Ce e GDPR și ce garanții ai că datele tale sunt protejate chiar și în România

Am primit zeci de mailuri de la tot felul de companii care îmi cereau să mă reîmprietenesc cu ele, deși eu habar nu aveam că suntem prieteni. Așa mi-am dat seama de două lucruri.

Pe de-o parte, mi-am cedat ca prostul datele personale fără să am habar, pe de altă parte, nici acum nu am siguranța că ele îmi vor fi protejate. Dar, măcar acum știu că dacă informațiile ajung unde nu trebuie vinovatul poate să primească niște amenzi uriașe.

Toate companiile de tehnologie, rețelele sociale, firmele de marketing, autoritățile publice și site-urile de știri care colectează și organizează cu foarte mult zel toate informațiile despre clienții lor au luat-o razna de vreo lună din cauza Regulamentului General de Protecție a Datelor (GDPR).

El a fost instituit printr-o decizie a Parlamentului European și a intrat în vigoare de la 25 mai 2018.

Pe scurt, toți cetățenii europeni au dreptul de a ști ce fel de informații au despre ei companiile și autoritățile publice. În schimb, aceste instituții trebuie să fie mult mai active când le cer consimțământul clienților lor atunci când vor să le colecteze datele. În plus, sunt obligate să le comunice, în termen de 72 de ore, dacă aceste date s-au pierdut sau au fost furate.

Sancțiunea aplicabilă, în caz de nerespectare a acestei decizii, variază de la aplicarea unei amenzi: 4% din cifra de afaceri sau 20 de milioane de dolari (în funcție de care dintre sume este mai mare). GDPR înseamnă, însă, mai mult de-atât, iar efectele Regulamentului vor schimba radical modul în care unele afaceri au înțeles că pot face bani pe seama clienților.

Cu ceva timp înainte să înceapă în Parlamentul European discuțiile despre GDPR, Curtea Europeană de Justiție le garanta cetățenilor europeni printr-o sentință dată în 2014 dreptul de a se face „uitați” pe internet. Adică, dacă un om se simte lezat sau găsește în rezultatele returnate de motoarele de căutare informații despre el care nu mai sunt relevante sau sunt mincinoase, are dreptul să solicite retragerea acelui conținut de pe internet.

Decizia Curții Europene de Justiție de la acea vreme a deschis o întreagă dezbatere despre drepturile consumatorilor pe internet. Multe afaceri au făcut profituri de miliarde de euro procesând date despre consumatori care își dădeau acceptul la acest lucru cu nonșalanță și în necunoștință de cauză.

Facebook, Google, WhatsApp, Booking sau Instagram sunt doar câteva dintre cele mai cunoscute companii din lume care pun la dispoziția companiilor de publicitate, de marketing și site-urilor de știri un număr uriaș de utilizatori. Profilând audiența pe baza datelor furnizate de consumatori, companiile care folosesc aceste platforme pot targeta știri sau produse. Informațiile obținute puteau fi folosite și în alte scopuri, așa cum s-a întâmplat în cazul Cambridge Analytica, fără ca utilizatorii să aibă habar.

Dar datele noastre personale sunt folosite și de aplicații care ne măsoară caloriile sau de cele care controlează termostatul din casele noastre pentru a ne simți cât mai bine. Noile tehnologii care se bazează pe informațiile despre noi au pătruns din ce în ce mai tare pe piață, iar atât companiile cât și clienții trebuie să învețe unde este limita.

GDPR a intrat în vigoare la 25 mai 2016 printr-un regulament al Uniunii Europene. Acesta se aplică obligatoriu în țările membre ale UE.

Toate companiile și autoritățile publice care operează cu date personale au avut la dispoziție doi ani pentru a se pune la punct și a aplica aceste reguli.

Evident, nimeni nu a luat în serios treaba asta până când nu a izbucnit scandalul Cambridge Analytica. Atunci când s-a aflat că 87 de milioane de utilizatori Facebook au fost păcăliți, iar datele lor personale au ajuns în mâinile unor consultanți politici care lucrau pentru a-i face campanie lui Donald Trump, GDPR-ul a devenit brusc relevant și în Europa.

Regulamentul nu se aplică doar pentru datele care se stochează pe internet, ci și pentru informațiile pe care le lăsăm despre noi în documente oficiale. De exemplu, departamentul de Resurse Umane al unei companii care procesează date trebuie să-i informeze pe angajați în ce scop face acest lucru.

Pe de altă parte, nu de fiecare dată ai nevoie de consimțământul celui de la care obții informațiile personale. Un vânzător de pizza poate să se folosească de adresa clientului la care a făcut livrarea pentru a-i trimite fluturași cu reclame. Comisia Europeană numește asta un interes legitim.

Orice companie sau instituție de stat are obligația de a stoca datele culese doar pe durata contractului sau a obligațiilor legale. Accesul la aceste informații trebuie să fie limitat și pe bază de parolă, dacă sunt colectate printr-un sistem informatic, iar dacă sunt strânse în formă fizică, trebuie puse într-un loc unde numai persoanele autorizate pot avea posibilitatea să le vadă.

Unele firme care procesează date la scară largă despre clienți și autoritățile publice sunt obligate să angajeze personal care să se ocupe cu protecția datelor. Toate companiile vor trebui, însă, să le ofere cetățenilor europeni o copie a datelor personale, să le comunice în ce circumstanțe pot fi ele șterse și să le pună la dispoziție instrumentele necesare pentru a face asta. Termenul de conformare este de o lună pentru fiecare cerere.

Afacerile care se bazează pe analiza datelor și pe care le procesează pentru a obține avantaje în fața competitorilor, fie că este vorba despre partide politice (și politica este o afacere, nu?), furnizori de energie, retaileri online sau instituțiile de credit sau fonduri private au la dispoziție două variante.

Prima: vor trebui să obțină din nou consimțământul din partea clienților și să explice foarte clar în ce mod le vor folosi informațiile.

A doua: să apeleze la o terță parte care, cu ajutorul unui soft, să construiască un mecanism prin care aceste date să fie parolate și să nu mai fie nevoie să obțină consimțământul din partea consumatorilor.

Toată lumea s-a pregătit, însă, pe ultima sută de metri pentru a face față noilor modificări, însă nu toți au reușit să se conformeze.

Site-uri mari precum Los Angeles Times sau Chicago Tribune nu mai sunt accesibile pentru utilizatorii din Uniunea Europeană, iar cei de la New York Times și USA Today au oprit livrarea reclamelor programatice în UE.

Motivul este că, dacă un utilizator din UE se conectează la un site sau un serviciu din afara UE, furnizorii trebuie să se conformeze ca și când ar opera din spațiul Uniunii Europene. Asta înseamnă că trebuie să respecte normele GDPR.

Cu o zi înainte de 25 mai, Google i-a avertizat pe cumpărătorii de spații de publicitate să nu cumpere reclame prin platformele partenere, în special prin cele care folosesc coduri de urmărire și de verificare a activității clienților.

Motivul? Cei de la Google nu puteau garanta că acele platforme s-au conformat GDPR-ului.

Dar ce se întâmplă cu datele care nu pot fi structurate? De exemplu, sunt destule aplicații care se bazează pe stocarea sintetizării vocale sau pe imagini video. Pentru companiile care le folosesc va fi foarte greu să se supună Regulamentului privind Protecția Datele Personale.