Sursa: Miguel Á. Padriñán

None of your business! Și totuși…

Asculta știrea în format audio
redacția FRUMENTARIUS
21
November

Mii de aplicații pentru smartphone-uri din magazinele online Apple și Google conțin un cod de computer dezvoltat de compania de tehnologie Pushwoosh, care se prezintă ca având sediul în Statele Unite, dar este de fapt o firmă rusească.

Așa începe un material Reuters, rod al unei investigații jurnalistice despre Pushwoosh, companie cu sediul în orașul siberian Novosibirsk, și organizațiile, printre care Centrele pentru Controlul și Prevenirea Bolilor și armata SUA, care au utilizat software-ul Pushwoosh și acum declară că „au fost înșelate” și nu au știut de „rădăcinile sale rusești”.

Pe rețelele sociale și site-urile oficiale din America, Pushwoosh se prezintă ca o companie din SUA, cu sediul, după caz, în California, Maryland ori Washington, D.C., constată Reuters, care mai afirmă că nu a găsit nicio dovadă că Pushwoosh a gestionat greșit datele utilizatorilor.

Fondatorul Pushwoosh, Max Konev, a transmis agenției de știri, într-un e-mail din septembrie, că firma nu a încercat să-și mascheze originile rusești și „nu are nicio legătură cu guvernul rus de nici un fel”, stocându-și datele în Statele Unite și Germania.

În timp ce unii (Keir Giles, expert al think tank-ul londonez, Chatham House) se gândesc că, „având sau nu legături directe cu campaniile de spionaj ale statului rus, firmele care gestionează date vor fi dornice să-și minimizeze rădăcinile rusești”, FBI, Trezoreria SUA și Comisia Federală pentru Comerț au refuzat să comenteze. La fel Google și Apple. La fel Roskomnadzor, autoritatea de reglementare a comunicațiilor de stat din Rusia.

Unul dintre site-urile oficiale pe care, probabil, și Reuters l-a avut în vedere, pe care se găsește menționată firma Pushwoosh Inc., cu Max Konev și adresa 1224 M St NW, suite 101, Washington, District of Columbia 20005, la date de contact, este privacyshield.gov.

Povestea Privacy Shield …

În octombrie 2015, un dosar în instanță, o plângere la adresa Facebook lansată de Max Schrems, un activist austriac pentru confidențialitate în vârstă de 28 de ani și absolvent al Universității din Viena, a condus la anularea așa-numitului acord Safe Harbor, care reglementa modul în care firmele din Statele Unite respectau legile Uniunii Europene privind confidențialitatea. Din cauza programului de supraveghere PRISM, Curtea Europeană de Justiție a stabilit că Safe Harbor nu mai este suficient, Decizia Curții aruncând în incertitudine juridică colectarea, manipularea, transferul și stocarea datelor utilizatorilor de către aproximativ 4.500 de companii din SUA.

Și mulți l-au comparat pe Schrems cu Edward Snowden.

Max Schrems - Photo by Institute of Network Cultures - CC BY-NC-SA 2.0

Mesajul instanței: dacă guvernul SUA nu modifică modul în care culege informații, restricționând accesul la datele personale și adoptând o abordare de la caz la caz a investigațiilor sale, va fi imposibil ca informațiile despre consumatori să fie transferate din UE către SUA prin cadrul Safe Harbor.

În 2016, SUA și Europa au încheiat un nou acord – Privacy Shield Framework – cu „limitări clare, garanții și mecanisme de supraveghere” privind utilizarea datelor cu caracter personal din Europa de către autoritățile de aplicare a legii și oficialii de securitate națională.

Administrat de Departamentul de Comerț al SUA, Scutul de confidențialitate - conceput împreună cu Administrația Elvețiană și Comisia Europeană – era un cadru legal la care companiile europene și americane se puteau alătura pentru a permite un transfer valid și adecvat de date cu caracter personal în afara Uniunii Europene către Statele Unite, în conformitate cu normele UE de protecție a datelor.

La fel ca predecesorul său, acordul Safe Harbor, Privacy Shield s-a limitat, în esență, la angajamente voluntare din partea companiilor de a garanta protecția datelor transferate. Pentru a face acest lucru, companiile trebuiau să fie listate la Departamentul de Comerț al SUA. Dar dacă alegeau să participe, companiile aveau de îndeplinit obligații și angajamente. Era necesar ca ele să-și mențină certificarea la zi și să se conformeze cerințelor Cadrului, printre care aceea ca participanții să verifice conformitatea, anual, prin autoevaluare sau evaluare externă. Dacă firma alegea să se retragă din cadru, trebuia să confirme Departamentului de Comerț că va continua să aplice principiile Scutului de confidențialitate oricărei informații aplicabile obținute în timp ce a fost participant sau că va șterge ori returna datele.

Pe lângă implicațiile pe care le avea pentru companii și colectarea de date din SUA, Privacy Shield Framework ar fi trebuit să aibă implicații și pentru agențiile de informații din statele membre UE, iar modul în care acestea utilizau datele cu caracter personal ar fi trebuit să fie supus unui control special.

Organizațiile preocupate de protecția datelor și organizațiile pentru drepturile civile au criticat acordul încă de la început, deoarece oferea posibilitatea supravegherii în masă și acorda dreptului american o prioritate mai mare față de jurisprudența europeană.

Ca și Safe Harbor, nici Privacy Shield nu a oferit protecție concretă a datelor sensibile împotriva accesării lor de către autoritățile americane. De asemenea, a existat o lipsă de căi de atac eficiente pentru persoanele vizate împotriva accesului autorităților guvernamentale.

Acordul a rămas în vigoare timp de patru ani înainte ca Max Schrems să ajungă în instanță cu un alt caz, cunoscut sub numele de Schrems II, pe care l-a și câștigat în 2020, ceea ce a condus la anularea Privacy Shield 1.0.

Max Schrems a sugerat și o soluție radicală: toate datele referitoare la europeni să fie găzduite pe servere din UE, aceasta fiind o condiție pentru a face afaceri în Uniune.

Curtea de Justiție a declarat Scutul de confidențialitate UE-SUA ilegal în hotărârea sa din 16 iulie 2020. În septembrie același an, Comisarul Federal elvețian pentru Protecția Datelor și Informațiilor (FDPIC) a emis un aviz prin care și Cadrul Privacy Shield Elveția-SUA avea aceeași soartă.

Potrivit Curții, Scutul de confidențialitate nu oferea suficiente garanții că transferul de date cu caracter personal către SUA are loc în conformitate cu Regulamentul UE de protecție al Datelor (GDPR). Curtea de Justiție era îngrijorată de accesul autorităților guvernamentale americane la datele personale transferate din Europa în SUA.

Din 2020, transferurile de date bazate pe Privacy Shield au fost lipsite de bază legală. Companiile nu se mai pot baza pe adecvarea nivelului de protecție a datelor în conformitate cu Regulamentul european privind protecția datelor (GDPR) atunci când transferă date sensibile pentru prelucrare către parteneri sau furnizori de servicii din SUA. Ca alternativă, companiile încă au opțiunea de a folosi așa-numitele clauze contractuale standard pentru a conveni asupra securității juridice a transferurilor de date, lucru dificil în majoritatea cazurilor deoarece legislația SUA este în contradicție cu GDPR în mai multe privințe.

În ceea ce privește Departamentul de Comerț al SUA, acesta a continuat să administreze programul Privacy Shield, inclusiv procesarea trimiterilor pentru autocertificare și recertificare la Privacy Shield Framework și menținerea Listei Privacy Shield.

Negocierile pentru „repararea” Scutului UE-SUA au început în 2020, iar, în martie anul acesta, Bruxelles-ul și Washingtonul au convenit asupra unui așa-numit acord Privacy Shield 2.0, care ar permite ca datele, de la informații despre salarizare până la fotografii de familie, să fie trimise peste Atlantic. Însă cum ar funcționa un astfel de acord în practică nu se știe încă și există temeri că orice nou acord cu SUA se poate confrunta cu provocări juridice imediate.

Luna trecută, președintele Biden a semnat un ordin executiv privind „îmbunătățirea garanțiilor pentru activitățile de informații privind semnalele din Statele Unite” (Signals Intelligence Activities), care „direcționează pașii pe care SUA îi vor lua pentru a implementa angajamentele SUA la Cadrul de confidențialitate a datelor UE-SUA, anunțat de președintele american și președintele Comisiei Europene von der Leyen în martie 2022”.

Photo by The White House - CC0

Odată făcut public, ordinul executiv a demarat un proces de ratificare de către Comisia Europeană, care se preconizează că va dura până la șase luni. Prin urmare, noul acord transatlantic de transfer de date ar fi gata în jurul lunii martie 2023.

Privacy Shield 2.0 promite:

să implementeze noi garanții pentru a se asigura că activitățile de informații din SUA sunt „necesare și proporționale în urmărirea obiectivelor de securitate națională”;

să permită cetățenilor UE să ia măsuri în cazul în care consideră că activitățile de informații din SUA îi vizează ilegal;

să permită cetățenilor să trimită plângeri privind confidențialitatea la o instanță de control al protecției datelor, formată din persoane din afara guvernului SUA. Instanța de control are decizia finală cu privire la utilizarea legală a datelor;

să protejeze datele companiilor și să ajute companiile din SUA care desfășoară afaceri în străinătate. Companiile din SUA pot colecta legal mai multe date de la publicul lor european.

NOYB – Centrul European pentru Drepturile Digitale (denumit „noyb” de la „none of your business”), organizație non-profit cu sediul în Viena, înființată în 2017, al cărei fondator este Max Schrems, a abordat acordul pe un ton critic, și a declarat că specialiștii săi vor analiza temeinic textul final și, dacă nu este în conformitate cu legislația UE, probabil îl vor contesta din nou.

Acum, întorcându-ne la „prietenul” Pushwoosh …

Pe site-ul Privacy Shield Framework, firma Pushwoosh Inc. figurează ca „participant inactiv”.

Tot acolo este menționat și scopul „culegerii datelor” de către Pushwoosh: „colectăm și procesăm informații cu caracter personal dintr-o serie de motive, așa cum este stabilit în Politica noastră de confidențialitate, inclusiv pentru a furniza, opera, optimiza și întreține site-ul și serviciile (…) pentru a oferi clienților noștri și vizitatorilor site-ului web informații și acces la resursele sau serviciile pe care le-au solicitat; pentru administrarea și securitatea sistemului (…). Împărtășim informațiile personale în cadrul grupului de companii Pushwoosh, cu vânzători, furnizori de servicii, precum și acolo unde este cerut de lege, ca răspuns la solicitările legale din partea autorităților publice, în legătură cu o reorganizare sau restructurare de afaceri, pentru a proteja sau apăra drepturile legale, pentru a investiga faptele greșite, pentru a proteja interesele vitale ale unei persoane sau în alt mod cu consimțământul dumneavoastră. Vă rugăm să consultați Politicile noastre de confidențialitate pentru mai multe informații.”

Ce înseamnă statutul de „participant inactiv” de pe Lista Privacy Shield?

Declarațiile publice făcute de organizații în politicile lor de confidențialitate trebuie să fie sincronizate cu publicarea pe lista Privacy Shield, care semnalează certificarea organizațiilor ca fiind active. Dacă o certificare a expirat și procesul de recertificare nu a fost încă finalizat, organizația este menționată ca inactivă în lista Privacy Shield.

Departamentul Comerțului (DoC) și Comisia Federală pentru Comerț  (FTC) din SUA au adoptat, din inițiativă proprie, măsuri de supraveghere a procesului.

DoC susține că trimite memento-uri regulate companiilor înainte de data expirării autocertificării (30 de zile, apoi 2 săptămâni și o zi în avans înainte de expirare). După data recertificării, același proces ca și pentru autocertificarea inițială, revizuirea începe din nou. Atunci când companiile nu se recertifică, acestea apar pe listă ca inactive.

Trimestrial, DoC efectuează și „evaluări ale revendicărilor false” și verificări de firme, mută organizațiile care nu abordează problemele pe care le-a semnalat în termen de 30 de zile pe lista „inactivă” și trimite astfel de cazuri către FTC sau Departamentul Transporturilor. În 2018 FTC avea 40 de avocați care lucrau aproape exclusiv pe probleme de confidențialitate și care au introdus în instanță cinci cazuri privind Scutul de confidențialitate împotriva organizațiilor care nu și-au finalizat certificarea sau în cazul cărora certificarea a expirat.

Potrivit datelor oficiale, firma Pushwoosh Inc. a primit certificare, în conformitate cu Privacy Shield Framework, atât pentru reglementările cadrului UE-SUA, cât și Elveția-SUA, în martie 2018, și a dobândit statut „inactiv” în 2021, când, deja, întreg mecanismul devenise „inadecvat”.

Până atunci se presupune că cel puțin Departamentul Comerțului și Comisia Federală pentru Comerț din SUA ar fi trebuit să știe câte ceva despre companie, în procesul de certificare/recertificare a Pushwoosh Inc.

Adică, unii dintre cei care n-au răspuns la comentariile Reuters.

De aici încolo … none of your business. Sau poate că e.

distribuie articolul
Abonează-te la newsletter

Cele mai recente articole

De la Ronen la ronin

redacția FRUMENTARIUS

Cineva din serviciile secrete israeliene și-a asumat vina pentru 7 octombrie: Ronen Bar, șeful Shin Bet, serviciul intern de informații al Israelului

Când spionii își scriu memoriile, serviciile secrete fluieră

redacția FRUMENTARIUS

Cu un an în urmă, șeful Serviciului de Informații al Apărării (FE) din Danemarca, suspendat și inculpat, Lars Findsen, a publicat o carte în mijlocul campaniei electorale.

Se pare că, într-adevăr … vin alegerile

redacția FRUMENTARIUS

Recent, Parlamentul ucrainean a înregistrat un proiect de lege care echivalează, în timpul războiului, corupția cu înalta trădare. Autorii proiectului de lege sunt deputatul Dmitro Razumkov și grupul său parlamentar, Rozumna Polityka (Politică inteligentă).

Căutăm, aflăm și furnizăm ce este nou și relevant în intelligence, ce este interesant despre servicii de informații, agenți secreți, spioni, hackeri

Website designed and developed by Stega Creative

Categorii

DosarBriefDead DropQ

Pagini

Despre noiNewsletterPolitica de cookie-uriTermeni și condiții

Contactează-ne

Pagina de contactcontact@frumentarius.ro
Confidențialitatea ta este importantă pentru noi. Vrem să fim cât mai transparenți și să-ți oferim posibilitatea să accepti cookie-uri în funcție de preferințele tale.
SetăriDa, accept
Preferințele tale în materie de cookie-uri
When you visit websites, they may store or retrieve data in your browser. This storage is often necessary for the basic functionality of the website. The storage may be used for marketing, analytics, and personalization of the site, such as storing your preferences. Privacy is important to us, so you have the option of disabling certain types of storage that may not be necessary for the basic functioning of the website. Blocking categories may impact your experience on the website.
Respinge cookie-uriAcceptă toate cookie-urile
În funcție de categorie
Esențiale
Active tot timpul
Aceste cookie-uri sunt strict necesare pentru funcționarea site-ului și nu necesită acordul vizitatorilor site-ului, fiind activate automat.
Marketing
Aceste cookie-uri sunt folosite pentru a oferi publicitate care este mai relevantă pentru dvs. și pentru interesele dvs. Ele pot fi, de asemenea, utilizate pentru a limita numărul de ori când vedeți o reclamă și pentru a măsura eficiența campaniilor publicitare. Rețelele de publicitate le plasează de obicei cu permisiunea operatorului site-ului web.
Personalizate
Aceste cookie-uri permit site-ului web să-și amintească alegerile pe care le faceți (cum ar fi numele dvs. de utilizator, limba sau regiunea în care vă aflați) și oferă caracteristici îmbunătățite și mai personale. De exemplu, un site web vă poate furniza rapoarte meteo locale sau știri despre trafic prin stocarea datelor despre locația dvs. actuală.
Analitice
Aceste cookie-uri ajută operatorul site-ului web să înțeleagă cum funcționează site-ul său, cum interacționează vizitatorii cu site-ul și dacă pot exista probleme tehnice. Acest tip de stocare de obicei nu colectează informații care identifică un vizitator.
Confirmă preferințele