Sari direct la conținut

GDPR – too little, too late? Prelucrarea datelor personale în era “Big Data”

STOICA & Asociatii

​Prelucrarea datelor personale nu este ceva nou. Aceasta a apărut încă din momentul în care oamenii au început să-și deseneze ori să-și povestească aventurile lor sau ale grupului din care făceau parte. Listele de invitați ale marilor conducători ai lumii, folosite pentru organizarea întrunirilor ori a banchetelor, precum cele ale Zenobiei, prințesa războinică ce preluase puterea în Palmira în jurul anilor 267-268, reprezentau o formă incipientă a metodelor de marketing direct, aplicate astăzi. Inventarea scrisului și apoi necesitățile comerțului (spre exemplu, informații precum cine vinde, cât vinde, cui vinde, prelucrate de comercianții și bancherii din Florența cu ajutorul listelor de inventar, iar ulterior, prin noile metode contabile, inventate de Pacioli etc.) ori ale guvernării (taxe, genealogie, etc.) au condus la creșterea activităților de prelucrare a datelor personale. Scrisorile, denunțurile, actele juridice, registrele funciare, carnețelele detectivilor particulari, cazierele judiciare sau fiscale ori dosarele de la fosta Securitate sunt tot atâtea exemple privind prelucrarea datelor personale.

Inițial, datele brute erau folosite pentru a permite autorității (persoana sau instituția care deținea datele respective și care deținea și puterea) să decidă cum să acționeze: spre exemplu, suveranul putea confisca pământul unui nobil care nu își plătise taxele. Progresul tehnologic și științific a permis, pe de o parte, acumularea unor cantități tot mai mari de date personale și, pe de altă parte, un salt calitativ cu privire la rezultatele prelucrării acestora. Începând din ultimele decenii ale secolului trecut, datele personale au început să fie folosite tot mai mult pentru a prezice – și deci a influența – comportamentul persoanelor.

Astfel, încă de la începutul deceniului precedent, unul din marile lanțuri de magazine din Statele Unite ale Americii – Target – ajunsese să trimită reclame cu produse pentru gravide diferitelor cliente aflate în această situație, plecând doar de la studierea schimbărilor apărute în comportamentul de consumator, într-o anumită perioadă a sarcinii. Această reușită de marketing este rezultatul prelucrării datelor personale privind cumpărăturile făcute cu cardul de credit: lanțul de magazine supraveghease îndeaproape istoria cumpărăturilor făcute, folosind mijloace automatizate, pentru a detecta trenduri în comportamentul de cumpărător al fiecărui client.

Spre exemplu, pe baza cumpărăturilor făcute, puteau să determine faptul că un client dorește să țină o dietă alimentară, sau dorește să facă mai mult sport. Perioada sarcinii este însă unul din acele puține momente în care comportamentul în materie de cumpărături se schimbă, uneori radical, iar această schimbare devine permanentă. Dacă un client este ”deturnat” spre un comerciant în această perioadă, schimbarea are mari șanse să fie definitivă, acesta fiind, probabil, motivul pentru care cei de la compania Target s-au concentrat pe identificarea cât mai rapidă a femeilor gravide. După analiza unei cantități enorme de date, legate de cumpărături, au început să detecteze o serie de trenduri: spre exemplu, sensibilitatea crescută la mirosuri a femeilor gravide face ca acestea să se orienteze spre loțiuni, săpunuri și creme cu mirosuri mai slabe sau chiar inodore. Acest factor, precum și alții, le-au permis să detecteze rapid femeile rămase însărcinate și să își adapteze marketingul și vânzările pentru a răspunde mai bine nevoilor viitoarelor mămici (amănunte aici).

Această strategie este recunoscută de managerii Target ca fiind unul din principalii factori ce au condus la creșterea vânzărilor de la 44 miliarde USD în 2002, la cca. 67 miliarde USD în 2010. Rezultatele economice foarte bune nu schimbă cu nimic caracterul delicat al situațiilor create prin trimiterea de flyere cu reclame și cupoane de reduceri la produse pentru bebeluși și mame însărcinate. Printre altele, este relatată o anecdotă cu tatăl unei domnișoare, care a aflat astfel că fiica sa este însărcinată. Pentru a nu da naștere unor întrebări delicate referitoare la modul cum au ajuns să cunoască aceste date personale sensibile, se pare că cei de la Target ar fi decis să ascundă flyerele și cupoanele de reduceri pentru bebeluși printre cupoane pentru alte bunuri și servicii; practic, aceștia ar fi încercat să ascundă față de utilizatori faptul că sunt în posesia unor date personale sensibile cu privire la ei.

Tehnologia modernă – plățile cu cardul, localizarea prin GPS, comunicațiile mobile, internetul, aplicațiile mobile și rețelele sociale – înmulțesc posibilitățile predictive de care dispun companiile.

Spre exemplu, utilizând analiza predictivă, Facebook determină care dintre cele – în medie – 1500 de postări posibile vor fi mai interesante pentru dumneavoastră, pentru a personaliza ordinea în care acestea apar la noutăți. Pentru a face acest lucru, Facebook folosește un algoritm care evaluează peste 100.000 de factori, precum momentul apariției postării, numărul de like-uri, click-uri, distribuiri, comentarii, timpul petrecut pe postări, popularitatea postărilor, afinitatea dumneavoastră față de postarea respectivă și domeniul de care ține, sau diferiți alți factori privind relevanța și încrederea. Același Facebook, pentru a-și spori veniturile din reclamele online în funcție de numărul de click-uri, evaluează numărul de click-uri, în funcție de atributele dumneavoastră, de tipul de dispozitiv utilizat și de alți factori contextuali.

Uber poate prezice cu o acuratețe de 74% adresa de destinație specifică, unde urmează să meargă clientul, pe baza locului în care părăsește mașina, indiferent câți agenți economici sunt în zonă (din fericire, acest sistem se aplică doar pentru San Francisco, pentru moment). 35% din vânzările Amazon vin din recomandările pe care le face după ce ați cumpărat un produs; aceeași companie a obținut un brevet pentru ”trimiterea anticipată” a produselor către anumite depozite sau chiar în camioane, pentru a îndeplini cât mai rapid comenzile viitoare pe care se așteaptă să le primească de la clienții dintr-o anumită zonă, așteptare bazată pe comenzile precedente și pe alți factori. Airbnb ordonează rezultatele căutărilor de locuințe ce îndeplinesc criteriile introduse de utilizator, între altele, în funcție de probabilitatea ca gazda să accepte cererea de găzduire formulată de utilizator.

Așa cum explicam într-un articol anterior pe această temă, un număr aparent limitat de informații despre o persoană, culese de pe Facebook sau alte rețele sociale, permite identificarea, cu o acuratețe ridicată, a unei întregi serii de date personale sau chiar evaluarea personalității. În 2015, cercetători de la Universitățile Cambridge și Stanford au demonstrat într-un studiu că evaluarea personalității unei persoane oarecare de către un algoritm (computer), pe baza numărului de like-uri pe Faceboook, prezintă o acuratețe mai mare decât cea făcută de o persoană apropiată: sunt suficiente 10 like-uri pentru ca acuratețea computerului să o depășească pe cea a unui coleg de muncă; la 70 de like-uri, computerul depășește un prieten sau coabitant, la 150 de like-uri, depășește părinții, iar la 300, computerul evaluează personalitatea mai bine decât soția/soțul.

De aici, până la influențarea efectivă a comportamentului unei persoane, nu mai e mult. Și, cum marketingul sau alte interese economice nu sunt singurele scopuri în prelucrarea datelor personale, ilustrarea cea mai bună a influențării comportamentului individual vine din recentul scandal Cambridge Analytica, în plină desfășurare pe plan mondial. Ce s-a întâmplat? Întreaga poveste poate fi citită, spre exemplu, aici – noi redăm fragmentele care ni se par esențiale:

Mai întâi, Cambridge Analytica cumpără date personale de la o serie de surse diferite, cum ar fi registre funciare, date legate de vehicule, date legate de cumpărături, carduri-bonus, cluburi și asociații, ce reviste citești, la ce biserici mergi. Nix (directorul Cambridge Analytica la acel moment) indică logo-urile unor brokeri de date activi pe plan mondial, cum ar fi Acxiom și Experian – în SUA aproape orice tip de dată personală este de vânzare. Spre exemplu, dacă dorești să știi unde trăiesc evreice, poți pur și simplu cumpăra această informație, inclusiv numerele de telefon. Acum, Cambridge Analytica a agregat aceste date cu registrele electorale ale Partidului Republican și date rezultate din online și a calculat un (…) profil al personalității alegătorilor. Urme în mediul digital au devenit subit oameni reali cu temeri, nevoi, interese și adrese rezidențiale. (…). Cambridge Analytica utilizează de asemenea, după cum spune Nix, ”sondaje de opinie în rețelele sociale (surveys on social media) și date Facebook”. (…) ”Avem profile ale personalității fiecărui adult din Statele Unite ale Americii – 220 milioane de oameni” se laudă Nix. (…) Măsurile luate (de către Cambridge Analytica în cadrul campaniei lui Trump – n.n.) au fost radicale: din iulie 2016, agenții electorali ai lui Trump (”canvassers”) au primit o aplicație pe telefonul mobil cu care puteau identifica opiniile politice și tipul de personalitate al locuitorilor unei case. (…) Oamenii lui Trump sunau doar la ușile caselor pe care aplicația le indica drept receptive la mesajele sale. Agenții electorali veneau deja pregătiți cu recomandări pentru conversație adaptate tipului de personalitate ale rezidentului. În schimb, agenții electorali introduceau reacțiile observate în aplicație și noi date curgeau înapoi spre sediul central de campanie al lui Trump”.

Problema majoră este însă că nu doar Cambridge Analytica dispune de suficiente date pentru a profila practic toți cetățenii unui stat sau continent și a influența desfășurarea unor alegeri sau referendumuri. După cum rezultă din textul de mai sus, Cambridge Analytica cumpără, la rândul său, unele date personale de la brokerii de date personale, cum ar fi Acxiom și Experian.

Dar cine sunt acești brokeri de date personale? Cu privire la acest subiect, o sursă de informare foarte interesantă și de încredere, chiar dacă mai veche, este un Raport al Comisiei Federale pentru Comerț al SUA (FTC) din 2014, cu privire la brokerii de date personale, accesibil aici. Conform acestui raport:

– brokerii de date personale colectează date din numeroase surse, online și offline, în mare parte fără cunoștința consumatorilor (spre exemplu – informații privind procedurile judiciare, inclusiv faliment, registrele de vot, date privind cumpărăturile consumatorilor, date privind activitatea pe internet, înregistrarea garanțiilor, alte detalii ale interacțiunii zilnice a consumatorilor); brokerii agregă/asamblează aceste date, obținând o imagine cât mai detaliată a vieții unui consumator;

cantitatea de informații strânsă este uriașă, acoperind aproape toți consumatorii americani; spre exemplu, una din bazele de date cuprinde informații despre 1,4 miliarde de tranzacții ale consumatorilor și peste 700 miliarde de elemente agregate de date; altă bază de date acumulează 3 miliarde de noi înregistrări de elemente de date în fiecare lună;

– brokerii combină și analizează date despre consumatori pentru a deduce alte informații despre ei, inclusiv despre date sensibile; spre exemplu, una din bazele de date cuprinde 3000 de segmente de date pentru aproape fiecare consumator din SUA; brokerii deduc interesele consumatorilor din datele pe care le colectează; folosesc aceste interese, împreună cu alte elemente, pentru a plasa consumatorii în categorii cum ar fi ”deținător de câine”, ”entuziast al sporturilor de iarnă” sau ”părinte în devenire”, ”interes în diabet” ori ”interes pentru colesterol”.

Mare parte din publicitatea online se bazează pe acești brokeri de date personale: de îndată ce un broker de date identifică un consumator online și plasează un cookie în browser-ul de internet al consumatorului, brokerul și clienții acestuia pot face publicitate acelui consumator, pe toată durata cât acel cookie rămâne în browser-ul consumatorului. Desigur, procedeul efectiv este puțin mai complicat (așa numita procedură ”RTB bid requests”), implicând veritabile licitații electronice quasi-instantanee pentru a determina compania (clientul brokerului de date personale) care urmează să facă publicitate în browser-ul consumatorului respectiv. Nu intrăm în aceste amănunte acum, dar o discuție și o descriere foarte interesante cu privire la procesul de publicitate online și influența cu privire la datele personale găsiți aici. Ceea ce ne interesează este că o parte importantă din publicitatea online se bazează pe transferul de date personale între brokerii de date și clienții lor, pentru a se putea determina ce companie dintre clienții brokerului urmează să facă publicitate pe browser-ul unui anume consumator. Vom discuta într-unul din articolele viitoare, dacă acest model poate continua sub regimul prevăzut de GDPR.

Brokerii de date nu furnizează însă doar datele necesare funcționării curente a sistemului de publicitate online, ci oferă și servicii de identificare a persoanelor – spre exemplu pentru a permite companiilor cliente să verifice identitatea consumatorilor sau riscul de fraudă. De asemenea, unii brokeri oferă website-uri ce permit căutarea tuturor informațiilor publice despre o persoană. După cum rezultă din scandalul Cambridge Analytica, aceiași brokeri oferă spre vânzare date și profiluri despre consumatori.

În concluzie, în era „Big Data”, datele personale au devenit o marfăîntr-o piață mult prea puțin reglementată, cu o valoare de foarte multe miliarde de dolari. Ca orice marfă, ele sunt evaluabile în bani – de altfel, pe internet sunt disponibile calculatoare ale valorii datelor personale ale unei persoane, spre exemplu aici sau aici, existând mai multe metode științifice de evaluare a acestora (OECD, 2013). Lipsa de reglementare suficientă, mai ales în Statele Unite, a condus la constituirea unor baze de date foarte cuprinzătoare, iar metodele moderne de analiză predictivă au permis companiilor identificarea unor profiluri individuale pentru aproape toți cetățenii SUA.

Ipoteza întâlnirii pe stradă cu un necunoscut care te cunoaște mai bine decât soțul/soția, sau mai bine decât te cunoști chiar tu, nu mai este SF; s-ar putea să nu fie nici măcar un viitor nedeterminat, ci doar un trecut apropiat.

Să nu uităm însă că procesarea datelor personale reprezintă un instrument foarte util pentru companii, dar și pentru consumatori, care pot beneficia de o experiență îmbunătățită în ce privește achizițiile, navigarea pe internet sau folosirea unor aplicații mobile (cum ar fi traficul din Google Maps). De altfel, prevederile GDPR sunt menite să asigure un cadru legal mai sigur, cu respectarea căruia companiile pot să prelucreze date personale și să faciliteze libera circulație a acestora. Beneficiind de adăpostul unor reguli mai clare și mai ferme, operatorii economici nu ar trebui să se abțină din a prelucra datele personale, din teama că vor ajunge să încalce, mai devreme sau mai târziu, drepturile de care beneficiază persoanele fizice în acest domeniu.

Cu toate acestea, așa cum am văzut mai sus, în anumite cazuri, limitele libertății de care dispun operatorii economici sunt depășite, având în vedere mirajul multiplelor beneficii comerciale pe care aceștia le pot obține prin procesarea extinsă a datelor personale.

Duhul a ieșit din lampă. Oare este suficient GDPR-ul în acest context? Sau vine prea târziu și face prea puțin? Despre asta, în articolele viitoare.

Un articol semnat de Andreea Micu, Partner și Dragoș Bogdan, Senior Partner, STOICA & Asociații

ARHIVĂ COMENTARII