Internet Security Threat Report 2014
Os operadores dos sites que se transformam em novas tecnologias "fingerprinting dispositivo" para rastrear usuários de internet 'comportamento no lugar de "cookies" tem que obter os usuários' consentimento de acordo com as mesmas normas jurídicas da UE que se aplicam ao uso de cookies, um cão de guarda de privacidade da UE tem disse.
Em um novo parecer que emitiu, o Grupo de Trabalho do artigo 29, confirmou que as regras de consentimento das comunicações electrónicas (e-Privacy) Directiva Privacidade e da UE são "aplicável a fingerprinting dispositivo" ( 11 páginas / 560KB PDF ).
No entanto, ele esboçou alguns exemplos onde fingerprinting dispositivo poderão ser implantados sem o consentimento dos usuários.
A posição do grupo de trabalho reflete o que o Gabinete do Comissário da Informação (ICO) disse Out-Law.com que considera ser a posição legal sobre o uso de tecnologias de cookies-alternativa mais do que um ano atrás. A OIC é membro do Grupo de Trabalho do artigo 29, que é uma comissão constituída por autoridades nacionais de protecção de dados com base em toda a UE.
Cookies são pequenos arquivos de texto que armazenam detalhes de atividade on-line dos usuários de internet. Os operadores dos sites geralmente usam cookies para registrar o comportamento do usuário para fins de análises ou de entregar conteúdo personalizado para os indivíduos, ao passo que os anunciantes também usam cookies para fornecer anúncios segmentados com base em interações anteriores dos usuários online.
As regras da UE exigem que os indivíduos autorizar a colocação de cookies em seu dispositivo pelos operadores de sites e anunciantes na maioria das circunstâncias.
Comunicações Electrónicas de Privacidade e da UE (e-Privacy) directiva permite o armazenamento e acesso de informações nos computadores dos usuários "na condição de que o assinante ou o utilizador em causa tenha dado o seu consentimento, tendo sido fornecida informação clara e abrangente ... sobre o finalidades do tratamento ".
Uma exceção para os requisitos da autorização existe onde a informação armazenada, muitas vezes em cookies, é "estritamente necessário" para a prestação de um serviço de "expressamente solicitado" pelo usuário.
De acordo com o parecer do grupo de trabalho, no entanto, algumas empresas de tecnologia têm vindo a desenvolver tecnologias alternativas aos cookies que lhes permitam acompanhar o uso de dispositivos através de "a combinação de um conjunto de elementos de informação". Este fingerprinting dispositivo pode ser usado para identificar os dispositivos conectados à Internet e aplicações, a partir de aplicativos móveis para TVs inteligentes, sistemas de carro e contadores inteligentes, e controlar seu uso, ele disse.
Impressões digitais de dispositivo pode constituir dados pessoais, o que significa que o processamento dessas informações está sujeito às leis de proteção de dados, porque a combinação de "elementos de informação", que por conta própria podem não ser suficientes para identificar os usuários, podem produzir um conjunto de dados que é "suficientemente original (especialmente quando combinado com outros elementos de identificação, como o endereço IP de origem) para agir como uma impressão digital única para a instância do dispositivo ou aplicativo", disse o cão de guarda.
O Grupo de Trabalho do artigo 29, disse que há "riscos de protecção de dados" associados com o uso de impressão digital dispositivo porque terceiros e não apenas os operadores de sites que os utilizam podem ter acesso a essas informações, e porque a informação fingerprinting dispositivo pode ser revelada através de "o combinação de dados obtidos através de Application Programming Interfaces (API) presentes no software em dispositivos clientes ".
O Grupo de Trabalho disse tecnologias de identificação dispositivo também pode "operar de forma encoberta", em comparação com o uso de cookies que não pode.
"Não há meios simples para os usuários a evitar a atividade e há poucas oportunidades disponíveis para redefinir ou modificar quaisquer elementos de informação que está sendo usado para gerar a impressão digital", disse o grupo de trabalho. "Como resultado, as impressões digitais de dispositivo pode ser utilizado por terceiros para identificar secretamente ou simples usuários para fora com o potencial para direcionar conteúdo ou não tratá-los de forma diferente."
Empresas que utilizam impressões digitais do dispositivo não pode alegar que a directiva regras e-Privacidade não se aplica porque o armazenamento e acesso à informação sobre os dispositivos não "ocorrer dentro da mesma comunicação" e são armazenados e acessados por diferentes partidos, disse que o grupo de trabalho.
"A informação que é armazenada por uma das partes (incluindo as informações armazenadas pelo fabricante usuário ou dispositivo), que mais tarde é acessado por outra parte é, portanto, no âmbito da [as regras de aprovação no âmbito da Directiva Privacidade Electrónica]", disse o grupo de trabalho. "Um exemplo é um aplicativo de telefone móvel que processa lista de contatos do usuário onde os detalhes de contato são armazenadas pelo usuário si mesmo, mas o acesso é realizado pelo terceiro. Não é correto interpretar isso como significando que o terceiro faz não exigem o consentimento para acessar essas informações, simplesmente porque ele não armazená-lo. "
O Grupo de Trabalho disse que operadores de sites devem obter o consentimento usuários de dispositivos 'a usar novas tecnologias de identificação do dispositivo para fins de análise. Ele disse que terceiros utilizando fingerprinting dispositivo deve obter o consentimento dos usuários para fins de utilizar as informações para publicidade direcionada.
Além disso, o uso de impressão digital dispositivo como parte de um mecanismo mais amplo para verificar a identidade dos usuários do serviço de proporcionar-lhes acesso a esses serviços seria necessário o consentimento desses usuários, disse.
No entanto, os operadores de serviços podem usar fingerprinting dispositivo como uma ferramenta de segurança sem o consentimento dos usuários, de modo a impedir o acesso não autorizado aos serviços que esses usuários tenham acessado no passado. Isto significaria que fingerprinting dispositivo poderia ser usado para bloquear o acesso a serviços para evitar que usuários alternativos de dispositivos, como criminosos, de repetidamente tentando efetuar login em contas acessadas anteriormente nesse dispositivo, disse.
O Grupo de Trabalho disse que terceiros também podem usar fingerprinting dispositivo sem o consentimento dos usuários para o único fim de "adaptar a interface de usuário para o dispositivo" ou para gerenciamento de rede.
Out-Law.com faz parte do escritório de advocacia internacional Pinsent Masons.
Nenhum comentário:
Postar um comentário