Έξυπνο ή παράνομο μάρκετινγκ;
Απόσπασμα από το βιβλίο του Bruno DUMAY: ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΗ GDPR – Για διευθυντές, στρατηγικά τμήματα και υπαλλήλους εταιρειών και οργανισμών – Πρόλογος από την Gaëlle MONTEILLER
Ας είμαστε σαφείς: τα τελευταία δεκαπέντε χρόνια, το καλό μάρκετινγκ βασίζεται σε μεγάλο βαθμό στην έξυπνη χρήση των προσωπικών δεδομένων. Σηκώστε το χέρι σας αν δεν έχετε μεταβιβάσει ποτέ πληροφορίες προϊόντος σε ένα στοχευμένο άτομο χωρίς να ρωτήσετε. Έλα τώρα; Όχι σήκωμα χεριού, σκέφτηκα. Ας ρίξουμε την πρώτη πέτρα αν δεν έχετε κρατήσει ποτέ όνομα, αριθμό τηλεφώνου ή διεύθυνση email χωρίς να ειδοποιήσετε το εν λόγω άτομο. Εντάξει, όχι πέτρες. Ας ρίξουμε την πρώτη πέτρα αν έχετε... Νομίζω ότι καταλαβαίνετε την ιδέα.
Φυσικά, κάποιοι έχουν προχωρήσει πολύ παραπέρα, προσελκύοντας, ανακτώντας, στη συνέχεια εκτρέποντας ή μεταφέροντας προφίλ, ενδιαφέροντα επειδή είναι καταναλωτές, αθώων ανθρώπων που είχαν την αδυναμία να ανοίξουν έναν ιστότοπο, να ακολουθήσουν έναν σύνδεσμο ή να εκφραστούν εγγραφόμενοι, να γίνουν μέλη, να κάνουν ένα σχόλιο... Και ποιος, είναι αυτονόητο, έσπευσε να αποδεχτεί τους γενικούς όρους πώλησης. Τους διάβασε; Δεν το νομίζετε. Η ευθύνη είναι επομένως κοινή.
Τον τελευταίο καιρό, πρέπει να παραδεχτούμε, οι παγίδες έχουν πολλαπλασιαστεί. Σίγουρα, η καταναλωτική φρενίτιδα, ο εθισμός στα δίκτυα, η ανάγκη για αναγνώριση - «Υπάρχω, κάνω κλικ!» - δεν ήταν μάταια στη δημιουργία γιγάντιων βάσεων δεδομένων, εκατοντάδες εκατομμύρια άτομα παραδίδονται χωρίς δισταγμό σε όποιον θέλει να τα παρενοχλήσει.
Γιατί λοιπόν να στερούμαστε τον εαυτό μας; Ήταν πανέμορφο, η νέα οικονομία, η οριζόντια φύση, η Uberοποίηση, η τεχνητή νοημοσύνη. Τα δεδομένα, τι χόμπι! Και όλοι το κυνηγήσαμε, μέχρι τέλους! Η κρίση; Το μάτι μου. Όχι για όλους, και όχι για όλα. Ποτέ οι μικροί άνθρωποι δεν κατασκεύαζαν, δεν πούλησαν και δεν αγόρασαν τόσα πολλά. Για να αποφύγουμε την χρεοκοπία, πουλάμε. Ακόμα κι αν αυτό σημαίνει κατάρρευση. Κάθε όνομα, και κάθε πληροφορία που σχετίζεται με αυτό το όνομα, άξιζε να διατηρηθεί, να δοκιμαστεί, να δημιουργηθεί προφίλ. Όλοι χρειάζονται κάτι, μια μέρα. Απλά πρέπει να το δημιουργήσεις, αυτή την ανάγκη, συγγνώμη που την αποκαλύπτω. Να την ικανοποιήσεις; Ναι, αλλά όχι πάρα πολύ ούτως ή άλλως. Ώστε η μηχανή να συνεχίζει να γυρίζει.
Το ξέραμε. Το αποδεχτήκαμε. Ναι, αλλά να που το παρακάναμε. Το παρακάναμε. Είμαστε ενήλικες; Όχι, οι ενήλικες δεν υπάρχουν. Μόνο τα παιδιά μεγαλώνουν. Έτσι, όπως τα παιδιά, θέλαμε πάντα περισσότερα και το παρακάναμε. Ή σχεδόν το παρακάναμε. Πριν να είναι πολύ αργά, οι αρχές ανέλαβαν δράση. Η CNIL δεν μας είχε αφήσει να φύγουμε, αλλά, καλοπροαίρετη και περιορισμένη στην επικράτειά της, κατακλύστηκε. Έτσι, η Ευρώπη παρενέβη. Αρκετές φορές. Πρώτα το 1995 και στη συνέχεια το 2016, με ισχύ από σήμερα.
Ποιο είναι αυτό το αποτέλεσμα; Παρανομία. Αυτό που κάποτε ήταν έξυπνο μάρκετινγκ είναι τώρα παράνομο μάρκετινγκ. Από τώρα και στο εξής, αν χρησιμοποιείτε τα αρχεία των πελατών ή των χρηστών σας όπως πριν, ενεργείτε παράνομα. Και ναι. Αλλά;... Όχι. Πώς;... Επειδή.
Πρόκειται για την κατανόηση του τι είναι τα προσωπικά δεδομένα και πώς πρέπει να αντιμετωπίζονται. Τα διακυβεύματα είναι υψηλά, οι κίνδυνοι υψηλοί. Πρόστιμα εκατομμυρίων ευρώ, προσωπική ευθύνη, δικαιοσύνη, δικαστήριο, μήπως αυτά είναι όντως έτσι; Δεν αστειευόμαστε πια. Μαρκ, Λάρι, Σεργκέι, Τζεφ, με ακούτε; Μην γελάτε κι εσείς. Ακόμα κι αν οι ψηφιακοί γίγαντες είναι οι κύριοι στόχοι του GDPR, επηρεάζονται όλοι οι οργανισμοί, ανεξάρτητα από το μέγεθός τους. Μεγάλες εταιρείες, νεοσύστατες επιχειρήσεις, υδραυλικοί, το δημαρχείο του Τριφούιλις και ενώσεις όπως αυτές: δεν μπορείτε πλέον να χρησιμοποιείτε τα αρχεία σας όπως εσείς κρίνετε κατάλληλο.
Φυσικά, υπήρχαν ήδη κάποιοι κανόνες και κάποιες κυρώσεις. Σοβαρά; Ναι. Έτσι, τον Ιανουάριο του 2018, πριν τεθεί σε ισχύ ο κανονισμός, η Darty τιμωρήθηκε από την CNIL επειδή δεν είχε ασφαλίσει επαρκώς τα δεδομένα των πελατών της. Η αμφισβητούμενη χρήση προήλθε στην πραγματικότητα από έναν υπεργολάβο, αλλά η εταιρεία ήταν αυτή που τιμωρήθηκε με πρόστιμο. Πρόστιμο 100.000 ευρώ. Δεν είναι λοιπόν τίποτα, αλλά είναι ένα απίστευτο σε σύγκριση με αυτό που μπορεί να σας συμβεί από τώρα και στο εξής, αν κι εσείς δεν είστε αρκετά προσεκτικοί.
Ονειρευόμαστε. Όχι, καθόλου. Η ευρωπαϊκή νομοθεσία ορίζει ότι τα δεδομένα ανήκουν στους πολίτες και ότι κανένας οργανισμός δεν μπορεί να τα οικειοποιηθεί για να τα χρησιμοποιήσει κατά το δοκούν. Α... Οι εταιρείες πρέπει να υποδεικνύουν με σαφήνεια και ακρίβεια πώς συλλέγουν, επεξεργάζονται και αποθηκεύουν προσωπικά δεδομένα. Είναι ζήτημα αφοσίωσης, διαφάνειας, συγκεκριμένων, νόμιμων, επαρκών και περιορισμένων σκοπών... Ε; Αυτά τα λόγια θα μας έκαναν να γελάσουμε και πριν. Αλλά οι καιροί έχουν αλλάξει. Οι ευρωπαϊκές αρχές αντιδρούν και μπορούμε να καταλάβουμε γιατί.
Πρέπει να διενεργήσετε εκτίμηση επιπτώσεων πριν από την επεξεργασία των δεδομένων σας, να τηρείτε έναν κώδικα δεοντολογίας που θα διέπει τις πρακτικές στον τομέα σας και να διορίσετε έναν υπεύθυνο προστασίας δεδομένων ο οποίος θα αναφέρει τυχόν περιστατικά στην εποπτική αρχή, την CNIL στη Γαλλία. Προβλέπονται διάφορες κυρώσεις για μη συμμόρφωση με αυτούς τους κανονισμούς, που κυμαίνονται από προειδοποίηση έως πρόστιμο 20 εκατομμυρίων ευρώ ή 4 δισεκατομμυρίων ευρώ του παγκόσμιου κύκλου εργασιών της εταιρείας. Εεε... Ω, Θεέ μου.
Είναι βαρύ. Ακόμα και βάναυσο. Αλλά είναι για το καλό μας. Ακόμα... Εντάξει, εντάξει. Είναι αλήθεια ότι κάτι έπρεπε να γίνει. Ότι εμείς, οι εταιρείες, είχαμε την τάση να μας γδύνουμε, τα άτομα. Οι πρώτες παίρνουν από τις δεύτερες ένα όνομα, μετά μια διεύθυνση, μετά μια γεύση, μετά μια συνήθεια, μετά ένα προφίλ, και μετά, χωρίς να το καταλάβουμε, τους αφαιρούν την ελεύθερη βούληση. Ελευθερία. Οι περισσότερες εταιρείες δεν έχουν καμία πρόθεση να βλάψουν. Απλώς μάρκετινγκ. Αλλά στο τέλος... Φτάνει πια.
Με το Web 2.0, συνειδητοποιήσαμε ότι ο πλούτος έγκειται στα δεδομένα, γεγονός που οδήγησε στην παντοδύναμη φύση των μεγάλων δεδομένων σήμερα. Αυτή η δύναμη είναι τέτοια που κάποιοι αναρωτιούνται αν η έννοια του ορίου μεταξύ δημόσιας και ιδιωτικής ζωής έχει ακόμα κάποιο νόημα. Δεν είναι πολύ αργά; αναρωτιούνται άλλοι. Οι εμπνευστές του GDPR δεν το πιστεύουν, ή τουλάχιστον δεν το λένε. Για αυτούς, μπορούμε και πρέπει να παρέμβουμε ώστε να μην μας στερήσουν ή μας βαμπιρίσουν τα κέντρα δεδομένων και αυτοί που τα κατέχουν.
Αυτή η ταλάντωση του εκκρεμούς είναι ορατή. Μια μελέτη της Pégasystems που διεξήχθη σε 7.000 καταναλωτές την άνοιξη του 2017 σε επτά χώρες της Ευρωπαϊκής Ένωσης δείχνει ότι το 82% των πολιτών έχουν αποφασίσει να διεκδικήσουν τα δικαιώματά τους βάσει του ΓΚΠΔ. Και οι Γάλλοι, μαζί με τους Ισπανούς και τους Ιταλούς, φαίνονται οι πιο ευαίσθητοι σχετικά με τα προσωπικά τους δεδομένα. Έτσι, το 96% των Γάλλων ερωτηθέντων θέλουν να γνωρίζουν ποιες πληροφορίες που τους αφορούν διατηρούνται από τις εταιρείες. Δεδομένης της αυξανόμενης ανησυχίας των πολιτών για την αναγνώριση των δικαιωμάτων τους, αυτά τα στοιχεία δεν πρέπει να λαμβάνονται αψήφιστα.
Οικοδόμηση εμπιστοσύνης, συνδυάζοντας προστασία και ελεύθερη κυκλοφορία
Συνεπώς, ο ΓΚΠΔ δεν είναι ένα κείμενο που μπορεί να ξεχαστεί γρήγορα μετά την ημερομηνία εφαρμογής του. Σκοπός του είναι να θέσει τέλος στην κλοπή πληροφοριών που θα έπρεπε να παραμένουν εμπιστευτικές και στην εισβολή στην ιδιωτική ζωή. Η προστασία των ατόμων είναι επομένως ο πρωταρχικός στόχος του ΓΚΠΔ.
Από την αρχή των αιτιολογικών σκέψεων (όχι λιγότερες από 173), ο τόνος έχει δοθεί: «Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα αποτελεί θεμελιώδες δικαίωμα» (1εεε (λαμβάνοντας υπόψη). Και ακόμη και «Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να σχεδιάζεται για να υπηρετεί την ανθρωπότητα» (4μι αναλογώς).
Αν η ανάγκη για προστασία γίνεται αισθητή, αυτό οφείλεται στο γεγονός ότι τα μέλη του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, αντιπροσωπευτικά κόμματα των πολιτών της ΕΕ, θεώρησαν ότι οι εταιρείες, και σε ορισμένες περιπτώσεις ίσως και οι διοικήσεις, είχαν προχωρήσει πολύ στην εκμετάλλευση των προσωπικών δεδομένων. Πράγματι, ο ΓΚΠΔ αποτελεί μέρος μιας κοινωνικοοικονομικής εξέλιξης, όπως υπενθυμίζεται στην 6ημι λαμβάνοντας υπόψη ότι: «Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση έχουν δημιουργήσει νέες προκλήσεις για την προστασία των προσωπικών δεδομένων. Η κλίμακα συλλογής και ανταλλαγής προσωπικών δεδομένων έχει αυξηθεί σημαντικά. Οι τεχνολογίες επιτρέπουν τόσο στις ιδιωτικές εταιρείες όσο και στις δημόσιες αρχές να χρησιμοποιούν προσωπικά δεδομένα στις επιχειρηματικές τους δραστηριότητες όπως ποτέ άλλοτε. Τα άτομα καθιστούν ολοένα και περισσότερο τις πληροφορίες που τους αφορούν δημόσια και παγκοσμίως προσβάσιμες. Οι τεχνολογίες έχουν μεταμορφώσει τόσο τις οικονομικές όσο και τις κοινωνικές σχέσεις και θα πρέπει να διευκολύνουν περαιτέρω την ελεύθερη ροή των προσωπικών δεδομένων εντός της Ένωσης και τη μεταφορά τους σε τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των προσωπικών δεδομένων.»
Είναι σαφές ότι η ΕΕ δεν κατηγορεί το ένα μέρος περισσότερο από το άλλο, αλλά καταδεικνύει τις κοινές ευθύνες των επιχειρήσεων, των δημόσιων αρχών, της τεχνολογίας και των ίδιων των ατόμων.
Ούτε η Ευρώπη αποτελεί εξαίρεση, από τον 9ομι λαμβάνοντας υπόψη ότι αναφέρει: «Ενώ παραμένει ικανοποιητική ως προς τους στόχους και τις αρχές της, η οδηγία 95/46/ΕΚ (το πρώτο ευρωπαϊκό κείμενο αναφοράς επί του θέματος) δεν έχει αποτρέψει τον κατακερματισμό στην εφαρμογή της προστασίας των δεδομένων στην Ένωση, την νομική αβεβαιότητα ή το ευρέως διαδεδομένο κοινό ότι εξακολουθούν να υπάρχουν σημαντικοί κίνδυνοι για την προστασία των φυσικών προσώπων, ιδίως στο διαδικτυακό περιβάλλον.»
Το κύριο πρόβλημα που εντοπίστηκε είναι η διαφορά στα επίπεδα προστασίας μεταξύ των χωρών. Συνεπώς, η ενότητα, για όλες τις εταιρείες σε ολόκληρη την ΕΕ, ακόμη και για τους υπεργολάβους τους εκτός ΕΕ, φαίνεται να αποτελεί απαραίτητη προϋπόθεση για μια αποτελεσματική πολιτική σε αυτόν τον τομέα. «Προκειμένου να διασφαλιστεί ένα συνεπές και υψηλό επίπεδο προστασίας των φυσικών προσώπων και να αρθούν τα εμπόδια στη ροή των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων όσον αφορά την επεξεργασία των δεδομένων αυτών θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Συνεπώς, είναι σκόπιμο να διασφαλιστεί η συνεπής και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση» (10μι αναλογώς).
Το κείμενο, αν και πολύ περιοριστικό όπως θα δούμε, ωστόσο στοχεύει σε έναν θετικό οικονομικό στόχο: «Αυτές οι εξελίξεις απαιτούν ένα σταθερό και πιο συνεκτικό πλαίσιο προστασίας δεδομένων στην Ένωση, συνοδευόμενο από αυστηρή εφαρμογή των κανόνων, επειδή είναι σημαντικό να δημιουργηθεί η εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί σε ολόκληρη την εσωτερική αγορά» (7μι αναλογώς).
«Εμπιστοσύνη». Κατά τη γνώμη μας, αυτή είναι η πιο σημαντική λέξη. Εάν ο ΓΚΠΔ στοχεύει στην εγγύηση, την αποκατάσταση ή την «ενστάλαξη» της εμπιστοσύνης των πολιτών στους δημόσιους και ιδιωτικούς φορείς της ενιαίας ευρωπαϊκής αγοράς, τότε τον υποστηρίζουμε ολόψυχα. Είναι απαραίτητο τα άτομα που ψωνίζουν online, χρησιμοποιούν μια υπηρεσία, συμβουλεύονται προσφορές ή εκφράζουν γνώμη να μπορούν να προβαίνουν σε αυτές τις ενέργειες χωρίς φόβο ότι θα στερηθούν μέρος της ιδιωτικότητάς τους.
Χωρίς φόβο ότι θα μας στερήσουν περιουσία ή ακόμα και θα μας παρενοχλήσουν, για να χρησιμοποιήσουμε μια λέξη-κλειδί από τα τέλη του 2017 που θα μπορούσε να εφαρμοστεί στην ψηφιακή τεχνολογία. Πόσες φορές την ημέρα λαμβάνουμε πληροφορίες που δεν ζητήσαμε ποτέ, υποτίθεται επειδή ήμασταν εγγεγραμμένοι σε κάτι που δεν γνωρίζαμε καν ότι υπήρχε; Σήμερα, πρέπει να διαγραφούμε παρόλο που δεν ήμασταν ποτέ εγγεγραμμένοι. Εάν ο ΓΚΠΔ εφαρμοστεί σωστά, αυτό δεν θα είναι πλέον απαραίτητο: η αποστολή ενημερωτικού δελτίου απαγορεύεται πλέον εάν ο παραλήπτης δεν έχει δώσει ρητή συγκατάθεση.
Αυτός ο νεοαποκτηθείς σεβασμός είναι κάτι καλό. Οι οικονομικές ανταλλαγές δεν είναι ποτέ τόσο καρποφόρες όσο όταν τα διαφορετικά μέρη αισθάνονται εμπιστοσύνη το ένα στο άλλο.
Αυτές οι ρευστές ανταλλαγές ενθαρρύνονται σαφώς: «Προκειμένου να διασφαλιστεί ένα συνεπές επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και να αποφευχθούν οι αποκλίσεις που εμποδίζουν την ελεύθερη ροή των προσωπικών δεδομένων εντός της εσωτερικής αγοράς, είναι απαραίτητος ένας κανονισμός που θα παρέχει ασφάλεια δικαίου και διαφάνεια για τους οικονομικούς φορείς, συμπεριλαμβανομένων των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων, ώστε να παρέχεται στα φυσικά πρόσωπα σε όλα τα κράτη μέλη το ίδιο επίπεδο εκτελεστών δικαιωμάτων, υποχρεώσεων και ευθυνών για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, και να διασφαλίζεται η συνεπής εποπτεία της επεξεργασίας των προσωπικών δεδομένων και οι ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη, καθώς και η αποτελεσματική συνεργασία μεταξύ των εποπτικών αρχών των διαφόρων κρατών μελών. Για την ορθή λειτουργία της εσωτερικής αγοράς, είναι απαραίτητο η ελεύθερη ροή των προσωπικών δεδομένων εντός της Ένωσης να μην περιορίζεται ούτε να απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων» (13).μι αναλογώς).
Όπως μπορούμε να δούμε, η προστασία των δεδομένων δεν θα πρέπει να αποτελεί εμπόδιο, αλλά μάλλον πλεονέκτημα «για την ορθή λειτουργία της εσωτερικής αγοράς». Το άρθρο 1 του ΓΚΠΔ ενσωματώνει αυτόν τον συνδυασμό των δύο στόχων. Ας παραθέσουμε απλώς την πρώτη παράγραφο: «Ο παρών κανονισμός θεσπίζει κανόνες για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και κανόνες για την ελεύθερη κυκλοφορία των δεδομένων αυτών». Η προστασία και η ελεύθερη κυκλοφορία, τα δύο θεμέλια της Ευρωπαϊκής Ένωσης, δεν θα μπορούσαν να είχαν διατυπωθεί πιο ρητά.
Οι ακόλουθες αιτιολογικές σκέψεις μερικές φορές ανακοινώνουν λέξη προς λέξη τα άρθρα που θα ακολουθήσουν, εκτός από το ότι τις περισσότερες φορές είναι γραμμένες σε υποθετική μορφή, για να δείξουν την επιθυμία, την πρόθεση, ενώ τα άρθρα είναι σε ενδεικτική μορφή, που σημαίνει ότι είναι νομικά δεσμευτικά.
Αφού προσδιορίσαμε τη φιλοσοφία του κειμένου, ας εξετάσουμε τώρα τις κύριες διατάξεις του.
EL 
FR 
EN 
DE 
ES 
IT 
HR 
PT 
NL 
DE_AT 
ET 
FI 
LV 
LT 
SK 
SL