[LAC-Discuss] FW: [governance] IP Addresses Are Personal Data, E.U. Regulator Says

Carlton Samuels carlton.samuels at uwimona.edu.jm
Thu Jan 24 14:05:59 EST 2008 

-------> [ENGLISH] AUTOMATIC TRANSLATION NOT REVISED FROM THE ORIGINAL MILTILINGUAL


-----Original Message-----
From: Andrea Glorioso [mailto:andrea at digitalpolicy.it]
Sent: Thursday, January 24, 2008 3:36 AM
To: governance at lists.cpsr.org
Subject: Re: [governance] IP Addresses Are Personal Data, E.U. Regulator
Says

Dear all,


>>>>> "Karl" == Karl Auerbach writes:
>>>>> 


> yehudakatz at mailinator.com wrote:
> 
>>  IP Addresses Are Personal Data, E.U. Regulator Says The
>>  Washington Post
>> 


>>  BRUSSELS -- IP addresses, strings of numbers that identify
>>  computers on the Internet, should generally be regarded as
>>  personal information
>> 


>  If that is the case then one must question whether an ISP or
>  core provider's use of a person's IP address to generate a TCP
>  Reset packet (for the purpose of, for example, "slowing"
>  bittorrent traffic) is a usurpation of that personally
>  identifiable information.
> 

I am surprised that this point raised so many eyebrows (not particularly on
this list, but on other ones that I follow).

First of all, the opinion of Scharr - which is actually the opinion of the
Working Party 29 (WP29) which is composed of the data protection officers of
all EU member states - is advisory only and does not have the force of
binding law.

Second, the fact that the WP29 considered an IP address to be "personal
data" in the sense of the relevant European data protection Directives has
been known since some time - the WP29 has already issued some opinions on
this particular point (I can provide the references if somebody is
interested).  Again, these are *opinions*, not binding laws, although they
do have a certain weight.

Regarding Karl Auerbach's scenario, which I believe refers to the Comcast
"incident" in the US, legally speaking it would probably fall under the
"processing of personal data" pusuant to Directive 95/46/EC, art. 2(b)

  "processing of personal data'('processing') shall mean any operation
  or set of operations which is performed upon personal data, whether
  or not by automatic means, such as collection, recording,
  organization, storage, adaptation or alteration, retrieval,
  consultation, use, disclosure by transmission, dissemination or
  otherwise making available, alignment or combination, blocking,
  erasure or destruction",

art. 6 and art. 7

  "Member States shall provide that personal data may be processed
  only if: (a) the data subject has unambiguously given his consent;
  or (b) processing is necessary for the performance of a contract to
  which the data subject is party or in order to take steps at the
  request of the data subject prior to entering into a contract; or
  (c) processing is necessary for compliance with a legal obligation
  to which the controller is subject; or (d) processing is necessary
  in order to protect the vital interests of the data subject; or (e)
  processing is necessary for the performance of a task carried out in
  the public interest or in the exercise of official authority vested
  in the controller or in a third party to whom the data are
  disclosed; or (f) processing is necessary for the purposes of the
  legitimate interests pursued by the controller or by the third party
  or parties to whom the data are disclosed, except where such
  interests are overridden by the interests for fundamental rights and
  freedoms of the data subject which require protection under Article
  1 (1)".

But of course the Comcast incident took place in the US, not in the EU (for
now :).

Incidentally, once might also argue that deep-packet inspection
("network neutrality" anyone?)   breaches data protection laws across
Europe, unless there is a clear consent from the end-user.  Care to guess
how many ISPs in the EU actually do request that "clear consent"?

Ciao,

--
      Andrea Glorioso || http://people.digitalpolicy.it/sama/cv/
          M: +32-488-409-055         F: +39-051-930-31-133
   "Every honest researcher I know admits he's just a professional
   amateur. He's doing whatever he's doing for the first time. That
  makes him an amateur. He has sense enough to know that he's going
     to have a lot of trouble, so that makes him a professional."
		Charles Franklin Kettering (1876-1958)


-------> [PORTUGUESE] TRADUCAO AUTOMATICA NAO REVISADA DO ORIGINAL


Mensagem Original De: Andrea Glorioso [ mailto:andrea at digitalpolicy.it
] emitiu: Quinta-feira, Janeiro 24, 2008 3:36 Am A: assunto de
governance at lists.cpsr.org: Re: [ governance ] os endereços do IP são
dados pessoais, E.U. Regulador
Says

Dear all,


>>>>>  "Karl" == Karl Auerbach <karl at cavebear.com> writes:
>>>>> 


>  yehudakatz at mailinator.com wrote:
>> Os Endereços do IP São Dados Pessoais, E.U. Regulador Dizer O Borne
>> De Washington
>> 


>> BRUXELAS -- os endereços do IP, cordas dos números que identificam
>> computadores no Internet, devem geralmente ser considerados como a
>> informação pessoal
>> 


> Se aquele for o caso então um deve questionar se um uso do ISP ou do
> fornecedor do núcleo do IP address de uma pessoa gerar um pacote da
> restauração do TCP (com a finalidade de, para o exemplo,
> "retardando" o tráfego bittorrent) é um usurpation dessa
> informação pessoalmente identifiable.
> 

Eu sou surpreendido que este ponto levantou assim muitas
sobrancelhas (não particularmente nesta lista, mas em outras que eu
sigo).

Primeiramente de tudo, a opinião de Scharr - que é realmente a
opinião do partido de funcionamento 29 (WP29) que é composto dos
oficiais de proteção de dados de todos os estados de membro do EU -
é consultiva somente e não tem a força de lei obrigatória.

Em segundo, o fato que o WP29 considerou um IP address ser "dados
pessoais" no sentido das diretrizes orientadoras européias relevantes
da proteção dos dados foi sabido desde alguma hora - o WP29 tem
emitido já algumas opiniões neste ponto particular (eu posso
fornecer as referências se alguém estivesse interessado). Outra vez,
estes são * opiniões *, leis nao obrigatórias, embora tenham algum
peso.

A respeito do scenario de Karl Auerbach, que eu acredito consulta ao
Comcast "incident" nos E. U., falando legalmente o cairia
provavelmente sob "processar dos dados pessoais" pusuant a 95/46/EC
diretivo, art. 2(b)

  "processar de data'('processing pessoal ') deve significa toda
a operação ou para ajustar-se das operações que for executada em
cima dos dados pessoais, se ou não por meios automáticos, tais como
a coleção, a gravação, a organização, o armazenamento, a
adaptação ou a alteração, a recuperação, o consultation, o uso,
a divulgação pela transmissão, a disseminação ou de outra maneira
fazer disponível, alinhamento ou combinação, obstrução, erasure
ou destruição",

arte. 6 e arte. 7

  de "os estados membro fornecerão que os dados pessoais podem
ser processados somente se: (a) o assunto dos dados deu unambiguously
seu consentimento; ou (b) processar é necessário para o desempenho
de um contrato a que o assunto dos dados é partido ou a fim fazer
exame de etapas no pedido do assunto dos dados antes de participar em
um contrato; ou (c) processar é necessário para a conformidade com
uma obrigação legal a que o controlador é assunto; ou (d) processar
é necessário a fim proteger os interesses vitais do assunto dos
dados; ou (e) processar é necessário para o desempenho de uma tarefa
realizada no interesse público ou no exercício da autoridade oficial
investido no controlador ou em um terceiro partido a quem os dados
são divulgados; ou (f) processar é necessário para as finalidades
dos interesses legitimate perseguidos pelo controlador ou pelo
terceiro partido ou pelos partidos a quem os dados são divulgados,
exceto onde tais interesses são cancelados pelos interesses para
direitas fundamentais e pelos freedoms do assunto dos dados que
requerem a proteção sob o artigo 1 (1) ".

Mas naturalmente o incident de Comcast ocorreu nos E. U., não no EU
(para agora:).

Incidentally, uma vez pôde também discutir essa inspeção do
profundo-pacote (da "neutrality" qualquer um rede?) rompe leis da
proteção dos dados através de Europa, a menos que houver um
consentimento desobstruído do end-user. Importe-se para supo quanto
ISPs no EU realmente pede que "consentimento desobstruído"?

Ciao,

-- || http://people.digitalpolicy.it/sama/cv/ de Andrea
GloriosoM: +32-488-409-055 F: +39-051-930-31-133 "cada investigador que
honesto eu conheço admite que é justo um amador profissional. Está
fazendo o que quer que está fazendo para a primeira vez. Esse makes
ele um amador. Tem o sentido bastante saber que está indo ter muitos
do problema, de modo que makes ele um profissional." Charles Franklin
Kettering (1876-1958)


-------> [ESPAÑOL] TRADUCCIÓN AUTOMATICA NO REVISADA DEL ORIGINAL MULTILINGÜE



Mensaje Original De: Andrea Glorioso [ mailto:andrea at digitalpolicy.it
] enviado: Jueves, De Enero El 24 De 2008 3:36 A: tema de
governance at lists.cpsr.org: Re: [ gobierno ] las direcciones del IP son
datos personales, E.U. Regulator
Says

Dear DE,


>>>>> "Karl" == Karl Auerbach writes:
>>>>> 


> yehudakatz at mailinator.com wrote:
>> Las Direcciones del IP Son Datos Personales, E.U. Regulator Says El
>> Poste De Washington
>> 


>> BRUSELAS -- las direcciones del IP, cadenas de números que
>> identifiquen las computadoras en el Internet, se deben mirar
>> generalmente como información personal
>> 


> Si ése es el caso entonces uno debe preguntar si un uso de la ISP o
> del abastecedor de la base del IP address de una persona de generar un
> paquete del reajuste del TCP (con el fin de, por ejemplo, "retardando"
> tráfico bittorrent) es un usurpation de esa información
> personalmente identificable.
> 

Estoy sorprendido que este punto levantó tan muchas cejas (no
particularmente en esta lista, pero en otras que sigo).

Primero de todos, la opinión de Scharr - que sea realmente la
opinión del grupo de trabajo 29 (WP29) que se compone de los
oficiales de protección de datos de todos los Estados miembros del EU
- es consultiva solamente y no tiene la fuerza de la ley obligatoria.

En segundo lugar, el hecho de que el WP29 consideraba un IP address
ser "datos personales" en el sentido de los directorios europeos
relevantes de la protección de los datos se ha sabido desde una
cierta hora - el WP29 ha publicado ya algunas opiniones sobre este
punto particular (puedo proporcionar las referencias si alguien está
interesado). Una vez más éstos son * las opiniones *, los leyes no
obligatorios, aunque tienen cierto peso.

Con respecto al panorama de Karl Auerbach, que creo refiere al Comcast
"incidente" en los E.E.U.U., hablándolo legalmente caería
probablemente bajo "proceso de los datos personales" pusuant a
95/46/EC directivo, art. 2(b)

  el "proceso de data'('processing personal ')  significa
cualquier operación o fijar de operaciones que se realice sobre datos
personales, si o no por medios automáticos, tales como colección,
grabación, organización, almacenaje, adaptación o alteración,
recuperación, consulta, uso, acceso por la transmisión, difusión o
de otra manera fabricación disponible, alineación o combinación,
bloqueo, borradura o destrucción",

arte. 6 y arte. 7

  los "Estados miembros proporcionarán que los datos personales
pueden ser procesados solamente si: (a) el tema de los datos ha dado
inequívoco su consentimiento; o (b) el proceso es necesario para el
funcionamiento de un contrato a el cual el tema de los datos sea
partido o para tomar medidas a petición del tema de los datos antes
de entrar en un contrato; o (c) el proceso es necesario para la
conformidad con una obligación legal a la cual el regulador sea tema;
o (d) el proceso es necesario para proteger los intereses vitales del
tema de los datos; o (e) el proceso es necesario para el
funcionamiento de una tarea realizada en el interés público o en el
ejercicio de la autoridad oficial concedido en el regulador o en los
terceros a los cuales se divulgan los datos; o (f) el proceso es
necesario para los propósitos de los intereses legítimos perseguidos
por el regulador o por los terceros o los partidos a los cuales se
divulgan los datos, excepto donde tales intereses son eliminados por
los intereses para las derechas fundamentales y los freedoms del tema
de los datos que requieren la protección bajo artículo 1 (1) ".

Pero por supuesto el incidente de Comcast ocurrió en los E.E.U.U., no
en el EU (para ahora:).

Incidentemente, pudo también discutir una vez esa inspección del
profundo-paquete ("neutralidad" cualquier persona de la red?) practica
una abertura leyes de la protección de los datos a través de Europa,
a menos que haya un consentimiento claro del usuario final. ¿Cuide
para conjeturar cuánto solicita ISPs en el EU realmente que
"consentimiento claro"?

Ciao,

-- || http://people.digitalpolicy.it/sama/cv/ de Andrea
GloriosoM: +32-488-409-055 F: +39-051-930-31-133 "cada investigador honesto
que conozco admite que él es justo un aficionado profesional. Él
está haciendo lo que él está haciendo para la primera vez. Ese
marcas él un aficionado. Él tiene sentido bastante de saber que él
va a tener muchos de apuro, de modo que las marcas él un
profesional." Charles Franklin Kettering (1876-1958)




Intercomprehension aid service 
 Check the rules for better use: http://funredes.org/tradauto/index.htm/rules 

Serviço do dae de compreensão 
 Verificar as réguas para o uso melhor: http://funredes.org/tradauto/index.htm/reguas 

Servicio de ayuda a la intercomprensión 
 Leer las reglas para un mejor uso: http://funredes.org/tradauto/index.htm/reglas

More information about the lac-discuss-en mailing list