Στην ευρωπαϊκή επιτροπή εργάζονται πυρετωδώς για να υλοποιήσουν τη δέσμευση Γιούνκερ και να ρυθμίσουν άμεσα την ενιαία ψηφιακή αγορά, διευκολύνοντας από τη μία τη Νέα Οικονομία και προασπίζοντας από την άλλη τους πολίτες από την ασύδοτη διαχείριση των ευαίσθητων προσωπικών δεδομένων τους.
Στόχος είναι να θεσπιστούν οι κανόνες ανταγωνισμού που θα επηρεάζουν όχι μόνον την ευρωπαϊκή αλλά και την παγκόσμια αγορά, ώστε να ελεγχθούν η κλοπή, οι διαρροές και το εμπόριο που έχει αναπτυχθεί γύρω από τα data που καταγράφουν τη συμπεριφορά του ατόμου και που αποτελούν τον χρυσό της ψηφιακής εποχής.
«Commanding that data is a challenge after all data is the new black» National Geospatial-Intelligence Agency Deputy Director Susan Gordon
Στο επίκεντρο της προσοχής της ευρωπαϊκής επιτροπής βρίσκονται οι επιχειρήσεις που βασίζονται στο δίκτυο, ανεξάρτητα από την έδρα τους σε μια χώρα της Ευρωπαϊκής Ένωσης ή στις ΗΠΑ, αλλά και αυτές που αναπτύσσουν πληροφοριακά συστήματα εξυπηρέτησης των πελατών τους ή ηλεκτρονικής πώλησης των προϊόντων τους, και οι οποίες διατηρούν στοιχεία για τους πελάτες τους, που -υπό προϋποθέσεις- είναι εμπλουτισμένες βάσεις με ευαίσθητα δεδομένα.
Αυτά μπορεί να αποκαλύπτουν την ταυτότητα του ατόμου, το φύλο του, την ηλικία του, τον τόπο διαμονής, την οικογενειακή του κατάσταση, την εργασιακή του σχέση αλλά και ακόμη πιο προσωπικές πληροφορίες όπως τις συνήθειές του, και τις κάθε είδους προτιμήσεις του.
Μέχρι σήμερα τα δικαιώματα των χρηστών, μολονότι αναγνωρίζονταν θεωρητικά, εντούτοις δεν γίνονταν σεβαστά, και το «δικαίωμα στη λήθη», όπως αποκαλείται η διαγραφή αναφορών για ένα άτομο, αφορούσε ελάχιστες περιπτώσεις ανθρώπων. Επίσης, ήταν σχεδόν αδύνατο να ζητήσει και να λάβει ένα άτομο το σύνολο των στοιχείων που διαθέτει για αυτόν κάποια πλατφόρμα.
Η καταγγελία για τη διαχείριση των ευαίσθητων δεδομένων του ήταν επίσης μια διαδικαστική περιπέτεια, η οποία ενώπιον της δικαιοσύνης κατέληγε σε παρωδίες λόγω αδειών χρήσης εφαρμογών, άγνοιας δικαιωμάτων και έλλειψης γνώσης δικαστών και νομικών. Να σημειωθεί ότι όλες οι επιχειρήσεις του οικοσυστήματος αυτού ανταγωνίζονται πλέον στο επίπεδο της ανάλυσης των δεδομένων που αφορούν στην ανθρώπινη συμπεριφορά.
Τα πράγματα όμως αλλάζουν από τον Μάιο του 2018, καθώς με τον Κανονισμό GDPR 679, οι επιχειρήσεις θα αντιμετωπίζουν αυστηρές υποχρεώσεις και ο χρήστης θα αποκτήσει πλεονέκτημα έναντι του κυνηγιού στοιχείων συμπεριφοράς από εφαρμογές έξυπνων διασυνδεδεμένων συσκευών, εκδοτικές και διαφημιστικές επιχειρήσεις, social media και εμπορικές πλατφόρμες, μετά τις νομοθετικές παρεμβάσεις της Κομισιόν.
*Δείτε ένα interactive graph με τις μεγαλύτερες διαρροές data που αποκαλύπτει και το μέγεθος του οικονομικού αποτελέσματος από τα πρόστιμα της Ευρωπαϊκής Επιτροπής εάν αυτές αφορούν σε στοιχεία Ευρωπαίων πολιτών.
Μια πρώτη μελέτη των νέων πλαισίων για τα προσωπικά δεδομένα (Γενικός Κανονισμός Προστασίας Δεδομένων 679 και νέα Οδηγία Προσωπικού Απορρήτου), φανερώνει μια διάθεση δημιουργίας ενός ασφαλέστερου περιβάλλοντος για τους πολίτες.
Ταυτόχρονα τίθενται όρια, απαγορεύσεις και εξοντωτικά πρόστιμα για τις παραβατικές περιπτώσεις υπερβολικής συγκέντρωσης, επιπλέον των λειτουργικά αναγκαίων, δεδομένων ή διαρροών data λόγω τεχνικών προβλημάτων, που μπορεί να αγγίξουν και τα 20 εκ. ευρώ (ή 4% του παγκόσμιου τζίρου) για μια πολυεθνική εταιρία. Τούτο σημαίνει ότι στην ευρωπαϊκή ήπειρο, ακόμη και οι Google, Facebook, Twitter κ.α. υπόκεινται σε αυτούς τους κανόνες οι οποίοι αφαιρούν το συγκριτικό πλεονέκτημα των εταιρειών αυτών έναντι των ευρωπαϊκών.
Σίγουρα είναι πολύ δύσκολο εγχείρημα η ρύθμιση μιας σχέσης και με επιδίωξη win-win. Ωστόσο, τα πρώτα βήματα έγιναν αν και δεν μπορεί να θεωρηθεί ακόμη ρύθμιση η επιβολή κανονισμών που επιδέχονται, λόγω ασάφειας στην κατηγοριοποίηση των προς συμμόρφωση εταιρειών, ελαστικές και προσαρμόσιμες εξαιρέσεις εφαρμογής.
Αυτό συμβαίνει αναγκαστικά και λόγω της πολυμέρειας της Ένωσης όπου τα δεκάδες διαφορετικά θεσμικά πλαίσια των χωρών υποχρεώνουν σε ελαστικές προσεγγίσεις. Η Κομισιόν ανέθεσε στις εθνικές αρχές προστασίας δεδομένων προσωπικού χαρακτήρα την αρμοδιότητα να διερμηνεύσει και να ρυθμίσει τις επί μέρους περιπτώσεις. Ως εκ τούτου, ελληνική αρχή που είναι αρμόδια για την επίβλεψη της συμμόρφωσης, σε αυτό το χρονικό διάστημα επιχειρεί κατά περίπτωση να αποσαφηνίσει το πλαίσιο συμβουλεύοντας τις επιχειρήσεις να προσαρμοστούν ανώδυνα.
Από τη σκοπιά των επιχειρήσεων
Το ζήτημα του επανασχεδιασμού των πληροφοριακών συστημάτων σαφώς προκαλεί τεράστιο κόστος, ενώ ο GDPR βάζει σε δοκιμασία και στρατηγικές συνεργασίες μεταξύ εταιρειών οι οποίες θα πρέπει να συμμορφωθούν ταυτόχρονα και με την ίδια αυστηρότητα στο νέο κανονισμό προστασίας δεδομένων.
Για παράδειγμα, η συλλογή, η αποθήκευση και η διαχείριση των δεδομένων θα πρέπει να έχει ενταχθεί στο πληροφοριακό σύστημα της κάθε επιχείρησης από τον σχεδιασμό του ώστε να τηρούνται τα όρια.
Ταυτόχρονα, οι προμηθευτές ή οι πελάτες χοντρικής που έχουν υιοθετήσει τον κανονισμό 679, θα έχουν φραγμούς στη συσχέτιση βάσεων δεδομένων που θα μπορούσαν να οδηγήσουν σε αναγνώριση του πελάτη με πλήρη στοιχεία.
Αυτό δυνητικά δημιουργεί μια προβληματική συνθήκη για την εξατομίκευση των υπηρεσιών και τη στοχευμένη εμπορική πολιτική που αποσκοπεί στην ικανοποίηση του πελάτη. Όλες οι εταιρείες άλλωστε, αναπτύσσουν ειδικές πολιτικές πώλησης και προνομίων για τους «καλούς» πελάτες τους, ενώ οι διαφημιστικές μέσω του profiling επιτυγχάνουν να φτάνει το σωστό μήνυμα στον σωστό παραλήπτη.
Την ίδια ώρα, στον χώρο της επικοινωνίας (telcos, εκδόσεις και διαφημιστικές εταιρείες) όπου όλες οι επιχειρήσεις θα πρέπει να συμμορφωθούν με τον Κανονισμό GDPR, επικρατεί έντονος προβληματισμός για το πώς νέα εργαλεία καταγραφής της συμπεριφοράς και αξιοποίησης της διαφημιστικής στόχευσης δεν θα συγκρούονται ευθέως με τα ρυθμιστικά πλαίσια.
Ποιες επιχειρήσεις αφορά ο κανονισμός
Κάθε ελληνική επιχείρηση που διατηρεί σε υπολογιστή δεδομένα (offline & online) πρέπει να συντάξει έκθεση διαχείρισης αυτών και να συμβουλευτεί την αρμόδια Αρχή για το εάν θα πρέπει να συμμορφωθεί με τον Κανονισμό 679 GDPR. Εάν είναι υπόχρεη θα πρέπει να ορίσει-προσλάβει έναν υπεύθυνο διαχείρισης δεδομένων ο οποίος δεν μπορεί να είναι ο τεχνικός Η/Υ- Δικτύων, επικεφαλής του υπάρχοντος Πληροφοριακού Συστήματος, λόγω σύγκρουσης συμφερόντων.
Ο Data Protection Officer (DPO) θα είναι το δεξί χέρι του μάνατζερ και όπως λένε στην αγορά ο «αυτοφωράκιας» της εταιρείας. Ο άνθρωπος αυτός θα πρέπει να συγκροτήσει ομάδα ειδικών και με νομική συμβολή ώστε να απεξαρτηθεί από πληροφόρηση που προέρχεται από μονάδες και πρόσωπα που μπορεί να προστατεύουν ξεπερασμένα και επικίνδυνα για διαρροές πληροφοριακά συστήματα. Υπολογίζεται ότι ο αριθμός των DPO στην Ελλάδα θα φτάνει τις 50 χιλιάδες άτομα.
Στη συνέχεια, η εταιρεία πρέπει να εξετάσει την αλλαγή ή και προσαρμογή των πληροφοριακών της συστημάτων για να συμμορφωθεί με όρους όπως:
Τα σημεία κλειδιά
- Προσεκτική συγκέντρωση και ασφαλής αποθήκευση data
- Καμμία επεξεργασία των data χωρίς συγκατάθεση
- Κωδικοποίηση αυτών για αποφυγή αναγνώρισης ταυτότητας (profiling)
- Αποφυγή συσχετισμού βάσεων δεδομένων (linked data)
- Δυνατότητα διαγραφής ή εξαγωγής παράδοσης κατ' απαίτηση
- Εφαρμογής της αρχής «τόσα δεδομένα όσα είναι απαραίτητα»
- Διασφάλιση συμμόρφωσης στον Κανονισμό και από τις συνεργαζόμενες εταιρείες
Οι απαιτήσεις αυτές αφορούν κάθε μορφής δημόσια και ιδιωτική επιχείρηση και ειδικά αυτές που διατηρούν βάσεις πελατών (εμπορικές επιχειρήσεις & ηλεκτρονικό εμπόριο) και χρηστών διαδικτύου, μεταξύ των οποίων οι εταιρείες παροχής υπηρεσιών, οι Τράπεζες και οι επιχειρήσεις Επικοινωνιών, Μέσων Ενημέρωσης και Διαφημιστικών.
Στην Κομισιόν υποστηρίζουν ότι οι προβλέψεις του κανονισμού ενισχύουν τη διαφάνεια και τη λογοδοσία και οι εταιρείες που συμμορφώνονται αποκτούν στρατηγικό πλεονέκτημα στον ανταγωνισμό.
Μετά τη ρύθμιση επεξεργασίας των δεδομένων συμπεριφοράς, ακολουθούν άμεσα όπως λένε στις Βρυξέλλες, οι ρυθμίσεις για την τεχνητή νοημοσύνη, τη ρομποτική και τα πνευματικά δικαιώματα, κάτι που σημαίνει ότι επιχειρείται μέσα στο έτος να ολοκληρωθεί η ενιαία ψηφιακή αγορά, η οποία υπολογίζεται ότι θα απελευθερώσει επενδύσεις δισεκατομμυρίων.
Το ερώτημα είναι το πόσο καλά μπορεί να ρυθμιστεί αυτό το άναρχο τοπίο, δημιουργώντας ταυτόχρονα προϋποθέσεις ανάπτυξης αλλά και πλαίσια σεβαστά από κάθε ευρωπαϊκή ή υπερατλαντική εταιρεία, όταν η Ευρώπη χαρακτηρίζεται από την πολυμέρεια των φορολογικών και των νομοθετικών συστημάτων αλλά και τη φειδωλή χρηματοδότηση της καινοτομίας.
Δυο videos στα αγγλικά που εξηγούν με απλό τρόπο τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR 679: