BREXITul și datele personale

BREXITul și datele personale

O poveste cu iz de drama și efecte istorice

Care este legătura între Brexit și datele personale? De curând am urmărit cu mare interes filmul Brexit: The Uncivil War, avându-l în rol principal pe Benedict Cumberbatch. (dacă numele nu vă spune multe, poate vi-l amintiți din Imitation Game).

Brexit este un film pe care HBO ni-l prezintă drep o ”dramă actuală și captivantă despre ce s-a întâmplat în culisele campaniei referendumului pentru Brexit”.

Deși nu se recomanda a fi un documentar, BREXIT ne expune, fără perdea, care au fost mecanismele prin care rezultatul referendumului a fost influențat: știri false, exploatarea ilegală a datelor personale prin analiza comportamentală și micro-targetarea persoanelor. Implicarea în campanii electorale a unor companii care combină exploatarea datelor, brokerajul de date și analiza datelor cu comunicarea strategică, precum Cambridge Analytica sau  AggregateIQ, au avut un rol determinant în cursul referendumului. Cel mai probabil vor rămâne în istorie drept pionierii schimbării de paradigma în ceea ce privește companiile electorale și nu numai.

Spoiler alert! Voi rezuma tot filmul la o singura replica “Banii sunt una, domnule Banks. Dar datele înseamnă putere.

Ce este și cum se realizează micro-targetarea?

Micro-targetarea constă în construirea de profiluri psihologice ale persoanelor din grupuri ținta. Aceasta se poare realiza prin analiza datelor personale colectate direct sau cumpărate de la marile platforme online. În baza acestor profiluri, subiecții sunt bombardați cu mesaje personalizare, cu încărcătură emoțională puternică care urmăresc sa ocolească filtrul rațional-cognitiv al acestora. Astfel, analizele comportamentale pot identifica inclusiv vulnerabilitățile unei persoane sau al unui grup (spre exemplu complexe), care vor fi ulterior exploatate prin mesajele care le vor stimula anumite sentimente, cum ar fi superioritate față de alt grup (de exemplu față de imigranți, refugiați, șoroșiști, etc).

Ușurința cu care se pot cataliza schimbări politice majore, cu costuri minime, oriunde în lume, folosind instrumente și platforme cu acoperire globală ar trebui să ne înspăimânte. Oare spre ce ne îndreptăm? Vom găsi oare mijloacele necesare combaterii acestor mecanisme de manipulare? Sau în mod inconștient și involuntar, ne vom supune? Va reuși GDPR să ne protejeze datele personale?

Revenind la subiectul nostru, oare ce ar însemna un Brexitul fără acord, din perspectiva transferului datelor personale?

Într-o propoziție: Un coșmar pentru comerț și transferul de date personale din și spre Marea Britanie

În absența unui acord între UE și Regatul Unit (Brexit no-deal), Regatul Unit va deveni o țară terță, începând cu 30 martie 2019. Un scenariu tot mai probabil care tine în suspans întreaga Europă.


Cum va afecta Brexitul schimburile comerciale cu Regatul Unit?

Vor fi afectate de Brexit companiile care se regăsesc în una din situațiile următoare:

  • vând produse sau prestezi servicii către Regatul Unit
  • cumpără produse sau beneficiază de servicii din Regatul Unit
  • tranzitează mărfuri pe teritoriul Regatului Unit

Lucrurile se vor complica în cazul în care Regatul Unit va ieși din UE fără un acord. Din acest motiv Comisia Europeană a lansat o Campanie de informare menită să ne pregătească pentru ieșirea fără acord a Regatului Unit din Uniunea Europeană.

Comisia Europeana urmărește creșterea nivelului de informare a comunității de afaceri din UE, în special a IMM-urilor. Pentru a se pregăti pentru scenariul „fără acord” și pentru a menține schimburile comerciale cu Regatul Unit, aceste întreprinderi ar trebui să:

  • evalueze dacă dețin capacitățile tehnice și umane necesare aplicării procedurilor și normelor vamale, de exemplu cu privire la „regulile de origine preferențiale” .
  • aibă în vedere obținerea de autorizații și înregistrări vamale pentru a-și facilita activitatea comercială dacă Regatul Unit se află în lanțul lor de aprovizionare.
  • ia legătura cu autoritatea vamală națională pentru a vedea ce măsuri de pregătire pot fi luate.

Au fost puse la dispoziția întreprinderilor o serie de materiale, inclusiv o listă de verificare simplă, care oferă o imagine de ansamblu a etapelor care trebuie parcurse. Materialele campaniei sunt disponibile în toate limbile UE.

Consultă checklist-ul pentru comercianți și ghidul vamal, ambele disponibile pentru download pe site-ul Comisiei Europene.


Cum va fi afectat transferul de date personale în cazul unui BREXIT fără acord?

În preîntâmpinarea unui despărțiri de UE fără un acord, Guvernul Britanic a lansat recent îndrumări suplimentare privind regimul datelor personale.

Acesta a declarat că nu vor fi afectate datele care vor fi transferate din Marea Britanie către țările SEE. (Spațiul Economic European). Vor fi afectate doar organizațiile care generează fluxuri de date din SEE către Marea Britanie.

Pentru cei care se bazează pe transferurile de date din UE, sunt disponibile mecanisme alternative pentru astfel de transferuri. Organizațiile britanice vor trebui să colaboreze cu omologii lor din UE pentru a se asigura că există un mecanism alternativ de transfer (cum ar fi clauzele contractuale standard).


Care este poziția autorității de supraveghere din Marea Britanie?

ICO (Autoritatea independentă a Regatului Unit) a emis recent o recomandare privind măsurile de protecție adecvate pe care operatorii trebuie sa le ia pentru a putea transfera date personale din și către Marea Britanie.

Pentru majoritatea întreprinderilor, o protecție adecvată convenabilă este utilizarea clauzelor contractuale standard. Guvernul britanic intenționează să recunoască clauzele contractuale standard aprobate de Comisia Europeană. Acestea sun considerate a fi o garanție adecvată pentru transferurile restricționate din Regatul Unit.

Exemplu oferit de ICO:

”O companie din Marea Britanie transmite informațiile despre angajați unui serviciu centralizat de resurse umane al grupului, furnizat de compania mamă din Germania. După ce Regatul Unit va ieși din UE, acesta va fi un transfer restricționat în cadrul GDPR din Regatul Unit.”

Guvernul britanic va recunoaște regulile corporatiste obligatorii autorizate în cadrul UE înainte de BREXIT. Acestea oferă garanții adecvate pentru transferurile din Regatul Unit. Dacă la momentul Brexitului aveți în vigoare reguli corporatiste obligatorii în cadrul organizației dvs. datele cu caracter personal vor putea fi transferate. Acestea trebuie să acopere expeditorul de date din Regatul Unit și destinatarul (oriunde este situat). Va fi totuși necesar să actualizați regulile corporatiste obligatorii din SEE, astfel încât Regatul Unit să fie listat ca țară terță în afara SEE.

Guvernul britanic ne informează ca regulamente și orientări mai detaliate vor fi publicate în următoarele săptămâni. Aceste ar urma să:

  • mențină standardele UE GDPR în dreptul intern
  • recunoască toate țările SEE (inclusiv statele membre UE) și Gibraltar ca fiind "adecvate". Astfel se va a permite fluxurilor de date din Marea Britanie către Europa să continue
  • mențină efectului deciziilor UE privind măsurile de protecție adecvate
  • recunoască clauzele contractuale standard UE în legislația britanică și să ofere ICO puterea de a emite noi clauze
  • recunoască regulile corporative obligatorii autorizate înainte de BREXIT
  • oblige operatorii din afara Regatului Unit, care fac obiectul cadrului de protecție a datelor din Regatul Unit, să numească reprezentanți în Regatul Unit dacă procesează date din Regatul Unit pe scară largă

Comitetului European pentru Protecția Datelor (EDPB)

EDPB a adoptat în data de 12 februarie 2019 ”Nota informativă privind transferurile de date în cadrul GDPR în eventualitatea unui Brexit fara întelegere”.

Aceasta furnizează informații organizațiilor comerciale și publice cu privire la instrumentele de transfer în temeiul GDPR pentru transferul de date cu caracter personal către Regatul Unit în cazul unui Brexit fără acord.

EDPB ne sugerează 5 măsuri pe care organizațiile ar trebui să le ia pentru a se pregăti pentru un Brexit:

  1. Identificați ce activități de prelucrare vor implica un transfer de date cu caracter personal în Marea Britanie
  2. Determinați instrumentul adecvat de transfer de date pentru situația dvs.
  3. Implementați instrumentul de transfer de date ales pentru a fi gata pentru 30 martie 2019
  4. Indicați în documentația internă că transferurile vor fi făcute în Regatul Unit
  5. Actualizați-vă notificarea privind confidențialitatea în consecință pentru a informa persoanele

Instrumentele pe care le puteți utiliza în transferul datelor către Regatul unit sunt:

  • Clauzele contractuale standard sau ad hoc
  • Reguli corporatiste obligatorii
  • Codurile de conduită și mecanismele de certificare
  • Derogările pot fi utilizate în anumite condiții, în absența clauzelor standard de protecție a datelor sau a altor garanții adecvate

Concluzie

Dacă activitatea companiei tale are legătura cu Marea Britanie, trebuie să iei în calcul scenariul unui Brexit fără acord. Scenariu care este tot mai probabil.