După GDPR, efortul legislativ european pentru protecția datelor personale continuă cu Regulamentul ePrivacy

Anul 2019 este anul în care protecția datelor rămâne în lumina reflectoarelor, în contextul în care legislația actuală nu pare să țină pasul cu evoluțiile tehnologice recente, utilizarea crescută a internetului și cu noile servicii de comunicații având la bază internetul (email, telefonie sau mesagerie instantanee prin intermediul rețelelor de socializare (Facebook, Whatsapp etc)). Deoarece acest domeniu nu a făcut până în prezent obiectul reglementărilor europene privind comunicațiile electronice, s-a conturat un vid legislativ cu privire la protecția consumatorilor și a comunicațiilor realizate prin aceste metode, ceea ce impune reanalizarea și actualizarea cadrului legislativ.

Pe 10 ianuarie 2017, Comisia Europeană a prezentat prima variantă a Propunerii de Regulament privind respectarea vieții private și protecția datelor cu caracter personal în comunicațiile electronice ("Regulamentul ePrivacy"), în cadrul eforturilor de a crea o piață unică digitală pentru Europa, în care concurența online și dreptul la viață privată al utilizatorului să fie respectate. Prevederile acestei Propuneri de Regulament vor afecta nu doar companiile de retail online, ci și companiile de software, marketing, telecomunicații, băncile, trusturile de presă, precum și alte companii ale căror bunuri sau servicii implică transmiterea de comunicații electronice.

Scopul Regulamentului ePrivacy este să asigure confidențialitatea comunicațiilor electronice şi un nivel crescut de protecție a vieții private a consumatorilor de servicii de comunicații electronice. Regulamentul este cu atât mai important cu cât industria mașinilor autonome și a conectării dispozitivelor la internet (Internet of Things sau IoT) este în plină ascensiune.

Când tehnologia o ia înaintea legislației

Deşi companii precum Facebook, Instagram sau Whatsapp au schimbat fundamental modul în care comunicăm în mediul online, practicile acestora ridică întrebări legate de confidențialitatea comunicațiilor și de controlul pe care utilizatorul ar trebui să îl aibă asupra acestora. În timp ce Regulamentul General privind Protecția Datelor („GDPR”) are rolul de a proteja „datele cu caracter personal” (ex. nume, adresă, istoric medical etc), Regulamentul ePrivacy completează această protecție, extinzând-o la comunicația în sine (ex. mesaje, apeluri, email-uri etc), fiind irelevant dacă în comunicație există sau nu date cu caracter personal. 

Este surprinzător că actuala directivă (în vigoare încă din anul 2002) nu a fost actualizată astfel încât să se aplice și unor giganți tehnologici precum Facebook, Whatsapp, serviciilor Vo-Ip etc, toți făcând parte din așa-numita categorie a „furnizorilor de servicii de comunicații over-the-top („OTT”)). Cu alte cuvinte, deși oferă servicii de comunicații online, aceste companii nu au în prezent aceleaşi obligații ca și operatorii de telecomunicații tradiționali, deoarece la momentul intrării în vigoare a directivei aceste servicii sau problemele ridicate de către acestea nu existau.

Acest lucru va fi corectat de Regulament, așa încât companiile care oferă servicii de comunicații online pierd avantajul nejustificat (cum ar fi, de exemplu, costurile de conformitate) față de companiile de telecomunicații tradiționale. Odată cu aprobarea Regulamentului ePrivacy, confidențialitatea comunicațiilor prin intermediul „noilor” servicii va fi asigurată: Facebook, Whatsapp, Gmail și alte servicii similare vor fi obligate să șteargă, de exemplu, conversațiile utilizatorilor de pe serverele lor, dacă utilizatorii nu consimt ca acestea să fie păstrate. Furnizorii OTT vor fi obligați să anonimizeze, în premieră, inclusiv metadatele comunicațiilor.

Aceste metadate includ spre exemplu numerele apelate, website-urile vizitate, localizarea geografică, timpul, data și durata oricărui apel efectuat, permițând să se tragă concluzii cu privire la relații sociale, obiceiurile, activitățile de zi cu zi, interesele, preferințele utilizatorilor. Metadatele nu sunt acoperite de prezenta Directivă, întrucât nu s-a considerat dintotdeauna că acestea ar pune probleme ce țin de viața privată, însă evoluțiile recente privind profiling-ul indică tot mai mult că metadatele au o importantă componentă personală, dacă sunt interpretate prin asociere. 

Supra-reglementarea, o piedică pentru revoluția tehnologică?

Regulamentul ePrivacy aduce o noutate importantă, aceea că regulile sale se vor aplica și comunicațiilor între diversele dispozitive conectate la internet. Această prevedere a fost criticată pentru motivul că ar îngreuna dezvoltarea procesului de învățare automată („Machine Learning”), subramură a inteligenței artificiale („AI”). Criticii arată că, odată ce Regulamentul ePrivacy va cere consimțământul utilizatorului pentru orice fel de procesare de date, baza de date disponibilă pentru procesul de învățare automată se diminuează. Algoritmii de învățare automată „învață” progresiv, analizând cantități imense de date, or fără aceste date sau odată cu diminuarea lor, procesul de învățare va avea de suferit. 

Aceste reguli prezintă avantajul evident de a oferi utilizatorilor control asupra comunicațiilor electronice, ei având posibilitatea să le permită sau să le interzică. Pe de altă parte, companiile europene vor avea un dezavantaj în fața companiilor din alte părți ale lumii (de exemplu, Statele Unite), care vor putea să colecteze datele utilizatorilor din jurisdicțiile lor pentru a-și îmbunătăți produsele, în condiții mai puțin stricte decât cele din Europa.

De remarcat este că și GDPR a atras nemulțumiri din partea celor care susțin că afectează semnificativ dezvoltarea AI, oferind utilizatorilor o serie de drepturi legate de datele lor cu caracter personal. Pe de altă parte, Regulamentul ePrivacy va fi aplicabil tuturor comunicațiilor electronice, nu numai acolo unde comunicațiile conțin date personale, sfera sa de aplicare fiind semnificativ mai largă decât cea a GDPR.
Dispozitivele de toate tipurile încep să aibă funcții ce le permit să colecteze date și să le comunice prin internet, inclusiv către alte dispozitive, acționând cu un anumit nivel de „inteligență”. Fenomenul descris mai sus este cunoscut sub denumirea de Internetul Dispozitivelor („Internet of Things sau „IoT”), și va fi direct afectat de Regulamentul ePrivacy.

Comunicarea dispozitivelor prin internet prezintă o serie de avantaje, de pildă, facilitarea agregării unor cantități imense de date pe baza cărora se pot trage concluzii. Pe de altă parte, odată ce Regulamentul ePrivacy va intra în vigoare, retragerea consimțământului majorității utilizatorilor pentru procesarea unor date pur tehnice ar putea face ca datele colectate de producător să nu mai fie suficient de reprezentative pentru a se trage concluzii care să ducă la îmbunătățirea produsului. În acest fel, dezvoltarea tehnologică ar fi împiedicată.

O lume fără cookies

Regulamentul ePrivacy va aduce schimbări importante la regulile privind „cookies”, afectate fiind în special companiile de advertising și cele care au ca model de afaceri folosirea datelor utilizatorilor, cărora le oferă în schimb un serviciu gratuit. Astfel, există posibilitatea ca unele servicii care în prezent sunt gratuite să devină contra-cost. Schimbarea cea mai temută a fost până recent principiul „privacy by default”, ceea ce presupunea ca browserele web să fie construite astfel încât să refuze colectarea de date fără a fi necesară vreo acțiune din partea utilizatorului. Deși formularea inițială a fost înlocuită cu o formulare mult atenuată în ultima variantă a propunerii, există în continuare voci care solicită reintroducerea acesteia, pentru a garanta că activitatea utilizatorilor nu este urmărită în baza unui consimțământ acordat superficial. O altă noutate este propunerea de interzicere a cunoscutelor „cookie walls”, adică a acelor ferestre care se deschid când este accesat un anumit site și care acoperă conținutul site-ului accesat până când utilizatorul consimte la prelucrarea datelor sale. Această interdicție va fi aplicabilă site-urilor gratuite (care nu condiționează accesul la conținutul oferit de plata unor sume de bani), în măsura în care utilizatorului nu i se oferă acces la servicii similare care nu necesită consimțământul pentru prelucrarea datelor sale.

Industria media și publicațiile online au îngrijorări vizavi de impactul Regulamentului asupra modelului lor de afaceri ce constă în vânzarea datelor colectate prin cookies sau alte tehnologii de urmărire, susținând că activitatea lor va fi grav afectată. În plus, industria de advertising va pierde din capacitatea de a servi reclame personalizate, pe care își bazează modelul de afaceri.

Momentan nu există o dată stabilită pentru adoptarea Regulamentului, însă evoluțiile procesului legislativ par să indice că adoptarea va avea loc în acest an. Este important de știut că amenzile care se vor aplica în caz de neconformare se ridică la nivelul celor prevăzute și de GDPR, putând ajunge până la 20 de milioane de EUR sau 4% din cifra de afaceri la nivel global.

La fel ca modificările aduse prin GDPR, modificările prezentate mai sus vor impune industriilor afectate (în special advertising și media) să își schimbe politicile și contractele cu partenerii, dar și modificări de ordin tehnic la nivelul platformelor pe care le utilizează.

Strategia privind piața unică digitală pentru Europa a adus până în prezent rezultate celebre precum eliminarea tarifelor de roaming, dar și un acord privind deblocarea comerțului electronic prin încetarea geoblocării nejustificate (geoblocarea, până recent, era o practică discriminatorie care îi împiedica pe clienții online să acceseze și să achiziționeze produse ori servicii de pe un site bazat într-un alt stat membru). Regulamentul ePrivacy vine ca o continuare naturală a implementării acestei strategii, pentru a pregăti un viitor în care tehnologia 5G (cu viteze internet semnificativ mai mari) și conectivitatea dispozitivelor vor reprezenta regula.