semnal de alarmă cu privire la aceste aplicații, afirmând că reprezintă un ”risc fără precedent pentru viața privată”.[2] Această schimbare de abordare se fundamentează, bineînțeles, pe sporirea preocupării legiuitorului, a celorlalte autorități relevante, precum și a utilizatorilor pentru protecția vieții private și a prelucrării legale a datelor cu caracter personal, având în vedere că aceste aplicații colectează o cantitate îngrijorătoare de date personale considerate ”date cu caracter special” în temeiul art. 9 RGPD (date privind sănătatea) și că acest tip de date merită o protecție suplimentară.

Te-ar putea interesa și:

1.Aplicațiile de sănătate – motive de îngrijorare

După cum am menționat deja, un prim motiv de îngrijorare este cantitatea vastă de date personale care sunt colectate. Aplicațiile de sănătate colectează date precum: numele utilizatorilor, detalii despre locație, despre dispozitiv, despre sistemul de operare, istoricul căutărilor de pe Internet, cookie-uri, adrese de e-mail[3], precum și, evident, informații legate de sănătatea fizică sau mentală a utilizatorilor. Cu privire la ultima categorie, aceste aplicații colectează date referitoare la: numărul de pași efectuați, activitatea fizică, calendarul menstrual, sarcina, dieta, alimentația, greutatea corporală, înălțimea, ritmul cardiac[4], nivelul glicemiei[5], simptome ale diverselor boli, progresul efectuat în tratarea anumitor boli și multe altele. De asemenea, aplicațiile mai recente oferă posibilitatea completării unui chestionar de către utilizatori în vederea atribuirii unui diagnostic și a unui eventual tratament în privința stării psihice a utilizatorului. De exemplu, în viitorul apropiat se apreciază că prin aceste aplicații se poate ajunge la concluzia că utilizatorul suferă de depresie, are anumite fobii sau că necesită anumite terapii comportamentale cognitive.[6]

Desigur, toate aceste date sunt colectate și prelucrate, în principiu, cu scopul prestării serviciului oferit prin aplicația respectivă sau având consimțământul expres al utilizatorului, având în vedere că acesta, în cazul celor mai multe aplicații de sănătate, este nevoit să introducă el însuși datele referitoare la propria sănătate (de exemplu, nivelul glicemiei măsurat în ziua respectivă, greutatea corporală, calendarul menstrual). Se poate afirma că introducerea manuală a acestor date echivalează cu un consimțământ expres al utilizatorului. Așadar, cerințele art. 6 și 9 ale RGPD ar fi satisfăcute. De asemenea, nu este prea dificil pentru aceste aplicații să obțină încrederea utilizatorilor, în virtutea așteptărilor acestora că datele lor privind sănătatea sunt manipulate într-o manieră similară modului în care instituțiile sanitare (spitale, clinici, cabinetele medicilor de familie etc.) manipulează datele pacienților. În realitate însă, s-a apreciat că aplicațiile de sănătate nu oferă un nivel de protecție a vieții private nici măcar comparabil cu cel oferit de instituțiile sanitare.[7]

Un al doilea motiv de îngrijorare este utilizarea abuzivă a datelor cu caracter special ale utilizatorilor colectate de către furnizorii aplicațiilor de sănătate. Concret, riscul rezidă în partajarea acestor date cu companii terțe. Așadar, scopul prelucrării acestor date excede semnificativ sfera prestării serviciului. S-a arătat printr-un studiu că, dintr-un eșantion de 24 de aplicații de sănătate, 19 dintre acestea partajează datele utilizatorilor cu companii terțe, fără acordul sau înștiințarea utilizatorului.[8]

 

KIT GDPR Premium

 

2. Aplicațiile de sănătate și transferurile de date. Unde pot ajunge datele tale?

2.1.Facebook, Alphabet, Oracle și alte companii

Aceste companii primesc datele utilizatorilor aplicațiilor de sănătate, le analizează și le utilizează pentru crearea de profiluri ale acelor utilizatori și pentru efectuarea de publicitate direcționată către aceștia. La prima vedere, nu ar fi nimic eronat ca o persoană care suferă de diabet și care utilizează o aplicație de monitorizare a nivelului glicemiei să vizualizeze în cronologia profilului său de Facebook oferte de produse alimentare adaptate dietei diabeticilor. Dimpotrivă, acest lucru ar putea veni chiar în sprijinul persoanelor vizate. Totuși, există și anumite riscuri care ar trebui luate în considerare.

Evident, simplul fapt al primirii în mod constant al unui număr nelimitat de mesaje comerciale nesolicitate de către un utilizator al unei aplicații de sănătate poate fi deranjant pentru acesta. Mai mult decât atât, toate aceste date, odată ajunse la anumite companii care le analizează, pot contribui la formarea unor profiluri extrem de detaliate despre fiecare dintre noi, utilizatorii de aplicații de sănătate. În ciuda faptului că majoritatea furnizorilor de astfel de aplicații declară că nu se partajează niciodată date precum numele utilizatorului[9] (deci identificarea acestuia nu este directă), prin combinarea acestor date medicale cu toate celelalte date deținute de Facebook, de exemplu, se poate identifica în mod facil utilizatorul (deci, avem de-a face cu o persoana fizică identificabilă, conform art. 4 RGDP) și i se poate crea un profil detaliat care se află acum la dispoziția gigantului de tehnologie, profil care poate fi ”vândut” mai departe către alte companii.

2.2.Companii de asigurări de viață sau de sănătate

Principalul motiv pentru care aceste companii ar fi interesate de datele privind sănătatea este posibilitatea de a analiza, înainte de încheierea unui contract de asigurare, gradul de risc al viitorului client, risc care s-ar putea concretiza în accesarea unui sume asigurate mai mari sau mai rapid.[10] Aplicațiile de sănătate ale unei persoane pot indica anumite obiceiuri sau boli care i-ar putea reduce semnificativ speranța de viață. Totuși, chiar dacă aceste companii de asigurări declară că nu iau decizii exclusiv pe baza datelor medicale ale clienților, se apreciază că se lasă cu siguranță influențate de acestea.[11] De exemplu, o persoană care este supraponderală, manifestă anumite probleme legate de ritmul cardiac, este sedentară și diabetică (toate aceste date fiind colectate de către aplicațiile de sănătate pe care această persoană le utilizează și partajate cu companiile de asigurări) ar putea ridica anumite semne de întrebare și ar putea fi privită cu scepticism de către compania de asigurări.

2.3.Bănci și alte instituții de credit

Similar principiului descris mai sus, și instituțiile de credit ar putea fi semnificativ influențate de istoricul medical al unui potențial client. Mai mult decât atât, acestea ar putea chiar refuza acordarea unui credit bancar[12] unei persoane care se constată că are probleme de sănătate și ar putea ca, în viitor, din cauza acestor probleme, să se afle în imposibilitatea de a-și îndeplini obligațiile contractuale (fie din cauză că a decedat sau din cauza unei incapacități de muncă).

 2.4.Companiile de recrutare și angajatorii

Același raționament este aplicabil. În general, angajatorii încearcă să evite angajații predispuși la a beneficia de concedii medicale prelungite, de indemnizații sau de concedii de maternitate[13]. Evident, acest lucru ar putea duce la discriminare, consecință valabilă și în cazul instituțiilor de credit sau al companiilor de asigurări. Acest lucru contravine în mod evident prevederilor RGPD, care prevede în art. 22 că ”Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau care o afectează în mod similar într-o măsură semnificativă”.

2.5.Instituții sanitare

În vreme ce unii medici recomandă ei înșiși pacienților utilizarea unor aplicații de sănătate (cu scopul efectuării programărilor și trimiterii rezultatului unor analize către medic)[14], s-a afirmat că datele privind sănătatea, odată ajunse la instituțiile sanitare, ar putea conduce la o discriminare între pacienți în materia acordării de servicii medicale avansate.[15].

3.Aplicațiile de sănătate. Ce putem face pentru a ne proteja confidențialitatea datelor privind sănătatea?

1. Să citim cu atenție sporită politicile de confidențialitate ale aplicațiilor de sănătate pe care le descărcăm;

2. Să configurăm setările de confidențialitate (ale aplicației, dar și ale telefonului)[16] astfel încât să putem beneficia de un nivel maxim de confidențialitate. De exemplu, în cazul Google Fit: să deconectăm toate aplicațiile terțe cu care această aplicație interacționează (Manage connected apps – Disconnect)[17]. În cazul Apple Health, putem să oprim accesul aplicației la senzorii de mișcare ai telefonului (Privacy – Motion&Fitness – oprirea opțiunii Fitness Tracking)[18] ;

3. Să urmărim cu atenție orice posibilitate de a bloca sau de a limita partajarea datelor noastre de către aplicația de sănătate cu aplicații/companii terțe, indicate prin butoane de tipul ”disagree” sau ”opt-out”[19];

4. Să utilizăm dispozitive la fel de eficiente pentru monitorizarea sănătății, dar care implică o tehnologie mai ”rudimentară” și, deci, mai puțin invazivă pentru viața privată. De exemplu, în locul unei aplicații care măsoară distanța parcursă și intensitatea unui antrenament, se recomandă utilizarea unui dispozitiv de măsurare a pulsului aplicat pe braț (care stochează aceste date doar pe dispozitiv, și nu le trimite către un server), iar apoi accesarea unei diagrame cardiace online (www.heart.org) pentru interpretarea rezultatelor obținute[20];

5. Să alegem cu grijă aplicațiile de sănătate pe care le folosim. De exemplu, aplicațiile recomandate de către un medic sunt mai susceptibile de a intra sub incidența legilor care guvernează protecția vieții private și a datelor cu caracter personal. De asemenea, se recomandă utilizarea unor aplicații de sănătate cu plată, deoarece, în cazul celor ”gratuite”, plătim de fapt cu datele noastre personale[21] (evident, nu este exclus ca și cele cu plată să prelucreze în mod abuziv datele noastre, însă incidența este mai scăzută).

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:



bored-girl-using-tablet-carpet_23-2147833828.jpg

În Codul publicat în luna ianuarie, ICO (Autoritatea de supraveghere din UK) introduce 15 principii pentru prelucrarea datelor copiilor online. Aceste principii sunt destinate a ajuta companiile să dezvolte servicii (aplicații) și dispozitive care să protejeze în mod adecvat datele cu caracter personal ale copiilor și să aibă în vedere interesul superior al copiilor.

Principiile propuse de ICO sunt următoarele:

1. Interesul superior al copilului. Interesul superior al copilului ar trebui să fie o focusul principal atunci când se proiectează sau se dezvoltă servicii online care pot fi accesate de un copil.

2. Evaluarea impactului asupra protecției datelor (DPIA). Efectuați o DPIA pentru a evalua și a reduce riscurile pentru drepturile și libertățile copiilor care vor accesa serviciul. Luați în considerare diferitele vârste, capacități și necesități de dezvoltare.

Te-ar putea interesa și: GDPR Practic. Ghid. Cum efectuăm evaluarea de impact (DPIA)?

3. Aplicație adecvată vârstei. Adoptați o abordare bazată pe risc pentru recunoașterea vârstei utiliztorului și asigurați-vă că aplicați principiile din Cod în mod adecvat vârstei.

Te-ar putea interesa:

4. Transparență: Notele de informare către copii și alte documente (termene și condiții, politici) trebuie să fie concise, clare ușor de înțeles și într-un limbaj adecvat vârstei copil.

5. Prelucrarea nepotrivită a datelor cu caracter personal. Nu utilizați datele cu caracter personal în modalități în care ar putea să afecteze copii sau contravin legii. Prelucrarea datelor copiilor online ar trebui să fie întotdeauna legală și corectă față de copil.

6. Politici și standarde ale comunității. Redactați termene și condiții, polici și standarde ale comunității care să includă, dar să nu se limiteze la politici de confidențialitate, restricții de vârstă, reguli de comportament și conținut acceptabil.

7. Setările implicite. Setările implicite trebuie să fie la un „nivel înalt de confidențialitate”, cu excepția cazului în care poți demonstra un motiv întemeiat pentru o altfel de setare, luându-se în calcul interesul superior al copilului.

 

 

8. Minimizarea datelor. Colectează și stochează doar datele cu caracter personal care sunt necesare pentru furnizarea serviciului.

9. Transferul datelor. Nu transmite datele în afara oraganizației decât dacă poți demonstra un motiv întemeiat pentru un astfel de transfer, luând în calcul interesul superior al copilului.

10. Geo-localizare. Dezactivează geo-localizarea în mod implicit, cu excepția cazului în care poți demonstra un motiv întemeiat pentru o astfel de abordare, luând în calcul interesul superior al copilului.

11. Control parental. Dacă oferi control parental, explică acest lucru copilului. Dacă serviciul online permite unui părinte să îi monitorizeze online activitatea, introduce un semn evident pentru a atenționa copilul atunci când este monitorizat.

12. Profilare. Dezactivează profilarea în mod implicit, cu excepția cazului în care poți demonstra un motiv întemeiat pentru profilare, luând în calcul interesul superior al copilului.

13. Tehnici-impuls. Nu folosi tehnici-impuls pentru a conduce sau încuraja copilul să ofere date cu caracter personal care nu sunt necesare sau să dezactiveze setările de confidențialitate.

14. Jucării sau dispozitive conectate. Principiile trebuie să se aplice și dispozitivele sau jucăriilor conectate.

15. Instrumente online de confidențialitate. Oferă instrumente online accesibile și proeminente ca să ajuți copilul să își exercite drepturile și să depună plângeri.

 

Te-ar putea interesa și:



DPIA1.png

Ne-am propus să scriem despre GDPR dintr-o perspectivă puțin mai practică, iar azi vă prezentăm un scurt ghid despre evaluarea de impact.

Ce este evaluarea de impact (DPIA)?

Evaluarea de impact (DPIA) este un obligație nouă impusă operatorilor de date de către GDPR, fiind obligatorie doar în situațiile în care o anumită activitate de prelucrare prezintă un risc ridicat pentru persoanele fizice vizate.

Efectuarea unei evaluări de impact are drept scopuri gestionarea și prevenirea riscurilor la adresa persoanei vizate și reprezintă o măsură pentru demonstrarea conformității la GDPR. Cu alte cuvinte, în situație în care este obligatorie efectuarea unei evaluări de impact, operatorul trebuie să demonstreze că a efectuat-o pentru a sta la adăpost de sancțiunile GDPR. Neefectuarea unei evaluări de impact, atunci când aceasta este obligatorie, poate conduce către amenzi de până la 10 milioane EUR sau, în cazul unei întreprinderi, până la 2% din cifra de afaceri globală anuală, oricare dintre acestea este mai mare. Poți citi aici și alte situații care pot conduce la amenzi GDPR. 

Când este obligatorie efectuarea evaluării de impact?

GDPR impune operatorilor o abordare bazată pe risc. Evaluarea de impact (DPIA) nu este obligatorie în orice situație, ci doar atunci când o anumită activitate de prelucrare prezintă un risc ridicat pentru persoanele vizate. („ar putea duce la un risc ridicat petnru drepturile și libertățile persoanelor fizice” (art. 35(1) GDPR)

Următoarea figură arată principiile de bază după care trebuie să ne ghidăm pentru a afla dacă suntem obligați sau nu să realizăm o evaluare de impact.

Figură din Ghidul Grupului de Lucru privind Evaluarea de Impact

Cu toate acestea, ANSPDCP a publicat o listă orientativă privind cazurile în care evaluarea de impact este obligatorie prin Decizia nr. 174/2018. A se remarca faptul că lista nu este exhaustivă, ci oferă doar câteva exemple unde efectuarea unei evaluări de impact este obligatorie. Această concluzie rezultă din art. 1 alin. (1) din Decizia nr. 174/2018 : „Evaluarea impactului asupra protecţiei datelor cu caracter personal de către operatori este obligatorie în special în următoarele cazuri”

Totuși, chiar dacă nu ne regăsim în niciuna din situațiile din decizia ANSPDCP, este posibil să avem obligația să realizăm o evaluare de impact deoarece, așa cum am precizat deja, lista de mai sus nu este exhaustivă și pot exista situații care nu se regăsesc mai sus, dar sunt susceptibile să genereze un risc ridicat pentru persoanele fizice.

În continuare, pentru a putea identifica dacă este obligatorie sau nu realizarea unei evaluări de impact, vom analiza ce spune fostul Grup de Lucru Art. 29 (actual Comitet European pentru Protecția Datelor) despre cazurile în care evaluarea de impact (DPIA) este obligatorie.

Pentru a identifica dacă o anumită activitate de prelucrare este „susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice”, trebuie luați în calcul mai mulți factori, dar următoarele întrebări pot fi utile în a afla dacă este necesară sau nu efectuarea unei evaluări de impact:

1.Există activități de evaluare sau scoring, inclusiv profilare sau preconizare care pot avea un impact ridicat asupra drepturilor și libertăților persoanelor vizate?

Exemple: evaluarea performanței la locul de muncă, monitorizarea clienților de către o societate de asigurări pentru a preveni frauda, monitorizarea clienților de către o bancă pentru a preconiza comportamentul viitor etc.

2.Prelucrarea poate conduce la excluderea sau discriminarea persoanelor?

3.Datele sunt sensibile sau sunt de natură foarte personală?

Datele sensibile sunt datele genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind sănătatea, datele privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice, datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate.

Date sensibile sunt și datele copiilor sub 16 ani, dar și datele privitoare la condamnări și infracțiuni.

 

 

4. Sunt datele prelucrate pe scară largă?

Pentru a identifica dacă o activitate prelucrare este efectuată pe scară largă, Grupul de Lucru Art. 29 recomandă luarea în calcul a următorilor factori:

  • Numărul persoanelor vizate;
  • Suprafața geografică unde se întinde activitatea de prelucrare;
  • Volumul datelor;
  • Durata activității de prelucrare.

5. Sunt utilizate noi tehnologii în respective activitate de prelucrare?

 Exemple: amprentă digitală, recunoaștere facială, internet of things.

În principiu, pentru orice nouă tehnologie ar trebui efectuată o evaluare de impact pentru a afla impactul potential asupra drepturilor și libertăților persoanei vizate. Fiind o tehnologie nouă, este posibil ca potențialele riscuri asupra drepturilor persoanelor vizate să nu fie cunoscute în prezent.

În principiu, dacă răspunsul este „DA” la mai mult de două întrebări de mai sus, realizarea unei evaluări de impact (DPIA) este obligatorie.

 

Te-ar putea interesa și:

 

PROCEDURA. CUM REALIZĂM EVALUAREA DE IMPACT (DPIA)

1. Când se realizează evaluarea de impact?

Potrivit GDPR, evaluarea de impact se realizează anterior activității de prelucrare și se actualizează pe măsură ce în procesul de prelucrare intervin noi modificări. Potrivit Grupului de Lucru Art. 29, efectuarea DPIA este un proces continuu, iar nu un exercițiu unic. Evaluarea de impact (DPIA) face parte din documentația GDPR. 

2. Cine este obligat să efectueze evaluarea de impact (DPIA)?

Organizația este obligată să efectueze DPIA și o poate face cu resurse interne (ca de exemplu șabloane) sau poate externaliza acest proces unui avocat. În ambele situații, operatorul este responsabil pentru efectuarea ei.  La efectuarea evaluării de impact și, îndeosebi, pe raportul final, trebuie cerut avizul responsabilului cu protecția datelor (DPO).

Dacă activitatea de prelucrare este realizată de persoana împuternicită, aceasta din urmă este obligată să participe și să sprijine concret operatorul la efectuarea evaluării de impact și să ofere toate informațiile necesare.

Operatorul este obligat să solicite avizul persoanelor vizate sau al reprezentanților acestora la efectuarea evaluării de impact. Acest aviz poate fi obținut, de exemplu, prin sondaje. Dacă nu obține avizul persoanelor vizate, operatorul ar trebui să documenteze în scris motivul pentru care a decis să nu obțină acest aviz.

KIT GDPR Premium

 

Cum realizăm evaluarea de impact (DPIA)?

RGPD stabilește caracteristicile minime ale unei DPIA (art. 35 (7) și Considerentele 84 și 90):

  • „o descriere a operațiunilor de prelucrare preconizate și scopurilor prelucrării ”;
  • „o evaluare a necesității și proporționalității prelucrării”;
  • „o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate”;
  • „măsurile preconizate în vederea abordării riscurilor și demonstrării conformității cu GDPR”

Următoarea figură ilustrează procesul descris anterior.

Figură din Ghidul Grupului de Lucru privind Evaluarea de Impact

 

Pentru gestionarea riscurilor se vor utiliza următorii pași:

  • Stabilirea contextului;
  • Evaluarea riscurilor (probabilitatea și gravitatea riscurilor);
  • Tratarea riscurilor (măsuri propuse pentru atenuarea riscurilor).

Structura și forma concretă a unei evaluări de impact este lăsată la libera apreciere a Organizației, cu toate aceastea, ea trebuie să ilustreze o evaluare reală a riscurilor. Noi am inclus în KIT GDPR Premium, un șablon editabil Word și precompletat pentru efectuarea unei evaluări de impact, împreună cu o procedură operațională pentru efectuarea evaluării de impact (află mai multe aici).

Când trebuie consultată Autoritatea de supraveghere?

Atunci când, din raportul DPIA rezultă că riscurile sunt ridicate și măsurile identificate nu sunt suficiente pentru a atentua riscurile, trebuie consultată Autoritatea de supraveghere. Dacă totuși riscurile sunt ridicate, însă au fost găsite măsuri care atenuează concret aceste riscuri, Autoritatea de supraveghere nu trebuie consultată.

Alte criterii pentru efectuarea corectă a unei DPIA

Metologia descrisă de Grupul de Lucru Art. 29 pentru efectuarea corectă a unei DPIA este următoarea:

  1. Descrierea prelucrării
  2. Evaluarea necesității și proporționalității
  3. Identificarea riscurilor
  4. Gestionarea riscurilor și propunerea măsurilor pentru atenuarea riscurilor
  5. Implicarea părților interesate (avizul DPO, avizul persoanelor vizate).

Ai nevoie de un șablon pentru efectuarea unei evaluări de impact? O găsești în KIT-ul nostru de implementare. 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:



ethnic-player-with-football-using-phone-headphones_23-2148203544.jpg

Potrivit unui studiu din 2018, jocurile gratuite pe smartphone atrag aproape 60 % din utilizatorii de jocuri digitale. Un succes tot mai mare pentru aplicații de joc deseori gratuite și care cauzează dependență, utilizând uneori o cantitate mare de date.

 

Care sunt utilizările?

Printre jocurile cele mai descărcate de români se numără, în principal, cele denumite „free to play” (gratuite). Majoritatea acestor jocuri se obține gratuit în câteva clicuri și sunt, în special, adaptate situațiilor de mobilitate (tren, metrou…) sau perioadelor de inactivitate (coadă de așteptare, pauza zilnică…).

 

În spatele fiecărei afaceri cu jocuri gratuite se află colectarea de date…

Există o multitudine de modele economice pentru aplicațiile mobile de joc care variază de la publicitate (în aplicație sau în afara aplicației), microplăți sau freemium (pentru a obține avantaje și opțiuni, a grăbi evoluția sau a accesa alte nivele) la sponsoring (sponsorizare) sau promovarea serviciilor comerciale mai tradiționale.

Atunci când jocurile sunt gratuite, această gratuitate nu este în general decât una aparentă, fiindcă aplicațiile valorifică, mai mult sau mai puțin direct, datele generate de utilizatori de pe smartphone-ul lor. Acest lucru se aplică mai ales în cazul informației privind localizarea, care este “informația regină” a telefonului inteligent, una dintre veritabilele contraponderi ale jocului, care se dovedește a fi foarte prețioasă pentru a rafina ținta publicitară.

…pentru a încuraja cumpărarea

De asemenea, aplicațiile de jocuri profită de angajamentul jucătorilor pentru a colecta numeroase date comportamentale (răbdarea jucătorului, gustul riscului, descurajarea în fața unui obstacol…). Anumie aplicații doresc să exploateze la maxim comportamentul jucătorului pentru a încuraja achiziționarea care îl face să progreseze în cadrul jocului. Tehnicile se bazează pe aceleași mecanisme de frustrare și de recompense ca și la jocurile de noroc și cazinouri.

 

 

…pentru parteneriatele comerciale

În sfârșit, jocurile bazate pe localizare – cum ar fi Pokémon GO care beneficiază de o bază importantă de utilizatori – atrag persoanele către spații fizice comerciale (magazine partenere, mărci care sponsorizează locații…).

Mai concret, în loc să revândă datele utilizatorilor, autorul jocului preferă să-și determine jucătorii să-i viziteze partenerii comerciali. Aceștia îl vor remunera mai mult sau mai puțin pe autor în funcție de calitatea profilurilor care le vor trece pragul. Astfel, cu cât datele colectate de aplicație sunt mai precise, cu atât profilul jucătorului/consumatorului este mai fiabil, iar remunerarea autorului va fi mai consistentă.

 

Te-ar putea interesa și:

 

De ce să fiți vigilenți cu datele dumneavoastră?

Multe informații colectate despre dumneavoastră

Dată fiind lipsa de transparență a anumitor aplicații, mulți utilizatori nu sunt conștienți de cantitatea de informații personale pe care o pot transmite către exterior și nici nu știu unde ajunge sau în ce scopuri poate fi utilizată. Nu trebuie niciodată pierdut din vedere că un joc gratuit implică o contrapondere care se obține de la jucător.

Vigilență față de riscul aplicațiilor rău intenționate

Mulți utilizatori ai aplicațiilor de jocuri online au fost deja victime ale unui prejudiciu (virus, piratarea unui cont de joc, suprafacturarea comunicațiilor etc.). Sub pretextul oferirii unei experiențe gratuite, o aplicație rău intenționată poate accesa informații de care nu are nevoie, poate conține un virus sau, mai mult, poate fura anumite informații bancare! Alte aplicații pot pur și simplu prezenta deficiențe de securitate.

 

Recomandări pentru jucători

  • să evitați utilizarea aplicațiilor terțe neoficiale, din surse necunoscute sau să le piratați;
  • să citiți comentariile utilizatorilor în magazinul de aplicații și să setați căutarea de opinii după comentariile cele mai recente;
  • atunci când este posibil, să limitați numărul de informații furnizate în timpul înscrierii: introduceți un pseudonim, utilizați o adresă de mail spam etc.;
  • să utilizați o parolă diferită de cele utilizate pentru alte servicii online;
  • închideți aplicațiile când ați terminat de jucat și ștergeți-le după ce nu le mai utilizați;
  • dacă telefonul dumneavoastră vă permite, dezactivați accesul la conexiunea de rețea pentru ca aplicația să nu poată avea acces la internet;
  • dacă jocul vă cere să faceți fotografii, gândiți-vă la celelalte persoane din jurul dumneavoastră și nu le fotografiați fără acordul lor;
  • resetați în mod periodic identificatorul dumneavoastră publicitar.
  • Verificați permisiunile solicitate înainte de a instala o aplicație și refuzați permisiunile care nu sunt necesare:
  • nu autorizați accesul la contacte sau la microfonul dumneavoastră dacă acest lucru nu este util, în special pentru un joc video;
  • dezactivați accesul aplicației la geolocalizarea smartphone-uluiatunci când nu e necesară: dacă geolocalizarea este indispensabilă jocului, puteți închide funcționalitatea o dată ce jocul este închis.

KIT GDPR Premium

 

 

Sursa CNIL



young-women-showing-facebook-icon_53876-71136.jpg

În secolul vitezei faptul că oferim informații poate părea un lucru obișnuit. Pe de altă parte, faptul că nu cunoaștem cum vor fi ele procesate sau utilizate, reprezintă o problemă însemnată. De aceea, pentru prevenirea oricăror temeri în materie de colectare și utilizare a informațiilor, platforma de socializare Facebook a prevăzut și modalitatea de colectare și de utilizare a datelor în cadrul Politicii de utilizare a datelor.

Informațiile colectate de către platforma de socializare Facebook

Conform politicii de utilizare a datelor, platforma de socializare Facebook colectează și procesează informațiile noastre personale. Informațiile colectate de platforma de socializare Facebook sunt următoarele:

  • Informații furnizate personal sau furnizate de alte persoane. În această categorie sunt incluse informațiile oferite la crearea unui cont sau la distribuirea unui anumit conținut. De asemenea, sunt colectate și informațiile privitoare la fișierele și informațiile încărcate online;
  • Informațiile cu privire la evenimentele din viața personală, orientările religioase și politice, starea de sănătate. În privința acestor informații se instituie o protecție specială;
  • Informațiile privitoare la paginile accesate, la grupurile și produsele promovate în cadrul acestora. În această categorie intră și agenda telefonică, jurnalul de apeluri, istoricul de mesaje text;
  • Informații despre conținutul vizualizat, acțiunile întreprinse, persoanele cu care interacționăm (inclusiv ora și durata acestor activități);
  • Informații privitoare la achizițiile sau tranzacțiile efectuate prin intermediul platformei, numărul cardului de debit, informații cu privire la cont, informațiile legate de facturare, livrare și de contact;
  • Informații privind conținutul sau comunicările, care sunt furnizate de alte persoane (când alte persoane distribuie sau adaugă comentarii la o fotografie în care suntem etichetați);
  • Informațiile cu privire la telefoanele sau alte dispozitive contectate la internet și care sunt integrate cu produsele Facebook;
  • Informații cu privire la produsele prezentate în scopul personalizării conținutului lor (reclamele afișate).

 

Te-ar putea interesa și:

 

Informațiile sunt enunțate cu titlu limitativ.

 

 

 

Cum sunt utilizate informațiile furnizate către Facebook?

Informațiile furnizate către platforma de socializare Facebook vor fi utilizate, potrivit politicii de confidențialitate, după cum urmează:

  • În scopul îmbunătățirii și al personalizării produselor prezentate în online. Prin îmbunătățire se înțelege prezentarea de sugestii de grupuri sau evenimente care ar putea să reprezinte subiecte de interes pentru utilizatori;
  • În scopul simplificării accesului, prin completarea automată a informațiilor de înregistrare, precum numărul de telefon, adresa de e-mail, numele și prenumele și alte asemenea date;
  • În scopul personalizării reclamelor, utilizând informațiile cu privire la locație (persoanele aflate în apropriere, locurile vizitate, afacerile din apropierea locurilor respective);
  • În scopul dezvoltării și al îmbunătățirii produselor prezentate, incluzând în această categorie și realizarea de sondaje;
  • În scopul recunoașterii în mod facil în fotografii a persoanelor, prin utilizarea funcției de recunoaștere facială. Această funcție, conform politicii Facebook, se bucură de protecție specială în conformitate cu prevederile legislative ale Uniunii Europene ;
  • În scopul personalizării și selectării reclamelor și ofertelor de interes, prin utilizarea informațiilor despre interesele, acțiunile și conexiunile personale;
  • În scopul ajutării promotorilor și partenerilor să măsoare eficacitatea și distribuirea reclamelor, pentru a înțelege care sunt tipurile de persoane ce le utilizează serviciile;
  • În scopul promovării siguranței și securității prin utilizarea datelor pentru investigarea activităților suspecte sau încălcării condițiilor sau politicilor Facebook;
  • În scopul realizării și susținerii cercetării și inovării în domeniile legate de bunăstarea socială generală, progresul tehnologic, interesul public, sănătatea și bunăstarea oamenilor.

Informațiile sunt enunțate cu titlu limitativ.

#Privacyconcerns sau preocupări în materie de protecție a vieții private

Preocupările privind protecția vieții private în sfera online-ului sunt întemeiate. Astfel, utilizatorii platformelor de socializare trebuie să cunoască faptul că viața privată se termină acolo unde începe Facebook. Iar aceste susțineri se întemeiază pe Decizia Înaltei Curți de Casație și Justiție nr. 4546/27 noiembrie 2016, Secția de Contencios administrativ și fiscal, care a hotărât faptul că profilul personal de Facebook este spațiu public. Acest fapt presupune inclusiv situația în care o persoană poate să fie trasă la răspundere juridică pentru opiniile exprimate pe profilul de Facebook despre o altă persoană, în măsura în care ele se dovedesc a produce un prejudiciu. În acest sens, s-a apreciat de către instanțele naționale faptul că o faptă este considerată a fi săvârșită în public și în situația în care locul săvârșirii faptei ar aparține unei colectivități umane sau atunci când acesta provine de la o colectivitate umană (a se vedea în acest sens legal-land.ro, Facebook este spațiu public). În aprecierea faptului că rețeaua de socializare Facebook este spațiu public, instanțele naționale au constatat că mesajele postate pe o rețea de socializare care prin natura sa este destinată accesului oricărui utilizator sau al publicului este de asemenea destinată și utilizatorilor considerați ,,utilizatori intermediari”. Totodată, posibilitatea de răspândire (share-uire) a unei imagini, a unui mesaj ca urmare a accesării unui profil de Facebook, face ca mesajul sau imaginea transmisă să devină una publică, inclusiv prin transmiterea sa către mass-media.

Preocupările privind protecția vieții private reprezintă elemente de actualitate în sfera Dreptului internetului și în materie contencioasă, interferența dintre acesta două ramuri (platformă online – viață privată) având efect hotărâtor asupra persoanei.

Te-ar putea interesa și:



google-spying-1024x576.jpg

Transparență, informare și consimțământ. Azi, 21 ianuarie 2019, CNIL, Autoritatea de supraveghere din Franța a amendat Google în temeiul Regulamentului General privind Protecția Datelor cu 50.000.000 Euro pentru lipsa transparenței față de persoanele vizate, pentru informarea neadecvată și lipsa unui consimțământ valabil pentru utilizarea reclamelor personalizate. 

Amendă GDPR Google. Istoric

Investigația a început în iunie 2018 la plângererile persoanelor vizate și a durat aproximativ 7 luni. Pentru a investiga plângerile depuse, CNIL a efectuat inspecții online în luna septembrie 2018. Scopul a fost de a verifica conformitatea operațiunilor de prelucrarea implementate de GOOGLE cu legislația privind protecția datelor din Franța și GDPR. Verificarea conformității cu legislația privind protecția datelor s-a realizat prin analizarea modelului de navigare al unui utilizator și documentele la care utilizatorul poate avea acces atunci când creează un cont GOOGLE în timpul configurării unui echipament mobil care utilizează Android.


Amendă GDPR Google. Încălcarile GDPR sesizate de către CNIL

Pe baza inspecțiilor efectuate, comisia restrânsă a CNIL responsabilă de examinarea încălcărilor legii privind protecția datelor a observat două tipuri de încălcări ale GDPR.

Încălcarea obligațiilor de transparență și informare a persoanelor vizate

În primul rând, comisia restrânsă a observat că informațiile furnizate de GOOGLE nu sunt ușor accesibile utilizatorilor.

CNIL a observat că modul de structurare a informațiilor prezentate utilizatorilor nu respectă GDPR. Informațiile esențiale, cum ar fi scopurile procesării datelor, perioadele de stocare a datelor sau categoriile de date personale utilizate pentru personalizarea anunțurilor, sunt difuzate excesiv în mai multe documente, cu butoane și link-uri pe care trebuie să faceți clic pentru a accesa informații suplimentare. Informațiile relevante sunt accesibile după mai multe etape, implicând uneori până la 5 sau 6 acțiuni. De exemplu, acesta este cazul când un utilizator dorește să aibă o informație completă cu privire la datele sale colectate în scopuri de personalizare sau pentru serviciul de urmărire geografică.

Mai multe despre modul în care trebuie să efectuați informarea online a utilizatorilor puteți afla aici

În plus, CNIL a observat că unele informații nu sunt întotdeauna clare și complete.

 

Te-ar putea interesa și:

 

Utilizatorii nu sunt în măsură să înțeleagă pe deplin amploarea operațiunilor de procesare efectuate de GOOGLE. Dar operațiunile de procesare sunt deosebit de masive și intruzive datorită numărului de servicii oferite (aproximativ douăzeci), cantității și naturii datelor prelucrate și combinate. CNIL observă în special că scopul prelucrării este descris într-o manieră prea  vagă, la fel și categoriile de date prelucrate în aceste scopuri diferite. În mod similar, informațiile comunicate nu sunt suficient de clare, astfel încât utilizatorul să poată înțelege ca baza legală a operațiunilor de procesare (anunțurilor personalizate) este consimțământul, iar nu interesul legitim al companiei. În cele din urmă, CNIL observă că informațiile privind perioada de păstrare nu sunt furnizate pentru unele date.

Amendă GDPR Google. Încălcarea obligației de a avea un temei juridic pentru utilizarea anunțurilor personalizate. Consimțământul nu este valabil

Compania GOOGLE afirmă că obține consimțământul utilizatorului de a procesa date în scopul personalizării anunțurilor. Cu toate acestea, CNIL consideră că acordul nu este obținut în mod valabil din două motive.

În primul rând, comisia restrânsă observă că acordul utilizatorilor nu este suficient de informat.

Mai multe despre ce condiții trebuie să îndeplinească consimțământul pentru a respecta GDPR, puteți afla aici

Informațiile despre operațiile de prelucrare cu privire la anunțurile personalizate sunt împrăștiate în mai multe documente și nu permit utilizatorului să fie conștient de amploarea lor.

Dacă vrei să afli mai multe despre ce condiții trebuie să îndeplinească consimțământul pentru a fi valabil din punct de vedere GDPR, poți afla de aici. 

CNIL observă că acordul colectat nu este “specific” și nici “neechivoc” așa cum cere GDPR. Atunci când un cont este creat, utilizatorul poate modifica anumite opțiuni asociate contului făcând clic pe butonul «Mai multe opțiuni», accesibil deasupra butonului «Creare cont». Dar acest lucru nu înseamnă că GDPR este respectat având în vedere că, printre altele, afișarea personalizării anunțurilor este, de asemenea, pre-bifată. Cu toate acestea, așa cum se prevede în GDPR, consimțământul este “neechivoc” doar în urma unei acțiuni afirmative a utilizatorului (prin bifarea unei casete care nu este pre-bifată, de exemplu). În cele din urmă, înainte de a crea un cont, utilizatorul este rugat să bifeze casetele “Sunt de acord cu Termenii și condițiile Google” și “Sunt de acord cu prelucrarea informațiilor mele așa cum sunt descrise mai sus și explicate în continuare în Politica de confidențialitate” pentru a crea cont. Prin urmare, utilizatorul își dă consimțământul în întregime pentru toate operațiunile de procesare efectuate de GOOGLE pe baza acestui consimțământ (personalizarea anunțurilor, recunoașterea vorbirii etc.). Această practică nu corespunde cerințelor GDPR deoarece acordul este „specific” numai dacă este acordat distinct pentru fiecare scop, iar nu o singură dată pentru toate scopurile.

 

Te-ar putea interesa și:

 

Google este amendat cu 50 de milioane de EURO

CNIL sancționează Google cu o amendă de 50 de milioane de EURO.

Aceasta este prima dată când CNIL aplică noile limite de sancționare prevăzute de GDPR. Suma stabilită și publicitatea amenzii sunt justificate de gravitatea încălcărilor constatate în ceea ce privește principiile esențiale ale GDPR: transparență, informare și consimțământ.

În ciuda măsurilor puse în aplicare de GOOGLE,  încălcările constatate îi privează pe utilizatori de garanții esențiale în ceea ce privește operațiunile de procesare care pot dezvălui părți importante din viața privată, deoarece se bazează pe procesarea unei cantități imense de date și combinații aproape nelimitate. CNIL reamintește că amploarea acestor operațiuni de prelucrare în cauză impune utilizatorilor să-și controleze datele. Utilizatorii trebuie să fie informați, să își dea consimțământul în mod valabil și să le fie respectate drepturile în temeiul GDPR.

Amenda uriașă este justificată și raportat la faptul că încălcările sunt continue ale Regulamentului, deoarece acestea încă se produc.

În sfârșit,  CNIL justifică amendă și raportat la numărul mare de utilizatori vizați, luând în considerare locul important pe care sistemul de operare Android îl are pe piața franceză, mii de utilizatori francezi creând zilnic noi conturi Google.

Sursa aici



143-1439437_student-school-pupil-education-pupil-going-to-school-1200x861.png

Respectarea principiilor privind protecția datelor și, în special, corectitudinea ar trebui să fie esențiale pentru prelucrarea datelor personale ce aparțin copiilor.

Trebuie să aveți un temei legal pentru prelucrarea datelor personale ale unui copil. Consimțământul este un temei posibil, dar nu este singura opțiune. Uneori, alegerea unui alt temei este mai adecvată și oferă o protecție mai bună datelor copilului.

Ce e nou în cadrul GDPR?

Dacă vă bazați pe consimțământ ca temei legal pentru prelucrarea datelor cu caracter personal atunci când oferiți un serviciu direct copiilor, ar trebui să verificați dacă persoana care își dă consimțământul în aceste condiții are vârsta potrivită pentru a face acest lucru. Pentru copiii sub vârsta de 16 ani, trebuie să obțineți consimțământul de la cei care au autoritatea părintească asupra acestora, cu excepția cazului în care serviciul pe care îl oferiți este un serviciu online de prevenire sau consiliere. Trebuie, de asemenea, să verificați dacă persoana care acordă consimțământul deține, de fapt, autoritatea părintească pentru copil.

Copiii necesită, de asemenea, o protecție sporită atunci când colectați datele lor personale și le utilizați în scopuri de marketing sau pentru a crea pagini sau profiluri de utilizator.

În cele mai multe cazuri, nu trebuie să luați decizii cu privire la copii numai pe baza prelucrării automatizate, dacă acest lucru va avea un efect juridic sau alt efect similar semnificativ asupra acestora. Circumstanțele în care GDPR vă permite să luați astfel de decizii sunt limitate și se aplică numai dacă ați luat măsuri adecvate pentru protejarea intereselor copilului.

KIT GDPR Premium

 

Ce trebuie să luăm în considerare atunci când alegem temeiul pentru prelucrarea datelor cu caracter personal ale copiilor?

Înainte de a începe prelucrarea datelor unui copil, trebuie să alegeți un temei legal. Puteți utiliza orice temei dintre cele prevăzute de GDPR.

Dacă doriți să vă bazați pe consimțământ ca temei pentru prelucrare, atunci copilul trebuie să poată înțelege ceea ce acceptă, altfel consimțământul nu este “informat” și, prin urmare, nu este valabil. Există și câteva reguli suplimentare pentru consimțământul online.

Dacă vă bazați pe “executarea unui contract”, atunci trebuie să luați în considerare capacitatea copilului de a accepta contractul și de a înțelege implicațiile prelucrării.

Dacă vă bazați pe interesul legitim, trebuie să vă echilibrați propriile interese legitime (sau ale terților) cu drepturile și libertățile fundamentale ale copilului. Aceasta implică o verificare în ceea ce privește natura și scopul prelucrării și riscurile potențiale pntru copii. De asemenea, trebuie să luați măsurile adecvate pentru a-i proteja împotriva acestor riscuri.

 

Ce se întâmplă dacă vrem să direcționăm marketingul către copii?

Copiii necesită o protecție sporită atunci când utilizați datele lor personale în scopuri de marketing. Nu trebuie să exploatați lipsa lor de înțelegere sau vulnerabilitatea.

Aceștia au dreptul să se opună prelucrării datelor personale pentru marketingul direct. Asadar, trebuie să încetați prelucrarea dacă vă cere copilul sau persoana care acționează în numele acestuia.

Ce se întâmplă când facem un profil sau luăm decizii automate în legătură cu ei?

În cele mai multe cazuri, nu trebuie să luați decizii care se bazează exclusiv pe prelucrarea automată (inclusiv profilarea)cu privire la copii, în cazul în care acestea au un efect juridic asupra lor. Dacă luați astfel de decizii, trebuie să vă asigurați că ați luat măsuri menite să protejeze drepturile, libertățile și interesele legitime ale copilului. Dacă faceți un profil pentru copii, atunci trebuie să le oferiți informații clare despre ceea ce faceți cu datele lor personale și nu trebuie să exploatați lipsa lor de înțelegere sau vulnerabilitatea.

În general, trebuie să evitați crearea de profiluri copiilor în scopuri de marketing. Trebuie, de asemenea, să respectați dreptul absolut al copiilor de a se opune profilării, care este legată de marketingul direct și să nu mai faceți acest lucru dacă vi se cere.

Cum se aplică dreptul de a fi informat copiilor?

Trebuie să oferiți copiilor aceleași informații pe care le oferiți adulților despre modul în care le utilizați datele personale. Este bine să le explicați și riscurile inerente prelucrării și garanțiile pe care le aveți. Trebuie să scrieți într-un stil concis, clar și simplu orice informație pe care o adresați copiilor. Trebuie să fie potrivită vârstei și prezentată într-un mod care să atragă publicul tânăr.

Cum se aplică dreptul la ștergerea datelor copiilor?

Copiii au același drept de a șterge datele lor personale ca și adulții. Acest drept este relevant în situația în care o persoană și-a dat inițial consimțământul la prelucrare când era copil, fără a fi pe deplin conștient de riscuri.

Una dintre circumstanțele specifice în care se aplică dreptul de ștergere este atunci când colectați datele personale ale unui copil pe baza consimțământului pentru a-i oferi un serviciu direct.

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/applications/children/



Solicitați un împrumut de la o bancă online. Vi se cere să vă introduceți datele, iar algoritmul băncii vă spune dacă banca vă va acorda împrumutul și vă prezintă rata dobânzii propusă.

Trebuie să fiți informat(ă) că puteți: să vă exprimați opinia, să contestați decizia și să solicitați implicarea unei persoane în proces, care să verifice decizia algoritmului

Unele organizații, cum sunt băncile, birourile administrației financiare și spitalele, utilizează algoritmi pentru a lua decizii în privința dumneavoastră, folosind datele dumneavoastră cu caracter personal. Pentru aceste organizații este eficient, dar nu întotdeauna
transparent, iar aceste decizii vă pot afecta din punct de vedere juridic sau pot avea un alt impact semnificativ
asupra vieții dumneavoastră. În asemenea cazuri, organizațiile trebuie:
• să vă spună dacă decizia lor este automatizată;
• să vă dea dreptul de a solicita analizarea deciziei automatizate de către o persoană;
• să vă permită să contestați decizia automatizată.
Deciziile bazate pe prelucrarea automată sunt permise în anumite situații, de exemplu, atunci când o anumită lege permite acest lucru.

 

Sursa