GDPR 2018 în online – ep. 1

Date personale

Cu totii am auzit de directiva europeana GDPR 2018 (General Data Protection Regulation), un set de reglementari emise in 2016 ce se vor aplica incepand din luna mai 2018 in toate statele membre ale Uniunii Europene, referitoare la modul in care companiile colecteaza si utilizeaza in procesele operationale datele cu caracter personal ale indivizilor.

Ce inseamna date cu caracter personal: sunt cunoscute ca fiind identificatori precum CNP, nume, adresa, adresa de email samd, insa directiva europeana extinde aceasta zona considerand date personale orice fel de date care pot duce la identificarea explicita a unui individ. Acest lucru ne duce catre o zona extrem de instabila si supusa interpretarilor, de exemplu, un identificator anonim care este legat de browserul unui utilizator va putea fi considerat data personala atunci cand este colectat, stocat si procesat de un furnizor de servicii online.

Ce categorii de date intra in general sub incidenta GDPR:

  • date de identificare personala: cod numeric personal, nume, adresa,
  • date legate de starea de sanatate, informatii genetice sau biometrice,
  • date legate de etnie sau apartenenta religioasa, opiniile politice sau orientarea sexuala.

Unde intalnim datele personale pe web

Acum sa trecem la zona legata de reglementarile GDPR aplicate mediului online. Date si informatii legate de localizarea device-ului (device = calculator, smartphone, dispozitiv care are acces la internet), adresa IP a acestuia, cookie-urile setate in browser si alte elemente similare sunt considerate de acum inainte date personale, pe baza lor operatorii si furnizorii de servicii putand identifica explicit o anumita persoana, sau cel putin preferintele sau obiceiurile specifice ei.

Marketing, publicitate si date personale

Fiecare dintre noi am observat ca dupa manifestarea online a unui anumit comportament (citirea unei stiri legata de un anumit subiect, cautarea anumitor produse, pachete de vacanta, destinatii turistice samd) am fost apoi asaltati de o gramada de oferte publicitare (reclame, emailuri) mai mult sau mai putin legate de acele subiecte, majoritatea chiar directe. Vorbim aici de retargetare, iar problema pe care GDPR-ul doreste sa o rezolve este consimtamantul  individului pentru a putea fi urmarit de providerii de servicii intr-un anumit scop, si legitimitatea folosirii datelor colectate. Se poate  spune ca fiecare individ are dreptul de a fi informat in prealabil despre faptul ca, vizionarea unor anumite site-uri, pagini, aplicatii etc. poate duce la colectarea  informatiilor legate de interesul lui pentru anumite subiecte, ulterior aceste informatii putand fi folosite in scopuri publicitare, comerciale, statistice  sau de alta natura. Si are dreptul, el, individul, de a refuza folosirea informatiilor lui personale in astfel de scopuri, indiferent de restrictionarea sau conditinarea accesului la serviciile online respective.

Alte cazuri de notorietate sunt campaniile facute prin mesaje SMS sau emailurile publicitare pe care orice internaut le cunoaste prea bine. Sub pretextul unui formular de contact online completat la inregistrarea pe un site de comert online sau la inscrierea pentru un concurs sau completarii unor documente in cazul prestarilor de servicii, furnizorii folosesc ulterior aceste date pentru a-si promova produsele samd. Toate bune si frumoase, nimic ilegal, insa clientul final, individul nu are in acest moment posibilitatea facila de se putea retrage din astfel de campanii; sau este foarte dificil. Tocmai acest lucru va putea fi posibil in urma aplicarii noii directive GDPR: chiar daca un individ este inscris cu acordul acestuia in astfel de campanii sau mecanisme de publicitate, in urma accesarii unor servicii, el ar trebui sa aiba oricand posibilitatea sa-si poata retrage acordul dat operatorului respectiv pentru utilizarea datele lui personale in diferite scopuri, facil, usor si transparent.

Companii care utilizeaza datele personale pe web

Am putea spune ca pana in acest punct totul arata bine si frumos, libertatea si dreptul la intimitate al individului avand de castigat. Dar realitatea este  diferita de teorie si reglementari. Vorbim de internet si lucruri precum WWW, site-uri, browsere, retele sociale, platforme de jocuri, servicii online cu diferite aspecte si intrebuintari, comert online, ad servere, analytics, Google, Facebook, isp-uri si multe alte aspecte din domeniul tehnologiei informatiei, mai bine zis un sistem deschis, liber, in care toti cei implicati interactioneaza, schimba informatii si date in felurite moduri si aranjamente. Atunci cand un individ acceseaza o pagina web, dincolo de relatia de afinitate intre el si site-ul respectiv, mai apar inca alti 100 posibili  jucatori/tehnologii implicate in procesul legat de prezentarea paginii web pe ecranul device-ului utilizatorului: furnizorul de servicii internet, tehnologia TCP/IP, sistemul de operare de pe device, browser-ul folosit, server-ul de web al site-ului, serviciile de monitorizare a traficului pe site, sisteme externe care furnizeaza direct in pagina diferite informatii relationate, sistemele altor furnizori cu care site-ul respectiv are legaturi de promovare prin link-uri, sistemele de publicitate (da, o singura reclama afisata pe un site poate sa aiba legatura cu 10 companii de tehnologie diferite! vezi programatic advertising) si asa mai departe. Intre toate aceste companii exista legaturi comerciale, in general exceptie facand in marea majoritate a cazurilor legatura directa cu consumatorul final (nu uitati ca cea mai mare parte a continutului web-ul poate fi accesata “gratis”). Insa nu exista reguli, acorduri sau reglementari clare prin care sa se specifice cum sa se intample lucrurile, ce date se pot colecta de la cel care acceseaza continutul web, ce date se schimba intre sistemele din spate, cum, cand si in ce fel, si mai mult decat atat, ce norme si legislatii trebuiesc respectate.

Impredictibilitatea si volatilitatea WWW-ului

Comparativ cu functionarea societatii dupa legi, coduri, civile, penale samd, precum si dupa normele de aplicare ale acestora, pe internet lucrurile se pot face intr-o maniera mult mai libera si intr-o multitudine de feluri – totul este sa ai acces la net! In plus, totul este extrem de volatil si dinamic, modul in care este afisata o pagina poate fi complet diferit peste 10 secunde chiar daca pagina prezinta exact acelasi continut, iar chestiunile tehnice care nu se vad din spatele afisarii pagini web, pot fi total diferite la urmatorul refresh peste 5 secunde  (de ex. afisarea unei reclame sau a datelor meteo)! Si ganditi-va ca in fiecare secunda (sa facem un exercitiu de imaginatie gandindu-ne la cat de vast este internetul) in Romania de exemplu, se afiseaza +30,000 de pagini web diferite! – nu stim daca a contorizat cineva sau poate contoriza asa ceva, credem totusi ca numarul este mult mai mare. Ca sa nu mai vorbim de interactiunile utilizatorilor cu jocurile sau aplicatiile din diferite categorii si de diferite utilizari, pe  mobil, desktop, smart-tv, tableta samd.

Amenzi

Normele GDPR au fost emise acum 2 ani, si vor intra in vigoare in tarile membre ale Uniunii Europene incepand cu luna mai 2018. Amenzile pentru nerespectarea legislatiei pot ajunge pana la 4% din cifra de afaceri sau echivalentul a 20 de milioane de EURO, luandu-se in calcul cea mai mare valoare. Destul de dur totusi, insa exista si o parte pozitiva, vei fi avertizat inainte de se trece la amenda! Intrebarea este cat de usor este sa demonstrezi ca cineva incalca normele GDPR, cu dovezi clare acceptate de autoritatile responsabile.

Cu siguranta se vor produce schimbari destul de importante in mediul online, insa partea cea mai sensibila ramane zona de verificare si control a respectarii directivei, pentru ca, sa nu uitam ca mediul online este liber, deschis tuturor posibilitatilor, oricui, oricand, in aproape orice fel. Exista norme, asociatii, reguli, standarde samd, insa niciuna dintre acestea nu are caracter punitiv. Cu atat mai dificil atat timp cat aceeasi pagina web se poate realiza intr-un numar infinit de feluri folosind tehnologii dintr-o gama la fel de variata.

Interesant va fi in ce se va schimba binecunoscutul mesaj de avertizare, de multe ori aratat in exces pe site-uri: “Acest site foloseste cookie-uri in scopul x y z. Navigand in continuare iti exprimi acordul asupra folosirii cookie-urilor. Samd”.  Conform GDPR acesta nu va mai fi suficient.

Intr-un post viitor vom analiza ce impact ar putea avea reglementarile GDPR in cele mai utilizate servicii online, ce companii vor fi implicate, si diferite scenarii ce ar putea duce la schimbarea radicala a modului in care functioneaza piata de publicitate online la nivel european.

GDRP – faqs

Author: AdUnity

+10 years together in computer tehnology development