Cu Regulamentul General Pentru Protecția Datelor, pe scurt GDPR, ce va intra în vigoare începând cu data de 25 mai 2018, managementul consimțământului a devenit o problemă stringentă pentru toți. Prevederile GDPR-ului privind consimțământul nu se referă doar la datele stocate în cazul contractelor, ci și la datele folosite pentru marketing și pentru cookie-uri. Pregătiți-vă să vă luați rămas bun de la clasica înștiințare "Prin continuarea navigării pe acest site, sunteți de acord cu cookie-urile." Odată ce GDPR va intra în vigoare, veți avea nevoie de consimțământ specific pentru fiecare tip de cookie pe care doriți să îl stocați pe calculatoarele utilizatorilor. De asemenea, va trebui să le dați opțiunea de a-și retrage consimțământul pentru cookie-uri, într-un mod la fel de simplu. Dar înainte de a ne panica, să luăm lucrurile pe rând.
Articolul 4(11) al GDPR definește consimțământul ca fiind: "orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate." Infograficul prezentat în figura de mai jos rezumă principalele cerințe ale GDPR cu privire la consimțământul. Să le luăm pe rând.
Ca operator de date, trebuie să te asiguri că persoanele vizate pot alege dacă vor sau nu să-și dea consimțământul pentru prelucrarea datelor. Consimțământul nu trebuie să fie constrâns sub nicio formă. De asemenea, fiindcă e important să ne asigurăm că persoanele vizate au de ales, consimțământul nu va fi folosit ca bază pentru prelucrarea datelor acolo unde există un dezechilibru evident între operator și persoana vizată. Un bun exemplu aici este cazul în care operatorul este o autoritate publică sau relația dintre angajat și angajator. În același mod, executarea unui contract nu va fi bazată pe consimțământ, decât dacă acesta e necesar pentru contractul în sine.
În cadrul GDPR consimțământul trebuie să fie specific, adică nu poate fi pus împreună cu alte probleme. Trebuie să li se spună persoanelor vizate exact motivul pentru care datele lor sunt necesare și cum vor fi folosite. Consimțământul nu poate fi o altă căsuță de bifat printre altele. De asemenea, o dată ce s-a obținut consimțământul, datele pot fi folosite doar pentru scopurile specificate la început. De fiecare dată când apar alte scopuri pentru prelucrarea datelor, trebuie obținut din nou consimțământul. De exemplu, dacă cineva își dă numele și adresa de email pentru a-și crea un cont pe un site ca să aibă acces la un anumit conținut, nu poți începe să-i trimiți emailuri cu produse de vânzare. Consimțământul inițial în acest caz nu a fost dat pentru marketing.
Persoana vizată trebuie să știe nu doar scopul în care îi vor fi prelucrate datele, dar și identitatea operatorului de date. Altfel, consimțământul nu va fi considerat valid. De asemenea, limbajul în care se cere consimțământul trebuie să fie ușor de înțeles pentru cineva fără cunoștințe în domeniul legal.
În cele din urmă, dorințele persoanei vizate trebuie să fie clare. Aceasta înseamnă că nu reprezintă consimțământ valid căsuțele pre-bifate. Lipsa de răspuns, ideea că "dacă continui sau dacă nu te opui înseamnă că ești de acord" nu mai este consimțământ valid. E nevoie de consimțământ în adevăratul sens al cuvântului, fără interpretări posibile.
Atunci când avem de-a face cu categorii speciale de date cum ar fi cele despre origini rasiale sau etnice, opinii politice sau credințe religioase, date privind sănătatea, date biometrice sau genetice, consimțământul trebuie să fie explicit. Aceasta presupune că trebuie să existe o acțiune clară și afirmativă din partea persoanei vizate. Totuși, trebuie avut în vedere că prelucrarea categoriilor speciale de date este interzisă, existând doar câteva excepții.
Prelucrarea datelor copiilor este un alt caz special. Consimțământul nu este de ajuns dacă aceștia sunt mai mici de 16 ani, caz în care e nevoie de un răspuns din partea unui părinte.
O altă întrebare pusă de mulți este ce se va întâmpla cu consimțământul obținut înainte de GDPR. Trebuie obținut din nou? Răspunsul scurt este "nu". Răspunsul pe larg este că dacă nu îl obții din nou, trebuie să ai înregistrări despre modul cum l-ai obținut. Va trebui totodată să oferi persoanei vizate posibilitatea să-și revoce consimțământul, dacă va dori asta.
Întotdeauna a fost nevoie de consimțământ, însă până acum anumite practici ambigue cum ar fi lipsa de răspuns sau chiar căsuțele pre-bifate erau permise. Rareori s-a luat în considerare că o persoană vizată ar putea să-și revoce consimțământul. Să luăm exemplul cookie-urilor. Câte site-uri web cunoașteți care permit revocarea consimțământului pentru cookie-uri? Sau de câte ori nu v-ați înregistrat pe un site ca să citiți de exemplu un articol, dar v-ați dat seama că ați fost de fapt înscris și la buletinul informativ al site-ului sau că primiți oferte cu produse de vânzare?
Am expus pe scurt, în paragrafele de mai sus, politica de cookie și modul cum va trebui să se schimbe. Ne vom opri mai atent asupra schimbărilor ce vor apărea în acest domeniu în cadrul GDPR. Schimbările se explică prin faptul că în GDPR cookie-urile pot fi văzute ca date cu caracter personal, deoarece, în anumite circumstanțe pot fi folosite pentru a identifica o persoană. În GDPR se vorbește despre cookie-uri în Motivul 30:
_Persoanele fizice pot fi asociate cu identificatorii online furniza_ț_i de dispozitivele, aplica_ț_iile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie… Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informa_ții primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor.
Vor fi afectate cookie-urile pentru reclame, cele analitice dar și altele de tip funcțional pentru studii și chaturi.
Așadar, care sunt schimbările principale?
GDPR-ul nu este singura lege care discută despre consimțământ. Deși schimbările pe care le aduce par a avea un impact major, consimțământul este un aspect important și în alte legislații. Figura 2 prezintă gradul de reglementare al protecției datelor în lume, oferind o comparație între cele mai importante astfel de legi. În paragrafele următoare vom discuta despre consimțământ așa cum apare el în alte legislații precum PSD2, dar și în mod specific în diverse țări.
PSD2 sau Directiva (UE) 2015/2366 este o legislație cheie pentru bănci. Cu siguranță aveți deja o idee de ce consimțământul este esențial pentru această directivă. Clienții trebuie să-și dea acordul comercianților care vor să ia bani din conturile lor bancare via API. Consimțământul explicit este necesar pentru mai multe operațiuni în PSD2, mai ales pentru servicii noi sau pentru marketing.
Actul pentru Protecția Copiilor pe Internet, denumit în continuare pe scurt COPPA, se referă la datele personale ale copiilor sub 13, pentru prelucrarea cărora este necesar acord parental. Prin comparație, GDPR pune limita de vârstă la 16, lăsând la latitudinea legislațiilor naționale opțiunea de a diminua limita de vârstă până la 13 ani, dar nu mai jos.
În SUA există aproximativ 20 de legi pentru protecția datelor și sute de astfel de legi în state și teritorii. O dată cu GDPR-ul, companiile din SUA care au afaceri în UE vor avea opțiunea de a se înregistra în Scutul de Confidențialitate UE-SUA. Acesta este un program de auto-certificare prin care companiile din SUA pot dovedi că sunt conforme cu GDPR. Este un program criticat de mulți întrucât Scutul nu garantează că o companie este într-adevăr conformă, ci doar spune dacă o companie e adecvată afacerilor cu UE. Departamentul de Comerț al SUA a publicat o fișă care conține un rezumat al Scutului de Confidențialitate. Pe scurt, datele persoanei vizate trebuie să fie aceleași ca în GDPR. Și da, aceasta include și consimțământul.
În afara Scutului de Confidențialitate, legile în SUA sunt mai puțin stricte ca cele din GDPR. Datele pot fi colectate, stocate și prelucrate atâta timp cât persoana vizată primește o "notificare adecvată" în funcție de sensibilitatea datelor în cauză. Nu există limitări generale pentru timpul de stocare al datelor. De exemplu, alte diferențe se găsesc la dreptul de acces. În cadrul GDPR, accesul e un drept fundamental al individului, pe când în SUA se consideră ca o bună practică, fără vreo obligație pentru companii să dea acces la informații persoanelor vizate.
Canada are un total de 28 de statute privind confidențialitatea care se ocupă de protecția datelor personale în sectorul public, în cel privat și în cel de sănătate. Cea mai cunoscută e PIPEDA, legea pentru protecția datelor cu caracter personal și a documentelor electronice. Ea se aplică pentru datele personale ale angajaților și consumatorilor care intră în domeniul "muncă federală, întreprinderi sau afaceri". Se aplică și organizațiilor care colectează, folosesc și dezvăluie date în scopuri comerciale. În plus, PIPEDA se mai aplică în cazul colectării, de date inter provincială și internațională. Consimțământul este un element cheie în PIPEDA. Organizațiile trebuie să obțină consimțământ semnificativ pentru colectarea, folosirea și transmiterea datelor. Ce înseamnă semnificativ? Dacă persoana vizată a primit informații clare cu privire la scopul prelucrării, atunci consimțământul este considerat semnificativ. Aici se poate observa o asemănare clară cu cerințele GDPR în acest domeniu.
Singapore a pus în aplicare Actul pentru Protecția Datelor Personale (PDPA) în data de 15 octombrie 2012. Au existat trei faze ale implementării:
La fel ca GDPR-ul, PDPA are efecte extra-teritoriale. Aceasta înseamnă că se aplică oricui prelucrează date cu caracter personal ale indivizilor din Singapore, indiferent de locația organizației. Însă prevederile nu se aplică sectorului public, care are reguli separate. Aici PDPA diferă de GDPR care se aplică atât sectorului privat cât și celui public.
Există anumite diferențe între GDPR și PDPA, iar una dintre cele mai semnificative este legată de consimțământ. La prima vedere, PDPA cere exact ca GDPR-ul, ca persoana vizată să fie informată despre scopul prelucrării, iar practicile de inducere în eroare pentru obținerea consimțământului sunt strict interzise. Diferența apare însă în Articolul 15 al PDPA care spune că dacă o persoană își dă în mod voluntar datele unei organizații, aceasta înseamnă automat că e de acord cu preluarea datelor. Justificarea este creșterea eficienței. Cu toate acestea, teama este că în acest fel companiile sunt încurajate să adauge scopuri adiționale pentru prelucrarea datelor, fără a mai cere consimțământ.
Găsim o altă diferență la retragerea consimțământului. La fel ca GDPR, PDPA permite individului să-și retragă consimțământul iar organizațiile nu pot interzice acest drept. Totuși, dacă apar consecințe legale derivate din acesta, vor fi suportate de persoana vizată. În plus, o organizație nu are nicio obligație de a informa eventuale părți terțe că un individ nu mai dorește prelucrarea datelor.
Se poate spune că GDPR include protecții ce nu se regăsesc în PDPA. Dreptul la opoziție, văzut des în GDPR nu este prezent în PDPA. De exemplu, GDPR permite opoziția la marketing direct, prelucrarea automată a datelor sau crearea de profiluri, precum și dreptul la portarea datelor. În plus, PDPA nu oferă protecție suplimentară pentru categoriile speciale de date, spre diferență de GDPR care restricționează prelucrarea acestora. Având în vedere amploarea jurisdicțională extinsă a GDPR, va fi interesant să vedem cum vor fi respectate dispozițiile suplimentare de către societățile cu sediul în Singapore și care prelucrează datele cetățenilor UE.
În momentul de față, China nu are o lege pentru protecția datelor în adevăratul sens al cuvântului. Există reguli despre protecția datelor ce pot fi găsite în alte legi și regulamente, cum ar fi Principiile generale ale dreptului civil și Legea răspunderii delictuale. Anul 2017 a fost anul promulgării legii securității cibernetice, care a intrat în vigoare în Iunie 2017. Scopul ei este de a proteja informația din mediul online, drepturile și interesele cetățenilor și să apere securitatea națională și interesul public. De notat, această lege este numită și "Legea Generală a Protecției Datelor".
Consimțământul trebuie obținut de la persoana vizată înaintea prelucrării propriu-zise. Individul trebuie să fie informat asupra scopului prelucrării datelor, a modului și a motivului colectării datelor, iar consimțământul trebuie să fie explicit. Datele angajaților sunt lăsate într-o stare incertă, deoarece legea nu spune dacă se aplică aceleași prevederi și în acel caz.
După cum se poate observa și din Figura 2, Rusia are doar un nivel moderat de protecție a datelor. Prevederi pentru protecția datelor pot fi găsite în constituția Rusiei, în tratate internaționale și în alte legi specifice. Constituția prevede dreptul la viață privată pentru fiecare individ. Există câteva prevederi și în privința consimțământului. De exemplu, acesta poate fi dat în orice formă, dar operatorul de date trebuie să poată dovedi că l-a obținut. Înregistrările sunt așadar foarte importante în managementul consimțământului. Există câteva cazuri speciale în care consimțământul trebuie să fie datat în scris, de preferat pe hârtie. Sunt incluse aici consimțământul în cazul datelor sensibile sau biometrice, în cazul transferurilor transfrontaliere de date, atunci când datele colectate vor fi incluse în surse accesibile publicului și în cazul în care se iau decizii cu caracter juridic obligatoriu pe baza prelucrării automate a datelor. Semnătura electronică poate fi considerată consimțământ valid în aceste cazuri. Consimțământul scris trebuie să conțină identitatea persoanei vizate, incluzând date din cartea de identitate sau din pașaport, identitatea operatorului de date, scopul prelucrării, lista datelor ce pot fi colectate și tipurile de prelucrare autorizate. La fel ca în GDPR, consimțământul poate fi revocat.
E sigur că GDPR va schimba fața legilor de protecție a datelor. Unele forme de protecție a datelor există și în alte legislații în diferite țări iar cei care nu au astfel de legi, vor trebui oricum să se conformeze cu GDPR dacă vor să prelucreze date ale cetățenilor UE. Regulamentul va afecta tot ce are de-a face cu date personale, inclusiv cookies, care până acum abia erau luate în considerare.
Managementul consimțământului va deveni un pas esențial pentru toate organizațiile. Asigură-te că persoana vizată cunoaște exact scopul prelucrării. De asemenea, asigură-te că înțelege cu adevărat scopul prelucrării! Nu folosi pentru explicații un limbaj pe care doar cineva de specialitate l-ar putea înțelege, cum ar fi un avocat sau un programator, pentru că atunci consimțământul poate fi considerat nevalid. Când ceri consimțământul, asigură-te că persoana vizate știe cine ești, ca operator de date. O dată ce ai obținut consimțământul, nu adăuga alte scopuri pentru prelucrare. Dacă termenii se schimbă și trebuie să adaugi alte scopuri, vei cere din nou părerea persoanei vizate.
Același tip de consimțământul trebuie cerut și în cazul identificatorilor de tip cookie. Va trebui să informezi persoana vizată ce tipuri de cookie dorești să folosești și să o lași să aleagă pe care le acceptă. De exemplu, există acei identificatori de tip cookie strict necesari pentru funcționarea corectă a site-ului. Aceștia sunt identificatorii care nu pot fi cu adevărat opriți pentru că atunci site-ul nu ar mai funcționa. De asemenea, prin aceștia nu se stochează date personale. O altă categorie este aceea a identificatorilor cookie folosiți pentru performanță și analiză. Dacă aceștia sunt opriți, nu vor mai fi realizate analize ale site-ului și nu se va mai putea monitoriza performanța. Asigură-te că persoana vizată e informată de aceasta, însă dă-i posibilitatea să aleagă dacă acceptă sau nu folosirea lor. Identificatorii cookie de tip funcțional sunt o altă categorie și în multe cazuri provin de la părți terțe - de exemplu dacă folosești clipuri video din Vimeo aceștia vor folosi propriile cookies. Desigur și acești identificatori sunt opționali pentru persoana vizată. Se pot include în formularul de consimțământ și numele exacte ale fișierelor ce vor fi stocate pe calculatorul utilizatorului. Aceasta îi va ajuta pe cei cu cunoștințe medii și ridicate în calculatoare și va oferi încredere utilizatorilor. Este însă un pas opțional.
La început, managementul consimțământului ar putea să nu fie o sarcină ușoară, dar nu va fi nici imposibilă. Utilizatorii vor simți imediat beneficiile sau vor fi zăpăciți de numărul mare de întrebări ce le va fi pus? Un anumit grad de confuzie va exista probabil, mai ales printre utilizatorii neexperimentați care nu știu prea multe despre GDPR. Va cădea în sarcina organizațiilor să găsească formulare de consimțământ care să fie înțelese repede și ușor. Deși conformarea cu GDPR nu pare o sarcină ușoară, se crede că schimbările survenite vor fi în cele din urmă pozitive pentru toată lumea.