Requisitos Checklist para escolher um Cloud Backup e Recovery Service Provider
Análise é o Comissário irlandês correto afirmar que ele não pode investigar Apple e Microsoft sobre PRISM?
Na sexta-feira, a Reuters informou que o Escritório da Irlanda do Comissário de Proteção de Dados (ODPC) recusou-se a olhar para as transferências de dados pessoais realizados pela Apple e Facebook para os Estados Unidos.
Um grupo ativista estudante austríaco pediu ao ODPC para investigar alegações de que a Agência de Segurança Nacional dos EUA (NSA) colhidas e-mails e outros dados privados através de prisma.
Este blog explica porque eu acho que a análise ODPC está errado.
PRISM é o polêmico programa que supostamente dá a porta dos fundos e acesso até então secreto para os servidores de diversas empresas de internet importantes, incluindo a Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, e Apple NSA. Edward Snowden, o heróico delator (ou traidor vilão, dependendo do ponto de vista), alegou que algumas empresas norte-americanas de bom grado dão acesso a e-mails de seus clientes - uma reivindicação que tem sido fortemente refutada pela Microsoft.
Como um aparte, devo acrescentar que todas as empresas identificadas como EUA supostamente contribuindo para PRISM negaram que permitir tal acesso, às vezes árdua assim. Mas não posso ser a única pessoa no planeta que acha difícil conciliar essas negações veementes com o que está na essas lâminas , e com as tentativas vigorosas para extrair Snowden de seu bolt-hole no aeroporto de Moscou.
Reuters relata que um porta-voz ODPC disse: "Nós não consideramos que há motivos para uma investigação sob a Proteção de Dados da Irlanda Atos dado que os requisitos de 'porto seguro' foram cumpridos".
Esse porta-voz acrescentou: "Se algo é aprovada pela Comissão Europeia com o propósito de fornecer garantias, que preenche uma caixa sob a nossa jurisdição".
EUA entidade como processador de dados
O ODPC em sua carta (PDF) para a Europa v Facebook explica o motivo de sua impotência, como o fato de que houve uma transferência para um processador de dados Safe Harbor dos EUA que, em seguida, divulgada ao NSA:
Consideramos que um controlador Irish dados baseado reuniu suas obrigações de protecção de dados em relação a uma transferência para os EUA se a entidade com sede nos EUA é em Porto Seguro. Nós ainda consideramos que prevê e programa o "porto seguro" aprovado contempla o acesso aos dados pessoais para efeitos de aplicação da lei na posse de um processador de dados com sede nos EUA.
Em outras palavras, porque a Porto Seguro oferece um nível adequado de protecção, o OPDC concluiu que ele não pode investigar divulgações em diante, nos EUA, a partir de sua posição no Eire.
Eu acho que o "processador de dados" comentário na passagem acima (eo foco processador de dados da carta ODPC como um todo) certamente faz a análise do ODPC errado.
Se um processador de dados EUA divulga dados pessoais, esta revelação tem de estar sob o controlo do controlador de dados baseada em irlandês. O ODPC, por exemplo, pode explorar qualquer aspecto da relação contratual entre o controlador de dados irlandês e processador de dados para avaliar a natureza de qualquer divulgação processador de dados feita em nome do controlador de dados da Irlanda.
Segue-se que o Comissário irlandês pode investigar qualquer divulgação ou transferência autorizada pelo controlador Irish dados baseada como a localização do processador de dados é irrelevante e porque o controlador de dados é responsável pelo processamento.
EUA entidade como controlador de dados
Então, vamos supor que a entidade norte-americana não é um processador de dados, mas um controlador de dados (que, ao contrário da carta da ODPC, eu acho que é o caso), então o ODPC ainda pode investigar.
No caso SWIFT, por exemplo, a Festa 29 Relatório de Trabalho afirmou que um processador de dados norte-americana atuou como um controlador de dados quando forneceu as agências de aplicação da lei de volta porta de acesso para transações financeiras sem a autorização dos controladores de dados europeus (que estavam usando nos EUA baseado serviços "processador de dados"; ver referências).
Em qualquer caso, as leis de proteção de dados da Irlanda afirma que as disposições de adequação apenas se relacionam com o nível adequado de protecção no território, uma vez que os dados pessoais foram transferidos. Ele não se relaciona com que o processamento antes da transferência.
Esta é uma consequência da Seção 11 (2) (a) da Lei de Proteção de Dados da Irlanda (que é muito próximo da redação do Anexo 1, Parte II, N º 15 na Lei UK), que afirma:
Quando, em qualquer processo ao abrigo desta lei surge uma questão -
(I) se o nível adequado de protecção especificados no parágrafo (1) desta seção é assegurada por um país ou território fora do Espaço Económico Europeu, em que os dados pessoais sejam transferidos e(Ii) a constatação Comunidade tem sido feito em relação às transferências do tipo em questão,
- A questão deve ser determinada de acordo com esta conclusão ".
(Nota subseção (1) é uma referência para o que na lei do Reino Unido é o oitavo princípio Protecção de Dados).
Note-se que esta disposição toma cuidado para não usar a palavra "transformação", que usa a palavra "transferência". Em outras palavras, a operação de processamento só é relevante para o (2) (a) prestação de S.11 é "transferência" (eo mesmo vale para o item 15 da Lei UK).
No entanto, eu concordo com o ODPC em que uma vez que os dados pessoais foram transferidos para fora do controle do controlador de dados irlandês para outro controlador, nos EUA, há pouco a ser feito. No entanto, antes que a transferência há várias operações de processamento, os quais ocorrem na Irlanda, os quais poderiam ser examinados pelo ODPC.
Por exemplo, suponha que exista um controlador de dados nos EUA e um controlador de dados na Irlanda. Pode o ODPC reavaliar a "justiça" da divulgação para o controlador de dados EUA, dados os fatos novos PRISM?
Pode o ODPC re-avaliar se a divulgação é agora legal, dado PRISM? Pode o ODPC re-avaliar se apenas os dados pessoais relevantes são transferidos? Pode a ODPC em qualquer acordo de partilha de dados entre estes dois controladores de dados? Pode a ODPC, com olhos frescos, na divulgação para o controlador de dados dos EUA no contexto de "necessidade"? Claro que ele pode.
Nesse sentido, considerar a ação de execução da OIC contra o "Ring of Steel" em torno de Royston (uma cidade pacata perto de Cambridge), onde todas as principais estradas em Royston são cobertos por sistemas automatizados de reconhecimento numberplate.
Comunicado de imprensa da OIC sobre a execução afirma a captura de todas as marcas de matrícula dos veículos, independentemente de quaisquer motivos de suspeita, é um exemplo de tratamento ilícito nos termos do artigo 8 º da Lei dos Direitos Humanos, e também excessiva (porque tal tratamento é desnecessário) .
Assim, poderia o ODPC consideram que a captação final de todo o tráfego de e-mail pela NSA, independentemente dos motivos de suspeição é um exemplo de divulgação ilícita nos termos do artigo 8, e também excessivo? Claro que ele pode.
Em outras palavras, se a entidade dos EUA é um controlador de dados ou um processador de dados, o raciocínio ODPC para não investigar é errado. Claro, o ODPC não pode querer investigar por outros motivos, mas não é isso que está sendo discutido na carta do ODPC.
Um comentário final: se o regulamento for adiante, será o comissário irlandês que serão rebatidas para todos os titulares de dados da Europa. Eu não posso ser a única pessoa em causa que acha que essa perspectiva está ficando mais atraente por hora.
Referências
A carta OPDC para Facebook v Europa (PDF)
Conjunto de lâminas de PRISM (PDF) publicado pelo Washington Post
Pedaço da Reuters sobre o mesmo assunto
Esta história apareceu originalmente em HAWKTALK , o blog de Amberhawk Training Ltd.
Nenhum comentário:
Postar um comentário