GDPR-ul a intrat în vigoare. Dar înțelege cineva ceva din el? Și dacă da, ce?
M-am întâlnit zilele trecute cu un prieten. Era obosit și tracasat, părea că toate corăbiile i se înecaseră.
M-am temut să-l întreb ce pățise. Pe unde mergi sunt oameni care au probleme de viață grave și îmi era teamă să nu fie ceva de genul ăsta. Nici vorbă, însă. În schimb, omul citise toate cele 11 capitole curpinzând 99 de articole ce se întind la rândul lor pe 261 de pagini ale GDPR-ului. Spre umirea mea (și a lui) însă, rezultatul nu fusese cel scontat. Omul nu înțelesese (aproape) nimic.
Acest lucru mi-a atras atenția asupra noii provocări pe care o au îndeplinit companiile românești care procesează date pe lângă cea de a plăti taxe Statului român. Și m-am întrebat, evident, dacă totuși stresul la care sunt supuși oamenii ăștia nu e totuși prea mare. Acela de a fi antreprenor în România, Europa, 2018.
Și mi-a mai atras atenția asupra unui articol de opinie din prestigiosul New York Times, care spune, în mare același lucru: anume că GDPR-ul este un document în cel mai bun caz stufos și în același timp foarte, foarte complicat. Este drept, el va acorda cetățenilor drepturi mai mari asupra datelor lor, cum ar fi portabilitatea datelor (spre exemplu de la o platformă de socializare la alta), precum și dreptul de a nu fi subiecții procesării automate a datelor (blocând, în felul acesta algoritmii care împiedică obținerea unui credit sau a unei slujbe). Chiar și așa însă, GDPR-ul rămâne o operă birocratică de întindere epică. Dar poate că asta era logic să se întâmple în cazul unui prim draft GDPR care a primit nu mai puțin de 4000 (patru mii!) de amendamente depuse pe parcursul a trei ani din partea jucătorilor interesați direct de acest schimbări.
Totodată, așa cum remarcă autorul, protecția datelor în Europa nu este doar un aspect legal sau tehnic, ci și unul cultural, ce ține de valori specifice ori locale. Germanii, spre exemplu, ce au o amintire încă proaspătă a modului în care colectau naziștii informațiile, sunt suspicioși atunci când vine vorba despre colectarea datelor, fie de către guvern sau corporații. În țările nordice, pe de altă parte, populația are tendința de a asocia același procedeu de colectare a datelor cu un sistem de asigurări sociale puternic și bine pus la punct. Astfel, Regulamentul este în mod voit ambiguu, creând o serie de compromisuri. Și face acest lucru utilizând principii generale, ce estompează diferențele între tehnologiile prezente și cele viitoare, promițând în același timp mai puține restricții asupra fluxului de date concomitent cu oferirea dreptului cetățenilor de a-și controla datele personale.
Problema este însă că aceste principii largi nu sunt întotdeauna în acord cu practicile din domeniu. Iar asta pentru că, deși GDPR-ul îi obligă pe cei care procesează date să fie răspunzători parțial prin limitarea colectării datelor și procesarea lor numai pentru scopuri specifice, fără alt uz. Ceea ce, după cum spune și autorul articolului, ar putea suna bine, doar că machine learning, capacitatea de auto-învățare a procesoarelor cu care se ocupă unul dintre cele mai active domenii ale inteligenței artificiale, care este folosită de altfel și în publicitatea online targetată, folosește datele pentru a „învăța” computerele să ia decizii ce nu pot fi specificate în avans, derivate din datele originale sau explicate post-factum.
Un expert al unei platforme de bioinformatică din Suedia a declarat, de altfel: „Ne întrebăm, adeseori, ce spune legea despre asta [GDPR – n.r.] ? Nimeni nu știe”. Sau, așa cum a remarcat și un om de știință responsabil de facilitățile IT ale unei mari universități, GDPR-ul spune, mai mult sau mai puțin, „că o protecție adecvată ar trebui să fie implementată și așa mai departe. Bun – dar ce înseamnă exact asta?”
Mai mult, deși numeroase dintre reglementările largi enunțate în GDPR evită referirea la tehnologii specifice, unele dintre acestea sunt bazate pe presupuneri deja învechite despre tehnologie. „Cred că este destul de clar că și-au imaginat o companie generică care deținele datele tale stocate undeva, iar tu ai dreptul să le retragi”, a declarat un profesor în drept autorului articolului în legătură cu portabilitatea datelor. „Dar în epoca big data și a serviciilor cloud, datele rareori există într-un singur loc”.
Cu toate acestea, încheie autorul articolului, GDPR nu este o cauză pierdută, întrucât avem nevoie de reguli în ce privește datele. Dar cadrele de lucru, în special atunci când sunt lungi, complexe și ambigue, nu pot fi singurele sau chiar și principalele resurse privind procesul zilnic de protecție a datelor. Iar dacă scopul nostru este să schimbăm datele pe care le dețin companiile, avem nevoie de mai multă documentare care să vadă exact cum sunt colectate datele personale și de către cine, precum și felul în care acele persoane iau decizii cu privire la protecția datelor. Iar în cele din urmă cei care fac regulamentele ar putea folosi aceste studii ca bază pentru dezvoltarea unor seturi de reguli practice, testate empiric.
Articole asemănătoare
Cum se poate feri România de influenţa Rusiei
INTERVIU Ion Cristoiu: Hellvig a preluat un Serviciu în care fiecare, până și portarii se considerau conducătorii României / Legea amnistiei duce la preluarea PSD-ului de către Năstase, sută-n sută
CULMEA înșelăciunilor online – vrăji, descântece, rugăciuni și ”slujbe” prin… e-mail, chat și SMS! EXCLUSIV
Profilul „avocatului de platou”, noul comentator al politicii românești – naționalist convins, lăudat de Sputnik
Scandalul Cambridge Analytica. Începutul sfârșitului pentru Facebook?