Ce pot învăța companiile de la noi după sesizările de încălcare GDPR depuse împotriva Apple, Amazon, Netflix, Youtube și Spotify

Organizația pentru protecția datelor NOYB (None of your business) din Austria a întreprins o serie de teste prin care au descoperit încălcări multiple ale noului Regulament General de Protecția Datelor la o serie de servicii de streaming, inclusiv Apple, Amazon Prime, Netflix, Youtube sau Spotify.

Pornind de la aceste nereguli, NOYB a înaintat plângeri împotriva fiecărei companii către autoritățile locale de protecție a datelor. Teoretic, conform Regulamentului, companiile reclamate ar putea fi amendate în total cu un maxim de 18,8 mld de dolari.

Dincolo de relatarea cazului în sine, m-am gândit și ce anume ar trebui să însemne acest lucru pentru companiile din România, dincolo de încă un semn că „treaba asta cu protecția datelor e chiar serioasă”

Încălcarea dreptului utilizatorilor la accesul pe care companiile le dețin despre ei

Plângerile vizează în principal nerespectarea dreptului la acces al utilizatorilor la datele pe care aceste companii le dețin despre ei. Conform articolului 15 din Regulament, companiile sunt obligate să pună la dispoziția oricărui utilizator solicită acest lucru, o copie a datelor pe care le deține despre el/ea, felul în care au fost colectate, cui mai oferă acces la datele utilizatorului respectiv, unde le stochează și pentru cât timp.

Încălcarea acestui drept se sancționează cu amenzi de până la 20 de milioane de EURO sau 4% din cifra globală de afaceri. Membrii NOYB susțin că nici una din cele 10 companii testate nu au furnizat în întregime aceste informații iar două din companii nici măcar nu au răspuns deloc solicitărilor.

Dacă la companiile mai mici răspunsurile la solicitările utilizatorilor se dau manual, multe din marile corporații și-au automatizat sistemele de răspuns la cererile de acces, dar în realitate acestea nu oferă nici pe departe toate informațiile la care fiecare utilizator are dreptul. Acest lucru duce la încălcări fundamentale ale GDPR, deoarece sistemele acestea sunt construite ca să limiteze de fapt accesul la informațiile de care este nevoie, a declarat Max Schrems, co-fondator și director al NOYB. Schrems s-a făcut cunoscut după procesul câștigat împotriva Facebook în 2015, tot pe probleme de protecția datelor.

Informații furnizate doar parțial sau într-un format indescifrabil

Companiile care au răspuns solicitărilor făcute de utilizatori au furnizat o serie de informații din care lipseau în principal date despre cât timp le sunt stocate datele, precum și sursele de colectare și destinatarii care mai au acces la datele respective.

În plus, austriecii de la Noyb au remarcat și faptul că de multe ori datele care sunt puse la dispoziție, au un format criptic, extrem de greu sau de-a dreptul imposibil de citit de către un utilizator obișnuit, fără cunoștințe tehnice.

Două din companii nici măcar nu au răspuns utilizatorilor

Dacă majoritatea companiilor au răspuns totuși cererii utilizatorilor de a avea acces la datele colectate despre ei – chiar dacă nu au furnizat informații complete – SoundCloud și DAZN nici măcar nu au răspuns solicitărilor făcute – arată comunicatul celor de la Noyb.

Și totuși, de ce nu oferă aceste mari companii acces complet utilizatorilor

Lipsa de resurse e puțin probabil să fie adevăratul motiv.

Probabil aflarea de către publicul larg a felului în care datele lor sunt folosite și puse la dispoziția altor destinatari ar fi mult mai costisitoare pentru acești giganți decât o amendă, fie ea și una de miliarde de dolari?

Nu știm.

Cert este că inițiative ca cele ale Noyb și Max Schrems scot la iveală lipsuri grave în materie de conformare. Dar revenind la companiile autohtone.

Ce ar putea învăța companiile din România din acest caz?

1. Companiile mari și foarte mari, care-și permit automatizarea sistemelor de răspuns la cererile de acces ale utilizatorilor, ar trebui să interpreteze acest caz ca un semnal în direcția faptului că aceste automatizări trebuiesc făcute până la capăt.

Să faci în așa fel încât un utilizator să își poată downloada cu un singur click TOATE informațiile pe care compania le deține despre el nu este deloc un lucru ușor, dacă e să ne gândim la faptul că acele date se vor găsi în mai multe locuri – de la programe de gestiune gen SAP/ERP, CRM până la aplicații de email marketing – care toate trebuiesc integrate.

2. Pentru o companie mică e clar că efortul de a automatiza mai sus nu este o opțiune, soluția fiind oferirea unui răspuns manual. Termenul de răspuns de 30 de zile pe care Regulamentul îl prevede ar trebui să fie suficient pentru ca inclusiv o firmă cu 3-4 angajați să poată aduna informațiile respective într-un format lizibil și de către un utilizator obișnuit.

Dar înainte de asta, va trebui să se asigure că instrumentele pe care le folosesc pentru colectare și procesare de date, le pot oferi aceste date în formatul corespunzător.

Rămâne de văzut felul în care vor evolua lucrurile în cazul plângerilor de mai sus. Cert este că astfel de cazuri de la nivel internațional ar trebui să fie niște semnale clare pentru companiile românești în direcția conformării cât mai temeinice la noul regulament de protecție a datelor.