Cubul Rubik al GDPR-ului: perspective și valențe multiple
68 de ”like-uri” pe Facebook. În medie, de atât este nevoie, conform unui studiu din 2012 al unor cercetători de la Cambridge (accesibil aici), pentru a se putea deduce culoarea pielii unui utilizator Facebook (cu o probabilitate 95%), orientarea sexuală (88%), afilierea la partidul Democrat sau Republican (85%), inteligenţa, credinţa religioasă, consumul de alcool, tutun sau droguri ori chiar dacă părinţii au divorţat (cu grade mai mici, dar totuși semnificative, de probabilitate). Cu cât mai multe ”like-uri”, cu atât crește probabilitatea.
Acesta este un simplu exemplu care arată puterea datelor personale în era Big Data. Prelucrarea datelor personale cu mijloace moderne (colectarea, agregarea, stocarea și utilizarea acestora în încercarea de a prezice și influența comportamentul membrilor societății în cele mai variate scopuri) are implicații enorme, nu doar la nivel individual, ci și la nivel social. Nu ne referim aici doar la scandalul în curs Facebook/Cambridge Analytica – acesta este doar vârful unui aisberg uriaș ce prezintă ramificații în privința unor aspecte pe care, poate, nici măcar nu ni le imaginăm în prezent: de la afectarea vieții private (lucru care deja se întâmplă) ori manipularea individuală (în scopul influențării alegerilor sau al comportamentului consumatorilor), până la adâncirea semnificativă a inegalităților sociale (informația înseamnă putere, să nu uităm) ori chiar deraierea mecanismelor care asigură funcționarea statului de drept chiar în democrații avansate.
În plus, în societatea de astăzi, pot avea o influență foarte mare nu doar prelucrările de date personale care intră în categoria Big Data, ci și cele care fac parte din categoria Small Data. Astfel, Big Data se referă în special la seturi de date complexe și voluminoase, care oferă informații ample despre anumite situații sau trenduri, iar prin procesarea acestora, folosindu-se mijloace automatizate complexe, pot fi influențate alegerile făcute de persoane în anumite domenii. Small Data, în schimb, reprezintă tocmai acele informații personale care par la prima vedere neimportante, dar care pot avea de asemenea puterea de a ne influența alegerile (felul în care așezăm periuța de dinți în pahar, tipurile de magneți de frigider colecționați, conținutul dulapului de medicamente, forma peluzei sau numărul aplicațiilor deschise în telefon în general etc.). În cartea sa, intitulată chiar ”Small Data – indicii mărunte care scot la iveală trenduri în masă”, reputatul analist în domeniul marketingului și al brandingului, Martin Lindstrom, explică toate aceste atribute ale Small Data. Privite izolat, aceste tipuri de date nu sunt niciodată suficiente pentru a crea ipoteze, însă cumulate cu alte observații și descoperiri, care se corelează între ele, pot da naștere unor soluții inovatoare, de natură să stea la baza unei viitoare afaceri de succes.
Iată, așadar, că procesarea datelor personale reprezintă un instrument foarte util pentru companii, însă uneori, folosirea acestuia poate genera consecințe importante la nivel individual.
În acest context, urmează să intre în vigoare noul Regulament UE 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (cunoscut ca „GDPR”). Din discuțiile publice, GDPR pare să fie uneori perceput în România ca o măsură impusă de UE, nu neapărat necesară, care este însoțită de sancțiuni uriașe pentru nerespectarea prevederilor sale, uneori vagi (inclusiv amenzi de până la 4% din cifra de afaceri). Altfel spus, un fel de dragon juridic plin de neprevăzut. Emoțiile cauzate de intrarea în vigoare a noilor reguli sunt cu atât mai amplificate cu cât Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal și-a anunțat în repetate ocazii intenția de a realiza inspecții inopinate la sediul companiilor, pentru a analiza conformarea cu GDPR.
Speriate de posibilele sancțiuni aplicabile, tot mai multe companii iau măsuri pentru a se conforma noilor reglementări. Armonizarea activității acestora cu cerințele aplicabile prelucrării datelor cu caracter personal reprezintă un proces complex, nu doar consumator de timp și resurse financiare și umane, ci supus incertitudinilor cu privire la modul în care trebuie interpretate anumite dispoziții legale ori maniera în care se implementează măsurile considerate necesare sub imperiul GDPR.
Astfel, asemenea dificultăți pot să apară nu doar cu ocazia realizării auditului companiei pentru a se identifica principalele acțiuni ce trebuie adoptate în vederea conformării cu Regulamentul, ci și în momentul implementării propriu-zise a acestora. Au fost identificate toate departamentele care prelucrează date și categoriile de date avute în vedere? Au fost luate în evidență toate situațiile în care se solicită exprimarea consimțământului pentru prelucrarea datelor persoanelor vizate? E necesar să se numească un responsabil pentru protecția datelor? Trebuie făcută o consultare prealabilă a autorității de supraveghere în cazul unei anumite prelucrări? Asemenea întrebări și multe altele se află în ultima vreme în centrul preocupărilor companiilor vizate de noile reguli în materia prelucrării datelor cu caracter personal.
Așadar, intrarea în vigoare a GDPR este, de multe ori, privită cu teamă. Noi credem însă că această abordare apare tocmai pentru că noile reguli privind prelucrarea datelor personale nu sunt întotdeauna privite în contextul mai general al impactului pe care îl au datele personale astăzi. În ciuda unor idei preconcepute, GDPR-ul nu este un balaur venit din Vest, menit să impună cu forța o serie de obligații costisitoare pentru companiile mici din România sau alte țări. Dimpotrivă, credem că eficiența implementării sale ar crește considerabil dacă autoritatea în domeniu, dar și cei care discută public despre acest subiect, ar începe prin a explica, mai degrabă, pericolele reale pe care prelucrarea necontrolată a datelor personale le pune la adresa noastră a tuturor, decât prin menționarea insistentă a sancțiunilor din GDPR și a pericolului inspecțiilor inopinate.
Mai mult, în măsura în care prevederile GDPR sunt corect aplicate, ele permit prelucrarea datelor personale și libera circulație a acestor date, într-un cadru juridic mult mai sigur, transformându-le în instrumente utile, ce pot fi folosite în activitatea companiilor într-o manieră inteligentă, adică prin respectarea drepturilor și a garanțiilor de care beneficiază persoanele fizice în acest domeniu. Cu alte cuvinte, companiile care prelucrează aceste date nu ar trebui să înceteze să prelucreze date personale, din teama de a nu greși printr-o aplicare insuficientă a multiplelor cerințe legale impuse de Regulamentul european.
Prin urmare, dintr-o perspectivă mai largă, GDPR-ul este o măsură menită să mai îndrepte din aspectele negative și abuzurile deja făcute în contextul prelucrării datelor cu caracter personal. Astfel, prevederile sale dau dovada unui echilibru necesar între interesele persoanelor fizice ale căror date sunt prelucrate și interesele economice sau de altă natură care justifică această prelucrare. Rămâne de văzut dacă abordarea din GDPR este suficientă în acest moment sau dacă nu cumva această măsură, așa restrictivă cum pare ea, este luată prea târziu și face prea puțin.
Ne propunem să demonstrăm această teză printr-o serie de articole. Într-o primă parte, vom încerca să creionăm o imagine (asumat incompletă, data fiind magnitudinea problemei și caracterul neadecvat al suportului pentru o asemenea sarcină) a ceea ce înseamnă prelucrarea datelor în ziua de azi și care sunt pericolele la care aceasta poate da naștere. În părțile următoare, vom comenta soluțiile găsite de GDPR la diverse probleme, combinând textele Regulamentului european cu exemple concrete din activitatea noastră sau din practica instanțelor europene (în special, CEDO și CJUE).
Nădăjduim că prin acest demers periodic, vom reuși să zugrăvim, cel puțin într-o oarecare măsură, complexitatea GDPR și faptul că, asemenea oricărui lucru de pe lumea aceasta, are multiple valențe, atât pozitive, cât și negative, în funcție de context și de perspectiva celui care îl analizează. Așadar, vă invităm să urmăriți și articolele următoare!
Un articol semnat de Andreea Micu, Partner și Dragoș Bogdan, Senior Partner, STOICA & Asociații