GDPR – General Data Protection Regulation sau Regulamentul General privind Protecția Datelor -, reprezintă o inițiativă propusă în 2012 de UE pentru a înlocui Directiva privind Protecția Datelor din 1995, intrată în vigoare pe 25 mai 2018. Aceste noi reglementări reflectă nevoia de protecție a datelor persoanelor fizice din UE, în contextul creșterii exponențiale a consumului de tehnologie digitală.

Evenimente precum campaniile virale din 2015 sau, mai recent, scandalurile în care a fost implicat Facebook au creat un curent de opinie favorabil acestui gen de reglementări.  

Cum pot companiile din România să se alinieze la aceste noi reglementări GDPR? În primul rând, este important să înțeleagă clar ce presupun aceste noi legi, care nu vor afecta doar afacerile din Uniunea Europeană, ci și pe cele din afara ei.

Scurtă descriere

Pentru a facilita explicarea în amănunt a acestor prevederi, ne vom referi la termeni precum:

• Date cu caracter personal: includ, dar nu se limitează la, acele informații confidențiale și personale precum nume/prenume, adrese de domiciliu sau de email, documente de identificare, mijloace de plată, date de localizare, opinii politice, convingeri religioase sau filozofice sau date legate de înfățișarea fizică a unei persoane
• Prelucrarea datelor –  include, dar nu se limitează la, colectarea, stocarea, reorganizarea, consultarea, modificarea, utilizarea sau transmiterea, precum și ștergerea sau distrugerea datelor cu caracter personal mai sus menționate
• Criptarea datelor – Reprezintă procesul de securizare a transmiterii de informații confidențiale între instituții sau companii și cetățeni, folosind tehnologii avansate de criptografie (algoritmi matematici).

Inițiativa GDPR esta menită să ofere transparență și securitate sporită în procesul de prelucrare și criptare a datelor pentru cetățenii UE în mediul online. Reglementările solicită companiilor ce oferă servicii persoanelor fizice din Uniunea Europeană să informeze consumatorii în ceea ce privește modalitățile de prelucrare a datelor personale și în ce scop acestea vor fi folosite. În același timp, această inițiativă aduce valoare și credibilitate unui brand, luând în calcul gradul în care consumatorul actual apreciază confidențialitatea acțiunilor sale în mediul online.

Foarte multe companii mari, chiar și unele startup-uri, s-au aliniat la aceste reglementări cu mult înainte ca ele să intre în vigoare. Însă acum UE se va asigura că toate companiile vor implementa în mod absolut transparent și integral aceste prevederi, ce vor îmbunătății relațiile între consumatori și furnizori.

Cu toții ne amintim ce succes răsunător a avut Apple când a lansat nouă versiune de navigator web, Safari 10, în 2017. Acesta oferă posibilitatea de a bloca monitorizarea nedorită a datelor personale, dar și alte facilități ca pornirea automată a conținutului video de pe pagină, care pot fi încadrate la capitolul marketing agresiv.

Noile prevederi și importanța acestora

Noile prevederi nu ar trebui să alarmeze niciun operator (entitate juridică privată), deoarece ele au fost elaborate nu numai în folosul utilizatorilor, ci și al companiilor sau altor organizații. Prevederile au fost dezvoltate pe baza Directivei 95/46/EC, care a fost abrogată odată cu intrarea în vigoare a noii GDPR.

E drept, prevederile vor afecta substanțial strategiile de marketing și operaționale ale tuturor. O sinteză a prevederilor poate suna așa:

• Orice entitate care prelucrează datele consumatorilor din UE, inclusiv părți terțe, pot fi trase la răspundere în cazul încălcării acestor prevederi
• Atunci când o persoană fizică nu dorește ca datele sale să mai fie prelucrate de operator (companie/ institut), informațiile trebuie să fie distruse, cu condiția să nu existe motive întemeiate pentru a le reține
• Dacă prelucrează date confidențiale la scară largă sau colectează date pentru un număr mare de consumatori, operatorii au obligația de a desemna un specialist în gestionarea datelor cu caracter personal (companiile mici și mijlocii sunt scutite de la aceste prevederi dacă prelucrarea de date nu este o parte esențială a activității lor de afaceri)
• Operatorii au obligația de a raporta la autoritățiile de supraveghere naționale orice încălcare serioasă a acestor noi reglementări, într-un timp cât mai scurt
• Acordul părinților este necesar pentru copiii sub o anumită vârstă,  pentru ca aceștia să poată folosi rețelele sociale (cerințele de vârstă sunt între 13 și 16 ani, în funcție de legile fiecărei țări)
• Persoanele fizice au dreptul la portabilitatea datelor, care le va permite transferul ușor și convenabil al informațiilor personale atunci când schimbă serviciile între furnizori.

Desigur, legea spune mult mai mult de atât, iar pentru orice companie care are legătură cu business-uri din clasa tech-online e recomandată consultarea unei firme de avocatură specializate.

Puteți consulta Regulamentul și metodologia de aplicare în România pe site-ul ANSPDCP – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, instituția abilitată să se ocupe pe plan local cu noile norme.

Pentru multe companii care au dezvoltat deja strategii de marketing online în concordanță cu vechile reglementări, nouă lege nu aduce neapărat aspecte majore neprevăzute.

Puteți afla, în continuare, care va fi impactul propriu-zis al GDPR asupra companiilor românești de aici.