GDPR: Marketing în alertă!
General Data Protection Regulation transformă datele personale ale consumatorilor, din peștișorul de aur al departamentelor de marketing, în castane fierbinți. Companiile trebuie să reconstruiască din temelii bazele de date și să ceară consimțământul miilor de persoane pentru prelucrarea acestor informații.
Regulamentul Uniunii Europene 2016/679 privind protecţia datelor personale – GDPR (General Data Protection Regulation) devine aplicabil în mai puţin de 6 luni, începând cu 25 mai 2018. El schimbă radical modul în care companiile pot utiliza datele personale pentru cercetări de piaţă specifice, axate pe consumator, şi redefineşte datele personale stabilind că acestea sunt constituite din orice informaţie care permite indentificarea unui individ.
Regulamentul înlocuieşte Directiva 95/46/EC, preluată în România prin Legea 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal. În acelaşi timp, prevederile noii legislaţii oferă mai multe drepturi persoanelor şi reformulează modul în care companiile pot solicita şi utiliza aceste informaţii în scop comercial.
Deoarece prevederile Regulamentului 2016/679 sunt extrem de specializate şi specifice, am lăsat interpretarea acestora în seama unor reputaţi specialişti din domeniul juridic, al consultanţilor de marketing și al consultanților specializați în protecția datelor și aplicarea GDPR, interpretări pe care le puteţi lectura la finalul acestui articol. Există însă anumite aspecte ce merită menţionate pentru a semnala problemele reale pe care le ridică acest regulament.
Lărgirea ariei de stabilire a ceea ce reprezintă date personale
Unul dintre aceste aspecte este legat de schimbarea perspectivelor asupra a ceea ce reprezintă date personale. Dacă până în prezent datele personale erau limitate și se raportau, în accepțiunea genrală, la elemente precum CNP, adresă, nume și prenume, din 25 mai 2018 aria acestora se extinde şi include orice informație care poate conduce la identificarea persoanei. Foarte important este că intră sub incidența datelor personale informațiile de localizare prin GPS, IP-ul computerului, datele din fișele din sistemul de sănătate, asigurările, plăcuțele de înmatriculare ale automobilului, fotografiile postate în online, chiar adresa emailului de la locul de muncă, dacă aceasta este formulată după tipologia prenume.nume@...
Bazele de date vechi trebuie revizuite și completate
Toate bazele de date stocate de companii în prezent trebuie revizuite şi organizate după specificul indicat de noul regulament, astfel încât împreună cu setul de date pe care o companie îl deţine despre un individ să poată fi stocată şi confirmarea acestuia că datele respective pot fi utilizate, punctual, în anumite scopuri. Fără acest acord, compania nu poate acţiona prin utilizarea informaţiilor despre individul respectiv, decât în măsura în care poate arăta că este vorba de un tip de prelucrare de date pentru care consimțământul persoanei vizate nu este necesar. Mai mult, dacă acordul a fost dat pentru procesarea într-un anumit scop comercial, pentru o altă procesare, având alt scop tot comercial, este nevoie de alt acord specificat clar.
Impactul în cercetarea de marketing – proceduri greoaie, baze de date diminuate
Într-o primă etapă, impactul regulamentului se va resimţi în mod special asupra departamentelor de marketing, dar şi asupra costurilor pentru cercetările realizate. Fiind necesare acorduri pentru fiecare scop de procesare comercială, costurile cercetărilor pe consumator vor creşte substanţial. În paralel numărul de persoane disponibile să-şi dea acordul pentru procesări multiple se va diminua în perioada intrării în vigoare a noului regulament, după o estimare a companiilor de reserch. Asta înseamnă că eforturile pentru obţinerea unor informaţii similare cu cele gestionate în anii anteriori vor fi mult mai mari pentru companiile de cercetare de piaţă, iar aceste eforturi vor avea un impact substanţial în costuri.
Dar ce înseamnă această redefinire a datelor personale pentru companiile comerciale?
În domeniul digital, companiile nu vor mai putea crea profilul de consumator după frecvența cu care accesează diverse siteuri și platforme web, decât dacă obțin acordul expres al utilizatorului pentru procesarea datelor în acest scop. Cookie-urile vor fi tot mai rar utilizate, simpla avertizare ”Acest site folosește cookie-uri...” nu va mai fi suficientă, trebuie explicat utilizatorului în ce scop le folosește și să îi ceară acceptul în acest sens. Asta, deoarece acceptul tacit, rezultat în baza unor formulări frecvent întâlnite în prezent - „Continuarea navigării reprezintă acceptul....” - nu vor mai fi valabile, deoarece nu se va putea stabili dacă în spatele ecranului navigarea nu a fost continuată de o persoană cu vârsta mai mică de 16 ani, al cărei accept nu poate fi legal.
Vârsta de 16 ani este o vârstă propusă de Regulamentul 2016/679, urmând ca fiecare stat european în parte să stabilească vârsta minimă de la care acceptul pentru prelucrarea datelor personale este considerat legal.
În domeniul sănătății, companiile de profil (farmaceutice sau cele producătoare de bunuri de larg consum pentru îngrijirea copilului nou născut) nu mai pot folosi informațiile bazelor de date din fișele medicale decât cu acordul prealabil al persoanei în cauză. Dacă până acum era relativ ușor să obții baze de date cu copii născuți în ultimele luni în România sau într-o arie geografică oarecare de pe teritoriul ţării, această operațiune va fi mult îngreunată după 25 mai.
În domeniul bunurilor de larg consum, profilul consumatorului, așa cum era el conturat de marii retaileri pe baza imaginilor de pe camerele de luat vederi și a coșului de cumpărături cu care s-a prezentat la casa de marcat, nu va mai fi la fel de ușor de realizat. Specialiștii germani în GDPR susțin că imaginile de pe camerele de supraveghere vor fi asimilate GPS-ului pentru localizarea și identificarea persoanei, deci vor putea fi utilizate doar în scop de securitate a businessului, nu și în scop comercial. Dar pe această temă există încă o serie de dezbateri, deorece operatorii de protecţia datelor din alte state europene nu sunt de acord cu germanii în ceea ce priveşte informaţiile furnizate prin camerele de supraveghere. Tot în cazul bunurilor de larg consum, datele colectate cu accept pentru informarea privind promoţiile nu pot fi utilizate la transmiterea unui pliant în care o parte din produse sunt oferite la promoţii, iar altă parte nu. Pentru cea de a doua parte a acestui pliant este necesar ca persoana să fi bifat şi o altă căsuţă prin care accepta să primească oferta magazinului/furnizorului.
Securitatea bazelor de date personale revine companiilor
Responsabilitatea privind securizarea bazelor de date şi stabilirea treptelor de acces pentru personalul care lucrează cu acestea revine fiecărei companii. În condiţiile noului Regulament, un consumator nu va mai putea primi telefon de la o companie prin care să încerce să-i vândă un produs, fără a justifica cu acceptul persoanei respective acea acţiune. În caz contrar, sancţiunile prevăzute de regulament sunt foarte mari şi pot afecta afacerea în ansamblu, ele pornind de la o valoare minimă de 10 mii de euro şi mergând până la valoarea de 20 de milioane de euro sau 4% din cifra de afaceri a companiei, stabilite în funcţie de care din cele două este mai mare.
Timp scurt rămas până la aplicare
Perioada rămasă până la aplicarea efectivă a Regulamentului este mai mică de șase luni, iar pentru companiile care nu au demarat deja procedurile de implementare, timpul ar putea deveni prea scurt pentru conformare. Deși GDPR a fost adoptat pe 24 mai 2016, Comisia Europeană a considerat că este necesară o perioadă de doi ani, până în mai 2018, timp în care companiile să implementeze procedurile și software-ul necesare pentru protecția și securizarea bazelor de date din companii. În nota de fundamentare a acestrei decizii de amânare a aplicării, publicată de presa financiară britanică în primăvara anului 2016, se arăta că timpul necesar pentru o companie multinațională să proiecteze și să implementeze un „good practice” în GDPR poate dura între 7 și 12 luni, iar pentru o companie națională de talie medie acest proces durează între 3 și 6 luni. Din acest motiv, recomandarea era făcută cu scopul de a oferi companiilor timpul necesar unui exercițiu operațional cu bazele de date proprii, atât în ceea ce privește utilizarea corectă a acestora, cât și în ceea ce privește securizarea bazelor de date deținute, deoarece responsabilitatea în ceea ce privește protecția împotriva abuzurilor comise cu datele personale va reveni proprietarului bazei de date respective. În cazul în care este vorba despre atacuri cibernetice, proprietarul bazei de date are obligația să reclame la autoritățile competente accesarea ilegală a bazei de date într-un termen de timp foarte scurt, pentru a se proteja de rigorile legii. Nu în ultimul rând, proiectarea şi realizarea coustomizată a softurilor pentru zeci de mii de companii a încărcat excesiv programul de software al acestora, o parte dintre ele fiind deja în căutare de colaboratori externi pentru a face faţă comenzilor. Preţurile pentru execuţia acestor softuri au crescut şi ele, la nivel european fiind înregistrat un plus de 28% pentru ora de lucru în programare pe astfel de softuri, în 2017.
Unde va fi impactul cel mai puternic
Conformarea la prevederile Regulamentului 679/2016 nu implică doar consultanţă, implică existenţa în cadrul celor mai multe dintre companii a unui responsabil cu protecția datelor personale, implică softuri coustomizate pentru fiecare companie în parte, astfel încât orice operator de date să poată şti în orice moment cine a accesat, ce date a accesat, în ce scop şi până la ce nivel al bazei de date poate avea acces. Operaţiunile în zona de marketing vor suferi modificări, iar costurile de marketing vor fi şi ele afectate. Având în vedere puterea care este dată consumatorilor pentru a dispune de datele personale în cadrul noului Regulament, multe companii vor fi reticente față de inițiative noi de maketing. Dar dacă în cazul companiilor multinaţionale know-how-ul va fi importat, iar pentru companiile mari respectarea GDPR va fi supervizată de specialişti ai caselor de avocatură în colaborare cu departamentele interne ale companiilor ce au în atribuţii gestionarea datelor, pentru companiile medii şi mici, GDPR va reprezenta un blocaj în activităţile de marketing. În rândul companiilor cu afaceri cuprinse între un milion de euro şi 10 milioane de euro, conformarea la noile reguli poate reprezenta costuri suficient de mari încât să determine stoparea temporară a acţiunilor de marketing ce implică studii pe consumator sau renunţarea la promoţii construite pe baza datelor colectate din piaţă.
Roxana Guiman: „Vechile metehne vor fi cu siguranţă zdruncinate!”
În şase luni, toate afacerile care prelucrează date cu caracter personal, şi practic toţi angajatorii din Uniunea Europeană, vor trebui să ştie că este de datoria lor să protejeze astfel de informații, şi să informeze persoanele cu ale căror date vin în contact pe parcursul desfăşurării operaţiunilor de zi cu zi, despre drepturile aferente. Toate acestea sub ameninţarea unor sancţiuni fără precedent, ce pot ajunge până la 4% din cifra de afaceri a companiei, sau 20 de milioane de euro.
În era digitală în care profilarea şi bazele de date constituie surse importante de venit pentru companii, Uniunea Europeană înţelege să limiteze exploatarea acestora pe căi discutabile sub aspect etic sau de-a dreptul ilegale. Practic, imperativul este de a proteja individul de expunerea nedorită la furtul de identitate sau la alte forme de abuz în prelucrarea datelor cu caracter personal, cu consecințe grave, precum pagube financiare, eroziune a reputației, expunerea nedorită a vieţii private.
Roxana Guiman (Drilea) - Avocat Senior, Coordonator al Practicii de IP, IT&C şi Data Potection la Biriş Goran SPARL. Roxana s-a alăturat echipei Biriș Goran în decembrie 2012 și oferă asistență în principal pe aspecte legate de proprietate intelectuală şi protecţia datelor personale, însă activitatea sa acoperă o gamă largă de servicii juridice, inclusiv dreptul muncii, drept societar și pregătirea de contracte comerciale în diverse domenii.
Cum îşi propune Uniunea Europeană să realizeze acest „firewall” de protecție a individului?
În primul rând, prin clarificarea şi extinderea definiţiei datelor cu caracter personal: „orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare sau la un element specific, propriu identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale şi prin introducerea de drepturi noi pentru persoanele vizate. În al doilea rând, prin introducerea pentru operatorii de date a obligativităţii respectării unor măsuri tehnice și organizatorice prin care se asigură securitatea datelor cu caracter personal, ce sunt cuprinse într-un set de 6 principii pe care operatorul trebuie să demonstreze că le respectă: 1. Datele trebuie prelucrate în mod legal, echitabil şi transparent; 2. Datele vor fi colectate în scopuri determinate, explicite şi legitime; 3. Datele trebuie să fie adecvate şi limitate, raportat la scopul urmărit prin prelucrare; 4. Datele trebuie să fie exacte şi actualizate; 5. Datele trebuie păstrate într-o formă care permite identificarea persoanelor vizate, pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; 6. Datele vor fi prelucrate într-un mod care asigură în mod real securitatea adecvată.
Cum aţi explica, pe scurt, prevederile şi obiectivele Regulamentului?
Ca mod de aplicare a principiilor de protejare a datelor cu caracter personal, Regulamentul presupune: o sferă de aplicare mai largă; eliminarea mecanismului actual de notificare a autorităţii naţionale şi introducerea principiului responsabilităţii – operatorul trebuie să poată demonstra că respectă cerinţele Regulamentului; introducerea răspunderii distincte a împuternicitului; drepturi mai largi pentru persoana vizată; reguli mai restrictive pentru consimţământ; introducerea responsabilului cu protecţia datelor (studiile arată că vor fi necesari cel puțin 28.000 de responsabili la nivelul UE pentru a acoperi necesarul impus de Regulament); obligaţia notificării incidentelor de securitate; sancţiuni mai severe (până la 4% din cifra de afaceri globală sau 20 de milioane de euro). Cu alte cuvinte, vechile metehne ale multora dintre companiile din România, de a considera că dacă au depus o notificare la ANSPDCP, prin care s-au înregistrat ca operator de date cu caracter personal, înseamnă că şi-au îndeplinit obligaţiile privind protecţia datelor, vor fi cu siguranţă zdruncinate. Din luna mai 2018, organizaţiile vor trebui să privească cu mult mai multă aplecare chestiunile ce ţin de acest domeniu.
Unde, când şi cui se aplică acest nou Regulament?
Regulamentul este aplicabil prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor. După cum vedem, domeniul de aplicare este foarte larg definit, aşadar Regulamentul sa va aplica aproape oricărei activităţi de prelucrare de date personale. Aplicarea Regulamentului se întinde asupra prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. De asemenea, Regulamentul se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de: (a) oferirea de bunuri sau servicii unor persoane vizate din Uniune; sau (b) monitorizarea comportamentului lor, dacă acesta se manifestă în cadrul Uniunii. În concluzie, Regulamentul se va aplica aproape oricărei organizaţii care, fie este stabilită în Uniunea Europeană, fie oferă bunuri sau servicii, sau monitorizează comportamentul persoanelor din Uniunea Europeană, chiar dacă respectiva organizaţie nu are sediul în Uniune.
Care sunt domeniile cele mai afectate?
Considerăm că impactul cel mai profund al noilor reguli va fi în cazul firmelor ce activează în zonele de retail, telecom, media, marketing, banking, servicii cloud, servicii medicale şi farma, activităţi online sau orice alte domenii ce implică interacţiune directă, pe scară largă, cu persoane fizice. Din păcate, cu toate că impactul noului Regulament este major pentru toţi operatorii de date personale, cu foarte mici excepții, interesul pentru conformare sau înțelegerea implicațiilor acesteia sunt limitate atât la nivel european, cât, mai ales, la nivel naţional. Studiile realizate până acum arată un nivel încă foarte redus de înţelegere şi conformare cu privire la Regulament.
Regulamentul se aplică şi în relațiile B2B?
Regulamentul priveşte orice prelucrare de date ale unei persoane fizice. Având în vedere că reprezentanţii companiilor sunt persoane fizice, principiile Regulamentului trebuie respectate şi cu privire la aceste prelucrări. Să luăm drept exemplu adresa de e-mail de birou. Dacă pornim de la definiţia noţiunii de dată cu caracter personal, concluzionăm că în măsura în care o adresă de e-mail conţine elemente ce pot duce la identificarea destinatarului (exemplu: prenume sau iniţială + nume), aceasta constituie dată cu caracter personal. Nu este însă şi cazul adreselor de e-mail alocate generic unui grup de persoane sau care nu indică o persoana anume (exemplu: Această adresă de email este protejată contra spambots. Trebuie să activați JavaScript pentru a o vedea., Această adresă de email este protejată contra spambots. Trebuie să activați JavaScript pentru a o vedea.).
Ce recomandări aveţi pentru companii, în aşteptarea Regulamentului?
Prima recomandare ar fi să utilizeze Regulamentul ca pe un avantaj competitiv! Acesta urmăreşte consolidarea pieţei unice şi crearea unui sistem armonizat de reguli pentru protecţia datelor, conturând un set de drepturi şi de obligații care să răspundă noilor tehnologii, având ca obiectiv final să ajute cetățenii și organizațiile să navigheze în siguranță și cu încredere într-o lume digitală tot mai complexă. Deși poate fi ușor să ne gândim la Regulament ca la o altă povară de conformitate, acesta ar putea (şi ar trebui) să fie privit ca un mijloc prin care să putem aduce organizațiile în actualitatea lumii digitale moderne. Piaţa însăşi va impune conformarea printr-un sistem de selecţie naturală, întrucât companiile mari şi serioase vor căuta parteneri care aplică principiile Regulamentului în activitatea lor, pentru a reduce expunerea la riscuri şi a-şi consolida eforturile de conformare. Aşadar, pentru a asigura un nivel ridicat de protecţie a datelor cu caracter personal, organizaţiile trebuie să elaboreze proceduri interne care să garanteze respectarea protecţiei datelor în orice moment, luând în considerare toate evenimentele care pot apărea pe parcursul efectuării prelucrărilor de date (breșe de securitate, solicitări privind exercitarea drepturilor persoanelor vizate etc.).
GDPR - impact în marketing
ELENA BADEA, MANAGING PARTNER, VALORIA BUSINESS SOLUTIONS
Pentru modul în care se folosesc acum datele cu caracter personal în marketing, GDPR este o măsură aproape la cealaltă extremă – cea a rigorii și a stricteții. Prevederile GDPR cer ca orice colectare a datelor cu caracter personal să fie făcută exclusiv pentru activitatea de marketing derulată în baza acordului explicit al persoanei vizate. Consecința imediată este că, în cazul unei campanii, informațiile se vor putea utiliza numai pentru scopul acelei campanii. Crearea unui alt scop pentru a utiliza informațiile va necesita un consimțământ suplimentar din partea persoanei vizate.
Aceasta este o veste proastă pentru marketing, deoarece o practică obișnuită de-a lungul anilor a fost creșterea bazelor de date utilizând metoda acordului implicit și a furnizării opțiunii de dezabonare. În ceea ce privește bazele de date de marketing, GDPR cere ca acestea să fie curățate și revizuite pentru ca organizația să poată identifica dacă acordul a fost acordat în mod legal și corect, dacă acesta este utilizat în scopuri explicite și legitime, ce date au fost colectate, precum și exactitatea informației.
Consimțământul joacă un rol foarte important în marketingul digital și direct. Conform GDPR, controlorul de date și procesorul vor trebui să adere la un set clar de cerințe: „Consimțământul persoanei vizate înseamnă orice indicație liberă, specifică, informată și lipsită de ambiguitate a dorințelor persoanei vizate prin care aceasta, printr-o declarație sau printr-o acțiune clară afirmativă, exprimă acordul cu privire la prelucrarea datelor cu caracter personal care o privesc.”
Astfel, organizațiile trebuie să se pregătească pentru a putea demonstra modul în care persoana vizată a dat consimțământul procesării, ceea ce înseamnă că marketingul trebuie să înregistreze cum și cine a dat acordul.
Persoana vizată trebuie să poată retrage consimțământul în orice moment (dreptul de a obiecta) și trebuie să fie la fel de ușor de retras consimțământul ca și pentru a-l acorda. Acest lucru trebuie demonstrat prin politica și procesul de retragere a consimțământului.
Consimțământul trebuie să acopere toate activitățile de prelucrare efectuate în aceleași scopuri.
În cazul în care prelucrarea are scopuri multiple, consimțământul trebuie să fie acordat pentru fiecare dintre aceste scopuri.
Consimțământul poate fi luat în considerare în mod liber dacă persoana vizată nu are o alegere reală sau liberă.
Acordul tacit, câmpurile pre-bifate sau inactivitatea nu pot constitui consimțământ.
Ce va urma? Dacă multinaționalele au resurse și încă ceva timp ca să se pregătească pentru implementarea cerințelor GDPR în marketing, pentru întreprinderile mijlocii și mici, data de 25 mai 2018 va instala un vid de marketing. Având în vedere cuantumul amenzilor și puterea care este dată consumatorilor pentru a dispune de datele personale în cadrul nou adus de GDPR, multe organizații vor avea o atitudine rezevată față de inițiative noi de marketing. Această abordare rezervată va dura până când platformele online de marketing direct și digital vor facilita aplicarea corectă a cerințelor GDPR în campanii. Dincolo de acest aspect, mai degrabă tehnic, se vor propaga exemple, formate și modele de aplicare corectă care vor da ceva mai mult curaj acestor companii.
Pe de altă parte, este momentul ca toate organizațiile care gestionează baze de date imense, cum sunt companiile telecom, energie, retail, sănătate, să facă un demers de comunicare autentică și onestă pentru a educa consumatorii în ceea ce privește GDPR, dar mai ales pentru a pozitiva percepția acestora în legătură cu practicile lor de gestionare a datelor. Altfel, iadul datelor cu caracter personal se va dezlănțui asupra lor, și nimic nu le va putea salva de exigența consumatorilor, care vor să fie persoane, nu entry-uri în baze de date.
Tudor Galoş: „Organizațiilor li se cere să ofere detalii relevante privind scopul colectării de date”
Tudor Galoş, Senior Consultant - GDPR, Entrepreneurship, Startups, Public Speaking la Tudor Galoş Consulting. Tudor oferă companiilor consultanţă pentru implementarea GDPR, având un backround de 6 ani în compania Microsoft pe poziţii de Consumer Marketing Manager şi Consumer Marketing Director.
Ce aduce nou Regulamentul UE 679/2016 cu privire la definirea şi identificarea datelor personale?
GDPR – General Data Protection Regulation – este un regulament ce a fost publicat în 2016 și care intră în vigoare în 25 mai 2018 pe tot teritoriul Uniunii Europene. El vine să înlocuiască toate legile pentru supravegherea și protecția datelor cu caracter personal din fiecare țară membră a Uniunii Europene (da, chiar și în cazul Marii Britanii). Regulamentul acesta nu are nevoie să fie adoptat de către parlamentul niciunei țări, deoarece este regulament, nu directivă, și data intrării în vigoare este aceeași pentru fiecare țară. Lucrul care s-a viralizat la acest regulament în ultima vreme (și care în sfârșit a ajutat ca GDPR să devină mai cunoscut, măcar ca și termen) sunt amenzile draconice pentru nerespectarea lui – până la 20 de milioane de euro sau 4% din cifra de afaceri, care este mai mare. Ceea ce înseamnă că vom vedea multe amenzi în zona zecilor și sutelor de mii de euro pentru nerespectarea prevederilor cu privire la obținerea, transferul și procesarea datelor cu caracter personal. Precum spuneam, acesta este lucrul cel mai cunoscut în piață despre acest regulament. Însă el vine cu multe clarificări în ceea ce înseamnă date personale (cam orice poate identifica o persoană, cetățean al Uniunii Europene, la un moment dat – dincolo de nume, prenume, data nașterii, acum vorbim de poziția GPS, adresă IP, istoria navigării, citate publicate în rețele de social media etc.), posibilitățile prin care aceste date personale pot fi obținute (în general doar cu acordul fiecărui cetățean în parte), dar și în obligativitatea companiilor de a proteja datele personale ale cetățenilor europeni prin orice fel de mijloace tehnice necesare – criptare, arhivare, anonimizare, sisteme de intrusion prevention etc. De asemenea, regulamentul obligă companiile să documenteze fiecare acces la datele personale folosite în cadrul operațiunilor și să prezinte aceste documente (electronice sau fizice) organelor de control atunci când va fi necesar.
Care sunt noţiunile cheie în cadrul acestui nou Regulament privind protecţia datelor personale?
Regulamentul, cu mici excepții, poate fi sintetizat într-o singură frază: cetățenii europeni nu au decât drepturi, organizațiile ce procesează datele cetățenilor europeni (inclusiv organizații care nu sunt în UE, ci în întreaga lume) nu au decât obligații. Ca drepturi, vorbim de dreptul de acces la date care trebuie acordat în maximum o lună de la cerere, de dreptul de a fi informat (specific identitatea operatorului, a împuternicitului, a data protection officer-ului, scopul procesării de date, interesele legitime, recipienții datelor, perioada de stocare a datelor, existența algoritmilor de procesare a datelor, consecințele neoferirii de date personale), de dreptul de corectare a datelor, de dreptul de ștergere a datelor (chiar dacă, de exemplu, cetățeanul și-a dat datele personale pentru a primi o bonificație, el poate oricând să ceară ștergerea lor), de dreptul de restricționare a procesării, de dreptul de portabilitate a datelor (dacă un cetățean dorește să își mute datele de la o organizație la alta, organizația trebuie să facă acest lucru) și de dreptul de obiecție la procesarea datelor. Ca obligații, organizațiilor li se cere să ofere detalii relevante pentru colectarea de date, să detalieze necesitățile de procesare, să definească politici de reținere a datelor și de ștergere a lor, să protejeze datele personale folosind securitatea necesară, să notifice autoritățile la orice compromitere a datelor personale în 72 de ore de la detectarea compromiterii, să obțină consimțămintele de procesare a datelor și să țină detaliile oricărei procesări de date personale. De asemenea, cea mai mare parte a organizațiilor vor trebui să asigneze (fie să dea responsabilități unui angajat, fie să angajeze pe cineva dedicat) un data protection officer, un guru al datelor cu rol de compliance manager la care angajații din firmă să vină să verifice dacă o campanie, o inițiativă, o acțiune – fie ea de marketing, sales, HR, financiară – nu încalcă GDPR.
Ce schimbări aduce Regulamentul pentru companiile din industria bunurilor de larg consum?
Schimbările sunt semnificative. De exemplu, companiile nu vor mai putea să facă acțiuni de colectare a datelor personale oferind o „bombonică” – gen „dați-ne datele personale și primiți această bombonică”. Datele personale trebuie cerute doar dacă există o informare clară, simplă, la obiect (adio disclaimere scrise cu fontul de 8), dacă există precizat clar scopul obținerii datelor personale (care trebuie să fie specific, explicit și legitim – nu mai ceri pe mama și pe tata și CNP și culoarea ochilor dacă nu ai o nevoie clară de procesare a acestor date), dacă există precizată durata de menținere a datelor personale (se pot ține și la infinit, de exemplu în cazul unui newsletter, însă datele de newsletter nu pot fi folosite la altceva sau vândute). În cazul unui retailer, de exemplu, dacă acesta are o bază de date cu contacte la care le trimite informații, cel mai probabil trebuie să reobțină acordul pentru aceste informații pe care le trimite – campanii de e-mailing, newslettere, direct mailing, telesales – până la 25 mai 2018, dată după care dacă nu are aceste consimțăminte, nu va mai putea suna mai pe nimeni. Există excepții date de interesul legitim sau comercial (dacă există deja, de exemplu, legături comerciale cu anumiți clienți, abonamente, servicii etc.), însă acest interes legitim trebuie obligatoriu verificat cu un consultant GDPR pentru fiecare caz în parte. Autoritățile se vor uita foarte atent la aceste consimțăminte și la interesele legitime și, precum spuneam, amenzile sunt foarte mari. O problemă spinoasă o constituie regimul cookie-urilor care colectează date personale. În principiu, trebuie obținute acorduri pentru fiecare cookie în parte – lucrurile încă se dezbat fierbinte în această zonă, deoarece marii jucători din zona e-commerce pun presiuni mari pentru clarificarea regimului cookie-urilor. Din nou, recomand trecerea fiecărui tip de cookie printr-un consultant pentru a vedea dacă trebuie sau nu obținute consimțăminte. De asemenea, dacă un distribuitor face o campanie de lead generation și dorește să dea aceste lead-uri în canal, trebuie să se asigure nu doar că obține consimțămintele pentru el, ci și pentru trimiterea acestor date către canal, menționând fiecare partener separat la care se trimit lead-uri! Sunt multe situații și, practic, exercițiul de aliniere la GDPR presupune identificarea tuturor fluxurilor de date din cadrul organizației.
Ce se întamplă cu bazele de date colectate de la consumatori de care dispun acum departamentele de marketing?
Foarte bună întrebarea. În primul rând, metaforic vorbind, de la 25 mai 2018, nimeni nu va mai „avea” baze de date. Cu toții vor deveni custozi ai unor bunuri ale cetățenilor membri ai Uniunii Europene. Vor ține aceste bunuri la ei și le vor utiliza nu după bunul plac, ci după ce le permite fiecare cetățean în parte. Dacă cetățeanul își vrea bunurile (datele personale) înapoi, o poate face când și în ce condiții dorește. Practic, departamentele de marketing vor trebui să ia la puricat toate datele personale pe care le au, să vadă la care din ele au nevoie de consimțământ și să obțină acel consimțământ până la data de 25 mai 2018. Asta nu înseamnă că toate datele personale aflate în „stocurile” companiilor nu vor putea fi folosite după 25 mai 2018 sau că toate au nevoie de alte consimțăminte. Ci înseamnă, în primul rând, să știi ce ai stocat la tine ca organizație și să vezi dacă le mai poți ține sau nu.
Cum trebuie să trateze companiile problema accesului angajaţilor la bazele de date de care dispun companiile?
Companiile trebuie nu doar să aibă dreptul de a ține datele unor cetățeni membri ai Uniunii Europene, ci trebuie să verifice și cine are acces la aceste date. Practic, nu se mai poate ca fiecare din firmă să acceseze ce vrea. Am să dau un exemplu, poate forțat, însă pe care l-am auzit întâmplându-se la o companie. Este un caz care implică chiar departamentul de HR. A apărut în firmă un angajat nou, drăguț, divorțat, și care s-a trezit în primele zile că este invitat la cafea de diverse angajate ale departamentului de HR. Ca să înțeleagă omul că acele angajate i-au parcurs dosarul, au văzut ce vârstă are, ce situație maritală are și că nu are copii în întreținere. Aceste informații – statut marital și vârstă – sunt date personale și ele nu pot fi procesate decât în limitele prevăzute de legea muncii! Revenind la bazele de date și la accesul la ele, trebuie definite nivele de acces granular la date cu politici clare care să poată fi comunicate autorităților atunci când vin în control.
Care sunt, concret, paşii pe care trebuie să-i parcurgă o companie ce gestionează şi prelucrează date personale, până pe 25 mai 2018?
Sunt multe metodologii pe care organizațiile le pot adopta pentru a se alinia la prevederile GDPR. Metodologia pe care o recomand eu conține patru pași. În primul pas, cel de descoperire, se lucrează la identificarea tuturor datelor din cadrul organizației și a locurilor în care ele sunt ținute. Se iau în considerare toate datele personale (repet – inclusiv cele la care nu ne gândim imediat, gen IP), și toate locațiile, inclusiv media portabile, back-up-uri, excel-uri uitate prin mail-uri, liste de prezență, etc. Se face un inventar de date complet. În pasul doi se stabilește modul de gestiune al datelor. Se identifică cine are acces la date și cine ar trebui să aibă acces la date, fluxurile de date – atât cu intrări (pe unde intră datele în firmă – mail, CRM, ERP, aplicații desktop sau mobile, formulare de la evenimente etc.), locurile unde sunt procesate, procesările ce se efectuează și locurile de ieșire din firmă (fie pe mail la parteneri, fie pe medii mobile, fie pe back-up-uri, fie sunt distruse etc.). Se stabilesc rolurile și permisiunile fiecărui rol. Pasul trei este pasul de protecție a datelor – se stabilesc politicile de securitate, de criptare, de transport a datelor, de back-up, de disaster recovery, intrusion prevention etc. În pasul patru se stabilesc mecanismele de auditare cerute de autorități – cum logăm accesul la fiecare tip de date, pentru fiecare operațiune folosind fie mijloace electronice, fie mijloace analoage (pentru datele aflate pe hârtii, de exemplu, se pot folosi registre de acces).
Procesul de aliniere la GDPR este un proces de transformare digitală, de aceea recomand organizațiilor că dacă tot fac o astfel de aliniere ce implică o schimbare de mentalitate și o analiză a proceselor interne, să migreze toate sistemele și procedurile în spațiul digital pentru a-și optimiza complet business-ul.