O perspectivă și analiză critică a GDPR. Protecția intimității, drept sau iluzie. Apel la conștientizarea riscurilor mediului digital asupra dreptului la intimitate și viața privată

X. GDPR și comercializarea datelor cu caracter personal. Intimitatea de vânzare?

Un raport McKinsey din 2015 descrie cele trei moduri în care companiile accesează date cu caracter personal[72]. În primul rând, datele cu caracter personal pot fi cumpărate. Companii precum Experian sau Acxiom oferă spre vânzare baze largi de consumatori care pretind că conțin informații despre obiceiurile, stilul de viață și atitudinile de cumpărare ale clienților. Acestea pot fi potrivite cu bazele de date interne ale companiei prin identificatori, cum ar fi detaliile cărților de credit sau numerele de telefon. Date de panel, de la companii cum ar fi Nielsen și Compete, oferă contra cost, acces la activitățile a 2 milioane de consumatori, oferind viziuni granulare asupra comportamentului persoanelor, cum ar fi înregistrările paginilor web vizitate și achizițiile efectuate de consumatori într-o anumită perioadă de timp.

Datele „de călătorie” din programul „AdSense” al Google construiesc o amprentă digitală pentru consumatori, bazată pe datele lor de conectare la site-uri populare (de exemplu, pe site-urile aeriene sau pe Facebook). Odată ce clientul se conectează, cookie-ul urmărește acest client pe alte site-uri web. Companiile agregatoare, cum ar fi Datalogix, combină aceste date cu sute de date de conectare și le adaptează într-o bază de date cu peste 100 de milioane de aparținători.

În al doilea rând, companiile pot obține gratuit date de la clienți. McKinsey îi sfătuiește pe comercianții cu amănuntul să „încurajeze clienții să se autoidentifice prin conectarea la site-ul web, folosind un card de loialitate în magazin sau identificându-se atunci când apelează la îngrijirea clienților”.

În cele din urmă, companiile fac schimb sau își împărtășesc reciproc sau chiar aduc ca aport în afacere date cu caracter personal, printr-un parteneriat agreat. De exemplu, Visa a încheiat un parteneriat cu comercianții cu amănuntul pentru a introduce consumatori pe baza de localizări extrem de direcționate în timp ce fac achiziții – „scanați-vă Visa la o distanță pentru a efectua o achiziție și obțineți oferte pe smartphone-ul pentru comercianții cu amănuntul la distanță de mers pe jos”.

Schimburile de date de multe ori se tranzacționează în cantități uriașe de date. BlueKai Exchange, care este gestionat de Oracle și este considerată cea mai mare piață de date din lume, oferă „date despre peste 300 de milioane de utilizatori care oferă spre tranzacționare în spor comercial peste 30.000 de atribute de date”. Procesul de schimb are peste 750 de milioane de evenimente și tranzacționează peste 75 de milioane de licitații pe zi[73]. Această formă de afacere este adesea menționată ca publicitate programatică – o metodă nouă, automatizată de cumpărare și plasare a anunțurilor pe suporturi digitale, folosind procese algoritmice pentru a găsi și viza un client oriunde merge[74].

Potrivit raportului publicat de către Forrester[75], publicitate programatică va atrage majoritatea cheltuielilor de publicitate digitală în următorii câțiva ani. Procesul implică „licitații” în timp real care apar în milisecunde, permițând ofertanților să „afișeze un anunț unui anumit client, într-un anumit context”.

În ciuda existenței unor platforme mari de tranzacționare a datelor, datele personale utile agenților de publicitate sunt adesea colectate și stocate de companii, mai degrabă decât tranzacționate în mod deschis. Aceste „silozuri de date” sunt în mod obișnuit controlate de companii mari Big data, cum ar fi Facebook, Microsoft și IBM, care au avut tendința de a valorifica datele fără să vândă datele în sine, ci, în schimb, comercializându-le prin permiterea accesul indirect și temporar la date și la concluziile rezultate din analiza, compilarea sau urmărirea efectuată asupra datelor și respectiv a persoanelor vizate.

Unele achiziții (preluări) de afaceri sau fuziuni care au avut loc în ultimii ani, se presupune că au fost determinate de valoarea datelor deținute de acele companii care au fost preluate. Cum ar fi achiziționarea de către Microsoft a LinkedIn la sfârșitul anului 2016[76].

Vânzarea și comercializarea sub toate formele a datelor cu caracter personal este o realitate. Datele personale sunt petrolul erei noastre digitale (new gold).

Legiuitorul american a urmărit să reglementeze această realitate economică. California Consumer Privacy Act[77] (CCPA – iunie 2018), reprezintă Legea Statului California (SAU) privind reglementarea cadru a protecției datelor cu caracter personal, echivalentul GDPR în Europa în virtutea tradiției nord americane, legiuitorul nord american a datelor le recunoaște caracterul pecuniar și bun de comerț, definește persoana vizată, „consumator”[78], căreia îi recunoaște în mod expres dreptul de a se opune vânzării datelor sale personale.

Potrivit Cal. Civ. Code § 1798.120 „Un consumator are dreptul, în orice moment, de a se adresa unui comerciant care comercializează date personale ale consumatorului, somându-I să nu vândă informațiile personale ale consumatorului[79]. Definiția „vânzării” datelor personale este definită de în CCPA „vânzarea, punerea la dispoziție, comunicarea, difuzarea, diseminarea, transferarea sau comunicarea orală, în scris, sau prin mijloace electronice sau prin alte mijloace, a informațiilor personale ale unui consumator unei alte întreprinderi sau unei terțe părți în schimbul banilor sau altor beneficii evaluabile în bani[80] [Cal. Civ. Code § 1798.140(t)(1)].

Legiuitorul nord american, capitalist până în măduva oaselor, nu a avut nicio urmă de ezitare în a legifera dreptul „consumatorului” de a se opune vânzării datelor sale, recunoscând evident caracterul economic al acestora [„monetary or other valuable consideration” – Cal. Civ. Code § 1798.140(t)(1)]. Fără îndoială, inima și sufletul pieței digitale sunt datele personale, bun de comerț deosebit de valoros și de interes în toate zonele de comerț, industrie și viață politică, definit în literatura de specialitate ca fiind „noul petrol” (new oil[81]). Tranzacționat, fără hotare.

Oare instituțiile europene care reglementează piața digitală, elaborând Strategia Pieței Digitale Comune sunt ignorante cu privire la valoarea economică a datelor? De ce GDPR în definiția data datelor personale (art. 4 pct. 1 din GDPR) omite caracterul economic și evaluabil în bani al acestora? De ce GDPR omite să indice cine este proprietarul datelor, cel care poate dispune economic de acestea și singurul care poate autoriza vânzarea? De ce GDPR, aparent atât de generos și doritor să „extindă” și protejeze drepturile persoanei, nu reglementează expres dreptul persoanei de a se opune și de a bloca (a priori) vânzarea datelor sale personale?

Sunt aceste scăpări nevinovate sau omisiuni intenționate?

Răspunsul îl putem găsi inclusiv în documentele de lucru ale instituțiilor europene, schimbul de opinii și negocieri purtate de-a lungul dezbaterilor legislative privind DSM2010 și GDPR.

Față de propunerea Directivei privind anumite aspecte referitoare la contractele de furnizare de conținut digital AEPD (EDPS) a emis avizul său prin Opinia nr. 4/2017 emisă către Comisia Europeană prin care AEPD a criticat sintagmele care recunosc datele personale ca monedă de plată pentru servicii digitale, recunoscându-le explicit valoarea pecuniar-economică.

Prin Opinia nr. 4/2017 către Autoritatea Europeană de Protecție a Datelor (EDPS) critică vehement în pct. 9-10 Capitolul 2 (pana la pct. 34) exprimarea de „plata prin contraprestație cu datele personale”, solicitând înlocuirea cu alt text, care nu schimbă natura tranzacției, dar evită sintagma deranjantă. Iată și argumentele EDPS, pct. 11 ad seq. din Opinia nr. 4/2017:

Directiva propusă se aplică oricărui contract în care furnizorul furnizează servicii digitale conținutul pentru consumator sau se angajează să facă acest lucru în schimbul unui preț, dar și atunci când consumatorul oferă în mod activ în contraprestație, altfel decât banii, sub formă de date cu caracter personal sau orice alte date”.

Domeniul de aplicare al directivei este definit astfel încât să asigure că acele contracte care sunt aparent „gratuite” să poată beneficia, de asemenea, de anumită protecție a directivei propuse. Servicii în general considerate „gratuite”, se bazează în general pe un model economic în care primesc în contraprestație date cu caracter personal, colectate de furnizori pentru a crea valoare (comercială) din datele procesate (s.n.).

AEPD recunoaște importanța economiei digitale în Uniune și valoarea datelor în mediul digital[82]. Prin urmare, AEPD salută inițiativele Comisiei cu privire la utilizarea datelor (personale și non-personale) și pentru a favoriza economia bazată pe date (s.n.). Noul cadru de protecție a datelor, care va fi aplicabil începând cu data de 25 mai 2018, a fost reproiectat pentru a aborda oportunitățile și provocările UE utilizarea datelor într-un astfel de context. În acest context, misiunea AEPD este să ajute legiuitorul abordează reglementarea acestei piețe, luând în considerare implicațiile pentru indivizilor în ceea ce privește dreptul lor fundamental la protecția datelor cu caracter personal.

AEPD salută intenția legiuitorului de a se asigura că și în cazul așa-numitor „servicii gratuite” consumatorului să i se asigure aceleiași protecție, precum cea din cazul serviciilor pentru care se plătește un preț pentru un serviciu (în bani – s.n.). Cu toate acestea, datele personale nu pot fi comparate cu un preț sau cu bani. Informațiile personale sunt legate de un drept fundamental și nu pot fi considerate ca fiind o marfă.

Pornind de la această ipoteză, următoarele secțiuni prezintă motivele pentru care AEPD recomandă evitarea utilizării noțiunii de date plătite în contraprestație (s.n.). și prezintă opțiuni alternative pentru a înlocui utilizarea unei astfel de noțiuni (s.n.).

Ca urmare a acestor critici și solicitării de înlocuire a termenului de „contraprestație”, versiunea amendată pusă în dezbatere în Parlamentul European în martie 2019 maschează acest termen prin descrierea tranzacțiilor, dar evită cuvântul scandalos.

Din analiza acestor acte și documente de lucru interinstituționale observăm că aceste aspecte spinoase privind recunoașterea datelor personale, caracterul evaluabil în bani, marfă de schimb au făcut obiectul unor dezbateri intense. Regulamentul GDPR intenționat evită să reglementeze caracterul evaluabil în bani al datelor personale, deși reglementează tranzacționarea datelor personale pe piața digitală.

Ca o consecință, GDPR intenționat nu a reglementat dreptul persoanei de a se opune vânzării datelor sale personale. GDPR nu a omis o astfel de reglementare pe care legiuitorul californian a recunoscut-o prin CCPA. Căci, a recunoaște dreptul de a se opune vânzării datelor, implicit ar fi reprezentat recunoașterea ca datele sunt marfa. Ce ceea ar fi scandalizat cetățeanul european, al cărui drept la intimitate și date personale este reglementat prin Carta Europeană a Drepturilor Fundamentale (art. 8) ca drept și libertate fundamentală (neevaluabile în bani), alături de dreptul la viață, la demnitate umană, viață de familie etc.

Sistemul instituțional european lasă sub tăcere recunoașterea valorii economice a datelor, disimulând prin tehnici de redactare legislativă realitatea, îmbrăcând noțiunile în fraze semantice echivalente și redactare obscură. Sunt de asemenea lăsate cu intenție nereglementate aspecte esențiale și de bază precum proprietatea asupra datelor personale, dreptul exclusiv de a dispune cu privire la date, dreptul persoanei de a interzice vânzarea datelor. Realitatea economică a pieței datelor s-a impus de mai bine de două decenii, fiind azi într-o accesiune fără precedent și a dus în desuetudine intimitatea persoanei. Datele persoanele, identitatea cu urmărirea emoțiilor și trăirilor sunt valori comerciale într-o societate a pieței digitale.

Dacă intimitatea și astfel și demnitatea devin valori vandabile, mai) trăim într-un sistem democratic autentic?

Urmare acestei evocări fugitive a considerentelor revine și persistă incomoda și retorica întrebare Cui prodest?

„Can’t you see? It all makes perfect sense

Expressed in dollars and cents

Pounds, shillings and pence

Can’t you see? It all makes perfect sense”[83]. 

XI. Concluzii și perspective

Articolul nu se dorește un epitaf, ci un apel de conștientizare a realității. Demnitatea, intimitatea ca și democrația nu sunt un dat, pentru eternitate. Ci sunt valori foarte fragile, care nu se câștigă odată pentru totdeauna și se îmbracă în forme reci[84] pentru păstrare spre veșnicie în sălile universităților sau palatele parlamentelor, în statui înalte și reci. Nu este suficientă o recunoaștere într-o cartă sau constituție.

Ele trebuie zi de zi exercitate, trăite și mai ales protejate și prin solidaritate activă de abuzuri instituționale, de lăcomia mediului economic-financiar-bancar. Altfel, aceste valori devin scripte formale și desuete, depărtându-se de realitate. Democrația este cea mai fragilă dintre flori[85]. Nu doar că uităm, dar uităm mult prea repede prețul plătit de generațiile anterioare ale acestui continent cu istorie tumultoasă. Într-o Europă, leagăn al democrației cu fundație creștină, obligația esențială pe care o are fiecare generație este să se responsabilizeze cu privire la păstrarea acestor valori, spre a le transmite.


[72] McKinsey & Company (2015), Marketing & Sales Big Data, Analytics, and the Future of Marketing & Sales, www.mckinsey.com.

[73] OECD (2015), Data-Driven Innovation: big data for growth and well-being, http://dx.doi.org/10.1787/9789264229358-en, accesat la data de 01.07.2019/.

[74] J. Chester, K. Montgomery (2017), The role of digital marketing in political campaigns, Internet Policy Review, Volume 6, Issue 4.

[75] R. Allen (2016), What is Programmatic Marketing?, disponibil: www.smartinsights.com accesat la data de 01.07.2019.

[76] The Economist (2017), Data is giving rise to a new economy, disponibil la: www.economist.com, accesat la data de 01.07.2019.

[77] https://oag.ca.gov/privacy/ccpa accesat la data de 01.07.2019.

[78] Definiție și termen care în legislația europeană are aplicabilitate doar în materia Concurenței și Protecției consumatorului. În timp de Protecția datelor s-a născut ca un derivat al dreptului fundamental la viață privată, intimitate, demnitate, a determinat legiuitorul european să urmărească intenționat să se distanțeze de această ramura comercială a dreptului, dorind a plasa în continuarea reglementarea acestor drepturi în zona drepturilor fundamentale nemateriale, în ciuda realităților economice.

[79] Textul original: „A consumer shall have the right, at any time, to direct a business that sells personal information about the consumer to third parties not to sell the consumer’s personal information”.

[80] Textul original „selling, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a consumer’s personal information to another business or a third party for monetary or other valuable consideration”.

[81] https://www.forbes.com/sites/bernardmarr/2018/03/05/heres-why-data-is-not-the-new-oil/#15afa8903aa9, accesat la data de 01.07.2019.

[82] A se vedea și Comunicatul Comisiei către Parlamentul European, Consiliu, Comitetului Economic European al Regiunilor, „Towards a thriving data-driven economy”, COM (2014) 442 final.

[83] Versuri ale lui Roger Water cântecul „Perfect sense”, https://www.youtube.com/watch?v=SUGwHOAdwBw.

[84] Cu deosebită frumusețe spus de către Costache Ioanid în poezia creștină „Nu-i Iuda singur vinovat”, https://www.youtube.com/watch?v=qw4iwVU9jAg , https://www.resursecrestine.ro/poezii/31904/nu-i-singur-iuda-vinovat accesat la data de 01.07.2019.

[85] https://journals.sagepub.com/doi/abs/10.1177/0032329202030001003, https://www.independent.ie/opinion/editorial/democracy-is-a-fragile-flower-26898688.html accesat la data de 01.07.2019.

O perspectivă și analiză critică a GDPR. Protecția intimității, drept sau iluzie. Apel la conștientizarea riscurilor mediului digital asupra dreptului la intimitate și viața privată was last modified: octombrie 16th, 2019 by Oxana Chironda

Numai utilizatorii autentificați pot scrie comentarii

Arhiva Revista

Despre autor:

Oxana Chironda

Este Senior Partner la SCA Dumitrache-Chironda, Ivu și Asociații, ECPC-B – Certified Data Protection Officer by European Centre of Privacy and Cybersecurity Maastricht University, certificată CIPP/E (Certified Information Privacy Professional – Europe GDPR), membru al IAPP – International Association of Privacy Professionals.