GDPR. Un fel de furnicular sau funicular (dacă nu știți bancul, dați un google). Adică toată lumea vorbește despre asta, dar cei mai mulți habar nu au ce este.
După ce în urmă cu ceva vreme am profitat de oferta specială din partea lui Tudor Galoș și l-am invitat la Kooperativa 2.0 să ne lumineze pe linie de GDPR și urmările lui în viața oricărui business (dacă vi se pare că doar cei ce au treabă cu onlineul o să și-o fure, vă înșelați mai rău decât s-a înșelat Prunea când a ieșit pe centrarea aia la Andersson). Ocazie cu care ne-am cam lămurit ce avem de făcut ca Agenție iscusită de social media să facem să fie bine să nu fie rău. Ceea ce vă doresc și dumneavoastră.
L-am rugat pe Tudor să scrie un text pentru blogul meu. În ideea că o să vă ajute să înțelegeți că nu e de joacă de la anul (GDPR intră în vigoare de pe 25 mai 2018). Dar și că nu e dracul chiar atât de negru. Enjoy, deci. Și băgați la cap.
Unde întorci capul zilele astea auzi de GDPR și de faptul că a cam fost cam ultimul Black Friday în care magazinele online, agențiile și în general departamentele de marketing au cam făcut fix ce le-a tăiat capul. Că de la anul vine urgia GDPR din partea maleficei Uniuni Europene și nu vom mai putea folosi datele personale fix cum ne taie pe chelie (cu celebrul „acest mail nu poate fi considerat spam deoarece”). Și încă lumea nu prea înțelege despre ce este vorba în acest GDPR și ce vrea de la viața noastră.
Dacă sunați un avocat, avocatul vă va spune că există asemănări mari între GDPR și actuala lege (legea 677/2001) nu sunt, diferențele vin din cuantumul amenzilor și din obligațiile suplimentare pe care organizațiile le au în relația cu datele personale pe care le procesează.
Adică dacă nu ești aliniat la GDPR foarte probabil nu respecți nici actuala lege, ceea ce înseamnă că mâine poți lua amendă. Bine, nu atât de draconică precum în cazul GDPR (unde amenzile merg până la 20 de milioane de EUR sau 4% din cifra de afaceri, care din ele este mai mare), dar oricum ai lua-o, foarte probabil să fii în culpă.
Nu voi intra astăzi în detaliile tehnice ale legii (hai, fie, câteva detalii sunt la finalul articolului). Pentru asta am o promoție foarte faină, 100 de ore de consultanță gratuită sub forma a 50 de workshop-uri de 2h ce se țin la primii 50 de clienți care se înscriu. Ofer cam ultimele workshop-uri, slot-urile s-au consumat și deja s-au umplut noiembrie și se cam umple decembrie. Dacă doriți, lăsați un mesaj. Dar gata cu reclama nesimțită că deja îi sunt dator prea multe beri lui Cristi și intrăm în comă dacă le bem pe toate.
Astăzi vom intra în detaliile „emoționale” ale legii și vă voi explica de ce este atât, dar atât de necesară această lege.
Cum s-a născut legea GDPR?
Europarlamentarul neamț de la partidul verde, Jan Philipp Albrecht, era foarte deranjat de faptul că marii data brokeri americani îi procesează datele personale fără nici cea mai mică jenă. Și de aceea a început să lucreze cu alți colegi la o lege pan-europeană care să înlocuiască toate legile din țările Uniunii Europene astfel încât toți cetățenii europeni să fie protejați. O lege care să clarifice în primul rând ceea ce înseamnă „date personale” (orice informație care poate identifica un cetățean al Uniunii Europene – nume, prenume, IP, informații bancare, poză, istoria navigării – cookies, citate din Social Media etc). Ca să îl cităm pe dl Albrecht:
„Yes, the GDPR is written in a continental way. The Fundamental Rights are written into European Law. And they [the USA] have to live with it”.
Așa a început, dar pentru a realiza cum s-a ajuns la forma finală trebuie puțin să înțelegem modul în care algoritmii de machine learning și artificial intelligence au transformat tacticile de marketing, și ce este cel mai important, tacticile de marketing politic.
Algoritmii de machine learning fac conexiuni probabilistice între diverse acțiuni ale unui utilizator. Gen dacă el deschide România Mare dimineața și apoi cumpără ouă la ora 10, este foarte probabil să vorbim de un pensionar. O deducție simplă, banală.
Mai complicat însă când vorbim de mii de informații despre o persoană – ce face, pe unde umblă, pe unde dă checkin, ce citește, la ce emisiuni se uită, cu cine se întâlnește etc. Acești algoritmi „mănâncă” informații personale pe pâine și încadrează oamenii, indivizii, în anumite pattern-uri, clase, tipare sociale. Și ai zice da, ce mare lucru? Ce poate fi rău aici?
Inteligența artificială + GDPR = love
Și intră în scenă algoritmii de inteligență artificială, care pot pe baza acestor pattern-uri și a acestor informații să „învețe” despre fiecare om la ce reacționează. La ce stimuli generează o acțiune. De exemplu la ce ad-uri face click, la ce ad-uri face conversie. Frumos, nu? Ideal aș spune… Vrei să vinzi tigăi? Acești algoritmi te pot face milionar în câteva luni, folosiți cum trebuie. Și care este problema?
Înlocuiți tigăi cu voturi… înlocuiți voturi cu opinii, cu opinii radicale, anti-sistem, anti-democrație, anarhie, separatism, naționalism, nazism. Acești algoritmi sunt capabili să identifice cartiere de oameni ușor influențabili și să îi targeteze cu ad-uri nu doar pe online și social media, ci și cu tactici clasice de marketing – billboard-uri, reclame la radio, reclame TV, inserturi în căsuța poștală! Pur și simplu agenția de marketing primește ce trebuie să facă și execută. Și algoritmii învață rezultate și devin mai buni, și mai buni, și mai buni. Cine controlează algoritmii controlează voturile.
Nu credeți? Să citim împreună acest articol.
„Cambridge Analytica has built models that translate the data they harvest into personality profiles for every American adult — Nix claims to have “somewhere close to 4 or 5 thousand data points on every adult in the US.” – Nix este directorul general Cambridge Analytica.
Ce poate spune un singur data point despre noi? Să luăm de exemplu like-urile de pe Facebook corelate la o cercetare academică:
„The strength of their [Kosinski and his Cambridge colleagues] modeling was illustrated by how well it could predict a subject’s answers. Kosinski continued to work on the models incessantly: before long, he was able to evaluate a person better than the average work colleague, merely on the basis of ten Facebook „likes.” Seventy „likes” were enough to outdo what a person’s friends knew, 150 what their parents knew, and 300 „likes” what their partner knew. More „likes” could even surpass what a person thought they knew about themselves.”
Ce drepturi aveți, ca cetățeni, raportat la GDPR
Acești algoritmi se hrănesc cu date personale. Odată accesul la date personale restricționat și pus sub controlul fiecărui cetățean european lucrurile se schimbă. Se mai domolesc. Deoarece aici intervin câteva concepte extrem, extrem de importante:
Dreptul de a fi informat – orice cetățean ale cărui date personale sunt procesate (istoria navigării și modul în care dă like-uri sunt date personale, da) trebuie să fie informat despre scopul procesării, scopul utilizării datelor personale, durata procesării, modul în care datele îi sunt protejate etc; toate acestea într-un limbaj simplu, profan, extrem de clar. Practic, cetățeanul este informat. Consimțământul pentru procesarea acestor date (de cele mai multe ori necesar) trebuie dat în clar de cetățean, granular la nivelul oricărei procesări (de exemplu dacă vrei să afli înălțimea lui și culoarea ochilor trebuie să spui de ce; folosești aceste informări în procesări diferite – ai nevoie de două consimțăminte), și pe baza unor informații clare. Mai mult, orice cetățean poate să ceară oricărei firme ce date personale are despre el, și firma este obligată conform legii să răspundă urgent.
Dreptul de a se opune procesării și dreptul de a fi șters – oricând cetățeanul poate să ceară ștergerea datelor sale personale din bazele de date ale oricărui operator. Similar, poate să ceară ca datele sale să nu fie introduse în algoritmi de machine learning/AI sau să nu fie procesate deloc.
Dreptul de export al datelor personale – orice cetățean poate să ceară oricărei firme să dea datele sale personale acolo unde dorește el, ca cetățean. Astfel se va sparge monopolul marilor data brokers.
Nu am să insist ce obligații au organizațiile – de a proteja datele, de a le securiza, de a informa clienții, de a șterge datele personale când nu mai sunt procesate, de a avea consimțămintele la zi, de a audita fiecare procesare de date personale – pentru asta am workshop-ul gratuit. Da, este greu.
Ideea de bază este că din 25 mai 2018 nicio firmă nu va mai avea baze de date personale – ok, tehnic asta vor fi, dar conceptual nu. Vor fi custozi pentru bunuri ale unor cetățeni europeni. Și vor trebui să aibă grijă de acele bunuri – să nu le strice, să nu le abuzeze, să nu le piardă (celebrele data breach-uri). Ca și marketing trebuie să ne schimbăm. Am avut plăcerea să vorbesc unor studenți la master la Universitatea București despre acest lucru pentru a încerca să îi îndrept într-o direcție nouă, la începutul carierei lor. Pur și simplu nu vom mai putea trata datele personale ca până acum. Nu sunt ale noastre, nu sunt bunurile noastre. Și da, șmecherii vor plăti, căci legea este europeană și amenzile sunt uriașe.
Închei cu ce zice Jan Philipp Albrecht, părintele acestei legi:
„People realise more and more that the only checks and balances we have with the information society is a clear, enforceable standard. For artificial intelligence and machine learning, and so on, it pushes for anonymisation at the end at least. As soon as you produce identifiable data there’s backend regulation that kicks in. If you have too much trouble anonymising data, well, that’s good”.
„Yes, de-anonymizing is easy. It’s easy to construct just as it’s easy to collect: you just join the dots. The GDPR doesn’t talk about that. What it says is that as soon as you are personally identifiable again, the laws apply. And that’s quite a broad term. As soon as people are identifiable you are in the rules.The rule itself is very clear.” „They says it’s not possible, that the machine can’t document itself. That’s not true. If you can program machine learning, you can put in clear tracing and clear documentation. To follow up what my machine has learned now. And the liability schemes should be clear”.
1 thought on “GDPR sau de ce au înnebunit salcâmii”
Nu cred ca este o lege neaparat rea, nici mie nu imi place sa se joace cineva cu datele mele personale dupa bunul plac.