Regulamentul a schimbat semnificativ mentalitatea tuturor cu privire la modul în care companiile din întreaga lume colectează și utilizează datele personale ale cetățenilor din UE

În 25 mai 2018 soarele a răsărit ca de obicei în toate cele 28 de state membre (de atunci) ale Uniunii Europene. Cu toate acestea, în birourile multor companii din UE (dar și din afara acestui spațiu), aceasta zi a fost una marcată de provocări remarcabile.

În perioada premergătoare implementării noilor cerințe, companiile trimiseseră nenumărate emailuri clienților lor, cerându-le consimțământul pentru a fi destinatari ai newsletterelor periodice, lucru pe care nu l-au făcut niciodată cu adevărat înainte de această zi. În același timp, multe companii care nu dețineau personal specializat în prelucrarea datelor au încercat să descopere ce tipuri de date dețin de fapt despre clienții lor, cum să le organizeze și cum să le protejeze în viitor.

De ce a fost acest eveniment unul marcant?

În acea zi, a intrat în vigoare Regulamentul general privind protecția datelor, sau GDPR, care a schimbat radical mentalitatea tuturor cu privire la utilizarea datelor cu caracter personal atât de către companiile cu sediul în UE, cât și de cele din afara UE care colectează, prelucrează și stochează datele cetățenilor UE.

La patru ani distanță, utilizatorii din Europa se așteaptă ca organizațiile și companiile să respecte acest regulament atunci când li se solicită să dea click pe butonul "Accept" sau "Sunt de acord" din termenii și condițiile de utilizare a site-urilor lor (pe care, să recunoaștem, aproape nimeni nu le citește vreodată), și presupun că autoritățile de reglementare din domeniu monitorizează aplicarea regulamentului.

Așadar, care au fost principalele schimbări?

Înainte de GDPR, nimeni nu putea ști cu adevărat ce fel de date dețineau companiile despre clienți. Oare Facebook ne păstra doar numele și numărul de telefon sau adresa de e-mail? Google păstra o evidență a căutărilor noastre? Ce știe Netflix despre noi din conținutul pe care îl vizionăm? Și cum foloseau aceste companii aceste informații?

1) Pentru a răspunde tuturor acestor semne de întrebare, regulamentul GDPR a vizat o gamă largă de date colectate:

• Informații de bază privind identitatea - nume, adresă și CNP, convingeri religioase, apartenență politică, origine rasială sau etnică, orientare sexuală.
• Date privind sănătatea - afecțiuni, analize de sânge, vaccinuri COVID-19 etc.
• Comunicații: geolocalizare, adrese IP, istoric web, apeluri telefonice și mesaje text.
• Alte date, cum ar fi detalii bancare, date despre cumpărături și despre utilizarea aplicațiilor.

2) Companiilor li s-a cerut să respecte opt drepturi ale cetățenilor:

• Dreptul de a fi informat cu privire la faptul că datele sunt colectate și utilizate, pentru cât timp se întâmplă acest lucru și cum vor fi partajate. Este necesar ca informațiile de acest tip să fie furnizate într-un limbaj simplu și accesibil.
• Dreptul de a avea acces la toate datele prelucrate de o companie, precum și la motivul pentru care datele sunt colectate sau sursa din care au fost obținute.
• Dreptul de rectificare în cazul în care datele sunt incomplete sau eronate.
• Dreptul de a fi uitat care poate fi solicitat în orice moment și care îi conferă oricărei persoane dreptul de a-și retrage consimțământul dat unei companii de a deține datele respective, mai ales dacă acestea nu mai sunt considerate necesare sau dacă au fost prelucrate în mod ilegal.
• Dreptul de a restricționa prelucrarea ca alternativă la ștergerea datelor. Utilizatorii pot solicita pur și simplu ca datele lor să nu fie utilizate în anumite scopuri. De exemplu, își pot da consimțământul pentru ca datele lor să fie utilizate în personalizarea conținutului din cadrul unei platforme de streaming, dar nu și în cadrul campaniilor de marketing.
• Dreptul de a se opune prelucrării altor date personale.
• Dreptul la portabilitatea datelor. Dacă utilizatorul dorește să aibă acces la datele sale colectate de o companie și să le predea unei alte companii, concluzia este următoarea: Datele tale îți aparțin. Poți să le transferi oriunde dorești.
• Dreptul de a nu face obiectul unei profilări bazate pe un set de date cu caracteristici care ar putea defini comportamente, convingeri sau alte informații.

3) Impactul a fost unul global

Am putea presupune că acest regulament a reprezentat o schimbare radicală doar pentru companiile cu sediul în UE, însă efectele sale au ajuns mult mai departe. GDPR se aplică tuturor companiilor care oferă bunuri sau servicii în UE sau care prelucrează datele oricărui cetățean din UE. Totodată, datele cetățenilor UE pot fi exportate doar în (și utilizate de) țări cu reglementări similare în materie de confidențialitate.

Fiind una dintre cele mai mari trei economii din lume, UE atrage investiții din toate părțile lumii,  iar GDPR a fost poziționat drept o cerință standard pentru a opera în oricare dintre cele 27 de state membre. Nu este surprinzător faptul că autoritățile de reglementare în domeniul protecției datelor aparținând țărilor non-UE au adoptat legislații naționale asemănătoare cu scopul de a armoniza setul de reguli pe care companiile ar trebui să le respecte.

CITEȘTE ȘI: Is “global privacy” an oxymoron? 

Este cazul Canadei, Argentinei, Braziliei, Uruguayului, Japoniei, Noii Zeelande și, mai recent, al Coreei de Sud. De fapt, legea canadiană PIPEDA care este în vigoare din 2001 a împrumutat o mare parte din spiritul său legislației UE în ceea ce privește stabilirea responsabilității ca principiu legislativ fundamental, dar cu o diferență esențială: spre deosebire de legea canadiană, GDPR se aplică nu numai companiilor, ci și entităților guvernamentale.

În SUA, însă, peisajul este ceva mai divers. La nivel federal, diferite legi reglementează domenii specifice, cum ar fi HIPAA pentru sănătate, FCRA pentru ratingul de credite, FERPA privind educația, GLBA pentru datele privind împrumuturi și investiții, ECPA privind monitorizarea comunicațiilor, COPPA care limitează prelucrarea datelor aparținând copiilor sub 13 ani, VPPA pentru înregistrările de închiriere a conținutului  sau legea FTC care asigură respectarea de către companii a propriilor reguli de confidențialitate. Doar cinci state au adoptat legi cuprinzătoare privind confidențialitatea care sunt în vigoare sau vor intra în vigoare anul viitor: California (CCPA și viitoarea sa "actualizare" cunoscută sub acronimul CPRA), Colorado (ColoPa), Virginia (VCDPA), Connecticut (CTDPA) și Utah (UCPA).

4) Dacă se identifică o breșă de securitate, aceasta trebuie raportată în cel mult 72 de ore de la punctul descoperirii sale autorităților.

Una dintre cele mai mari noutăți introduse de GDPR a fost obligația companiilor de a raporta o breșă de securitate în termen de trei zile de la data la care au luat cunoștință de aceasta. În comparație, până în acest moment, cel mai strict termen de raportare a breșelor din SUA era de 30 de zile.

Această cerință a determinat companiile să aibă planuri prestabilite de abordare a breșelor de date, contrar tentației de a amâna prea mult să facă această dezvăluire și de a încerca evitarea unei crize de comunicare. Într-o perioadă în care astfel de incidente sunt la ordinea zilei, cetățenii trebuie să știe cât mai rapid că datele lor ar putea fi compromise, astfel încât să poată lua măsuri.

5) În cazul în care regulile nu sunt respectate, amenzile aplicate sunt cert semnificative

Cu siguranță GDPR nu înseamnă doar cuvinte goale, fără consecințe în caz de nerespectare. GDPR este activ și consecințele lui decurg palpabil, până la 23 mai 2022 de pildă, încălcările GDPR au dus la 1.093 de amenzi în valoare totală de 1,63 miliarde de euro (1,74 miliarde de dolari). Și, fără îndoială, cele mai mari "acțiuni" rezultate din aplicarea lui au devenit cunoscute în întreaga lume, cu impact asupra activității Big Tech.

În 2021, Amazon a fost amendată cu 746 de milioane de euro (865 de milioane de dolari), cea mai mare sumă de până acum, pentru publicitate direcționată fără consimțământ suficient. Cazul împotriva Amazon a fost preluat de oficialii din Luxemburg, unde își are compania sediul în Europa, după ce organizația franceză La Quadrature du Net a făcut plângerea în numele a 10.000 de persoane care au semnat petiția lor. Tot în 2021, Google a fost sancționată cu o amendă de 90 de milioane de euro (102 milioane de dolari) pentru că nu a oferit rezidenților din Franța o opțiune simplă care să le permită să refuze utilizarea de cookie-uri. (Cookie-urile sunt parțial reglementate prin Directiva ePrivacy, dar și în cazul lor se aplică GDPR, deoarece reglementează modul în care este gestionat consimțământul pentru procesarea datelor). Google Irlanda și Facebook au primit amenzi similare din același motiv.

Alte companii cunoscute, precum brandul de haine H&M, British Airways și chiar Administrația Fiscală și Vamală din Olanda au fost amendate și au fost nevoite să își adapteze mecanismele de protecție a datelor.

Aveți controlul deplin asupra datelor personale.

Acesta este unul dintre cele mai frecvente mesaje transmise de multe companii în ultimul timp. Aceste declarații fac cetățenii să se simtă în siguranță și, în același timp, arată că societățile respectă normele privind datele prelucrate și confidențialitatea acestora.

Cu certitudine, GDPR a fost un prim pas important pentru a ne asigura că datele noastre sunt în siguranță. Dar simpla existență a acestui regulament nu ar trebui să ne facă să încetăm să ne întrebăm de ce este necesară colectarea de date. De ce au nevoie companiile să știe atât de multe despre ceea ce facem, unde mergem sau cum ne îmbrăcăm? Și ce alternative există atunci când nu suntem de acord cu utilizarea unei anumite părți a datelor noastre? Putem găsi servicii alternative?

Mai mult dacă atât, dacă atât de multe servicii digitale și aplicații nu au nicio problemă să ne ofere accesul gratuit la anumite servicii, în schimbul oferirii tacite a datelor noastre, atunci care este valoarea reală a datelor personale din moment ce aceasta poate depăși cumulat veniturile bazate pe taxele de abonament?

Aceasta este cu siguranță o conversație pe care va trebui să o purtăm cu toții mai devreme sau mai târziu.