Cine este și ce vrea GDPR de la companiile românești. De vorbă cu Liviu Florescu, Manager Craft Interactive [INTERVIU]

Numai o săptămână ne mai desparte de adoptarea GDPR (Regulamentul General pentru Protecția Datelor), iar companiile românești sunt în fierbere cu privire la ajustările pe care vor trebui să le facă cu privire la această schimbare. Iar asta pentru că, printre altele, vor fi obligate să dețină sisteme informatice destinate stocării și prelucrării datelor personale, în caz contrar urmând să fie sancționate sever, în cuantum chiar și de 4% din cifra globală de afaceri a societăţii respective.

Primele semne că regulile jocului s-au schimbat, de altfel, le poate observa oricine este înscris în baza de date a unei firme căreia i-a oferit cândva datele personale. Iar aceste semne au început să apară sub forma unor newslettere ceva mai speciale, care întreabă explicit utilizatorul dacă mai dorește sau nu să primească „și de acum încolo informații cu privire la oferte exclusive sau noutăți”.

Pentru a afla mai multe despre felul în care vor trebui operatorii de date să se conformeze la noile reguli, am decis să stăm de vorbă cu fondatorul uneia dintre cele mai vizibile agenții de marketing online de pe piață la momentul actual. Este vorba despre Liviu Florescu de la Craft Interactive, agenție născută în 2010 cu viziunea de a schimba modul în care se făcea digital marketing în România și de a crește rezultatele business-urilor din portofoliul agenției.

Cum se va schimba securitatea datelor după data de 25 mai și în ce fel vor fi afectate companiile? 

Personal, cred că suntem, încă, departe de asimilarea deplină a informațiilor legate de GDPR. Și mai cred că va lua ani până cand ajung toate companiile să fie GDPR Compliance. În mod cert toată lumea va fi afectată și toate companiile trebuie sa faca demersuri pentru a intra în legalitate, după aplicarea din 25 Mai. Totodată, protecția datelor cu caracter personal este din 2001 – când a intrat în vigoare legea 677, însă nu a fost privită cu importanță, decât în anumite cazuri. Reglementarea actuală vine ca o impunere într-un context internațional, de fapt, nu doar în Uniunea Europeană, pentru că datele nu stau doar în România sau doar în UE. Să îți dau un exemplu: noi în fiecare zi trimitem date către Irlanda, dar de acolo pot pleca și în alte țări care nu sunt în Uniune. Al doilea exemplu: un magazin online care a făcut tot ce trebuie pentru GDPR, dar care trimite facturile catre o companie de contabilitate care le depunde la administrația financiară… ei, toți acești participanți la poveste au responsabilitate. Simplu spus, începând din 25 Mai va trebui să fim toti foarte transparenți, să înștiințăm orice fel de persoană în ceea ce privește utilizarea datelor, în ce scop și cum vom face să păstrăm în siguranță datele utilizate sau obținute și să luăm toate măsurile de siguranță, legale sau tehnologice să le protejăm. Pe de alta parte, la nivel de utilizator toți avem dreptul și obligația în a ne informa.

Există riscul ca libertatea de exprimare să fie afectată având în vedere că, potrivit GDPR, jurnaliștii pot avea calitatea de operatori în ințelesul Regulamentului?

Aici trebuie puțină clarificare: există două componente ale reglementării: Confidențialitatea și Securitatea, astfel vor exista două tipuri de participanți: Controllerii si Procesatorii, adică oricine vede, folosește sau știe despre date personale sunt controlleri – aici incluzând jurnaliștii, agentiile digitale, procesatori de plăți, curieri rapizi ș.a.m.d. Dar responsabilitatea mai mare va fi la procesatori – care dețin și manipulează datele personale – magazinele online, companiile de telecom, instituții medicale sau financiare ș.a.m.d. Partea și mai complicată va fi când diferențiezi datele personale, pentru că sunt de mai multe feluri: cele standard (ex: nume, telefon, email) dar și cele sensibile (date medicale, orientări sexuale sau religioase).

În ce fel vor fi afectate operațiunile Craft Interactive de GDPR? Dar ale altor companii?

Noi ca Agenție Digitală suntem controller, utilizăm date pentru a gestiona sau optimiza rezultatele din business-urile clienților, însă procesarea este în responsabilitatea lor. Asta nu înseamnă că nu trebuie să fim GDPR Compliance, ba din contrătrebuie să lucrăm mult mai aproape de parteneri. Pe de altă parte, suntem și procesatori pentru baza noastră de clienți și potențiali clienți, având în agenție o componentă importantă în mixul de marketing digital pe care îl oferim, cea de Email Marketing. Avem multe lucruri de făcut, dar ne e și mai ușor pentru că am aplicat, de la început, principii corecte: am refuzat mereu clienți care au dorit să încerce o bază de date neobținută organic sau corect, iar argumentul n-a fost doar moral ci pentru că pur și simplu nu aveam cum să obținem rezultate eficiente. Știi cum e asta? Mai ții minte pe vremuri când veneau diferiți vânzători ambulanți la ușa ta să îți vândă un covor, într-o manieră brutală? Dacă se interesau, prima dată, de lipsa sau nevoia unui covor… probabil rata lor de succes ar fi fost mai mare, în schimb ne-au produs nervi. Filozofic vorbind, asta e marketing-ul, constientizeaza sau satisface nevoia, raspunzand la intrebarea: De ce?

În Craft Interactive am făcut demersuri (în ce privește GDPR, n.r.): pregătim acum politici transparente, care vor informa clar pe proprietățile noastre online reglementările, iar în urmă cu scurt timp am trimis un mail bazei de date prin care i-am informat pe abonați cu privire la Protectia Datelor in UE și am oferit posibilitatea de dezabonare – cei care au făcut-o au șterse datele lor acum. Acum câteva săptămâni am șters toate bazele de date din calculator, iar anul trecut am mutat tot ce înseamnă proiecte și date pe sisteme de cloud securizate. Acum ne educăm și construim proceduri pentru a aplica și respecta noile reglementări. Totodată, am început să avem întâlniri comune cu juriștii anumitor clienți pentru a înțelege care sunt acțiunile de făcut în cazurile lor raportate la noi. Pentru că orice business funcționează pe acelasi sasiu, însă fiecare are particularități, proceduri și tactici interne diferite.

Colaborați cu un avocat pe partea de legal în ce priveste GDPR? Există, de fapt, avocați specializați în așa ceva?

Da, am primit consultanță din partea unor avocați, colaborăm cu o companie specializată în GDPR, foarte bine pregatită, care ne-a anunțat de anul trecut despre ce se va intâmpla în Mai 2018. Da, sunt avocați specializață în asta, dar cum spuneam mai sus, nu cred că există cineva 100% bine pregătit în acest demers, aici raționamentul meu e pur filozofic inspirat de la nemți, care spun așa: calitatea cere timp.

Este, până la urma, viitoarea implementare a GDPR-ului pozitivă? Si daca da, pentru cine? În definitiv, toate aceste schimbări se fac în interesul utilizatorului obișnuit  

Absolut. Cine spune că e un aspect negativ nu vrea să fie corect, gândește doar prin prisma ego-ului sau nu deține destule informații. GDPR-ul la nivel macro e un aspect pozitiv, sănătos pe termen lung, care ne va proteja pe toți. Era momentul pentru o astfel de acțiune globală, sau cum îmi place mie să spun în domeniul nostru: acum se reglementează internetul.

Dacă transparentizarea o fac în special companiile, de partea cealaltă nu ar putea exista o contra-reacție, o sporire a drepturilor de pe urma căreia s-ar putea profita? 

Evident, apar speculanți care vând expertiză falsă, dar și cei care sunt ‘pe bune’ și au început să implementeze aspecte cu efecte pozitive în cadrul companiilor. Cred că ține de noi, de fiecare, să avem capacitatea de a selecta corect sau greșit. Expresia „din greseli se învață” n-a fost, încă, contrazisă. La nivel de platforme globale pe care le consumăm zilnic – cum ar fi Google sau rețele sociale, evident că au o responsabilitate mai mare decât noi, însă și acolo e important să înțelegem cât mai transparent cine deține datele, cine le procesează, ce metode de securitate aplică și ce avem noi de făcut în acel consum de media.