5 motive pentru care GDPR a fost un punct de cotitură în protecţia datelor cu caracter personal

0
Publicat:
Ultima actualizare:
GDPR. FOTO Shutterstock
GDPR. FOTO Shutterstock

În 25 mai 2018 soarele a răsărit ca de obicei în toate cele 28 de state membre (de atunci) ale Uniunii Europene. Cu toate acestea, în birourile multor companii din UE (dar şi din afara acestui spaţiu), această zi a fost una marcată de provocări remarcabile.

André Lameiras, Security Writer al ESET, explică pe blog cum a schimbat GDPR modul în care companiile tratează datele noastre personale.

În perioada premergătoare implementării noilor cerinţe, companiile trimiseseră nenumărate emailuri clienţilor lor, cerându-le consimţământul pentru a fi destinatari ai newsletterelor periodice, lucru pe care nu l-au făcut niciodată cu adevărat înainte de această zi. În acelaşi timp, multe companii care nu deţineau personal specializat în prelucrarea datelor au încercat să descopere ce tipuri de date deţin de fapt despre clienţii lor, cum să le organizeze şi cum să le protejeze în viitor.

De ce a fost acest eveniment unul marcant?

În acea zi, a intrat în vigoare Regulamentul general privind protecţia datelor, sau GDPR, care a schimbat radical mentalitatea tuturor cu privire la utilizarea datelor cu caracter personal atât de către companiile cu sediul în UE, cât şi de cele din afara UE care colectează, prelucrează şi stochează datele cetăţenilor UE.

La patru ani distanţă, utilizatorii din Europa se aşteaptă ca organizaţiile şi companiile să respecte acest regulament atunci când li se solicită să dea click pe butonul "Accept" sau "Sunt de acord" din termenii şi condiţiile de utilizare a site-urilor lor (pe care, să recunoaştem, aproape nimeni nu le citeşte vreodată), şi presupun că autorităţile de reglementare din domeniu monitorizează aplicarea regulamentului.

Aşadar, care au fost principalele schimbări?

Înainte de GDPR, nimeni nu putea şti cu adevărat ce fel de date deţineau companiile despre clienţi. Oare Facebook ne păstra doar numele şi numărul de telefon sau adresa de e-mail? Google păstra o evidenţă a căutărilor noastre? Ce ştie Netflix despre noi din conţinutul pe care îl vizionăm? Şi cum foloseau aceste companii aceste informaţii?

1) Pentru a răspunde tuturor acestor semne de întrebare, regulamentul GDPR a vizat o gamă largă de date colectate:

  • Informaţii de bază privind identitatea - nume, adresă şi CNP, convingeri religioase, apartenenţă politică, origine rasială sau etnică, orientare sexuală.
  • Date privind sănătatea - afecţiuni, analize de sânge, vaccinuri COVID-19 etc.
  • Comunicaţii: geolocalizare, adrese IP, istoric web, apeluri telefonice şi mesaje text.
  • Alte date, cum ar fi detalii bancare, date despre cumpărături şi despre utilizarea aplicaţiilor.

2) Companiilor li s-a cerut să respecte opt drepturi ale cetăţenilor:

  • Dreptul de a fi informat cu privire la faptul că datele sunt colectate şi utilizate, pentru cât timp se întâmplă acest lucru şi cum vor fi partajate. Este necesar ca informaţiile de acest tip să fie furnizate într-un limbaj simplu şi accesibil.
  • Dreptul de a avea acces la toate datele prelucrate de o companie, precum şi la motivul pentru care datele sunt colectate sau sursa din care au fost obţinute.
  • Dreptul de rectificare în cazul în care datele sunt incomplete sau eronate.
  • Dreptul de a fi uitat care poate fi solicitat în orice moment şi care îi conferă oricărei persoane dreptul de a-şi retrage consimţământul dat unei companii de a deţine datele respective, mai ales dacă acestea nu mai sunt considerate necesare sau dacă au fost prelucrate în mod ilegal.
  • Dreptul de a restricţiona prelucrarea ca alternativă la ştergerea datelor. Utilizatorii pot solicita pur şi simplu ca datele lor să nu fie utilizate în anumite scopuri. De exemplu, îşi pot da consimţământul pentru ca datele lor să fie utilizate în personalizarea conţinutului din cadrul unei platforme de streaming, dar nu şi în cadrul campaniilor de marketing.
  • Dreptul de a se opune prelucrării altor date personale.
  • Dreptul la portabilitatea datelor. Dacă utilizatorul doreşte să aibă acces la datele sale colectate de o companie şi să le predea unei alte companii, concluzia este următoarea: Datele tale îţi aparţin. Poţi să le transferi oriunde doreşti.
  • Dreptul de a nu face obiectul unei profilări bazate pe un set de date cu caracteristici care ar putea defini comportamente, convingeri sau alte informaţii.

 

3) Impactul a fost unul global

Am putea presupune că acest regulament a reprezentat o schimbare radicală doar pentru companiile cu sediul în UE, însă efectele sale au ajuns mult mai departe. GDPR se aplică tuturor companiilor care oferă bunuri sau servicii în UE sau care prelucrează datele oricărui cetăţean din UE. Totodată, datele cetăţenilor UE pot fi exportate doar în (şi utilizate de) ţări cu reglementări similare în materie de confidenţialitate.

Fiind una dintre cele mai mari trei economii din lume, UE atrage investiţii din toate părţile lumii,  iar GDPR a fost poziţionat drept o cerinţă standard pentru a opera în oricare dintre cele 27 de state membre. Nu este surprinzător faptul că autorităţile de reglementare în domeniul protecţiei datelor aparţinând ţărilor non-UE au adoptat legislaţii naţionale asemănătoare cu scopul de a armoniza setul de reguli pe care companiile ar trebui să le respecte.

Este cazul Canadei, Argentinei, Braziliei, Uruguayului, Japoniei, Noii Zeelande şi, mai recent, al Coreei de Sud. De fapt, legea canadiană PIPEDA care este în vigoare din 2001 a împrumutat o mare parte din spiritul său legislaţiei UE în ceea ce priveşte stabilirea responsabilităţii ca principiu legislativ fundamental, dar cu o diferenţă esenţială: spre deosebire de legea canadiană, GDPR se aplică nu numai companiilor, ci şi entităţilor guvernamentale.

În SUA, însă, peisajul este ceva mai divers. La nivel federal, diferite legi reglementează domenii specifice, cum ar fi HIPAA pentru sănătate, FCRA pentru ratingul de credite, FERPA privind educaţia, GLBA pentru datele privind împrumuturi şi investiţii, ECPA privind monitorizarea comunicaţiilor, COPPA care limitează prelucrarea datelor aparţinând copiilor sub 13 ani, VPPA pentru înregistrările de închiriere a conţinutului  sau legea FTC care asigură respectarea de către companii a propriilor reguli de confidenţialitate. Doar cinci state au adoptat legi cuprinzătoare privind confidenţialitatea care sunt în vigoare sau vor intra în vigoare anul viitor: California (CCPA şi viitoarea sa "actualizare" cunoscută sub acronimul CPRA), Colorado (ColoPa), Virginia (VCDPA), Connecticut (CTDPA) şi Utah (UCPA).

4) Dacă se identifică o breşă de securitate, aceasta trebuie raportată în cel mult 72 de ore de la punctul descoperirii sale autorităţilor.

Una dintre cele mai mari noutăţi introduse de GDPR a fost obligaţia companiilor de a raporta o breşă de securitate în termen de trei zile de la data la care au luat cunoştinţă de aceasta. În comparaţie, până în acest moment, cel mai strict termen de raportare a breşelor din SUA era de 30 de zile.

Această cerinţă a determinat companiile să aibă planuri prestabilite de abordare a breşelor de date, contrar tentaţiei de a amâna prea mult să facă această dezvăluire şi de a încerca evitarea unei crize de comunicare. Într-o perioadă în care astfel de incidente sunt la ordinea zilei, cetăţenii trebuie să ştie cât mai rapid că datele lor ar putea fi compromise, astfel încât să poată lua măsuri.

5) În cazul în care regulile nu sunt respectate, amenzile aplicate sunt în mod cert semnificative

Cu siguranţă GDPR nu înseamnă doar cuvinte goale, fără consecinţe în caz de nerespectare. GDPR este activ şi consecinţele lui decurg palpabil, până la 23 mai 2022 de pildă, încălcările GDPR au dus la 1.093 de amenzi în valoare totală de 1,63 miliarde de euro (1,74 miliarde de dolari). Şi, fără îndoială, cele mai mari "acţiuni" rezultate din aplicarea lui au devenit cunoscute în întreaga lume, cu impact asupra activităţii Big Tech.

În 2021, Amazon a fost amendată cu 746 de milioane de euro (865 de milioane de dolari), cea mai mare sumă de până acum, pentru publicitate direcţionată fără consimţământ suficient. Cazul împotriva Amazon a fost preluat de oficialii din Luxemburg, unde îşi are compania sediul în Europa, după ce organizaţia franceză La Quadrature du Net a făcut plângerea în numele a 10.000 de persoane care au semnat petiţia lor. Tot în 2021, Google a fost sancţionată cu o amendă de 90 de milioane de euro (102 milioane de dolari) pentru că nu a oferit rezidenţilor din Franţa o opţiune simplă care să le permită să refuze utilizarea de cookie-uri. (Cookie-urile sunt parţial reglementate prin Directiva ePrivacy, dar şi în cazul lor se aplică GDPR, deoarece reglementează modul în care este gestionat consimţământul pentru procesarea datelor). Google Irlanda şi Facebook au primit amenzi similare din acelaşi motiv.

Alte companii cunoscute, precum brandul de haine H&MBritish Airways şi chiar Administraţia Fiscală şi Vamală din Olanda au fost amendate şi au fost nevoite să îşi adapteze mecanismele de protecţie a datelor.

Aveţi controlul deplin asupra datelor personale.

Acesta este unul dintre cele mai frecvente mesaje transmise de multe companii în ultimul timp. Aceste declaraţii fac cetăţenii să se simtă în siguranţă şi, în acelaşi timp, arată că societăţile respectă normele privind datele prelucrate şi confidenţialitatea acestora.

Cu certitudine, GDPR a fost un prim pas important pentru a ne asigura că datele noastre sunt în siguranţă. Dar simpla existenţă a acestui regulament nu ar trebui să ne facă să încetăm să ne întrebăm de ce este necesară colectarea de date. De ce au nevoie companiile să ştie atât de multe despre ceea ce facem, unde mergem sau cum ne îmbrăcăm? Şi ce alternative există atunci când nu suntem de acord cu utilizarea unei anumite părţi a datelor noastre? Putem găsi servicii alternative?

Mai mult dacă atât, dacă atât de multe servicii digitale şi aplicaţii nu au nicio problemă să ne ofere accesul gratuit la anumite servicii, în schimbul oferirii tacite a datelor noastre, atunci care este valoarea reală a datelor personale din moment ce aceasta poate depăşi cumulat veniturile bazate pe taxele de abonament?

Aceasta este cu siguranţă o conversaţie pe care va trebui să o purtăm cu toţii mai devreme sau mai târziu.

Tehnologie



Partenerii noștri

Ultimele știri
Cele mai citite