Sari la conținut

Securitatea informațiilor. Ce înseamnă GDPR și cum ne afectează

În era informaţiei, una dintre cele mai mari provocări este securitatea datelor noastre personale. De la date bancare, la mailuri confidenţiale, la parole sau fotografii private, toate aceste date se află din ce în ce mai mult în cloud, stocate pe serverele unor companii în care avem încredere că ştiu cum să le protejeze. Dar, ca în multe alte domenii, viteza cu care s-a dezvoltat tehnologia şi serviciile din spaţiul digital a fost prea mare pentru a permite statelor să îşi adapteze legislaţia la noile moduri în care companiile folosesc aceste informaţii. Emisiunea „2.0” vă vorbește în această ediție despre securitate, despre noile schimbări legislative ce urmează să între în vigoare începând cu anul viitor în întreaga Uniune Europeană şi despre modul în care aceste noi reguli ne afectează pe fiecare în parte.

General Data Protection Regulation sau GDPR, reprezintă un set de reguli şi directive prin care Consiliul European, Comisia Europeană şi Parlamentul European intenţionează să întărească şi să unifice legislația care priveşte securitatea datelor noastre personale. Acest nou set de legi a intrat în discuţie încă din 2013, a fost adoptat în 2016 şi urmează să între în vigoare automat, la nivelul tuturor statelor din Uniune, din mai 2018. Spre deosebire de directive, recomandări sau alte forme legislative din Uniunea Europeană care cer fiecărui stat în parte să găsească o cale de adoptare a regulilor propuse, GDPR nu are nevoie de nicio acţiune din partea statelor şi va intra în vigoare în mod automat, pentru toată lumea, în acelaşi timp şi cu aceleaşi repercusiuni.

Obiectivul principal al GDPR este să redea controlul utilizatorilor asupra datelor lor personale şi să furnizeze un spaţiu legislativ congruent şi simplu pentru toate afacerile care au activitate în Uniunea Europeană. Asta înseamnă că spre deosebire de Data Protection Act, legislaţia care reglementează în prezent domeniul, GDPR o să afecteze şi companiile din afara Uniunii Europene care procesează date ale cetăţenilor Uniunii Europene.

Probabil lucrurile sună destul de complicat până aici, însă simplificăm totul imediat. În primul rând ne interesează să ştim despre ce fel de informaţii personale vorbim.

Modul în care noua legislaţie defineşte informaţiile personale este foarte vast. Astfel, orice date - de la un nume, o adresa de domiciliu, o fotografie, o adresă de IP a unui calculator, o adresă de e-mail, un profil de Facebook, o amprentă şi aşa mai departe - intră sub incidenţa noilor legi.

În al doilea rând, vrem să vedem pe cine afectează aceste noi legi. În primul rând, toate companiile care fac parte dintr-un stat al Uniunii sau care activează pe teritoriul Uniunii Europene şi care colectează sau procesează date. Colectorii de date sunt toate companiile care îţi cer ţie informaţii personale - fie că sunt un ONG care te roagă să te loghezi ca să faci o donaţie, sau un joc care îţi cere să îţi acceseze camera în timp ce te joci sau o platformă de storage în cloud care îţi păstrează fişierele. Aproape toate companiile care oferă servicii în spaţiul digital se încadrează într-un fel sau altul în categoria de data controller. Pe lângă acestea, există companiile care procesează date, care sunt de fapt subcontractori ai businessurilor menţionate mai devreme. Responsabilitatea securităţii şi confidenţialităţii informaţiilor tale personale este de fapt în mâna celor care le procesează, însă noua legislaţie îi trage la răspundere în mod egal şi pe cei care ţi le cer. Asta înseamnă că respectiva companie care cere acces la informaţiile tale este responsabilă de ce se întâmplă mai departe cu ele când sunt procesate.

Legea vizează şi toate companiile care colectează sau procesează date ale cetăţenilor Uniunii Europene indiferent de ţara de provenienţă a afacerii, precum şi instituţiile juridice şi poliţiile statelor din Uniunea Europeană.

În al treilea rând ne interesează să ştim care sunt principalele schimbări aduse de GDPR. Deşi sunt numeroase articole, chichiţe şi detalii pe care nu avem timp să le detaliem, pe noi ne interesează în principal trei lucruri: ce se întâmplă cu infamul contract de „licence and agreement”, cât pot păstra şi cum pot folosi companiile datele noastre în baza noului cadru legal şi care sunt lucrurile pentru care companiile trebuie să ne ceară permisiunea.

Prima modificare importantă este a felului în care companiile care colectează sau procesează date trebuie să ne întrebe dacă ne dăm sau nu acordul să le oferim informaţiile noastre. Vestea proastă este că în momentul de faţă, doar 20% din populaţie aruncă un ochi peste ce scrie în contractul de licence and agreement care apare când ne instalăm aproape orice program nou. Şi pe bună dreptate, deoarece acestea sunt adesea uriaşe, pline de termeni şi exprimări întortocheate care se adresează mai degrabă avocaţilor şi nu utilizatorilor. Şi taman acest gen de abordare le-a permis până în prezent companiilor să abuzeze de informaţiile noastre personale. Vestea bună este că asta o să înceteze începând cu mai anul viitor deoarece în acel moment toate companiile care vor să ne ceară informaţii trebuie să o facă simplu, scurt şi la obiect menţionând scopul precis pentru care au nevoie de respectivele date de la noi. Şi fiecare companie trebuie să păstreze documente care să ateste acordul dat de utilizatori, iar aceştia se pot răzgândi la orice moment, iar compania este nevoită să şteargă informaţiile obţinute.

Ba mai mult decât atât, de fiecare dată când se gândesc că ar vrea să ne folosească adresa de mail şi la altceva decât la ce ne-au cerut permisiunea iniţial trebuie să ne întrebe dacă vrem sau nu. În plus, companiile trebuie să păstreze rapoarte clare cu felul în care au fost folosite datele utilizatorilor şi, la cererea acestora, vor fi obligate să ne arate când unde şi cum au fost folosite, unde sunt stocate, cine a avut acces la ele şi aşa mai departe. Utilizatorii vor putea să îşi mute toate datele de la o companie la alta, dacă au vreo grijă cu privire la securitatea informaţiilor lor, iar companiile sunt nevoite să ofere rapid şi transparent utilizatorilor informaţii despre potenţialele slăbiciuni ale sistemului sau a posibilelor atacuri, breşe sau crash-uri pe care acesta le-a suferit.

Există, de asemenea, un nou drept care se naşte din această legislaţie, denumit în mod poetic „dreptul de a fi uitat”. Acesta permite oricărui utilizator să ceară ştergerea datelor dacă acestea nu mai sunt utile în scopul în care au fost cerute iniţial. Asta înseamnă că dacă eu mi-am dat numărul de telefon către Google pentru a-mi face un cont de mail şi a putea să-mi recuperez parola, odată ce nu mai am nevoie de mailul respectiv sau mi-am tatuat parola în palmă ca să nu o mai uit niciodată, pot cere ştergerea numărului meu de telefon din baza de date precum şi toate linkurile care conectează numărul meu de telefon de alte informaţii personale.

Companiile care nu reuşesc să se conformeze la noua legislaţie şi continuă să colecteze date într-un cadru „ilegal” din punctul de vedere al GDPR riscă amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri globală, în funcţie de care dintre cele două este mai mare.

Citiți și:  Din 2018, amenzi uriaşe pentru cei care prelucrează ilegal date personale

Pentru ştiri din domeniul tehnologiei şi gadgeturilor, urmăriţi în fiecare duminică la Digi24, de la ora 11:30, emisiunea „2.0”, cu Flavia Negoescu. Arhiva emisiunii, aici.

Puteți accesa, de asemenea, secțiunea specială a site-ului digi24.ro: http://www.digi24.ro/stiri/sci-tech/gadget