Mă distrez din când în când cu terms and conditions, îmi delectez și activez mintea cu dichisurile avocaților care au lucrat pentru Facebook, Instagram ori Apple atâtea fascinante modele de frazeologie juridică de bun gust și bună inspirație.
Mai ales de bună inspirație.

Și mă opresc la Facebook Privacy Policy în care stocarea datelor cu caracter personal este enunțată prin formulări de genul “we receive data/we receive information” în timp ce procesul de “prelucrare” a acestor date se ascunde sub enunțuri de tipul “we use the information we receive about you in connection with the services and features we provide to our partners, the advertisers that purchase ads on the site”.

Un alt mod de a spune că urmare a prelucrării datelor cu caracter personal (sau cum impune textul a “utilizării” în orice mod a acestora), acestea sunt transferate către terții identificați a fi parternerii și companiile care cumpără publicitate la nivelul platformei Facebook.

Adică poate deveni importator de date cu caracter personal orice persoană fizică sau juridică, din orice colț al lumii, inclusiv din țări în care legislația nu asigură un minim nivel de protecție pentru prelucrarea/stocarea datelor cu caracter personal.
Chiar și așa, mă gândesc ca FB nu ar putea fi acuzată de lipsă de transparență, pe de o parte consimțământul se subînțelege când se vorbește de “information you choose to share” iar pe de altă parte există și texte în care transmiterea/transferul datelor este clar exprimată – “We only provide data to our advertising partners or customers.” Am putea spune că există o minimă raportare la principiile protecției datelor cu caracter personal, precum existența consimțământului și corectă informare în privința categoriilor de destinatari.

În realitate scopul prelucrării este destul de ambiguu formulat iar garanțiile oferite prin directiva 95/46/EC nu sunt respectate. A se remarca, expresii de genul “we use the information” urmate de o enumerare exemplificativă a felului în care aceste informații pot fi folosite (de ce nu am spune prelucrate) nu ne indică altceva decât o sferă destul de largă de formule și obiective ale acestei procesări. Pentru că da, acelea sunt doar exemplificări și lista rămâne deschisă. Putem considera îndeplinită obligația de informare în ceea ce privește scopul prelucrării doar atunci când absolut toate obiectivele sunt aduse la cunoștința persoanei ale carei date sunt folosite.

Cu siguranța toate pot părea detalii nesemnificative. Ce importanță au datele personale sau scopul în care sunt prelucrate. Așa cum spunea Bogdan, e doar un subiect care începe să te doară abia atunci când este prea târziu.

“Când ți-ai pierdut laptopul și îți dai seama că oricine poate să spargă parola ta de 5 caractere. Când te-ai despărțit de prietenul gelos și tot ce-ai scris vreodată pe Facebook se întoarce împotriva ta. Sau când îți dai seama că “every move you make” nu e doar versul unui cântec celebru, ci și o realitate pentru toți cetățenii în contextul păstrării datelor de trafic – care încep să fie folosite împotriva ta în cazul pe care l-ai fi crezut cel mai puțin probabil.”

Tot Bogdan aducea și explicația “informația personală se dovedește a fi extrem de utilă (atât dpdv business – pentru marketing), cât și guvernametal (pentru depistarea celor de încalcă legea). Atât de utilă încât interesul de marketing (bani) sau guvernamental (de aplicare a legii) îl depășește pe cel al cetățenilor. (să fie lasați în pace, adică viața privată)”. Să fi lasați în pace și, as adauga eu, să aleagă ei înșiși cum sa le fie folosite datele.

Revin mai în detaliu la transferul de care vorbeam mai devreme, pentru că tot am amintit de garanțiile europene, chiar dacă categoriile de destinatari ai informației sunt corect identificate (we provide data to our advertising partners or customers), nu există precizări în ceea ce privește țările de reședință ale acestora, fapt de natură a da un sens complet nou termenului “provide” (transmite/furniza) și anume acela de a “transfera” dacă ținem cont de prevederile europene care definesc transferul a fi transmiterea datelor cu caracter personal către destinatari localizați în alte țări. Cum am spus și mai sus, acei “advertising parterners” pot fi chiar importatori de date cu caracter personal, cărora nu le este impusă niciuna din regulile directivei europene, cum ar fi asigurarea cel puțin a nivelului minim de protecție impus la nivelul Uniunii Europene.

O mică paranteză într-un fel offtopic. Chiar nu îmi imaginez motivul pentru care instituția română responsabilă de reglementările în domeniul protecției datelor cu caracter personal deține un website de prezentare căruia îi este alocat domeniul “dataprotection.ro”. Într-adevăr suna mult mai bine “dataprotection” comparativ cu “protecția datelor”, dar totuși suntem români și mă gândesc că putem măcar de ochii lumii să păstrăm o minimă decență în denumirile pe care le folosim, măcar atunci când este vorba de autorități, de instituții publice. Si de ce ne-am oprit aici, de ce nu am selectat dataprotection.COM?

Discut de dataprotection.ro, care nu oferă decât un banal acces la o lista de acte normative și omit să vă spun că există europe v. facebook – un portal care inițial aducea în prim plan plângerile userilor fb din Irlanda adresate Comisiei privind Protejarea Datelor cu Caracter Personal (Irish Data Protection Commissioner). Dintre cele 22 de plângeri cea mai importantă avea în vedere chiar privacy policy-ul de care am vorbit mai sus, document considerat a fi în mare parte nul din punct de vedere al legislației europene privind protecția datelor cu caracter personal.

Întrebarea de final. Știați că există quit facebook day? Până pe 31 mai aveți destul timp să vă pregătiți pentru marea petrecere a anonimității și a întoarcerii la vremurile în care doar prietenii apropiați știau ce număr poartă la pantof copilul tău.