Noua lege a Uniunii Europene referitoare la protecția datelor cu caracter personal, GDPR (General Data Protection Regulation) a intrat în vigoare pe 25 Mai 2016, dar va începe să-și producă efectele începând cu 25 Mai anul acesta. După cum afirmă chiar autorii ei, această lege reprezintă cea mai mare schimbare în domeniul protecției datelor cu caracter personal din ultimii 20 de ani și are obiective care trec mult peste simpla protecție a spațiului privat.
Legea
Iată modificările esențiale pe care GDPR le aduce, în raport cu prezentele reglementări în domeniu:
1. Amenda pentru încălcarea deliberată a legii: 4% din cifra de afaceri la nivel global a companiei, îndeajuns de mare încât să fie luată în serios de toate marile multinaționale. În cazul unuia dintre producătorii germani de automobile, amenda ar ajunge la 168 Mil EUR.
2. Aplicare extra-teritorială: dacă până acum, sub incidența vechii legi de protecție a datelor cu caracter personal, intrau doar firmele cu sediul în UE, de acum încolo acestă limitare dispare, orice companie de pe glob, care stochează și/sau prelucrează informații cu caracter personal despre cetățeni ai Uniunii Europene, intră sub incidența legii. Marile firme de audit și consultanță reușesc cu greu să acopere cererea de resurse și know-how la nivel global în acest domeniu.
3. Drepturi și obligații:
- Dreptul de a fi “uitat”: conferă individului dreptul de a cere și a obține ștergerea tuturor informațiilor pe care o companie le deține despre acea persoana, exceptând informațiile care fac subiectul unor prevederi legale.
- Obligația de notificare: Orice violare, în sensul folosirii neautorizate a datelor cu caracter personal deținute, trebuie anunțată imediat, atât autorității de control, cât și persoanei afectate.
- Dreptul la acces (copiere, modificare și ștergere a datelor): entitatea deținătoare este obligată ca în termen de 30 de zile să pună la dispoziția oricărui subiect, integritatea datelor deținute despre acesta, precum și scopul în care acestea au fost folosite de-a lungul timpului. De asemenea, legea conferă individului dreptul la modificare sau ștergere parțială sau totală (dreptul de a fi uitat) a datelor înregistrare.
- Obligația desemnării unui DPO (Data Protection Officer): dacă până acum, firmele erau obligate să raporteze autorității de control operațiunile ce implicau date cu caracter personal, de acum încolo, acestea sunt obligate să contabilizeze intern aceste operațiuni, sub supervizarea numitului DPO. Acest rol trebuie ocupat de către o persoană dedicată, mai ales în cazul firmelor a căror activitate presupune operarea continuă cu date personale.
Dificultăți în aplicare
Dificultățile cu care se confruntă firmele, mai ales marile concerne sunt greu surmontabile. Prima problemă o reprezintă inventarierea datelor dintr-o multitudine de surse: baze de date, e-mail-uri, documente pe hard-disk-uri comune sau personale, documente scrise nedigitalizate, etc. Care dintre acest informații sunt relevante din punctul de vedere al noii legi? Cei care cunosc sistemele nu pot decide asupra relevanței datelor, iar cei care pot decide asupra relevanței datelor, nu cunosc sistemele informatice. De obicei, într-un proiect GDPR dintr-o multinațională sunt implicate zeci de persoane din toate departamentele care preiau și prelucrează informații despre persoane fizice din exteriorul sau interiorul companiei: Vânzări, After-sales, Marketing, Customer Service, Relații cu Clienții, dar și HR (angajații au aceleași drepturi în raport cu protecția datelor). Oricine și-a trimis CV-ul în vederea angajării, are acum dreptul la ștergerea și modificarea informaților conținute în acel CV, în majoritatea lor ne-digitalizate. Criteriul de exhaustivitate este cel care creează cele mai mari dificultăți. Dacă un subiect cere o copie a tuturor datelor stocate vreodată despre el sau ea de către, să zicem compania de telefonie, iar copia obținută nu conține o singură informație, pe care subiectul a comunicat-o la un moment dat acelei companii, aceasta e pasibilă de sancțiuni.
În cazul producătorilor de automobile, spre exemplu, autoritatea de control a stabilit că orice informație legată de un număr de șasiu are potențial caracter personal. În bazele de date ale unui producător auto, cam totul e legat de un număr de șasiu, de la robotul care a strâns o piuliță pe banda de producție, până la datele GPS ale traseului zilnic.
Nimeni nu poate garanta respectarea criteriului de exhaustivitate, deci firmele trebuie să lucreze cu riscuri de sute de mii, până la sute de milioane de Euro. Aceasta are ca urmare faptul că bugetele puse de multinaționale la dispoziția proiectelor de implementare a GDPR sunt practic nelimitate. Diverși producători – de curând am văzut o prezentare a dezvoltatorului software OpenText – s-au apucat, cu zelul căutătorilor de aur să, creeze diverse crawler-e, care promit să indexeze toate aceste surse de date și să identifice automat, sau folosind inteligența artificială, informațiile cu caracter personal. Precizia acestor tool-uri în identificarea datelor relevante e foarte scăzută. Vor putea fi identificate doar informațiile personale cu caracter general, cum ar fi nume, adresă și alte câteva “câmpuri”, lăsând baza ice-berg-ului neatinsă: informații GPS, date de profile-ing, etc. De asemenea, nu vor fi capabile să identifice scopul cu care informațiile furnizate sunt procesate, informație prevăzută în mod expres de noua lege.
Din punctul de vedere al manager-ului de proiect, avem de-a face cu o misiune imposibilă. Oricâte resurse avem la dispoziție, putem porni de la premiza că nu vom putea raport toate datele la care noua lege face referire, așa că suntem obligați la două măsuri:
1. Aplicând principiul conform căruia 20% din efort, produc 80% din rezultat, trebuie în permanență să prioritizăm totul, sistemele pe care le analizăm, informațiile din acele sisteme pe care le putem raporta în timp util și într-un mod inteligibil și în general să știm ce și când să aruncăm peste bord.
2. Să dezvoltăm în permanență măsuri compensatorii, externe proiectului însuși. Ex: strategii de apărare în instanță, alinierea manipulativă a strategiei cu autoritatea de control, împărțirea procesului de raportare în mai multe etape, pentru a câștiga timp, estimarea și alocarea de bugete pentru amenzile ce nu pot fi evitate, etc.
Economia datelor
Care este miza reală care justifică aceste costuri de implementare și cuantumul amenzilor? De ce este necesară și urgentă reglementarea strictă a circulației datelor personale?
1. Informația ca materie primă
The Economist compară pe bună dreptate Big Data, care are la bază informațiile cu caracter personal (distincția neclară între cele două rămânând de analizat separat), cu petrolul secolului trecut. Într-adevăr, informațiile și interpretarea lor sunt materia primă care reprezintă cel mai important motor de creștere în economia mondială în prezent, iar trend-ul are încă potențial de accelerare.
Modurile în care interpretarea corelativă a informațiile cu caracter personal poate fi transformată în profit se diversifică rapid: publicitate direcționată, produse și servicii personalizate, manipulare mai mult sau mai puțin subtilă bazată pe un profiling din ce în ce mai pătrunzător. Telefonul nostru știe cât alergăm săptămânal și cum ne bate inima, mașina știe ce drumuri facem, Facebook cine ne ne sunt prietenii, ce ne place la ei și ce le place lor la noi, în curând casele inteligente vor știi exact ce aruncăm la gunoi și ce voce de femeie s-a auzit în data X la noi în dormitor. Iar Google știe totul despre noi. Firmele care nu folosesc aceste date în scopurile descrise mai sus, au deja un dezavantaj concurențial important. Procesul de digitalizare care are loc de câțiva ani în firmele mici, ca și în cele mai mari concerne, are ca obiectiv adaptarea proceselor interne de producție, comunicare, R&D la aceste fluxuri de informații și crearea capacității de exploatare a acestei noi resurse.
În timp ce “rafinarea” informațiilor devine din ce în ce mai sofisticată, colectarea lor la sursă, adică de la noi, rămâne ne-transparentă, ne-reglementată și inechitabilă, având în vedere lipsa unei despăgubiri, în raport cu valoarea informației culese.
Să luăm banalul exemplu al cookie-urilor: există într-adevăr de curând (în UE) obligativitatea afișării unui disclaimer care informează vizitatorul paginii despre folosirea acestor mici dar iscusite adunătoare de date și care cere acordul explicit al vizitatorului pentru folosirea lor. Odată înregistrați cu adresă de e-mail și nume, cookie-urile încep să adune date despre comportamentul și preferințele noastre. Majoritatea covârșitoare a site-urilor se rezumă la a ne informa asupra folosirii cookie-urilor, omițând să specifica ce informații culeg acestea, în ce scop sunt procesate aceste informații și care sunt destinațiile lor, dacă sunt distribuite terților ș.a.m.d. Site-urile care o fac sunt o excepție, cum ar fi, The Guardian:
Avem într-adevăr posibilitatea să refuzăm de la început folosirea cookie-urilor sau, cu ceva cunoștințe tehnice, le putem șterge în orice moment de pe hard-disk. Însă asupra informațiilor deja culese, procesate și eventual distribuite terților, am pierdut orice control. Această pierdere aproape totală a controlului individului asupra informațiilor personale intră în contradicție flagrantă cu dreptul la spațiu privat. Exact acestei contradicții i se adresează noua lege GDPR, redând individului controlul asupra deținerii și folosirii datelor sale personale, prin dreptul de a fi uitat și dreptul la acces.
În afară de dreptul la spațiul privat, se pune în mod legitim problema profiturilor obținute de companii din această nouă materie primă, informațiile personale, a cărui sursă este individul, cu personalitatea și comportamentul său. Accesul la această materie primă nu trebuie să fie liber, cum este spre exemplu accesul la energia solară, pentru că informațiile personale nu sunt liber disponibile tuturor. Așa că, până la găsirea unei metode de monetizare, restituirea controlului la sursă a acestei materii prime, este un prim pas necesar.
2. Valoarea informației
International Data Corporation (idc.com) estimează volumul global în 2017 al veniturilor din tranzacționarea și analiza Big Data la 150,8 miliarde USD, preconizând pentru 2020 un volum de 210 miliarde USD și o rată medie anuală de creștere de 11,9 %, față de o medie de 3 % la nivelul întregii economii, în condițiile în care doar între 15 și 20% din volumul de informație disponibil este folosit.
3. Problemele economiei emergente a datelor
În prezent această nouă “industrie” în dezvoltare rapidă e afectată de următoarele probleme, pentru a căror reglementare noua lege GDPR este o mică dar corect direcționată mutare.
a. Monopolul
Capacitatea de culegere și analiză a datelor se concentrează în mâinile câtorva binecunoscuți, Google, Facebook, Amazon & co., plus giganții IT clasici: IBM, Microsoft, Oracle, SAP, împărțindu-și destul de clar domeniile specifice și construindu-și metodologia și inteligența proprie de analiză. Jucătorii mai mici, contează cât să atragă atenția spre a fi înghițiți, iar monopolurile își continuă consolidarea.
Iată câteva tranzacții recente, având ca efect consolidarea monopolurilor menționate mai sus:
Problema acestor monopoluri și a lipsei de reglementare a pieței informațiilor, a devenit atât de evidentă în cazul recent al Cambridge Analytica.
b. Monetizarea
Valoarea multor companii de pe piață se bazează pe mărimea și calitatea bazei de informații deținute, exemplu: Uber, a cărui valoare estimată de 85 mld USD, nu se bazează în principal pe capacitatea companiei de a produce profit, ci pe valoarea celei mai mari baze de date de clienți individuali din lume, împreună cu istoria deplasărilor, a datelor de plată și a interacțiunii cu șoferii. Deși, valoarea de tranzacție a informațiilor agregate poate fi determinată, la sursă, informațiile sunt obținute gratuit, iar încercările de până acum de a găsi o formulă de calcul a valorii acestora au dat greș. La ultimul Forum Economic Mondial, s-a dezbătut ideea înființării unor conturi personale de informații, asemeni contului bancar. Dificultatea principală în a găsi această formulă constă în determinarea relevanței unei înfomații anume într-un anumit context și implicit a vandabilității ei. Spre exemplu, informațiile stocate în cardul meu de sănătate valorează mult mai mult dacă am peste 60 de ani și sufăr de boli cronice, decât dacă sunt student sănătos. Cele câteva exemple cunoscute de monetizare de către persoane fizice a unor informații cu caracter personal, arată de fapt imposibilitatea găsirii unui model general valabil.
- O universitate din Italia a determinat că studenții ei sunt dispuși să ofere acces asupra datelor smartphone-urilor lor pentru suma de 2,72$.
- Firma Datacoup oferă clienților lor 8$ pe lună pentru accesul asupra feed-ului de social media și a extrasului de cont.
- Studentul olandez Shawn Buckles, scoțând la licitație datele sale personale, incluzând E-Mail-uri, istoria browser-ului de internet, a obținut suma de 480$.
c. Inteligența artificială
Poate cel mai mare factor, atât de creștere, cât și de impredictibilitate, îl reprezintă inteligența artificială. Dacă până acum 3-4 ani, informațiile personale erau folosite în principal pentru direcționarea publicității și a vânzărilor, pentru personalizarea produselor și serviciilor, în ultimii ani, implicarea AI în analiza și interpretarea datelor, a crescut exponențial. Volumul datelor care stau la dispoziție pentru a fi prelucrate, practic în timp real, și posibilitățile de interconectare și analiză, au depășit de mult capacitatea de prelucrare a algoritmilor liniari. Capacitatea inteligenței artificiale de a-și dezvolta proprii algoritmi prin învățare, a devenit indispensabilă. Practic, fără dezvoltarea de roboți în aproape orice domeniu, apar rapid dezavantaje concurențiale în activitatea firmelor de orice dimensiune. Efectul cel mai important este acela că, practic din orice informație, prin implicarea AI, care conectează această informație cu milioane de alte informații, irelevante luate individual, se poate obține o altă informație relevantă, utilă și aducătoare de profit.
Gigantul online chinez Alibaba a dezvoltat și implementat un sistem de “într-ajutorare” între eolienele dintr-un parc, care “simt” curentul de aer produs de elicile învecinate, le analizează parametri de funcționare, detectând o eventuală tendință de malfuncție înainte de apariția defecțiunii propriu zise și ajustându-și propria funcționare pentru a-și ajuta vecinii.
Treptat, omul va pierde controlul asupra logicii de interpretare a informațiilor folosite de inteligența artificială, va pierde deci și capacitatea de a valida rezultatele analizelor. Cu alte cuvinte, vom ajunge în curând dependenți de AI pentru “traducerea” și interpretarea informațiilor care ne înconjoară.
Pentru fiecare dintre noi
Datele noastre sunt bani, mulți bani, în mâna altora, iar aceștia le obțin gratuit de la noi. Acum putem și trebuie să controlăm, dacă nu prețul, măcar diseminarea acestora.
Nu în ultimul rând, avem acum la dispoziție un instrument prin care putem sancționa firmele care dispun de informațiile noastre în afara drepturilor acordate în mod explicit. Din păcate mulți vor profita de acest instrument pentru a diverse răfuieli. Și pentru aceste cazuri trebuie să se pregătească firmele.
Ca urmare a diseminării informațiilor, suntem confruntați în fiecare zi în diverse feluri cu rezultatul analizei acestor informații, interpretare făcută după un algoritm mai mult sau mai puțin actual, de un bot, mai mult sau mai puțin inventiv. Circumspecția e binevenită, bătrâna inteligență umană, înnobilată de intuiție, ne-ar putea duce și chiar ar trebui să ne ducă de multe ori, la rezultate diferite.
Discussion
No comments yet.