Κυριακή, Μαρτίου 04, 2012

Έρευνα για τη νέα πολιτική απορρήτου της Google

Όπως είχε ειδοποιήσει, η Google έθεσε σε ισχύ μια νέα πολιτική απορρήτου από την 1.3.2012. Πρόκειται στην πραγματικότητα για μέρος των Όρων Χρήσης, δηλαδή του ειδικού συμβατικού και νομικού καθεστώτος που κάθε διαδικτυακή υπηρεσία πρέπει να διαθέτει. Το θέμα είναι ότι οι Όροι Χρήσης πρέπει να είναι συμβατοί με το δίκαιο των χωρών στις οποίες δραστηριοποιείται η εκάστοτε διαδικτυακή υπηρεσία κι αυτό δεν είναι πάντοτε σαφές. Ιδίως οι εταιρίες που έχουν έδρα στις Η.Π.Α. ακολουθούν ένα εντελώς διαφορετικό νομικό πλαίσιο για την ιδιωτικότητα (ο ομοσπονδιακός Privacy Act, λ.χ., καλύπτει μόνο αμερικάνους πολίτες), με αποτέλεσμα συνήθως οι Όροι Χρήσης τους να μην είναι συμβατοί με το ευρωπαϊκό δίκαιο της προστασίας προσωπικών δεδομένων.

Το Ευρωπαϊκό δίκαιο προστασίας προσωπικών δεδομένων είναι το πιο ανεπτυγμένο και το πιο ισορροπημένο σε παγκόσμιο επίπεδο. Η πρώτη διεθνής σύμβαση για την προστασία προσωπικών δεδομένων είναι η Ευρωπαϊκή Σύμβαση του 1981 του Συμβουλίου της Ευρώπης. Από το 1995 υπάρχει επίσης η Οδηγία 95/46 της ΕΕ που επιβάλλει συγκεκριμένους κανόνες διαφάνειας και προστασίας για την διαχείριση προσωπικών δεδομένων και υποχρεώνει κάθε χώρα να διαθέτει μια Αρχή Προστασίας Προσωπικών Δεδομένων που διασφαλίζει με ανεξάρτητο τρόπο την τήρηση των κανόνων. Για τις διασυνοριακές ροές δεδομένων που δεν καλύπτονται από την Ευρωπαϊκή Σύμβαση και από την Οδηγία 95/46, υπάρχουν Συμφωνίες Ασφαλούς Λιμένα, δηλαδή μεταφορά του περιεχομένου του ευρωπαϊκού νομικού καθεστώτος σε μια απλοποιημένη μορφή, τη οποία σε εθελοντική βάση υπογράφουν εταιρίες (λ.χ. στις Η.Π.Α.), προκειμένου να αποφευχθούν τα προβλήματα έλλειψης εναρμόνισης του αμερικάνικου με το ευρωπαϊκό δίκαιο. Πολύ συνοπτικά, το ευρωπαϊκό δίκαιο περιέχει μεταξύ άλλων υποχρέωση πλήρους ενημέρωσης του ατόμου για την χρήση των προσωπικών δεδομένων του, υποχρέωση παροχής πρόσβασης στα δεδομένα του που τηρούνται σε αρχεία και υποχρέωση διαγραφής, διόρθωσης ή κλειδώματος των δεδομένων που τηρούνται. Επίσης δεν επιτρέπεται να μεταβληθεί ο σκοπός της χρήσης των δεδομένων κατά τρόπο ασύμβατο προς τον αρχικό σκοπό της συλλογής.

Ο συντονισμός της παρακολούθησης αυτών των θεμάτων έχει ανατεθεί από την Ευρωπαϊκή Ένωση στην "Ομάδα εργασίας του άρθρου 29". Το άρθρο 29 της Οδηγίας 95/46 προβλέπει την δημιουργία μιας πλατφόρμας συζήτησης και αποφάσεων που αποτελείται από όλες τις κρατικές Αρχές Προστασίας Προσωπικών Δεδομένων, με τη συμμετοχή της Ευρωπαϊκής Επιτροπής και του Ευρωπαίου Επόπτη Προστασίας Δεδομένων. Η Ομάδα εργασίας έχει εκδώσει από το 1997 έως σήμερα πολύτιμα position papers ερμηνεύοντας την Οδηγία 95/46 για την εφαρμογή της σε διάφορα θέματα. Έτσι διασφαλίζεται ότι η προστασία προσωπικών δεδομένων θα εφαρμόζεται ακόμη και σε μηχανές αναζήτησης ή και σε υπηρεσίες κοινωνικής δικτύωσης.

Στην υπόθεση της Google, η Ομάδα εργασίας ανέθεσε σε ένα από τα σημαντικότερα μέλη της, δηλαδή στην γαλλική Αρχή Προστασίας Προσωπικών Δεδομένων (την CNIL, η οποία ιδρύθηκε το 1978), να εξετάσει κατά πόσον η νέα πολιτική απορρήτου είναι σύμφωνη με το ευρωπαϊκό δίκαιο. Με μια επιστολή της, η πρόεδρος της CNIL απευθύνεται προς τον CEO της Google και του ανακοινώνει ότι ξεκινάει η σχετική έρευνα, για λογαριασμό της Ευρωπαϊκής Ένωσης.

H πρόεδρος της CNIL ανακοινώνει στην Google ότι ήδη από το αρχικό στάδιο της έρευνας διαπιστώνει ότι η νέα πολιτική απορρήτου παραβιάζει την Οδηγία 95/46 για την προστασία προσωπικών δεδομένων. Μολονότι χαιρετίζει την ευρεία καμπάνια της Google για την ενημέρωση των χρηστών, επισημαίνει ότι η Google, πάντα κατά την πρόεδρο της CNIL, δεν διαβουλεύθηκε επαρκώς με όλες τις Αρχές Προστασίας Προσωπικών Δεδομένων. Τα δύο προβλήματα που εντοπίζονται στην πολιτική απορρήτου της Google προέρχονται ακριβώς από την ενοποίηση όλων των πολιτικών απορρήτου, δηλαδή για αρκετές δεκάδες διαφορετικές υπηρεσίες επεξεργασίας δεδομένων, υπό μία κι ενιαία πολιτική απορρήτου. Αυτή η ενοποίηση προσκρούει, κατά την CNIL σε δύο αρχές της Οδηγίας 95/46:

- δεν καλύπτει την υποχρέωση αναλυτικής ενημέρωσης του υποκειμένου για την τύχη των δεδομένων του (άρθρο 10 και 11 της Οδηγίας), αθετώντας έτσι μια βασική αρχή, την υποχρέωση διαφάνειας των επεξεργασιών των δεδομένων και

- η συσχέτιση προσωπικών δεδομένων των χρηστών οριζόντια για όλες τις υπηρεσίες της Google ενδεχομένως δημιουργεί ένα ζήτημα ως προς την ισχύ της συγκατάθεσης αλλά και την τήρηση της αρχής του δεσμευτικά καθορισμένου σκοπού (άρθρα 5 και 6 της Οδηγίας).

Πάντως, η CNIL χειροκροτεί την προσπάθεια της Google για απλοποίηση των διατάξεων της πολιτικής. Ενημερώνει ότι θα στείλει στην Google στα μέσα Μαρτίου 2012 ένα ερωτηματολόγιο για να διευκολυνθεί στην έρευνά της και γι' αυτό ζητάει την αναστολή εφαρμογής της νέας πολιτικής μέχρι την ολοκλήρωση της διαδικασίας.

Από την άλλη πλευρά η Google δεν φαίνεται διατεθειμένη για τέτοιες αναστολές. Σε ένα post στο επίσημο blog της εταιρίας, η Google υπεραμύνεται της νέας πολιτικής απορρήτου, υποστηρίζοντας ότι είναι πιο ευνόητη, οριζόντια και δίνει στον χρήστη δυνατότητα να λάβει ο ίδιος περισσότερα μέτρα προστασίας.

Όλη η συζήτηση θέτει ένα μείζον ζήτημα αρμοδιότητας της ίδιας της Ευρωπαϊκής Ένωσης: ακόμη κι αν υποθέσουμε ότι η εκτεταμένη έρευνα της Ομάδας Εργασίας καταλήξει στο ότι η Google όντως παραβιάζει το ευρωπαϊκό δίκαιο προστασίας προσωπικών δεδομένων, σε επίπεδο επιβολής η Ε.Ε. δεν μπορεί να κάνει τίποτε. Η προστασία προσωπικών δεδομένων αποτελεί μια αρμοδιότητα της Γενικής Διεύθυνσης Ελευθερίας, Δικαιοσύνης και Θεμελιωδών Δικαιωμάτων, η οποία όμως δεν έχει αρμοδιότητα να επιβάλλει λ.χ. ένα πρόστιμο στη Google όπως η αντίστοιχη Γενική Διεύθυνση Ανταγωνισμού. Εάν δηλαδή διαπιστωθεί παραβίαση κι εάν υποθέσουμε ότι η Google εμμείνει στους όρους χρήσης της, τότε πια η Ομάδα Εργασίας δεν μπορεί να κάνει τίποτε άλλο ως σύνολο, αλλά η κάθε Αρχή Προστασίας Προσωπικών Δεδομένων των κρατών-μελών της Ε.Ε. -ενδεχομένως συντονισμένα, αλλά πάντως σε εθνικό επίπεδο καθεμιά- θα μπορούσε να αναλάβει το σκέλος της επιβολής κυρώσεων. Ενώ δηλαδή η Ε.Ε. έχει ένα εξαιρετικά προωθημένο πλαίσιο προστασίας της ιδιωτικότητας, ως υπερκρατικό μόρφωμα δεν διαθέτει τις αντίστοιχες εξουσίες επιβολής σε ιδιωτικές εταιρίες, όπως λ.χ. οι εξουσίες που διαθέτει για την διασφάλιση του ελεύθερου ανταγωνισμού κι έτσι η επιβολή παραμένει στα ίδια τα κράτη που την αποτελούν. Το μοντέλο αυτό όμως δεν μπορεί να είναι και πολύ αποτελεσματικό στον σύγχρονο κόσμο, ιδίως όταν μιλάμε για τόσο μεγάλες επιχειρήσεις που θα μπορούσαν να... αγοράσουν κάποιο κράτος της Ε.Ε.

Οπότε το θέμα παραμένει και πάλι περισσότερο σε επίπεδο διαπραγμάτευσης (και λιγότερο επιβολής) και θα έχει ενδιαφέρον να παρακολουθήσουμε πως και εάν θα το χειριστούν οι λειτουργοί της Ε.Ε. υπέρ των δικαιωμάτων των χρηστών αλλά διασφαλίζοντας και την ελεύθερη χρήση των υπηρεσιών της Google.

2 σχόλια:

ο δείμος του πολίτη είπε...

Παρά την καμπάνια και την απλούστευση των όρων σημαντικό είναι ότι ο παλιός χρήστης δεν έχει δυνατότητα επιλογής, όπως έγινε σε επιμέρους προγράμματα...

e-Lawyer είπε...

Τι εννοείς; Οι όροι χρήσης έχουν αρκετές δυνατότητες επιλογής από τον χρήση.

Απόφαση Αρχής Προσωπικών Δεδομένων για εκλογές αρχηγού στην Κεντροαριστερά

Με μια πολύ ενδιαφέρουσα απόφαση που δημοσιεύθηκε σήμερα, η Αρχή έδωσε άδεια στην Ανεξάρτητη Επιτροπή Διαδικασιών και Δεοντολογίας που λειτ...